외주·협력사 계정 방치 리스크 겨냥… 통합 관리 플랫폼 ‘J-TOPS’ 내세운 ㈜좋을

고대 그리스 신화 속 ‘트로이 목마’는 신뢰가 공격의 통로가 될 수 있음을 상징적으로 보여준다. 성문은 무력이 아니라 ‘믿음’ 때문에 열렸고, 그 결과 피해는 결정적이었다. 최근 국내 산업 전반에서 반복된 대규모 IT·정보보안 사고도 이와 닮아 있다는 지적이 나온다. 고도화된 해킹 기법 못지않게, 협력사·외주 인력 등 ‘신뢰 관계에 있는 사람’에 대한 계정과 권한 관리가 허술했던 점이 사고의 단초가 됐다는 것이다.

보안 업계에서는 “공격자는 벽을 넘은 것이 아니라, 우리가 건넨 열쇠로 걸어 들어온 것”이라는 말이 나온다. 특히 프로젝트 종료 후 철수한 인력의 계정이 남아 있거나, 장기간 사용되지 않는 계정과 인증 정보가 회수되지 않은 사례는 기업 보안에 치명적인 ‘뒷문’이 될 수 있다. 실제로 대형 정보 유출 사고에서 퇴사자·미사용 계정이 방치된 정황이 원인으로 거론되는 경우도 반복돼 왔다.

이런 문제의식 속에서 ㈜좋을(JOHEUL)은 통합 외주 관리 플랫폼 ‘제이탑스(J-TOPS)’를 내세우며, 외주 인력 관리의 전 과정을 시스템으로 강제화하는 방식의 보안 전환을 제안했다. 회사 측은 기존의 ‘관리자 기준 관리’에서 벗어나, 계정과 작업, 접속 조건을 시스템 기준으로 통제하는 구조가 필요하다고 설명했다.

제이탑스는 외주 인력의 계정 생애주기(라이프사이클) 관리를 자동화하는 데 초점을 맞췄다. 인사 DB와 개별 업무 솔루션을 연동해 외주 인력의 프로젝트 참여 기간에만 계정 사용을 허용하고, 계약 종료나 인력 철수 시에는 계정 삭제·잠금이 자동으로 처리되도록 설계했다. 또한 단순히 계정을 막는 수준을 넘어, 개별 업무 시스템에 부여된 접근 권한까지 프로젝트 기간에 맞춰 실시간으로 회수하도록 해 관리자의 실수로 계정이 방치되거나 권한이 남는 상황을 줄이겠다는 설명이다.

실시간 모니터링과 감사 기능도 강조했다. 공격자가 내부망에 잠입해 장기간 활동하거나 웹쉘(Webshell) 등을 설치하는 형태의 위협은 네트워크 보안 장비만으로 탐지에 한계가 있다는 점에서다. 제이탑스는 에이전트 기반으로 작업자의 행위를 모니터링하며, 텍스트 로그를 넘어 작업 화면을 실시간 ‘풀(Full) 동영상’ 형태로 기록한다고 밝혔다. 관리자는 이상 징후를 빠르게 확인할 수 있고, 사고 발생 시에는 ‘타임머신’ 기능을 통해 특정 시점의 작업 화면을 찾아 원인을 추적하고 증거를 확보하는 데 활용할 수 있다는 설명이다.

접속 체계에서는 ‘선(先) 보안점검 후(後) 접속’을 내세웠다. 외부 단말기의 보안 상태가 확인되지 않은 상태로 내부 업무 환경에 연결될 경우 악성코드 유입이나 내부망 오염 위험이 커질 수 있기 때문이다. 회사 측에 따르면, 제이탑스 에이전트는 외주 인력이 업무를 시작하기 전에 PC의 보안 상태(백신 최신화, 운영체제(OS) 패치 여부, 금지 소프트웨어 실행 여부 등)를 자동 점검하고, 정책 기준을 충족한 ‘클린 단말기’에 한해 접속을 허용하는 방식으로 제로 트러스트 원칙을 구현할 수 있도록 했다.

보안 전문가들은 “보안은 이제 담당자의 자율적인 관리에 기대는 방식으로는 한계가 분명하다”며 “사람이 놓칠 수 있는 지점을 시스템이 강제화된 프로세스로 막아야 한다”고 강조한다. 수기 서약서나 관리자 의존형 통제만으로는 외주·협력 생태계가 커진 현실을 따라가기 어렵고, ‘아군이라 가정하고 성문을 여는’ 방식이 지속된다면 유사 사고는 언제든 재발할 수 있다는 경고다.

㈜좋을은 제이탑스가 외주 인력 관리에 필요한 행정 부담을 줄이는 동시에, 계정·권한·작업 기록·접속 조건을 시스템적으로 강제화해 인적 위협을 통제하는 데 초점을 맞췄다고 밝혔다. 결국 과거 사고들이 던진 교훈은 명확하다는 것이다. 성문 안으로 들어오는 모든 ‘목마’를 의심하고, 그 실체를 시스템으로 검증하는 체계를 갖추는 것. ㈜좋을은 제이탑스를 통해 ‘통제하기 어려웠던 인적 영역’을 감사와 추적이 가능한 관리 체계로 전환하는 보안 기준을 제시하겠다고 강조했다.

출처 : 데일리시큐(https://www.dailysecu.com)