인터넷 서비스에 계정/권한 관리 실태를 묻습니다

클라우드 컴퓨팅이 화제가 되자 리처드 스톨만은 웹 기반 S/W를 써서는 안 된다고 할 정도로 강경하게 반대를 했습니다. 이메일 뿐만 아니라 문서 작업까지 웹 기반으로 하는 게 이상하지 않은 시대가 온 만큼 그의 발언은 인터넷 사용자 상당수에게는 오버로 들릴 만합니다만 제 개인적인 경험을 떠 올려 보니 제가 연예인이 아닌 게 참 다행이라는 생각이 들었습니다.

고백하자면, 현재는 모르겠지만 최소한 2002년도 D 대학의 학사 관리 프로그램의 권한 설계는 참으로 취약한 수준이라 실습 조교가 자기 수업 뿐만 아니라 다른 단과대 학생의 인적 사항까지 조회할 권한을 가지고 있었습니다. 당시 실습 조교에게 부탁해서 W양을 조회했던 적이 있었죠. 그리고 모 웹캠 업체에 적을 둔 적이 있었는데 모바일 사진 전송 관리자 화면에 들어가 이런 저런 구경을 하다 눈이 휘둥그레진 적도 몇 번 있었습니다.

이렇게 한 사용자가 다른 사용자나 관리자의 계정을 해킹하기는 어렵지만 관리자의 주변 사람들이 관리자 계정을 사용하거나 편의만 염두에 둔 권한 설계로 부적절한 사람도 관리자 권한을 갖는 경우는 과거에 많았습니다. D 대학이든 모 웹캠 업체든 싸이월드든 네이버든 다음이든 과거 성장해 나가기 시작했을 무렵에는 이런 취약점을 미처 고치지 못했으리라 감히 추측합니다.

   
  그렇다면 인트라넷 세계에서는 이를 어떻게 해결하려 할까요?  
   
   
  Identity/Access Management(계정 권한 관리)라는 카테고리로 솔루션이 참 많이 나왔습니다. 이를 사용합니다.  
   

MS, IBM, Sun, Oracle, HP, CA 등 굵직한 업체는 물론 여러 국내 중소 솔루션업체까지 IAM 관련 솔루션을 출시했고, 서구권은 물론 우리나라에서도 이름이 잘 알려진 대기업은 물론 각종 공공기관에서 이 솔루션들을 도입했습니다. 이 솔루션의 도움을 받아 관리자 공용 계정을 없애고 각 시스템의 계정 및 권한 현황을 파악해서 개구멍을 없애는 작업을 지속하는 것입니다. (Single Sign On이나 '개인 정보 보호'와는 성격이 좀 다릅니다.)

   
  그렇다면 포탈 등 인터넷 서비스의 계정 권한 관리가 취약한가요?  
   
   
  모르겠습니다.  
   
설마하니 포탈의 보안 수준이 그렇게 낮지는 않을 겁니다. 우선 다음과 네이버는 ISO27001 인증을 획득했을 정도로 공인을 받은 상태인데, (다음의 정보보호 활동, 네이버의 정보보호 인증) 우리로서는 뭔가 인증을 딴 사실 외에 나머지 사항에 대해서는 알기 힘듭니다. 과연 공용 계정은 쓰지 않는지 권한은 알맞게 분산했는지 어떤 승인 과정을 거치는지, 아니 ISO27001 인증이면 정말 충분한지 사용자 입장에서는 알 도리가 없습니다. 좀 더 자세한 설명이 필요합니다.

정말 큰 문제는 중소 인터넷 서비스입니다. 설명은 부족하지만 최선은 다 하는 듯 보이는 다음과 네이버와는 달리 꽤 유명한 포탈에서조차 정보 보호 활동에 관해서는 약관만 보여 주는 걸로 끝인 경우가 태반입니다. 모회사가 정말 부자이거나 세계적으로 유명한 포탈조차 이 지경이니 다른 소규모 인터넷 서비스 업체에게는 무얼 바라겠습니까! 사용자에게는 아낌 없는 신뢰를 요구하는 보안 수준이면서도 다들 주민등록번호 등 개인정보는 세세하게 요구하지요. 스팸 메일/문자/전화가 날아 오지 않는다면 그게 이상한 겁니다.

옥션 때처럼 엄청난 유출 사고가 나야 큰 일이 아닙니다. 오히려 아무도 모르게 건 지속적으로 혹은 누군가의 필요에 의해 소소하게 유출되는 게 더 무서운 일이지요. 웹의 편리함 때문에 많은 사람들이 크게든 작게든 리처드 스톨만 같은 걱정을 하는데도 서비스의 위치는 계속 웹으로 옮겨 가지 않겠습니까? 웹에 대한 믿음이 굳건해져야 클라우드 컴퓨팅이든 SaaS든 마음 놓고 쓰게 되어 시장의 파이가 더욱 커질 겁니다. (물론 대한민국 등, 보안에 둔감한 채로 성장해 온 사례가 있긴 합니다만.)

사용자의 보안 의식이 계속 지금만 같다면 모르겠습니다만 앞으로 자기 것을 좀 더 소중히 하는 문화가 자리잡는다면, 사람들은 비교적 안전한 다음과 네이버에서 떠날 생각조차 하지 않게 될지도 모릅니다. 그런 재미 없는 세상은 사양합니다.

스마트플레이스의 글을 편리하게 구독하세요. 한RSS 추가 구글추가
크리에이티브 커먼즈 라이센스
Creative Commons License이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

트랙백 (0) | 덧글 (1)
트랙백 주소: http://www.smartplace.kr/trackback_post_347.aspx
스마트플레이스의 트랙백은 스팸방지를 위해 관리자 승인 후 등록됩니다.

gucci replica 2014-07-04 19:04:12     답글 삭제
편리함 때문에 많은 사람들이 크게든 작게든 리처드 스톨만 같은 걱정을 하는데도 서비스

이름 비밀번호
홈페이지
덧글
비밀글
RSS 피드
전체글한RSS 추가 구글추가
스마트가젯북스타일
Demo Day