11-1. Account (계정)
시스템 사양, 어플리케이션 호환성 등의 이유로 아직 많은 기업에 Windows 9x이 남아있긴 하지만 지금은 클라이언트PC의 OS도 Windows 2000, Windows XP등 NT계열 시스템들이 주종을 이루고 있다. OS에 따라 클라이언트용, 서버용 등을 구분하기는 하지만 클라이언트용이라고 하더라도 네트워크는 반드시 필요하며 상당부분 서버의 역할도 수행할 수 있는 기능을 가지고 있다.
네트워크 환경에서 많은 사람들이 정보를 공유하고, 서로간의 하드디스크, 프린터 등의 자원을 공유하기 위한 방법인 네트워킹이 빠르고 안정적으로 동작하는 것은 요즈음의 OS가 가져야할 기본적인 사항이다.
여기에서 한가지 생각해야 할 일이 있다. 이렇듯 네트워크에서 컴퓨터가 자원을 공유하는 용도로 사용이 된다면 "보안"이라는 단어를 떠올리지 않을 수 없다. 적법한 사용자에게 최선의 서비스를 제공할 수 있어야 하지만, 그렇지 못한 사용자에게는 접근을 거부하게 하는 조치를 취해야만 안정적인 시스템운영을 할 수 있을 것이기 때문이다. NT는 이러한 기능을 제공하기 위해서 자신의 자원에 접근하게 할 사용자들을 생성하고, 이들의 리스트를 유지한다. 이 리스트를 가리켜서 디렉토리(directory)라고 부르며 이 디렉토리를 저장하는 공간을 디렉토리 데이터베이스라고 부른다. 그리고 디렉토리 데이터베이스에 저장되는 하나 하나의 개체(object)를 가리켜 계정(Account)이라고 부르는 것이다. 예를 들면 사용자 계정, 컴퓨터 계정 등이 그것이다. 한 컴퓨터에 앉은 누군가가 서버에 있는 파일에 접근을 하고자 한다면, 그 컴퓨터를 사용하는 사용자계정이 서버의 디렉토리 데이터베이스에 존재해야 접근할 수 있게 된다는 것을 의미한다.
네트워크에서 누군가가 서버에 연결을 하고자 할 때 사용자 계정을 사용하게 되는데 이때 접근하는 사용자가 관리자가 생성해 준 진짜사용자가 맞는지를 판단하는 방법으로 ‘암호’라는 것을 사용한다. 이렇게 서버가 특정 사용자에 대해 진짜 사용자가 맞다고 판단해 주는 것을 인증(Authentication)이라고 한다. 네트워크에서 컴퓨터 대 컴퓨터 간의 통신에서는 그 컴퓨터를 쓰는 사람은 뒷전에 있기 마련이다. 그러므로 설사 회사의 직원이 아니라도 제3자가 직원의 사용자 계정을 도용하여 제시하고 올바른 암호만 사용한다면 믿을 수 밖에 없는 노릇인만큼 암호에만 의존하는 대부분의 현재 상태에서 네트워크 보안에는 다소 아쉬움이 남는 것이 현실이다. 그런 이유로 보안이 보다 중요시되는 곳에서는 단순히 암호만 사용하는 것이 아니라 스마트카드, 지문인식시스템 등의 추가적인 보안인증을 구현하고 있다.
윈도우 서버를 관리할 대부분의 관리도구는 “컴퓨터 관리”도구에 포함되어 있다. <그림11-1>
<그림11-1> 컴퓨터 관리 도구
얼핏 살펴봐도 상당히 많은 관리메뉴가 보인다는 것을 알 수 있다. 이 ‘컴퓨터관리’라는 이름의 관리도구는 여러 개의 관리메뉴가 통합된 환경을 제공한다. 공유폴더, 사용자, 그룹, 이벤트, 성능, 경고, 디스크관리 등의 기본적인 관리업무를 수행하고자 할 때 당신은 이 관리도구를 사용하게 될 것이다.
계정을 추가하는 작업을 해 보자. ‘컴퓨터 관리’ 관리콘솔의 왼쪽패널에서 ‘로컬 사용자 및 그룹’을 확장하면 ‘사용자’와 ‘그룹’이라는 두개의 메뉴를 확인할 수 있다<그림11-2>
<그림11-2. 컴퓨터관리 도구-사용자>
사용자를 클릭하면 오른쪽 패널에서 기본적으로 생성되어 있는 사용자 계정(Built-in User Account)들을 확인할 수 있다. Administrator라는 계정이 보인다. 이 계정이 마이크로소프트의 윈도우 서버에서 사용되는 마스터계정이다. Unix에 root, Netware에 supervisor가 있다면 윈도우에는 Administrator가 있다. 위에서 설명했듯이 누구든지 올바른 암호만 제시한다면 여러분의 시스템은 제3자를 당신. 즉 관리자로 판단하고 모든 것을 허용하고 말것이다. 일반 계정도 마찬가지지만 특히 관리자계정에 복잡한 암호를 사용해야 하는 것은 당연한 사실이다. 대문자, 소문자, 특수문자, 숫자 등을 포함하여 12자리 이상의 보다 강력한 암호를 할당할 필요가 있다. 그것도 완전하지는 않다. 최소한 45일정도마다 한차례씩 암호를 변경해 주어야 할 것이다. 또, Administrator계정을 클릭하고 마우스 오른쪽 버튼을 이용하여 ‘이름 바꾸기’를 선택한 다음 계정의 이름을 변경하라. Administrator를 그대로 사용하는 것은 의도하지 않은 사용자에게 시스템의 마스터계정을 그대로 드러내 주는 일밖에 되지 않는다.
Guest 계정도 보이는데, 기본적으로 이 계정은 비활성화되어 있다. 가급적이면 활성화시키지 말것을 권장한다. 기본적으로 Guest계정의 암호는 공백의 문자로 설정되어 있다. 이 계정을 활성화시키면 디렉터리 데이터베이스에 계정을 가지고 있지 않을 사용자까지도 서버에 접근이 가능해 진다. 다수의 사용자가 파일서버에 접근하도록 허용하기 위해서 Guest계정을 열어놓는 경우가 있지만 보안상 좋지 않다. 혹 실수로 Guest계정이 활성화되는 경우를 대비해서 Guest계정에 복잡한 암호를 설정하는 것도 좋은 방법이다. 나중에 기억이 안 나면 어쩔꺼냐구? 당신은 관리자 아닌가!
‘사용자’에서 마우스 오른쪽 클릭하여 ‘새 사용자’를 선택한다. <그림11-3>의 사용자 계정을 생성하는 화면이 열린다.
<그림11-3. 사용자 계정 생성>
‘사용자이름’항목이 바로 사용자계정에 해당한다. 이 계정으로 사용자는 해당 시스템에 로그온을 하고 네트워크에서 이 계정을 이용해서 계정이 생성되어 있는 컴퓨터에 원격으로 접근하는 것이 가능해 진다. 전체이름은 계정에 대한 구체적인 이름을 기록해 놓는다. 계정만으로는 어떤 사용자인지 판단이 어렵기 때문에 관리적인 측면을 고려한 것이다.
아래부분에 ‘다음 로그온할 때 반드시 암호 변경’옵션이 기본으로 체크되어 있음을 확인한다. 이 옵션이 체크되어 있으면 계정이 생성되고 해당 사용자가 처음으로 이 컴퓨터에서 직접 로그온을 할 때 암호를 바꿀 것을 디렉터리 서비스로부터 요구받게 된다. 처음 로그온할 때 암호를 변경하면서 로그온을 성공적으로 하고 나면 이 체크박스는 자동적으로 해제된다. 사용자로 하여금 자신의 암호는 자신이 직접 생성하도록 할 수 있는 좋은 옵션이다. 그 이후에는 관리자라고 하더라도 사용자의 암호를 알 수는 없다. 다만 관리자는 언제든지 관리도구를 통해서 사용자의 암호를 변경할 수 있기 때문에 암호를 관리할 수 있을 뿐이다.
‘로컬 사용자 및 그룹’중에서 ‘그룹’을 클릭해 본다. <그림11-4>
<그림11-4. 컴퓨터관리 도구-그룹>
그룹에도 기본적으로 생성된 여러가지 계정(Built-in Group Account)들이 보인다. 이 그룹은 사용자들을 조직하여 보다 원활한 관리를 도와준다. 중요한 것은 관리자가 사용자 계정을 생성하거나, 백업담당자가 백업을 하거나, 사용자들이 로그온을 할 수 있다거나 하는 것들에 대한 권한(User rights)은 사용자계정 단위가 아니라 그룹계정에게 할당되어 있다는 것이다. 예를 들어 Administrators는 관리자그룹인데, 이 Administrators 그룹은 관리자로서 할 수 있는 모든 작업들이 부여되어 있다. 그리고 그룹의 멤버는 그룹이 가진 권한을 그대로 상속받게 된다. 그렇다면 새로운 사용자를 만들고서 그 사용자를 Administrators 그룹의 멤버로 구성을 한다면? 그 새로운 사용자도 관리자가 된다는 것을 의미한다.
시스템에 주어진 권한은 “시작à관리도구à로컬 보안 정책”을 열고, “로컬정책à사용자 권한 할당”을 열어보면 오른쪽 패널에서 확인할 수 있다. 수 많은 정책들이 시스템에서 특별한 작업을 할 수 있는 권한의 목록과 이 권한이 부여된 사용자와 그룹을 보여준다. 물론 이 인터페이스를 통해서 권한설정을 할 수도 있다.
<그림11-5. 사용자 권한 확인 – 로컬 보안 정책>
<그림11-4>에서 이번에는 ‘그룹’을 마우스 오른쪽 클릭하여 ‘새 그룹’을 연다. <그림11-6> 그룹이름이 ‘그룹 계정’에 해당한다. 예제에서는 SysManagers라고 입력했다. 그룹을 생성한 목적이나 이 그룹의 멤버쉽등에 대한 정보를 ‘설명’에 기록해 두고(필수사항은 아니다.) 이 그룹의 구성원을 추가해 준다. 당연히 사용자 계정은 먼저 생성이 되어 있어야 한다.
<그림11-6. 그룹 계정 만들기>
처음 그룹계정을 생성할 때 사용자계정을 추가할 수 있고, 나중에 같은 관리도구를 이용하여 새롭게 사용자를 추가할 수도 있다.