WO2015167152A1

WO2015167152A1 - 패스워드 관리 장치

Info

Publication number: WO2015167152A1
Application number: PCT/KR2015/003894
Authority: WO
Inventors: 최규상; 이윤호; 서미숙; 박영삼
Original assignee: 영남대학교 산학협력단; (주)에스엠에스
Priority date: 2014-04-30
Filing date: 2015-04-17
Publication date: 2015-11-05
Also published as: KR101449381B1; CN106489151A; JP2017521800A

Abstract

본 발명은 시스템에서 제공하는 다수의 서비스들에 대한 사용자들의 패스워드를 효과적으로 관리할 수 있는 패스워드 관리 장치 및 방법에 관한 것으로서, 다양한 네트워크 환경에서 IP주소, 패스워드 등의 정보를 매개변수로 입력함으로서, 암호 변경과 최종 암호 갱신 시간 조회 및 등록된 계정 목록 조회 등의 기능 수행을 효과적으로 지원하는 방법 및 장치를 제공할 수 있다.

Description

패스워드 관리 장치

본 발명은 패스워드 관리 장치의 구조에 관한 것으로서, 더욱 상세하게는 사용자의 패스워드 변경 시점을 통보하는 패스워드 관리 장치에 관한 것이다.

인터넷으로 연결되어 있는 많은 정보 시스템에 대한 접근을 통하여 이메일을 주고받거나 포털 사이트(portal site) 등을 통해서 정보를 교환하는 활동은 일상생활에서 중요한 부분을 차지하고 있다. 또한 많은 이들이 전자 상거래의 형태로 재화를 교환하고 있으며, 주로 오프라인에서 행해지던 은행 업무의 많은 부분도 텔레뱅킹이나 인터넷 뱅킹 등을 통하여 온라인에서 수행할 수 있게 되었다.

인터넷에서 활발하게 이루어지는 정보의 교환과 용역 및 재화에 대한 거래는 대체로 어떤 정보 시스템에 접속함으로써 행해지는데, 정보 시스템에 대한 이러한 접속을 안전하게 보호하기 위해서 가장 보편적으로 사용되는 방법 중의 하나가 각 개인이 설정한 패스워드를 사용하는 것이다.

2012년 10월 웹룻(Webroot)이라는 국제 정보보호 회사에서 2,500명 이상의 사람들을 대상으로 수행한 조사에 따르면, 다양한 정보 시스템을 사용함에 있어서 많은 사람들이 패스워드 관리에 많은 노력을 기울이지 않는 것으로 나타났다. 이러한 점은 그들이 사용하는 다양한 정보 시스템에 대한 보안상 취약점으로 작용할 수 있다. 따라서 정보 시스템 내에 가치 있는 정보를 관리하는 조직에서는 패스워드를 효과적으로 관리할 수 있는 방법을 갖추고 있어야 할 것이다.

이와 같은 보안 취약성을 제거하기 위하여 제안된 국내외 대표 관련 기술로는 Quest Software사(社)의 TPAM (Total Privileged Account Management) 기술이 있다. 상기 Quest Software 사의 TPAM은 관리 대상 정보 시스템의 패스워드를 관리하여, 접근을 원하는 사용자에게 실시간으로 원타임 패스워드(One Time Password)를 제공하는 기술과 패스워드의 주기적, 임시적 갱신 및 관리자 통지 기술 등의 효율적인 패스워드 관리를 위한 방안을 제시하고 있다.

TPAM은 40여개의 다양한 환경에 대한 종합적인 패스워드 관리 기능을 제공하고 단일 어플라이언스(appliance)만으로 정보 시스템 전체에 대한 안전하고 효율적인 패스워드 관리 기능을 제공하는 기술로 알려져 있다.

그러나 현재까지 많은 정보 시스템을 관리하고 운영하는 기업 및 조직들이 개별 사용자들의 패스워드를 제대로 관리하지 못하고 있는 실정이다. 즉, 주기적인 패스워드의 교환을 적정 시점에 사용자들에게 권하거나 마지막으로 패스워드를 변경한 시점을 알려주는 등의 서비스를 제공하지 못하고 있는 것이다.

또한, 다수의 상이한 서비스(운영체제, 데이터베이스 관리 시스템, 네트워크 관리 등) 등을 제공하는 클라우드 서비스 시스템 등이 지속적으로 출시되고 있는 현재와 같은 상황에서, 이들 서비스의 사용자들에 대한 아이디/패스워드 쌍을 관리하는 전용 솔루션 없이 보안 관리자의 수작업에만 의존하는 문제점이 있다.

따라서 본 발명의 목적은 서로 다른 서비스를 제공하는 다양한 서비스 시스템에 접속하는 서비스 사용자들이 서비스 시스템의 플랫폼에 상관없이 접속하여 패스워드를 관리할 수 있도록 하는 패스워드 관리장치를 제공하는 것이다.

본 발명의 다른 목적은 패스워드 변경, 조회 시점을 사용자에게 통보하여 더 안전하게 패스워드를 관리할 수 있도록 하는 패스워드 관리장치를 제공하는 것이다.

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있다.

상기한 목적을 달성하기 위한 본 발명의 특징에 따르며, 사용자 단말의 접속 요청에 포함된 매개변수에 따라 서로 다른 서비스를 제공하는 관리모듈 중 어느 하나와 원격으로 접속하게 하는 사용자 접속 처리부; 상기 사용자 접속 처리부를 통해 전달되는 사용자의 패스워드 관리 요청을 수행하는 패스워드 관리 수행부를 포함하는 패스워드 관리 장치가 제공된다.

상기 관리모듈은 운영체재 패스워드 관리모듈, DBMS 패스워드 관리모듈, 네트워크 장비 패스워드 관리모듈을 포함하고, 서로 다른 플랫폼을 사용한다.

상기 사용자 단말로 패스워드 정보를 제공하거나 변경된 패스워드 정보의 현황 파악 및 시스템 관리자에 의한 패스워드 갱신 정보를 관리하는 관리 콘솔부;를 더 포함한다.

상기 패스워드 관리장치는 상기 사용자 단말의 원격 접속 요청 시 송수신되는 정보를 캡슐화(encapsulation)하여 처리한다.

상기 사용자 단말은 상기 관리 콘솔부에 기 등록된 사용자들의 목록조회 및 사용자들이 최종적으로 패스워드를 변경한 정보를 조회할 수 있다.

본 발명은 사용자 접속 시간, 사용자 접속 요청 처리 내역 정보를 저장하는 통계정보 관리모듈; 및 패스워드 변경 정보와 백업정보를 관리하는 패스워드 정보관리 모듈을 더 포함한다.

상기 단말장치는 상기 패스워드 정보관리 모듈을 통해 사용자 별로 부여된 가장 최근의 패스워드 정보를 확인할 수 있다.

이와 같이 구성된 본 발명에 따르면, 패스워드 갱신 주기를 단축시킴으로써 정보 시스템의 보안성을 증가시킬 수 있고 패스워드 분실의 가능성을 감소시켜 사용자들이 복잡도가 높은 패스워드를 설정할 수 있도록 한다. 이는 사용자에 의한 시스템 외적인 보안 취약점이 발생할 가능성을 줄어들게 하고, 결과적으로 패스워드 사용으로 인한 보안성 향상 효과를 증대시킨다.

이에 더하여 관리자 패스워드에 대한 특별한 관리 즉, 패스워드 미 갱신시 이메일을 통한 알림 및 강제 갱신 등의 작업이 가능해지므로 취약한 패스워드 관리로 인한 보안상의 취약점이 감소하게 되는 효과가 있다. 또한 패스워드 사용 시 발생하는 사용자들의 불편함도 감소하여 사용자들이 보다 편리하고 안전하게 시스템을 사용할 수 있게 된다. 뿐만 아니라 사용자는 서로 다른 플랫폼을 기반으로 서비스를 제공하는 시스템에 쉽게 접속하여 패스워드 관리서비스를 이용할 수도 있다.

도 1은 본 발명의 바람직한 일 실시 예에 따른 패스워드 관리 장치의 시스템 구성도

도 2는 본 발명의 바람직한 일 실시 예에 따른 패스워드 관리 방법에 대한 흐름도

도 3은 본 발명의 바람직한 일 실시 예에 따른 최종 암호 변경 시각 조회를 위한 데이터 베이스 및 테이블 정의 관련 알고리즘

도 4는 본 발명의 바람직한 일 실시 예에 따른 최종 암호 변경 시작 반환을 위한 DBMS 이벤트 정의 관련 알고리즘

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불명료하게 할 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하기로 한다. 도 1은 본 발명에서 제안하는 패스워드 관리 장치의 시스템 구성도이다.

도 1에 도시된 바와 같이 사용자접속 요청부(110) 및 사용자 요청에 따라 패스워드 정보를 관리하는 패스워드 관리장치(100)를 포함한다.

사용자 접속 요청부(110)는 사용자가 패스워드 관리장치(100)에 접속하는 사용자 단말장치로, PC, 휴대용 기기, 스마트 기기 등이 될 수 있다. 이와 같은 사용자 접속 요청부(110)에는 매개변수 생성부(115)가 구성된다.

매개변수 생성부(115)는, 패스워드 관리장치(100)와의 접속을 위한 매개변수를 생성하는 기능을 제공하는 것으로서, 매개변수를 통해 접속하게 될 관리모듈이 결정된다.

관리모듈은 후술하여 설명한다. 한편 상기 매개변수에는 각 관리모듈의 IP 주소 등의 식별자 정보, 각 관리모듈의 시스템 유형정보, 패스워드 관리기능 유형 정보, 사용자 계정 및 패스워드 정보 등을 포함한다. 패스워드 관리장치(100)는 예를 들어 패스워드를 관리하는 서버일 수 있다. 이러한 패스워드 관리장치(100)의 구성에 대해 상세하게 살펴보기로 한다.

패스워드 관리장치(100)는, 패스워드 관리 수행부(130)를 포함한다. 상기 패스워드 관리 수행부(130)는, 운영체제 패스워드 관리모듈(132), 데이터베이스 관리 시스템(DBMS) 패스워드 관리모듈(134) 및 네트워크 장비 패스워드 관리 모듈(136)을 포함한다.

상기 각 관리모듈은 서로 다른 서비스를 제공하며, 또한 서로 다른 플랫폼을 기반으로 하여 운영된다. 예를 들어 운영체제 패스워드 관리모듈(132)은 윈도우즈 서버 2000, 윈도우즈 서버 2003, 윈도우즈 서버 2008 및 리눅스(linux)의 플랫폼을 기반으로 하고, 데이터베이스 관리 시스템의 패스워드 관리모듈(134)은 마이크로소프트 SQL 서버, MySQL 및 오라클 데이터베이스(oracle database) 등의 플랫폼을 기반으로 하고, 네트워크 장비 패스워드 관리모듈(136)은 시스코 네트워크 디바이스(CISCO network device) 및 넷기어 네트워크 디바이스(netgear network device)등의 플랫폼을 기반으로 한다.

또한, 패스워드 관리장치(100)는 패스워드 백업 및 통계 정보를 관리하는 구성을 포함하고 있다. 즉, 패스워드의 저장과 백업을 담당하는 패스워드 정보관리 모듈(142), 및 접속 시간 등의 통계정보를 관리하는 통계정보 관리모듈(144)로 이루어진 패스워드 백업 및 통계정보 관리부(140)가 구성된다.

또한, 패스워드 관리장치(110)는 관리콘솔부(150) 및 시스템관리자(160)를 포함한다. 관리콘솔부(150)는 관리자가 사용자 계정 활동에 대한 이벤트 정보등을 저장하는 역할을 수행하고, 시스템 관리자(160)는 패스워드 정보를 관리하는 역할을 수행한다. 예컨대, 사용자가 패스워드를 기억하지 못할 경우 본 사용자 계정의 패스워드를 제공, 사용자 계정정보를 기준으로 패스워드 변경 현황 파악 및 수동으로 패스워드 갱신이 가능하게 하는 것이다.

이와 같이 구성된 패스워드 관리장치(100)의 동작을 도 2와 함께 설명한다. 도 2는 도 1의 패스워드 관리 장치에 따라 패스워드를 관리하는 방법을 보인 흐름도이다.

먼저 사용자는 사용자 접속 요청부(110)를 이용하여 원격으로 접속할 관리모듈을 결정한다. 이를 위해 사용자는 매개변수 생성부(115)를 조작하여 접속한 관리모듈을 결정할 수 있는 매개변수를 생성한다(s200).

상술한 바와 같이 매개변수에는 접속하고자 하는 관리모듈에 대한 IP주소 등의 정보를 포함하는 네트워크 식별자, 서로 다른 플랫폼을 가지는 관리모듈의 시스템 유형 정보, 또한 수행할 패스워드 관리 기능 유형 정보, 그리고 사용자 계정(ID) 및 사용자 패스워드 등의 정보를 포함하고 있기 때문에 이를 이용하면 원격으로 접속하고자 하는 관리모듈을 결정할 수 있는 것이다.

따라서, 사용자 접속 요청부(110)에 구비된 매개변수 생성부(115)에 의해 매개변수가 생성되면, 이는 사용자 접속 처리부(120)로 전달된다. 그러면 사용자 접속 처리부의 원격 연결 생성부(125)는 매개변수에 포함된 정보를 기초로 하여 어느 하나의 관리모듈에 사용자 단말이 접속되게 한다.

한편, 사용자 접속 요청부(110)와 패스워드 관리장치(100)가 원격으로 접속될 경우 안전한 보안 정책에 우선하여 접속이 이루어져야 할 것이다. 이를 위해 본 실시 예는 각 관리모듈이 지원하는 암호화 기술에 따른 접속 방법 등을 비롯한 보안 정책 선정 및 정보 교환을 위한 포트(port) 번호 선정 등의 일련의 작업들이 함께 수행된다.

이는 관리모듈 마다 안전한 원격 연결 설정을 위해 서로 이질적인(heterogeneous) 보안 정책과 접속 생성 기법을 적용하고 있기 때문이다. 특히, 리눅스(Linux)와 같은 운영체제의 경우 SSH(Secure Shell)과 같은 암호화된 네트워크 프로토콜을 사용하고 있다.

예컨대, 리눅스 기반의 정보 시스템에 접속하기 위해서는 SSH를 사용하여 원격 연결을 생성해야 한다. 또한, 마이크로소프트사(社)의 윈도우즈(Windows) 운영체제는 WMI(Windows Management Instrumentation)와 같은 원격 연결의 생성을 용이하게 하는 기술을 제공한다.

그리고, 사용자 접속 요청부(115)와 패스워드 관리장치(100)가 서로 원격으로 연결될 경우 모드 정보들은 캡슐화(encapsulation)되어 전달된다. 이와 같이 매개변수에 의해 접속하고자 하는 관리모듈이 결정되고, 또한 원격 접속을 위한 정보를 캡슐화하여 전송하면 특정 서비스를 지원하도록 설계된 다양한 플랫폼에 상관없이 사용자는 쉽게 패스워드 관리장치(100)에 안전하게 접속할 수 있게 된다.

한편, 사용자가 요청하는 패스워드 관리 기능에는 패스워드 변경 작업, 최종 패스워드 변경 시각 조회 및 사용자 계정 조회 등이 포함될 수 있다. 상기한 패스워드 관리기능을 구체적으로 살펴본다. 우선 패스워드 변경 작업은 사용자 또는 시스템 관리자(160)에 의해 작업 요청이 발생할 수 있다. 이 경우 변경된 패스워드 정보는 새롭게 저장/등록된다.

또한, 최종 패스워드 변경 시각 조회 기능과 사용자 계정 조회 기능은 사용자가 자신의 패스워드를 변경한 시점을 조회할 수 있고, 또한 자신의 ID 및 패스워드를 조회, 변경 하는 등의 일련의 기록 등을 조회할 수 있다. 이때 상기와 같이 패스워드를 변경하고, 패스워드의 변경시간을 조회하고, 사용자 계정을 조회할 때마다 관련 정보는 반드시 저장되게 된다.

정보 저장의 경우 사용자가 운영체제 패스워드 관리모듈(132), 데이터베이스 관리 시스템(DBMS) 패스워드 관리모듈(134)을 통한 경우에는 각각이 관리모듈에 자동으로 저장된다(s240). 따라서 매개변수에 서술되어 있는 사용자 ID 및 패스워드와 같은 사용자 식별 정보를 통해 해당 사용자의 패스워드 변경 기록을 검색할 수 있게 된다. 그러나 시스템 관리자(160)에 의해 사용자 계정 활동에 관한 이벤트가 생성될 경우에는 해당 이벤트를 관리 콘솔부(150)에 기록 저장소 형태로 저장된다.

이 경우에는 시스템 관리자(160)가 사용자 계정 활동에 대한 이벤트를 저장하도록 저장소를 생성하여 관리하게 된다. 이와 같은 사용자 계정 활동 기록 저장소에 대한 정의, 최종 암호 변경 시각 조회를 위한 데이터베이스 및 테이블 정의 관련 알고리즘을 도 3을 통해 표현하였다.

또한 도 4는 사용자 계정 활동 기록 중 최종 패스워드 변경 시각을 저장하도록 유발하는 이벤트를 정의하고 있으나, 사용자 계정 활동과 관한 다른 이벤트로도 용이하게 확장될 수 있다. 한편 본 발명은 패스워드 관리기능으로써 다양한 서비스를 더 제공하고 있다.

즉, 패스워드 백업 및 통계 정보 관리부(140)는 사용자의 패스워드를 암호화하여 패스워드 정보관리 모듈(142)로 주기적으로 백업하고, 사용자의 접속 요청 처리 내역 등을 통계정보 관리 모듈(144)에 기록하여 통계 정보를 생성하고, 이를 시스템 관리자(160)에게 통보하고 있다. 이럴 경우, 복잡도가 높은 패스워드를 사용할 수 있어 패스워드가 쉽게 유출되는 것을 막을 수 있다. 사용자가 패스워드를 기억하지 못하는 경우를 대비해 사용자 또는 시스템 관리자(160)의 요청이 있는 경우, 패스워드 관리 장치(100)는 사용자에게 패스워드 정보를 전달한다.

또한, 패스워드가 오래되어 그 취약성이 증가하는 것을 방지하기 위하여, 사용자에게 패스워드 변경 시점을 통보, 강제 갱신(자동 변경)하는 서비스도 제공한다. 즉 시스템 관리자(160)는 저장된 패스워드의 설정 시간 정보를 지속적으로 검사하여 패스워드의 변경 시점을 체크하고 있다.

그 결과, 기 설정된 시간 동안 또는 시간이 경과하더라도 사용자 ID에 대한 패스워드의 변경 내역이 없는 경우 사용자에게 패스워드를 변경하도록 하는 메시지를 전달하게 된다. 또한, 상기 패스워드 변경을 권고하는 메시지가 전달된 후에도 사용자의 패스워드 변경 작업이 이루어 지지 않을 경우, 사용자 ID에 대한 패스워드를 자동 변경하여, 변경된 패스워드 정보를 포함하는 메시지를 사용자에게 전달하게 된다. 메시지 전달은 사용자의 E-mail, 문자 메시지 등을 활용할 수 있다.

이와 같이 본 발명의 패스워드 관리 장치(100)에서는 사용자의 패스워드 관리 활동에 대한 내역을 기록하고 그에 대한 통계 정보를 생성한다. 이렇게 생성된 통계 정보는 사용자가 얼마나 빈번하게 패스워드 변경 및 조회 기능을 수행했는지 판단하는 근거로 사용된다. 또한 사용자가 오래되어 보안상 취약성을 보이는 패스워드를 지속적으로 사용하는 것을 방지하도록 패스워드 변경을 권고하는 메세지를 전송하거나 강제 갱신(자동 변경)하고 있음을 알 수 있다. 한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능하다.

그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로서 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체(CD, DVD와 같은 유형적 매체뿐만 아니라 반송파와 같은 무형적 매체)를 포함한다.

전술한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.

Claims

사용자 단말의 접속 요청에 포함된 매개변수에 따라 서로 다른 서비스를 제공하는 관리모듈 중 어느 하나와 원격으로 접속하게 하는 사용자 접속 처리부; 및

상기 사용자 접속 처리부를 통해 전달되는 사용자의 패스워드 관리 요청을 수행하는 패스워드 관리 수행부를 포함하는 패스워드 관리 장치.
제 1항에 있어서,

상기 관리모듈은 운영체재 패스워드 관리모듈, DBMS 패스워드 관리모듈 및 네트워크 장비 패스워드 관리모듈을 포함하고, 서로 다른 플랫폼을 사용하는 패스워드 관리 장치.
제 1항에 있어서,

상기 사용자 단말로 패스워드 정보를 제공하거나 변경된 패스워드 정보의 현황 파악 및 시스템 관리자에 의한 패스워드 갱신 정보를 관리하는 관리 콘솔부;를 더 포함하는 패스워드 관리 장치.
제 3항에 있어서,

상기 패스워드 관리장치는 상기 사용자 단말의 원격 접속 요청 시 송수신되는 정보를 캡슐화(encapsulation)하여 처리하는 패스워드 관리 장치.
제 3항에 있어서,

상기 사용자 단말은 상기 관리 콘솔부에 기 등록된 사용자들의 목록조회 및 사용자들이 최종적으로 패스워드를 변경한 정보를 조회하는 패스워드 관리 장치.
사용자 접속 시간, 사용자 접속 요청 처리 내역 정보를 저장하는 통계정보 관리모듈; 및 패스워드 변경 정보와 백업정보를 관리하는 패스워드 정보관리 모듈을 포함하는 패스워드 관리 장치.
제 6항에 있어서,

상기 단말장치는 상기 패스워드 정보관리 모듈을 통해 사용자별로 부여된 가장 최근의 패스워드 정보를 확인하는 패스워드 관리 장치.