굿모닝아이텍소개 IT 보안가상화클라우드전문기업 Virtual Solution Application Security 405 억 2015 년매출액 153 명 관련임직원 110 엔지니어 20 영업대표 vsphere NSX VDI 고객사 유지보수고객사 보

최후의보안 패스워드 관리방안 권중술부장 굿모닝아이텍 jskwon@goodmit.co.kr www.cloudsec.com

굿모닝아이텍소개 IT 보안가상화클라우드전문기업 Virtual Solution Application Security 405 억 2015 년매출액 153 명 관련임직원 110 엔지니어 20 영업대표 vsphere NSX VDI 350 250 100 고객사 유지보수고객사 보안솔루션고객사 AWARD 글로벌상용 SW 미래부장관상 Seminar 희망나눔마라톤 (17 th ) Family 가족체험행사 Big Data Infra Solution Vmware Partner Exchange 국립공원명산탐방 해외문화연수 <2016.7 월현재 >

패스워드변경하기 패스워드를만드는고충을생생히표현하기위해영어속어표현사용을양해부탁드립니다. 3개월이경과되었기때문에새로운패스워드를등록하시기바랍니다. - roses 죄송합니다. 너무짧습니다. - pretty roses 죄송합니다. 최소 1개이상숫자가들어가야합니다. - 1 pretty rose 죄송합니다. 공백이포함되어서는안됩니다. - 1prettyrose 죄송합니다. 최소 10개이상의다른문자가들어가야합니다. - 1fuckingprettyrose 죄송합니다. 최소 1개이상대문자가있어야합니다. - 1FUCKINGprettyrose 죄송합니다. 대문자가연속으로나와서는안됩니다. - 1FuckingPrettyRose 죄송합니다. 최소 20자이상이어야합니다. - 1FuckingPrettyRoseGiveMeAccessRightFuckingNow 죄송합니다. 이미사용중인패스워드입니다.

비밀번호관리는이렇게??? 최악의비밀번호 Top 12 ( 출처 : SpashData ) 순위 #01 2011 password 2012 password 2013 123456 2014 123456 2015 123456 #02 123456 123456 password password password #03 12345678 12345678 12345678 12345 12345678 #04 qwerty abc123 qwerty 12345678 qwerty #05 abc123 qwerty abc123 qwerty 12345 #06 monkey monkey 123456789 123456789 123456789 #07 1234567 letmein 111111 1234 football #08 letmein dragon 1234567 baseball 1234 #09 trustno1 111111 iloveyou dragon 1234567 #10 dragon baseball adobe123 football baseball #11 baseball iloveyou 123123 1234567 welcome #12 111111 trustno1 sunshine monkey 1234567890

공유계정과최고권한계정의관리 Shared Administrative Accounts with shared password root / administrator / oracle / system / tibero / sa / tmax 해당시스템 ( 데이터베이스 ) 에대한무제한데이터열람, 수정, 삭제권한 시스템 ( 데이터베이스 ) 내주요파일에대한수정및로그파일위 변조가능 비밀번호변경주체불확실, 비밀번호노출시추적불가능 oracle was 운영계정 Unix/Linux Admins Windows Admins DBAs Business Applications 외부직원 감시, 모니터링 root Administrator enable, admin 개인계정 테스트계정 휴면계정 # 최고권한계정요청사유 Patch (OS, DB) System Check Service manage Batch script Server Database Network Appliance Security Application

비밀번호관리의현실

비밀번호탈취하기 (3.20 사례 ) Putty FileZilla SecureCRT mremote : 접속프로그램검색 인증정보탈취 IP / ID / Password

IT 보안사고및비밀번호컴플라이언스 전자금융감독규정제14조 9. 정보처리시스템의운영체제 (Operating System) 계정으로로그인 (Log in) 할경우계정및비밀번호이외에별도의추가인증절차를의무적으로시행할것제32조 1. 담당업무외에는열람및출력을제한할수있는접근자의비밀번호를설정하여운영할것 2. 비밀번호는다음각목의사항을준수할것가. 비밀번호는이용자식별부호 ( 아이디 ), 생년월일, 주민등록번호, 전화번호를포함하지않은숫자와영문자및특수문자등을혼합하여 8자리이상으로설정하고분기별 1회이상변경나. 비밀번호보관시암호화다. 시스템마다관리자비밀번호를다르게부여 3. 비밀번호입력시 5회이내의범위에서미리정한횟수이상의입력오류가연속하여발생한경우즉시해당비밀번호를이용하는접속을차단하고본인확인절차를거쳐비밀번호를재부여하거나초기화할것 정보통신망이용촉진및정보보호등에관한법률 제 15 조 4. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보를말한다 ) 의일방향암호화저장

비밀번호관련규정 정보시스템비밀번호감독기관 정보시스템비밀번호관리규정요약 시스템마다관리자비밀번호를다르게부여할것 기술적관리적보호조치적용필수 사용자계정과비밀번호를개인별로부여하고등록 변경 폐기를체계적으로관리할것 - 사용자계정의공동사용이불가피한경우에는개인별사용내역을기록 관리하여야한다 관리자계정은관리자로지정된자만이사용할수있으며, 그외의자에게는대여할수없다. 다만, 업무상 필요에의해부득이하게타인에게대여한경우에는회수후즉시비밀번호변경등의보안조치를해야한다 비밀번호는이용자식별번호, 생년월일, 주민등록번호, 전화번호를포함하지않은숫자와영문자및특수문자등을혼합하여 8 자리이상으로설정하고분기별 1 회이상변경 동일비밀번호를여러사람이공유하여사용하지말것 응용프로그램등을이용한자동비밀번호입력기능사용금지 시스템관리자는정보시스템에등록되어있는비밀번호를암호화하여보관하여한다. 비밀번호의일방향암호화저장 ( 정보통신망법 - 개인정보보호조치 15 조 )

비밀번호에대한효율적관리방안 최고권한계정의비밀번호에대한별도의관리프로세스적용 신청 / 승인에의한비밀번호발급프로세스및일회용비밀번호사용및사용이력관리 리포트시스템을통한컴플라이언스만족 다양한운영체제에대한체계적비밀번호관리방안마련 Unix / Windows / Tandem / Mainframe / Database Network Device / 어플리케이션 / 보안장비 정기적인비밀번호변경및이력관리 최고권한계정사용권한부여에대한절차확립 신청 / 승인워크플로우 2 차인증을통한비밀번호발급 일방향암호화법규준수비밀번호신청 / 승인리포트계정 / 비밀번호사용에대한이력관리내 / 외부보안감사를위한권한리포트시스템구축 외부업체에대한비밀번호노출방지 메일및문서형태의비밀번호공유방지 사용된비밀번호자동초기화로비밀번호재사용방지 스크립트내에비밀번호직접코딩방지 스크립트내비밀번호에대한자동변경 비밀번호자동변경을위한 API 제공

비밀번호관리해결방안 Ⅰ 비밀번호기록 / 기억불필요 비밀번호주기적변경불필요 Ⅱ Ⅲ 관리자퇴사시비밀번호변경불필요 유지보수인력작업시요청 / 승인발급 비밀번호의안전한발급 비밀번호노출없는자동로그인

비밀번호발급아키덱처 1. 관리자콘솔을통한비밀번호변경정책정의 2. 초기설정및구성 자동수집, 일괄업로드, 수동등록 3. 워크플로우요청 일회용비밀번호발급 4. 직접접속및접속매니저를통한접속 5. 감사리포트 보안관리자 정책 정책 비밀번호저장소 비밀번호변경어댑터 시스템계정비밀번호 Unix Oracle Windows Firewall Cisco Oiue^$fgW y7qef$1 Tojsd$5fh X5$aq+p lm7yt5w gvina9% root SYS Administrator admin enable tops3cr3t tops3cr3t tops3cr3t tops3cr3t tops3cr3t 사용자 감사자 비밀번호관리 WEB 비밀번호관리대상시스템

제품아키텍처

다양한관리대상시스템 일회용비밀번호관리는에이전트설치없이 Agent-Less 기반으로다양한서버및데이터베이스, 네트워크장비, 보안장비에대한안전한패스워드관리와더불어어플리케이션에대한비밀번호변경기능을별도로제공합니다.

하드코딩비밀번호관리해법 - PUSH 방식을환경파일비밀번호관리 - PULL 방식을스크립트비밀번호관리 APPM for PASSWORD MANAGEMENT (Automated Process Policy Management for password)

어플리케이션비밀번호관리방안 목적 : Agent 설치없이 APPM 서버가대상환경파일의비밀번호에대하여자동 Update. 특징 변경대상은하나혹은하나이상의다중서버지원 환경파일 (.inf,.xml,.conf 등 ) 형태지원뿐만아니라명령어방식 (Web Logic 등 ) 도지원 모든처리현황을실시간으로모니터링하고문제발생시경보처리 APPM 1 어플리케이션비밀번호변경 1 데이터베이스비밀번호변경 < Batch Job 환경설정파일 > Host 1 Host 2 네트워크장비비밀번호변경 연관된호스트환경파일비밀번호자동변경 was.xml Host 3... was.xml Password=qwer1234... was.xml Password=qwer1234... Password=qwer1234 1 2 Agent-Less 기반으로동작 파일형태로존재하는환경파일내의비밀번호제거기능 하나이상의다중서버에대한비밀번호 Sync 기능제공 Push 성공 / 실패에대한모니터링및경보기능제공

어플리케이션비밀번호관리방안 목적 : 배치스크립트및소스코드내부에사용중인하드코딩된비밀번호를제거 API 지원방식 Unix/Linux : CLI / Unix/Linux Shared Library 제공 Windows : DLL Library / Java Class Library 제공 특징 API( 혹은 CLI) 에서요청한비밀번호는지정된시간후자동으로다른비밀번호로초기화작업수행 ( 옵션 ) API( 혹은 CLI) 를요청한부모스크립트의무결성체크수행 ( 무허가사용차단 ) 호스트에서 APPM 에게비밀번호요청방식 어플리케이션데이터베이스 2 2 2 비밀번호변경비밀번호변경 APPM 시스템비밀번호변경 4 3 네트워크장비비밀번호변경 비밀번호전송 전송받은비밀번호를이용하여서버접속 1 비밀번호요청 ftp.sh... 배치스크립트어플리케이션 - open 192.168.0.1 - root/qwer1234 root/$password 스크립트내비밀번호직접코딩방지 - 제거및사용후자동 Reset 스크립트에대한무결성체크 비밀번호자동변경을위한다양한 API 제공

주요고객사 금융 기업 & 교육 공공및국방 해외

구축사례 OO 은행 다양한네트워크별로흩어져있는인프라보안장비및네트워크장비에대한통합패스워드구축 사용자 비밀번호관리솔루션 APPM + OTP + W/F 구축범위 도입배경 특수계정의강력한패스워드통제정책필요 승인요청 사용자 OTP 인증 USB 백업 Active Standby Active OO 망 Server 망 Network Device 보안장비 네트워크장비에대한패스워드관리미흡 다양한보안장비에대한패스워드변경필요 : 외산및국산장비의 FW, IPS, IDS, Wireless 등 다양한패스워드변경방식에대한대응 : CS 방식, 웹방식, API 방식등 비허가자및유지보수인력접근통제강화 승인요청 승인요청 유지보수협력업체 상주인력 PW 확인 USB 백업 USB 백업 Standby Active Standby Server 망 Unix/Linux Network Device 보안장비 Windows 패스워드관련컴플라이언스및감사대비 구축내용및효과 은행내모든보안장비에대한구축적용 모든사용자에대한 OTP 2 차인증구축 접근제어연동구축으로접근권한강화 승인결재 관리자 USB 백업 Active 19 망 Unix/Linux Windows 특수계정 OneTime Password 구축으로 1 공용및특수계정패스워드유출차단 2 비밀번호미저장아키텍쳐구현 WEB 방식패스워드변경모듈적용

구축사례 OO 기관 사용자 데이터베이스운영자 기관출입외부지원인력에대한일회용패스워드정책으로패스워드발급 / 회수에대한자동화 프로세스구축 비밀번호관리솔루션 APPM + OTP + W/F 구축범위 도입배경 주요시스템에대한패스워드통제강화 패스워드발급체제구축 OTP 인증 승인요청 외주직원 승인결재 PW 확인 내부직원 Unix Server 패스워드발급이력에대한신뢰성확보 특권계정패스워드분실시복구방안마련 패스워드관련컴플라이언스및법규준수 안전한패스워드복구방안 유닉스서버운영자 OTP 인증 Unix Server 구축내용및효과 특수계정 OneTime Password 구축으로 1 사용자의 root 패스워드분실시에도 자동초기화및변경기능적용 유지보수 2 비밀번호미저장아키텍쳐구현 승인 / 결재진행상황에대한사용자알림 관리자 Active Standby USB 3 차백업 Unix Server 기능적용 (SMS, 메신저 ) 외부저장매체 (USB) 패스워드실시간백업 모든이력에대한기록관리및보고서제공

구축사례 OO 병원 의료기관내. 외부에있는 IT 인프라시스템에대한통합패스워드발급시스템구축 사용자 비밀번호관리솔루션 APPM + OTP 구축범위 도입배경 - 상주인력에대한패스워드통제정책필요 - 네트워크 / 보안장비에대한패스워드관리미흡 일반사용자 Server - 정기점검방문인력에대한패스워드통제 - 긴급패스워드변경에대한비효율성 유지보수협력업체 OTP 인증 Network Device 보안장비 구축내용및효과 USB 3 차백업 내부망 IT 인프라장비패스워드발급프로세스구축 ( 정직원, 상주인력, 유지보수인력등 ) 상주인력 관리자 구분 서버 보안장비네트워크장비 대상시스템 Windows Servers, Linux 외부망 Ahnlab, Handreamnet, Secui, Allied, 모니터랩등 Server Network Device 보안장비 패스워드발급및확인시 2차인증적용 (APPM OTP 적용 ) WEB방식패스워드변경모듈적용 일방향암호화패스워드적용 특수계정에대한패스워드유출차단

Security is not a Product, But a Process

권중술부장 굿모닝아이텍 010.2030-1537 jskwon@goodmit.co.kr