어떤 시스템이건 보안의 첫 출발점은 관리자의 계정 정보를 안전하게 관리하는 것입니다. 관리자 계정 이름과 비밀번호를 기억하기 쉽게 매우 단순하게 만들거나, 수많은 장비의 아이디와 패스워드를 일일이 기억하기 어려우니 관리자의 시스템에 포스트잇으로 붙여놓거나, 유지보수나 다른 이유로 외부인이 물어볼 때 아무 생각 없이 알려준다면? 중요 장비에 대한 접근 제어 측면에서 보안 허점을 노출하는 것과 다를 바 없습니다.
L4/L7 스위치는 중요 서버에 대한 부하분산, 고가용성 보장을 위해 주로 쓰이죠. 따라서 L4/L7 시스템도 보안 관리 수준을 높여야 하는 장비에 속합니다. 이번 포스팅에서는 L4/L7 시스템에 대한 사용자 인증 및 이를 통한 접근 제어 방법을 살펴보겠습니다.
펌킨네트웍스의 L4/L7 시스템은 최초 접속 시 기본값으로 설정된 관리자 비밀번호를 변경하게 합니다. 풀어 설명하자면 처음 부팅을 하면 기본 계정과 비밀번호로 로그인을 한 다음 곧바로 비밀번호 변경을 요구합니다. 비밀번호 재설정 없이 다음으로 넘어갈 수 없도록 하여 기본값 사용에 따른 보안 취약점 문제점을 해결합니다. 재설정이 되면 SSH을 통한 로컬 콘솔 접속이나 HTTP, HTTPS, Telent, SNMP 등을 통한 원격 접속 시 바뀐 비밀번호로 로그인해야 합니다.
비밀번호 설정 시 강제되는 요구 사항이 있는데요, 바로 자릿수입니다. 생각보다 단순하게 비밀번호를 입력하는 경우가 많습니다. 1, 2, 3, 4, 5 뭐 이런 식이나 자신의 생일과 이름 머리글자 조합 등 기억하기 쉽게 넣는 경우가 많습니다. 설마 하겠지만, 설마가 사람 잡는 경우가 많죠. 이렇게 단순하게 비밀번호를 생성하면 웹에서 구할 수 있는 간단한 해킹 툴로 무차별 대입 공격을 했을 때 바로 비밀번호를 알 수 있습니다.
그래서 펌킨네트웍스의 L4/L7 시스템은 9자리 이상으로 숫자, 영자 대소문자, 특수문자 조합의 비밀번호를 요구합니다. 기업의 보안 정책에 따라 비밀번호 자릿수를 늘려야 할 수도 있습니다. 그래서 펌킨네트웍스의 L4/L7 시스템은 9~15자리 설정을 지원합니다. 이외에 비밀번호 입력 시 해당 숫자나 문자를 알아볼 수 없게 마스킹하는 기능과 5회 이상 입력 실패 시 재설정을 해야 하는 등을 기본 정책으로 제공합니다.
기술 측면에서 볼 때 단순히 사용자 이름과 비밀번호를 확인해 접속을 허용하는 것이 아닙니다. 인증 서버를 연동해 암호화된 사용자 크리덴셜(credential) 정보를 풀 수 있는 키를 배포하고 관리합니다. 관리자 비밀번호는 SHA-256으로 암호화되고, 인증 서버 연동 시 사용하는 대칭 키와 공유 키는 AES-256으로 암호화됩니다.
비밀번호 설정과 관리는 아무리 강조해도 지나치지 않습니다. 관리자가 자신의 모니터에 비밀번호를 포스트잇으로 붙여 놓은 상태에서 셀카를 찍어 소셜에 올렸는데, 이를 보고 해커가 시스템에 접근해 피해를 준 사례도 있습니다. 국내 모 금융 기관에서 대규모 침해 사건이 일어났을 때도 허술한 서버 비밀번호 관리가 도마 위에 오른 적이 있었고요. 가장 쉽고 빠른 방법은 장비 제조사의 매뉴얼, 즉 권고 사항에 따라 비밀번호 생성과 관리를 하는 것이 아닐까요?
