[데이터넷] 세계적인 차량공유 서비스 기업 우버는 운전자와 승객 5700만명의 개인정보를 유출하는 사고를 일으켰으며, 이 사고를 무마하기 위해 해커에게 10만달러를 주고 1년 이상 숨겼던 사실이 2016년 드러났다. 우버는 이를 버그바운티인것 처럼 포장했지만 결국 사건의 전모가 드러나면서 1억4800만달러를 지불해야 했다.

이 사고는 공격자가 우버 개발자들이 사용하는 깃허브 계정을 탈취, 우버의 AWS 계정 정보를 훔쳤으며, 여기에서 우버 고객과 기사의 개인정보를 훔치면서 발생한 것이다. 이 사고의 가장 근본적인 문제는 계정 관리 실패였으며, 이와 유사한 사고는 아직도 빈번하게 발생하고 있다.

코로나19로 클라우드 전환이 빨라지면서 계정관리 문제는 더욱 심각해지고 있다. 편의성을 위해 애플리케이션에 하드코딩한 계정정보, 컨피그 파일에 있는 계정정보, RPA 애플리케이션을 위한 계정정보, CI/CD·데브옵스 개발자를 위한 계정정보 등이 쉽게 탈취당할 수 있으며, 중요정보 유출, 공급망 공격 등에 이용될 수 있다.

최장락 사이버아크코리아 이사는 “클라우드 도입 확대로 더 많은 애플리케이션이 사용되고 있다. 사람 뿐 아니라 RPA 등 자동화 프로세스를 위한 애플리케이션도 확대되고 있으며, 이들의 활동을 위한 계정·접근관리가 중요해지고 있다”며 “권한있는 모든 계정은 공격자의 타깃이며, 특히 다양한 공격활동에 사용할 수 있는 애플리케이션의 권한계정이 탈취당하기 쉽다. 모든 애플리케이션에 저장된 권한계정을 관리하는 시스템이 시급하다”고 강조했다.

사용자·애플리케이션 인증정보 통합관리 지원

동훈아이텍과 사이버아크코리아가 <데이터넷TV>를 통해 진행한 웨비나 ‘애플리케이션 구동 또는 접속을 위한 비(非) 인간 인증정보 보안, 하드코딩되어 있는 인증정보의 보안 관리’에서 최장락 이사는 다양한 애플리케이션의 권한계정을 관리하는 방법을 자세히 설명했다.

사이버아크는 특권권한관리(PAM) 시장 리딩 기업으로, 전 세계 6600개 이상 고객에게 솔루션을 공급했으며, 국내에서도 대형 제조사 등 10여곳에서 사용하고 있다. 사이버아크는 개인 개정이나 공용계정, 애플리케이션 계정 등 다양한 권한계정을 관리하는 솔루션을 제공하고 있으며, 이날 웨비나에서는 애플리케이션 인증 정보 통합관리 방법을 설명했다.

비즈니스가 발전하면 사용하는 애플리케이션의 종류는 더 많아진다. 직접 개발하거나 상용 애플리케이션, 클라우드 애플리케이션이 사용되고 있으며, 자동화 프로세스가 적용되면서 사람의 개입 없이 RPA를 통해 진행되는 것도 있다. 클라우드 서비스 개발 전문성과 민첩성, 비용절감을 위해 외부 개발자를 고용하는 사례가 늘어나면서 외부 개발자와 함께 서비스를 개발하게 되고, 개발자의 접속을 위한 권한계정 발급도 증가하고 있다.

이 처럼 수많은 계정 정보를 관리하기 어려워 애플리케이션에 평문으로 코딩하는 경우가 많다. 보안을 고려해 계정정보를 암호화 한다 해도 키를 노출하고 있기 때문에 암호화의 의미가 없다.

사이버아크의 ‘시크릿 매니저(Secret Manager)’는 사용자와 애플리케이션의 인증정보를 제거하고 중앙에서 통합 관리해 계정 탈취로 인한 보안사고를 막는다. 자동화되고 주기적인 인증정보 변경과 감사 추적을 통해 사고 위협을 낮춘다.

최 이사는 “애플리케이션 권한계정을 탈취한 공격은 수시로 발생한다. AWS 접속을 위한 IAM 키 탈취, POS 단말 해킹을 통한 애플리케이션 계정 탈취, API 키 탈취 등 수많은 사고가 발생하고 있다. 이를 막기 위해서는 사용자와 애플리케이션, 데브옵스 및 CI/CD 파이프라인의 개발자 권한 제어, 다양한 클라우드 등 모든 계정을 관리할 수 있는 사이버아크 ‘시크릿 매니저’가 필수”라고 강조했다.

가장 많은 써드파티 연동 플러그인 제공

시크릿매니저는 에이전트 또는 에이전트리스 방식을 모두 지원한다. 에이전트 방식은 애플리케이션 서버에 ‘크리덴셜 프로바이더(CP)’를 설치한 후 애플리케이션의 권한계정을 사이버아크 볼트(Vault) 서버로 보내 중앙관리한다. 네트워크 중단 시에도 문제 없이 작동한다.에이전트리스 방식은 앱서버 앞에 중계 서버인 ‘센트럴 크리덴셜 프로바이더(CCP)’를 설치해 권한계정을 통합하며, 볼트 서버에서 보호한다. 에이전트·에이전트리스 모두 다양한 인증 팩트를 통해 강력한 상호인증을 지원해 권한 있는 사용자와 프로세스만 접속을 허용한다.

이날 웨비나에서는 시크릿 매니저를 도입한 성공사례도 다양하게 소개됐다. A사는 적은 보안인력이 수천명의 개발자 DB 접속 인증정보를 성공적으로 관리할 수 있도록 사이버아크 ‘코어PAS(CorePAS)’와 ‘시크릿 매니저’를 사용했다. 개발자들이 특정 서버에 접속할 때 셀프서비스를 통해 인증정보를 제공할 수 있게 했으며, 주기적이고 자동화된 보안정책을 적용해 엄격한 감사 요구 조건을 충족하고 공격자의 공격 표면을 최소화했다.

SaaS 애플리케이션 벤더인 B사는 AWS에 구성된 DB와 다른 서버 접속 시 AWS 람다 펑션에서 사용되는 주요 인증접속 정보에 대한 통합관리를 지원했다. PAM을 이용해 사람이 사용한 접속정보 이외에 클라우드 애플리케이션이 사용하는 비인간 접소정보를 관리했으며, 개발에서 프로덕션 단계에서 사용되는 인간/비인간 모든 접속정보를 통합관리했다.

글로벌 의료기관인 C사는 하이브리드 상에서 운영되는 애플리케이션 비밀정보를 관리하기 위해 사이버아크 PAM과 시크릿 매니저를 통합 운영했다. 소스코드 수정 없이 앱에서 사용되는 비밀정보 수동 변경 작업을 제거해 개발자의 불만을 해소하고 공격 가능성은을 낮췄다.

최 이사는 “사이버아크는 전 세계에서 다양한 성공사례를 기록하고 있는 권한관리 최고 기업으로, 마켓플레이스를 통해 가장 많은 써드파티 애플리케이션 연동 플러그인을 제공한다. 또한 인증정보의 주기적인 변경관리와 감사 추적을 통해 컴플라이언스 이슈에도 대응할 수 있다”고 말했다.

김선애 기자 다른기사 보기