기기·애플리케이션 등 비인간 요소에 부여되는 계정관리 필수
[데이터넷] 최근 공격자들은 악성코드가 아니라 계정정보를 이용한다. 악성코드는 여러 보안 정책에 의해 차단될 수 있기 때문에 공격자들은 악성코드 외 다른 공격도구를 찾고 있으며 가장 성공률이 높은 사용자 계정을 이용한다.
여러 시장조사기관의 분석을 보면, 데이터 유출사고의 81%가 취약한 패스워드와 탈취된 계정에 의해 발생했으며, 피싱공격의 91%가 사용자 계정을 노린 것이고, 보안사고의 80%가 관리권한을 가진 계정에서 발생한 것이었다.
계정정보는 지하시장에서 저렴하게 구입할 수 있으며, 이전에 탈취한 계정정보를 그대로 사용하거나 유사한 문자·숫자 조합을 만들어 사용할 수 있다. 자동화 봇을 이용해 웹서비스에 대입해보면서 정상 사용자 계정을 만들어가는 크리덴셜 스터핑도 쉽게 이용할 수 있다. 관리되지 않은 클라우드, 방치된 서버, 공개된 이메일, 사용자의 부주의로 게시판이나 SNS에 남긴 정보로도 계정정보를 찾을 수 있다.
ID/PW만으로 로그인할 수 있는 시스템은 제한적이며, 중요한 정보는 추가 인증을 수행하도록 하기 때문에 안전하다고 생각한다면 오산이다. 추가인증 없이 접속 가능한 중요 시스템이 생각보다 많다. 핵심 시스템에 대한 편리한 원격관리를 위해 공유 ID/PW로 접속할 수 있도록 설정한 경우도 많으며, 여전히 admin/1234 등 쉬운 문자·숫자 조합의 계정 정보도 사용된다.
클라우드 계정관리 ‘난제’
클라우드에서 계정관리는 매우 심각한 문제다. ‘성과 해자(Castle and moat)’로 보호되는 기존 데이터센터는 강력한 네트워크 경계 보안을 뚫고 들어가야 중요 시스템으로 접속할 수 있기 때문에 공유 ID나 쉬운 계정정보를 이용해도 어느 정도 보호받을 수 있었다.
그러나 클라우드는 보안 경계가 ‘ID’로 내려오기 때문에 ‘성과 해자’로 보호받지 못한다. 어디서나 접속 가능한 클라우드를 통해 중요 시스템에 접속할 수 있기 때문에 계정정보를 탈취당하면 중요 시스템을 공격 자에게 장악당할 수 있다.
그래서 클라우드 계정이 절찬리에 판매되고 있는데, 트렌드마이크로는 한 달에 1000달러씩 내면 수백만개의 데이터에 접근할 수 있는 데이터 로그 액세스 권한을 판매하는 사이트를 보고한 바 있다. IBM은 대규모 퍼블릭 클라우드 액세스 키가 단돈 15달러에 판매되고 있었으며, 계정정보를 훔쳐서 공격에 사용하는 방법을 안내하는 온라인 강좌도 있었다고 밝혔다.
계정정보 보호를 위해서는 제로 트러스트 보안 원칙 에 따라 ▲적절한 사람이 ▲적시에 ▲적절한 데이터에 액세스하고 ▲권한 내에서 활동하도록 모니터링해야 한다. 더 많은 권한을 허용하면 보안위협이 높아지고 권한을 지나치게 통제하면 업무 생산성이 낮아진다. 클라우드에서도 기본 원칙은 동일하게 유지하되, 클라 우드의 유연성과 확장성을 감안한 자동화된 정책을 적 용해야 한다.
IoT·애플리케이션·RPA도 계정관리 필수
탈취한 계정으로 로그인하는 공격을 막기 위해서는 IM(Identity Management)이 필요하다. 업무용 서버와 애플리케이션 클라우드 전반에서 ID를 통합하고 중앙 집중식 통제를 통해 복잡성을 줄이고 가시성을 향상시 켜야 한다. IM의 기본 요소인 퇴사자 계정 삭제와 권한 회수, 비밀번호의 주기적인 변경 등을 정책으로 마련하며, 한 번의 로그인으로 여러 업무 애플리케이션과 시스템에 접속할 수 있도록 싱글사인온(SSO)을 적용해 ID 관리 복잡성을 줄이고 위협 추적과 감사를 용이하게 해야 한다.
계정관리는 사람에만 해당하는 것이 아니며, IoT와 다양한 애플리케이션, RPA 등 사람이 아닌 요소에도 계정이 부여된다. 대규모 사용자와 기기·애플리케이션의 ID 관리 거버넌스를 마련하고 권한을 결정하며, 변 경관리를 통해 적절하게 관리될 수 있도록 하는 것이 필수다. 멀티·하이브리드 전체 환경에서도 일관적인 ID 관리가 될 수 있도록 자동화된 변경관리와 차단을 지원해야 한다.
IM의 복잡성이 높아지면서 최근에는 서비스형 ID(IDaaS)를 통해 ID 관리와 변경관리를 클라우드에서 자동화하고 사용자·기기의 위치에 관계없이 일관적인 통제를 제공하는 서비스도 주목받는다. IDaaS는 제로 트러스트 개념을 적용해 인증과 인가 과정에서 보안을 놓치는 부분이 없도록 해야 한다.
원격·재택근무가 확산되면서 계정관리의 중요성은 한층 더 높아졌는데, 에스에스앤씨는 브라우저를 통한 원격접속 솔루션 EAMS의 ID 관리 기능을 특별한 장점으로 소개했다. EAMS는 에이전트 없이 웹브라우저를 이용해 원격에서 접속한다. ID/PW와 이메일·SMS의 2 팩터 인증으로 강화된 인증을 제공한다.
일회용 ID로 ID 관리 강화
일회용 ID를 통해 ID 관리를 한층 강화하는 솔루션 도 등장했다. 센스톤의 일회용 인증코드(OTAC)는 해커가 접속할 수 없는 폐쇄 네트워크에서 다이내믹 코드를 생성하기 때문에 공격면을 제거할 수 있으며, 물리적 카드, 스마트폰 등 다양한 기기를 사용할 수 있어 사용 편의성도 높다. 지불결제, 물리적 접근통제, IoT, 신분증, 군, 인터폴, AI 스피커 등 여러 서비스에 적용 되며, 암호화·토큰화와 같이 고가의 인프라를 설치할 필요 없어 도입 부담도 적다.
센스톤의 OTAC는 유럽, 아시아 등에서 대규모 구축사례를 확보하고 있으며, 많은 글로벌 특허를 보유 하고 있다. 센스톤은 프랑스 방위산업체 탈레스의 글로벌 스타트업 육성사업인 ‘사이버앳스테이션에프 바이 탈레스’에 선정돼 사업영역을 넓혀가고 있으며, 국내 방산기업 우리별과 국방분야 피아식별 인증 시스템을 개발한다. 군사용뿐 아니라 민수시장에서도 다양하 게 활용될 수 있으며, 일회용 신용카드로도 사용될 수 있다.
한편 센스톤은 통합인증플랫폼 ‘스톤패스(Stone PASS)’ 판매를 중단하고 이를 SDK로 제공하는 올인원 인증 기술 ‘스위치 오스 SDK(swIDch Auth SDK)’를 출시했다. ‘스위치 오스 SDK’는 기업·기관의 인증 플랫폼에 적용될 수 있으며, 인증 솔루션을 개발해 판매하는 기업들도 사용할 수 있다.
유넷시스템도 일회용 ID ‘PKID’로 사용자 계정 탈취 공격을 원천 차단한다. PKI의 검증된 보안 표준이 적용된 PKID는 부인방지·전자서명 기능을 내장해 비대면 거래 법적 효력도 제공한다. 간편인증을 적용해 클라우드·재택근무 환경에서도 쉽고 안전한 인증이 가능하도록 했다. PC·모바일 등 다양한 플랫폼에서 QR 코드 스캔 등 원하는 인증 방식으로 쉽고 빠른 인증이 가능하다. PKID는 일반 기업은 물론, 공공 대민 서비스, 온·오프라인 간편 결제, 의료관 진료시스템 등 기 존 공인인증서를 사용하던 모든분야에 유연하게 적용 할 수 있다.
ID 관리를 안전하고 효율화하기 위해 SSO도 필수 요건으로 꼽힌다. 펜타시큐리티의 ‘아이사인플러스(iSIGN)’는 각 업무 시스템에 존재하는 다양한 계정을 수집 가공해 필요로 하는 애플리케이션에 전송한다. 올인원 어플라이언스로 제공되는 인증보안 플랫폼으로, 소프트웨어 제품보다 50% 이상 구축시간 단축과 비용절감 효과를 제공한다. 더불어 패스워드 관리 정책으로 자체 보안을 강화한다.
