[데이터넷] 특권권한 관리(Privilege Management)가 포스트 코로나 시대의 최우선 선결과제로 떠오르고 있다. 코로나19 이후에도 원격·재택근무는 지속적으로 확산돼 기존의 사무실 업무와 함께 일상적인 업무 형태로 자리잡게 될 것이다. 이를 위한 멀티 클라우드 도입이 가속화될 것이며, 다양한 IoT가 도입되면서 사람의 개입 없이 진행되는 자동화 채택도 늘어날 것이다.

기업 내 직원과 외부 파트너사, 다양한 기기들까지 시간·지역의 제약 없이 연결되면서 연결을 시도하는 사람·사물에게 적절한 권한을 부여하고 권한 내에서의 업무만을 수행하도록 하며 이를 지속적으로 감사·모니터링하는 자동화 툴이 필요하다. 특권권한관리가 이 역할을 하는 기술로, 사람·기기가 자신의 권한을 갖고 접근하는 것이 아니라 자동화된 관리 시스템이 통제하는 접근권한으로 접근한다. 탈취된 권한을 이용하는 공격자·악성 기기로 인한 보안 위협을 제거하고, 실수나 설정오류로 인한 잘못된 접근을 차단할 수 있다.

김기태 비욘드트러스트코리아 지사장은 “특권권한관리를 시스템 관리자에게만 필요한 솔루션이라고 생각하는 것은 오산”이라며 “레거시 서버 시스템 뿐 아니라 클라우드, 엔드포인트, 원격·재택근무, IoT·OT 등 모든 환경에서 특권권한관리는 필수다. 권한을 갖고 접근하는 모든 환경은 제로 트러스트 개념을 적용해 통제해야 한다”고 말했다.

모든 환경서 특권 권한 제어

특권권한을 이해하기 가장 쉬운 예로 윈도우 기반 PC를 들 수 있다. 사람들은 언제나 윈도우 PC를 포맷하고 애플리케이션을 설치할 수 있다. 관리자 권한으로 PC를 사용하기 때문이다. 중요 데이터의 개인 PC 저장을 제한한고 허가되지 않은 애플리케이션 설치를 금지하는 등의 보안 정책을 적용하기 위해 관리자 권한으로 접속하지 못하도록 하는 규제가 금융권에서 오래 전 부터 시행돼 왔다. 비욘드트러스트의 엔드포인트 특권 관리(EPM) 솔루션이 이 규제를 만족하는 솔루션으로 인정받아 국내 금융기관 55%에 이상에 공급돼 왔다.

특권권한 관리 제품군에 속하는 특권 비밀번호 관리(PPM)은 국내 기업들도 서버·CCTV 등을 위한 솔루션을 출시하고 관련 규제 준수 요건이 있는 기관에 공급하고 있다. 그러나 이 솔루션은 다양한 OS 지원, 클라우드 지원 등에서는 제약이 있다. 비욘드트러스트의 PPM은 모든 기기와 OS, 여러 클라우드를 지원하는 것은 물론이고 데브옵스 환경에서의 특권권한도 관리할 수 있다. 개발 즉시 배포·운영하는 데브옵스 환경에서 각각의 애플리케이션에 대한 권한을 세밀하게 제어하는 기술은 토종 솔루션이 제공하지 못하는 것이다.

김기태 지사장은 “비욘드트러스트는 모든 환경에서 특권권한을 제어해 안전한 클라우드·IoT 운영이 이뤄질 수 있도록 도와준다. 국내 규제준수 요건을 만족시킬 수 있을 뿐 아니라 디지털 트랜스포메이션을 위한 개발·운영 환경과 비즈니스 변화에도 대응할 수 있다”고 말했다.

원격접속·엔드포인트 권한관리로 스마트워크 구현

비욘드트러스트가 최근 적극 드라이브하는 솔루션은 원격접속을 위한 ‘PRA(Privileged Remote Access)’다. 이 솔루션은 모든 웹브라우저가 지원하는 HTML5의 원격통신 기술을 이용해 원격지에서 사내 시스템으로 접속해 업무 할 수 있도록 한다. VPN 없이, 에이전트 설치 없이, 기기·OS 제약 없이 운영할 수 있다.

김 지사장은 “PRA는 ‘사무실 PC를 내 앞으로 가져와서 일하게 하는 방식’이다. 윈도우, 맥, 리눅스·유닉스 등 모든 OS를 지원하며 외부 협력업체 직원이라도 아무것도 설치하거나 변경하지 않고 사내 시스템에 접근해 일할 수 있다. 코로나19로 이동이 제한된 환경에서 원격지 시스템의 유지보수도 쉽게 지원할 수 있다”며 “최근 금융권에서도 상시 원격·재택근무가 허용되면서 PRA에 대한 관심이 매우 높다. 안전하고 편리하게 원격지에서 근무할 수 있도록 도와주는 솔루션 수요가 크게 늘어날 것”이라고 설명했다.

비욘드트러스트는 EPM 솔루션 영업도 확대해나간다는 계획을 밝힌다. 현재 금융기관이 규제준수를 위해 EPM을 사용하고 있지만 원격·재택근무 환경에서 엔드포인트로 인한 문제가 심각해지면 일반 기업에서도 이 솔루션을 검토하게 될 것이라고 판단한다.

엔드포인트 보안을 위해 백신, EDR, DLP·DRM 등 여러 보안 솔루션을 도입하지만, 여러 에이전트간 충돌과 장애, 과다한 리소스 사용 등의 문제가 발생한다. 또한 보안 패치 업데이트, 필수 애플리케이션 설치와 허가되지 않은 애플리케이션 설치 차단 및 제거 등은 PC 관리자 권한으로 진행할 수 있는 것이기 때문에 PC 관리자 권한을 회수해 중앙에서 관리하도록 해야 한다. 비욘드트러스트 EPM은 다양한 OS와 네트워크 기기 지원, AD 관리 지원 등의 기능으로 모든 환경에서 로컬 어드민 권한과 루트 권한의 접속을 차단한다.

김 지사장은 “PRA와 EPM을 사용하면 스마트워크 환경의 보안 문제를 상당수 해결할 수 있다. 사용자들이 무단으로 보안 정책을 어기고 허가되지 않은 애플리케이션을 사용하거나 필수 보안 솔루션의 실행을 중단시키는 등의 위험한 행위를 하지 않도록 할 수 있다. PC의 관리자 권한을 제거하기 때문에 랜섬웨어와 같이 사용자도 인지하지 못한 채 감염돼 데이터를 암호화하거나 변경하고 유출하며 시스템 설정을 변경하는 등의 악성행위도 원천 차단할 수 있다”고 강조했다.

단일 플랫폼 정책으로 IT 사일로 제거

김 지사장은 “어디서나 일하는(WFA) 환경 구현을 위해서는 가장 먼저 권한관리가 선결되어야 하며, 권한관리의 모든 기능은 단일 플랫폼에서 통제되어야 한다”고 강조한다.

WFA를 위해서는 제로 트러스트 원칙이 필요하며, 사용자가 직접 관리하는 권한을 제거하고, 최소한의 권한만을 부여하고 지속적으로 통제·모니터링하며, SIEM 등의 다른 보안 솔루션과 연계해 이상행위를 탐지할 수 있어야 한다. 시스템, 네트워크, 애플리케이션, 기기 등 각 영역에서 일부 기능을 제공하는 솔루션이 있다. 그러나 단일 솔루션으로 구성했을 때 관리 포인트가 많아지고 정책 충돌, 업무 효율성 저해 등의 문제로 관리자와 보안 담당자가 이견을 보이며 갈등할 수 있다.

김 지사장은 “비욘드트러스트는 단일 플랫폼 ‘비욘드인사이트(BI)’에서 비밀번호 관리, 엔드포인트 특권관리, 원격접속 관리 등 특권권한을 강력하게 통제하되 비즈니스 연속성과 업무 효율성을 해치지 않도록 한다. 이를 통해 IT와 보안의 사일로화를 막고 모든 환경에서 쉽고 안전하게 권한을 관리할 수 있도록 한다”고 강조했다.

김선애 기자 다른기사 보기