제로 트러스트 접목한 ‘ID 중심 보안’ 전환 시급
모든 접근통제 통합해 종합적 시간으로 접근해야
[데이터넷] 비대면 환경에서 보안 경계는 네트워크가 아니라 ‘ID’이다. ID는 사람뿐 아니라 사용자 기기와 사무용 기기, 센서, CCTV, 공유기 등 연결된 ‘모든 것(Things)’에 매겨진다. 무제한 확장되는 ‘모든 것’의 ID를 관리하고 통제하는 것이 ‘제로 트러스트’이며, 비대면 업무의 시작이라고 할 수 있다.
ID는 쉽게 탈취할 수 있다. 다크웹에서는 ID를 공짜나 다름없는 가격에 판매하고 있다. 이를 입수한 공격자가 봇을 이용해 웹사이트에 접속해보고 유효한 ID 여부를 확인해 고급 정보로 정제해서 더 높은 가격에 판매한다. 정상 사용자 계정으로 접근해 직접 사이버 스파이 역할을 하거나 중요정보를 유출한다.
PAM 솔루션으로 정상 사용자 인증
접속을 시도하는 사람이 정상 사용자인지 여부를 알기 위해 ID/PW 외에 추가인증을 요구하는 다중요소 인증(MFA)을 적용한다. 이를 통해 정상 사용자라는 사실이 확인되면, 그 사람이 접속할 수 있는 애플리케이션으로만 접속하고 애플리케이션에서 일어나는 행위를 모니터링하는 기술이 필요하다. 그것이 접근관리(AM) 솔루션이며, ID 관리(IM)와 접근관리를 통합해 ‘IAM’을 구축하는 것이 일반적이다.
중요 서버에 대해서는 특권권한관리(PAM) 솔루션이 필수이며, 서버 계정정보를 사용자가 아니라 PAM이 관리해 계정 탈취·공유계정으로 인한 보안 리스크 를 낮추고 안전하게 중요 서버에 접근하도록 한다.
PAM 분야의 글로벌 리더인 비욘드트러스트는 비대 면 업무의 급속한 확산과 함께 국내 시장에서 PAM 수요가 크게 증가하고 있다고 강조한다. 특히 VPN 없이 원격에서 사내 PC에 접속을 지원하는 ‘PRA(Privileged Remote Access)’ 제품이 국내에서도 성과를 거둘 수 있을 것으로 보고 적극적인 영업을 전개하고 있다.
비욘드트러스트와 함께 PAM 시장 리더 그룹에 속 한 사이버아크는 ▲제로 트러스트 외부 액세스 ▲생체 인증 ▲적시 프로비저닝을 PAM과 결합한 ‘알레로’를 소개하며서 시장을 공략한다. 소프트와이드시큐리티 가 국내에 공급하는 알레로는 SaaS 보안을 강화하고 고객이나 파트너, 외주 인력에게도 사내 임직원과 동일한 권한접근관리 정책을 적용할 수 있다.
모든 접근통제 통합한 ‘U-IAM’
국내 기업인 피앤피시큐어는 접근통제의 범위를 획기적으로 넓혔다. DB, 시스템, OS 접근제어와 IAM까지 포괄하는 통합 플랫폼 ‘디비세이퍼’를 제공한다. 피앤피시큐어가 ‘U-IAM’이라고 명명한 이 플랫폼은 애플리케이션을 통한 접속이나 DBMS·서버로 직접 접속하는 경우, 클라우드로 접속하는 경우 모두 제어할 수 있는 통합 플랫폼이다. 멀티·하이브리드 클라우드 환경을 위한 통합 ID·접근제어 솔루션으로 각광받고 있다.
박천오 피앤피시큐어 대표는 “현재 기업 데이터센터에 접근제어 기능을 하는 포인트 솔루션이 너무 많아 관리의 어려움이 증가한다. 클라우드로 전환하면서 이 기능을 통합한 플랫폼을 찾는 고객이 늘어나고 있으며, 피앤피시큐어의 U-IAM이 빠르게 확장되고 있다”며 “통합 솔루션으로 관리 포인트를 줄이고, 접근 통제가 적용되지 않는 홀을 제거하는 한편, 비용 절감 효과도 누릴 수 있다”고 말했다.
자동화된 인증서 관리로 사용자·기기 제어
인증은 인증서가 생성되게 마련이다. 인증서의 서명을 통해 해당 통신이 정상인지 확인하게 된다. 인증서는 방대한 영역에서 생성되는데, 비대면 업무 환경에 서는 본인확인을 위한 인증부터 시작해 이메일, VPN, 모바일 기기 관리, 문서 관리 등에 사용될 수 있다.
계정·암호화 분야 전문기업 디지서트는 모든 종류의 인증과 인증서 관리에 탁월한 기술을 제공하는 기업으로, 국내 파트너와 협력해 재택근무·클라우드 보안에 필요한 디지털 인증서 발급과 관리를 제공한다.
나정주 디지서트코리아 지사장은 “사용자 환경을 변경하지 않고 비대면 업무로 전환하기 위해서는 단순 프로세스에 대한 자동화와 확장성이 필요하다. PKI는 원격 디지털 통신과 트랜잭션 보안을 지원해 기업 내에 서와 동일한 수준의 보안을 유지하면서 원격에서 업무 할 수 있게 한다”며 “디지서트는 디지털 인증서와 PKI 를 통해 기업의 비즈니스 연속성을 유지할 수 있는 솔루션을 제공한다. 디지서트는 웹뿐만 아니라 네트워크, 이메일, 문서 및 장치를 안전하게 보호하는 디지 털 인증서를 통해 확장가능한 방안을 제시한다”고 말했다.
- 이메일: 수신한 이메일이 실제 회사에서 보낸 것인지 사용 자가 구분하지 못한다. 해커가 기업을 사칭할 때 매년 기업 에 수백만 달러의 손해를 초래할 뿐만 아니라 기업과 고객 간 신뢰도 무너진다. 따라서 안전한 이메일 접속을 통해 신뢰를 유지하고 정보를 안전하게 비공개로 유지하는 것이 매우 중요하다.
- VPN: 많은 직원은 원격 근무 시 평상시처럼 업무를 지속하기 위해 회사 전용망 접속이 필요할 수 있다. 기업은 원격 근무자들의 연결성을 유지하면서 네트워크 접속을 안전하게 보호하고 제어해야 한다. 또한 기업은 VPN 사용량이 증가함에 따라 늘어나는 위협에 대한 공격 예방 방안과 VPN 사용 모니터링 정책을 검토해야 한다.
- 모바일 기기: 현재 나타나고 있는 새로운 환경 변화는 기존과는 다른 원격 근무와 BYOD의 증가를 가져오고 있다. 이러한 환경에서 PKI는 기업의 모바일 기기 관리에 필수적이다.
- 문서: 많은 건물이 폐쇄되면서 일반적으로 서면 서명이 필요한 산업에서 문서 관련 문제가 발생하고 있다. 원격 근무자들은 디지털 문서 서명을 이용해 언제든 세계 어디에서나 장치 유형에 상관없이 안전하게 문서에 서명할 수 있다. 지금이야 말로 디지털 서명을 통합하기에 완벽한 시기이다. 법적으로 구속력이 있고 시간이 절약되며 안전하고 만료일이 없기 때문이다.
사용자·기기 통합 보호로 보안홀 제거
사용자 인증 강화를 위해 사용하는 다중요소인증(MFA)은 OTP를 추가하는 방법을 택하고 있으며, 점차 적응형 MFA로 진화하고 있다. 보안 수준이 낮은 단순 업무는 ID/PW만으로 접속하고, 보안 수준이 높아질 수록 OTP, 생체인증 등을 추가하면서 사용자 인증 강도를 높인다. 특히 VPN을 이용해 원격에서 접속 할 때 강력한 MFA가 필요하며, MFA 적용을 위한 인프라도 필요하다. 더불어 단말의 보안상태를 점검하 고 제어하는 정책도 반드시 마련돼야 한다.
시스코의 제로트러스트 보안 정책은 MFA 솔루션 ‘듀오’와 VPN ‘애니커넥트’를 통해 제로 트러스트를 완성한다. 화상회의 솔루션 웹엑스를 이용해 안전하 게 회의하고, DNS 보안 솔루션 ‘엄브렐라’를 통해 악 성 웹사이트 통신을 차단한다. 시스코의 모든 보안 솔루션은 엄브렐라 플랫폼에 통합돼 유기적으로 작동해 모든 환경에서 보안홀을 제거한다.
