[데이터넷] 가장 빈번하게 발생하는 내부자 위협은 사용자 계정 탈취다. 정상 사용자 계정으로 접속하는 공격자를 막는 것은 매우 어렵다. 시스코는 이를 두고 ‘공격자는 침입하지 않고 로그인한다’고 설명했으며, 비욘드트러스트는 엔터프라이즈가 평균 182개의 파트너사에서 매주 IT 시스템에 로그인하며, 58%는 이렇게 접근한 파트너가 데이터 유출과 관련있다고 생각하는 것으로 나 타났다고 말한다.

트렌드마이크로 보고서에서는 클라우드 자격증명 탈취 시도가 크게 늘었다는 점을 경고했다. 오피스365 관련 피싱 링크가 크게 늘고 있으며, 관리자 계정 탈취 시도를 통해 오피스365 도메인과 연결된 모든 계정을 통제하려는 시도가 증가했다. 또한 클라우드 공유를 악용하는 사례도 늘어났는데, 가짜 마이크로소프트 사이트의 하위 도메인에 가짜 셰어포인트, 원노트 온 라인 페이지를 통해 자격증명을 탈취하는 시도가 탐지됐다.

지난해 탐지된 자격증명 피싱 시도는 전년대비 35% 증가했으며, 알려지지 않은 피싱 링크를 이용하는 공격이 전체 탐지된 자격증명 피싱의 44% 이상 차지했다. 알려지지 않은 링크를 이용해 안티바이러스 등 보안 솔 루션의 탐지를 피하고자 한 것이다.

탈취한 계정은 다른 공격에 사용되는데, 지난해 탈취된 오피스365 계정에서 한 달 150만건의 악성메일을 보 낸 것이 탐지된 바 있다. 탈취된 계정은 수신자 입장에 서는 정상 계정에서 발송한 것으로 인식하기 때문에 의 심없이 메일을 열어보고 송금하거나 멀웨어를 실행시킬 수 있는 행위를 하게 된다.

또한 공격자는 단일 URL이나 IP 주소를 사용해 이메 일을 보내지 않고 퍼블릭 클라우드 인프라와 호스팅된 클라우드 인프라를 사용해 공격을 합법적으로 보이도록 한다. 더불어 이메일 커뮤니케이션이 진행되는 과정 에서 이메일 회신을 통해 공격을 진행해 의심받지 않고 공격을 이어갈 수 있게 한다.

클라우드 포함 포괄적인 계정관리 지원

사용자 계정을 안전하게 지키면서 생산성 저하를 막 기 위해서는 통합 계정·접근관리(IAM)가 필수다. 클 라우드·원격 및 분산근무가 확산되면서 IAM의 중요성 은 더욱 높아지고 있는데, 통합할 시스템의 분산된 모 든 계정을 수집하고 인사정보와 연동해 계정관리 정합 성을 확보하며, 업무·권한별 통제 정책을 마련한다.

계정 생성부터 회수까지 자동으로 관리하며, 인사이동 이나 퇴직, 외주인력 등 잔존계정 삭제와 휴면계정 정 책 등 프로세스를 정의하고, 이기종 장비에 대한 자동 화된 패스워드 통합정책 구성으로 일관된 보안정책 유 지하며, 일방향 패스워드 관리 시스템을 구축하는 것 이 좋다.

국내 가장 많은 고객사에 IAM을 구축한 경험을 가 진 넷츠는 자사의 전문성을 클라우드까지 확장시킨 ‘넷 츠 아이덴티티 매니저 2019(NIM 2019)’를 통해 차세 대 IAM 시장을 공략한다. 이 솔루션은 AWS, 오피스 365, MS 애저 등 클라우드를 사용할 때에도 자동으로 기존 보안 설정을 적용할 수 있도록 한다. 복잡한 설정 변경 없이 자동화된 클라우드 확장을 통해 실수에 의한 정책 오류를 막고 관리자 업무 증가를 최소화하면서 클 라우드 통합 IAM 환경을 구축한다.

피앤피시큐어는 모든 종류의 ‘접근’을 통제하는 기술을 핵심에 두고 관련된 솔루션을 단일 플랫폼으로 통합해 제공한다. DB, 시스템, OS 접근제어와 통합 계정접근관리(U-IAM), 개인정보 접속관리와 권한제어 기능이 있는 암호화 등도 단일 플랫폼처럼 연동해 사용할 수 있다. 클라우드에서도 통합 플랫폼을 그대로 사용할 수 있어 클라우드 이전 시 데이터 보호와 접근통제, 권한제어 요건을 한번에 만족할 수 있다.

박천오 피앤피시큐어 대표는 “기존의 IT 통제 프로세스는 모든 시스템에 대해 각각 다른 접근제어 솔루션을 적용해 관리가 매우 복잡하고 어려웠다. 건물에서 주차장, 엘리베이터, 사무실 출입카드를 따로 쓰는 것과 마찬가지 상황”이라고 말했다.

그는 이어 “기업이 클라우드 이전 속도를 올리면서 기존과 같은 복잡한 통제 시스템을 원하지 않게 됐다. ‘접근 통제’라는 큰 개념에서 솔루션이 하나의 플랫폼으로 통합되면 보안홀 없이 통제가 가능하며 비용을 줄이고 관리 복잡성을 제거하며 업그레이드도 용이하다”며 “피앤피시큐어의 통합 플랫폼이 추구하는 가치를 고객이 인정하면서 시장 점유율을 높여가고 있다. 기존 고객 뿐 아니라 신규 고객들도 상당수 확보하며 금융, 공공, 엔터프라이즈 전반에서 고르게 매출을 올리고 있다”고 말했다.

AD 관리자 계정 탈취 사고 빈번

계정관리에서 가장 중요하게 고려해야 할 것이 ‘특권 계정관리(PAM)’다. 특권계정은 중요 데이터와 중요 시스템의 변경을 결정할 수 있기 때문에 더욱 철저히 관리해야 한다. 금융보안원은 특권계정을 정의하고 사용 이력과 접근 기록을 로깅하며 주기적 검토해야 한다고 설명했다. 멀티팩터 인증과 주기적인 설정 변경, 특권계정 요청·승인 절차 공식화, 특권계정 관리자와 일반 사용자 계정 관리자 분리 등의 조치가 있어야 한다고 설명했다.

특권계정의 강력한 관리를 위해서는 솔루션을 사용하는 것이 좋다. 퀘스트소프트웨어의 ‘원 아이덴티티 세이프가드(One Identity Safeguard)’는 강력한 비밀번호 보안과 세션 관리, 모니터링 솔루션을 위협 탐지 및 분 석과 결합한 통합 솔루션으로, 특권계정의 액세스를 안전하게 저장, 관리, 기록, 분석한다.

PAM은 2018년 하반기부터 유행하고 있는 AD 침해 사고에 대응할 수 있는 기술로 꼽힌다. 공격자는 AD 관리자의 특권계정을 탈취해 악성코드와 랜섬웨어를 유포 했다. AD 서버에는 기업 임직원의 인사정보와 계정·신 원정보가 저장돼 있으며, 윈도우 기반 PC가 모두 연결 돼 있어 AD 서버를 탈취하면 개인정보 유출과 랜섬웨어 유출이 용이해진다. 따라서 AD 관리자 계정을 별도로 관리할 것을 권장했다.

ID 중심 접근제어 전략 주목

계정·접근 관리가 직면한 가장 중요한 문제는 보안은 강화하되 사용 편의성은 높여야 한다는 것이다. 제로 트러스트 모델은 지속적으로 확인하고 검증하기 때문 에 사용자를 불편하게 할 수 있다. 사용 편의성을 높이 면서 보안을 강화하는 전략으로 ‘ID 중심 접근 제어’가 주목된다. 멀티 클라우드 환경의 복잡한 애플리케이션 접근 통제 전략을 ID 중심 접근 제어로 체계화하면 한결 단순하고 강력하게 통제할 수 있다.

F5네트웍스가 제안한 ID 중심 접근 제어 전략은 IDaaS와 같은 신뢰할 수 있는 중앙집중식 사용자 ID 관리로 애플리케이션 액세스를 단순화하며, SSO와 다중 요소인증(MFA)을 접목해 애플리케이션 중요도에 기 반한 효과적인 접근 전략을 펼친다. 인증 방식은 지문· 얼굴인식과 같은 생체인식으로 비밀번호 없이 간편하게 접근할 수 있도록하며, 추가인증을 위해 OTP/MOTP, PIN 등을 사용할 수 있다.

탈레스의 ‘STA(SafeNet Trusted Access)’는 현재 기업이 사용하는 보안 프레임을 클라우드 인증까지 확 장할 수 있는 인증 서비스로, 애플리케이션의 중요도, 접근을 요청하는 사용자의 권한 등에 따라 적합한 수준 의 인증을 요청하는 스마트SSO를 구현한다. 로그인 시 도한 사용자의 역할과 위치, 장치, 추가 컨텍스트를 평 가하고 추가 규칙을 적용해 회사 네트워크 액세스를 안 전하고 효과적으로 보호할 수 있다.

인증을 한층 더 쉽게 하기 위해 생체인식 기술을 적용 하는 사례도 늘어나고 있다. 코로나19로 비대면 커뮤니 케이션이 증가하고 있으며, 위생과 전염을 이유로 지문 인식을 꺼리는 사람들을 위한 안면인식 기술이 크게 늘 고 있다. 안면인식 기술은 고가의 카메라 없이 저렴한 저해상도 카메라로도 활용할 수 있으며, 얼굴의 특징점 을 추출해 암호화된 템플릿으로 저장하기 때문에 유출 시 실제 얼굴 이미지가 빠져나가는 것이 아니라서 안심 할 수 있다. 원격근무·재택근무 시 얼굴인식 시스템을 활성화하거나 중요 시스템 접근 시 인증을 하도록 한다 면 접근보안 정책을 한층 더 강화할 수 있다.