특권권한 제거하는 PAM으로 진정한 제로 트러스트 구현
[데이터넷] 쉽게 ZTNA를 도입하는 방법이 있다 해도 기업·기관이 ZTNA 여정에 선뜻 나서지 못하는 여러 이유가 있다. 아직 경험해보지 못한 신기술이고 전문성을 확보하지 못했으며, 충분한 벤치마크 사례가 없다는 것도 이유가 될 수 있지만, ZTNA가 기존 보안 인프라의 문제를 완벽하게 해결할 수 있는지에 대한 근본적인 의문이 있다.
가트너의 ‘제로 트러스트 네트워크 액세스를 위한 시장 가이드’에서 ZTNA의 한계를 지적했는데, 대부분의 문제가 VPN에서 나타난 것과 일치한다. 교묘하게 정상 사용자로 위장해 접근하는 공격자를 완벽하게 막을 수 없으며, ZTNA 브로커를 공격해 장애를 발생시키거나 비인가 사용자가 접근하도록 조작할 수 있다.
ZTNA 브로커에 문제가 생기면 서비스 접근이 불가능하기 때문에 공격이 집중될 수 있다. 가트너는 ZTNA 전문기업이 잇달아 인수되고 있다는 사실을 지적하면서 서비스 지속성을 담보하지 못한다는 것도 고려해야 한다고 설명했다.
관리되지 않은 특권권한 ‘위험’
제로 트러스트를 네트워크 접근에서만 보는 것은 너무 협소한 접근이다. 포레스터의 제로 트러스트 프레임워크에서도 데이터와 사람, 네트워크, 워크로드 전 반에서 제로 트러스트 모델을 적용해야 한다고 강조하고 있다. 가트너 역시 ZTNA 기술뿐 아니라 특권권 한관리(PAM), 원격 브라우저 격리(RBI), VDI, DaaS 등 다양한 기술을 이용해 제로 트러스트를 구현할 수 있다고 소개한다.
제로 트러스트 구현에 있어 중요하게 생각해야 하는 것이 ‘ID’다. 흔히 클라우드와 WFA는 ‘ID가 새로운 보안 경계’라고 말한다. 위치 제약 없이 신원인증 만으로 서비스에 접근할 수 있어야 클라우드·WFA의 이상을 구현할 수 있기 때문이다.
접속을 요구하는 사람과 단말이 정확하게 권한을 받은 그 사람과 단말인지, 권한 내에서의 정상적인 접근인지 확인하는 과정은 모든 환경에서 필요하며 특히 원격지에서 비대면으로 접속하는 WFA에서는 더욱 필수적으로 요구된다.
그중에서도 특권권한으로 접근하는 사람에 대한 통제는 강력하게 이행돼야 하는데, 특권권한은 비즈니스 재무, 민감한 디지털 자산 및 데이터베이스에 대한 액세스를 허용할 수 있다. 윈도우 기반 기기 역시 관리자 권한을 갖고 접속하기 때문에 특권권한 접속이라고 할 수 있으며, 이 점을 감안하면 거의 대부분의 사용자가 특권권한을 갖고 있다는 뜻이 된다.
센트리파이 조사에 따르면 기업의 74%가 권한 있는 계정을 탈취한 공격자에 의해 침해를 당했으며, 싸이코틱은 기업의 70%가 네트워크에서 모든 권한 있는 계정을 검색하지 못하고 40%는 수퍼유저 계정을 찾으려고 시도조차 하지 않는다고 분석했다. 또한 테크반젤리즘의 조사에서는 기업의 52%가 암호 저장소를 사용하지 않으며 다단계 인증도 사용하지 않아 권한 관리의 심각한 홀이 있다는 점을 지적했다.
이렇게 관리되지 못한 특권권한 계정을 이용해 공격자는 무단으로 악성 페이로드를 심고 중요 시스템에 접근해 지속적인 공격을 이어간다. 포레스터는 “PAM 솔루션이 없으면 네트워크에서 불필요한 권한을 제거하는 데 어려움을 겪게 된다. 불법적으로 탈취한 특권권한 사용자를 네트워크에서 차단하는데 하루라도 지연되면 기업에 심각한 보안 사고가 발생할 수 있다. 정상 권한으로 기존 탐지 기능을 피하고 네트워크에 대한 조용한 진입로를 제공할 수 있다”고 지적했다.
특권권한 제거해 제로 트러스트 구현
PAM은 사용자가 직접 시스템을 관리할 수 있는 권한을 갖지 않도록 해 제로 트러스트의 여정을 시작할 수 있도록 돕는다. 사용자가 PAM을 거치지 않고 시스 템에 접근할 수 없도록 하며, 고유계정, 계정과 암호 관리, 세션 기록 통합, 네트워크 통신 등의 기능을 제공한다. 개인에게 주어진 권한 뿐 아니라 공유 권한, 로컬 관리자 권한, 조직에서 설정한 기타 공유 관리자 계정, 애플리케이션·서비스 계정 도커와 같은 클라우드 개발 환경에서의 권한, API 접근 권한까지 지원하 는 기능이 포함된다.
가트너는 ZTNA를 위한 PAM 구성 방안으로 VDI·SSO와 통합해 권한 있는 사용자에게 직접 자격 증명을 제공하지 않고 애플리케이션을 시작할 수 있도 록 하는 것을 소개한다. 또한 내부 직원 뿐 아니라 타 사 직원에게도 필요한 권한을 주고 통제할 수 있도록 PAM을 사용할 것을 권장했으며, 모든 환경에서 중요 데이터 접근과 전송을 위해 PAM이 필요하다고 제안 했다.
PAM은 우리나라에서 시큐어OS, 시스템 접근제어(SAC)와도 비교되는데, 이 기술은 접근 방법이나 적용 분야가 다르다. PAM이 지원하는 기능 중 시큐어 OS, SAC가 포함돼 있다고 보는 것이 더 정확하다. 특히 금융보안원이 PC 어드민 권한을 회수할 것을 권장하고 있는데, PAM이 이 기능을 수행할 수 있는 기술 로 제안된다.
박종필 진네트웍스 상무는 “PAM이야말로 제로 트러스트의 시작이라고 할 수 있다. 누구도 특권 권한을 갖지 못하게 해 공격자의 초기 침입부터 수평이동까지 제어할 수 있다. 클라우드·WFA에서 PAM은 공격면을 제거하기 위해 필수적인 솔루션으로, 앞으로 큰 폭 의 성장이 기대된다”며 “우리나라에서도 금융권을 중심으로 PAM 도입 속도가 빨라지고 있으며, 엔터프라 이즈에서도 관심을 갖고 있다”고 말했다.
