보안 향상: 협력업체의 MS AD와 연합하기

제 근무처인 ㅇㅇ사 내의 관련 부서에 보낸 FYI 메일입니다.

“굳이 다른 회사와 우리 회사의 MS AD를 연동할 필요가 있겠는가?”

라는 물음은 당연합니다. 그렇다면 이유를 바로 말씀 드려야지요.

“우리 회사의 가치사슬만 생각한다면 필요 없겠지만 다른 회사 가치사슬과의 연결을 위해서는 필요하다.”

  ㅇㅇ사에는 그런 연결고리가 벌써 있습니다. 전자구매와 XXX 그리고 VPN으로 들어와서 직접 SAP GUI를 통해 사용되는 ERP 프로그램(몇몇 T-code는 협력업체에서도 쓰고 있지요.)들입니다. 향후 e-Collaboration이 구현된다면 그런 연결 고리는 더욱 커지겠지요.

 이런 때 사용할 수 있는 것이 각 기업의 MS AD간에 연결 고리를 두는 것입니다. 아래 글을 보시면 구현 원리 등을 아실 수 있고요. ㅇㅇ사에는 이미 Windows Server 2003 R2 버전이 있으므로 구현이 가능합니다. 구동 절차는 별 게 아닙니다. 다른 회사와 MS AD Trust를 맺고 우리 회사의 어플리케이션에 다른 회사 AD 계정을 등록시켜 주는 것이지요. ‘다른 회사 도메인\계정’ 정도 되리라 봅니다.

 어떤 편익이 있을까요? 찜찜한 보안 수준을 올릴 수 있습니다. 지금은 사내 네트워크에 접속할 사람이 아니라 회사에 계정을 주는 방식이라 결국 공용계정을 주는 셈입니다. 저쪽의 책임감이 떨어지지요. 하지만 저쪽에서 AD 계정으로만 들어오게 한다면 공용 계정 사용에 따른 찜찜함은 사라집니다. 설마 자신의 메일이나 그룹웨어에 직결된 MS AD 계정을 공유할 정도로 보안 의식이 희박한 사람은 드물겠지요.

 그 회사와 거래가 끝나면 트러스트를 해제하면 됩니다. 그렇게 되면 관련 계정도 동시에 사용 불가가 되니까 이 또한 보안 수준을 올리게 해주는 길이지요. 암호 관련 문제도 그쪽에서 알아서 할 일이니 여기서 신경 쓸 필요가 없습니다. 계정 관련한 관리 공수가 많이 줄어들 게 됩니다.

 다만 문제는, 협력사가 MS AD를 구축하지 못할 정도로 규모가 작은 곳이라면 이 방법을 쓸 수 없습니다. ^^ 그런데 ㅇㅇ사에는 그런 협력사가 꽤 많겠지요?

 비단 MS AD의 연결 뿐만이 아닙니다. IT가 개입하는 업무 영역이 점점 넓어지면서 ‘보다 현실적인’ 관리 방법이 이슈가 되고 있습니다. 열심히 해도 안 되는 부분을 위해서 결국 IT가 다른 해결책을 내놓는 것입니다. 그 기본 철학은 “관리는 분산하되 통제는 중앙에서”입니다. 앞으로는 모든 보안 이슈를 이 철학을 기반으로 해결하시면 되겠습니다.

 

 사족.

서구의 기업은 IT 보안 기술과 솔루션이 지금과 같이 발전하지 못했을 무렵, 계정 등 보안의 근간을 위협할 수 있는 관리 공백의 해결을 위해 사람을 더 썼습니다. 그러고도 근본적인 해결과는 거리가 멀어 지속적으로 IT 업계에 이슈를 제기했고 그래서 지금과 같은 솔루션들이 나왔습니다. 앞서 말씀 드렸다시피 그 철학은 ‘관리는 분산하되 통제는 중앙에서’입니다.

우리 뿐만 아니라 영세한 상황에서 급속한 성장을 이루어 낸 아시아의 기업들은 어땠을까요? 예. 추가적인 관리인력을 둘 수 없었으므로 그냥 방치했습니다. 우리 주민등록번호가 중국까지 유출되고 이상한 060 전화가 걸려오고 하는 데에는 이런 역사적인(^^) 배경이 있는 겁니다. 2007년도 현재, 우리나라 대부분의 기업은 회사 안에서 회사 밖으로 무슨 문서가 나가는지 전혀 모릅니다. 상대적인 푼돈은 아낄 수 있겠지만 바람직한 상황은 아니지요.