[데이터넷] 지난해 유명 연예인의 계정이 탈취돼 스마트폰과 연동된 클라우드의 사생활 정보가 공개되는 피해가 잇달아 발생했다. 연예인 뿐 아니라 일반 개인들도 이 같은 피해를 호소하고 있는데, 이를 막기 위해 계정정보를 보호해야 한다는 인식이 확산되지 않고 있다. 또 얼굴인식과 같은 간편한 인증에 익숙해진 사람들에게 계정보안을 강화할 것을 강요하는 것이 어려운 상황이다.

기업·기관의 사용자 인증에도 동일한 문제가 반복되고 있다. 공격자들은 포털 사이트의 로그인 화면 등을 위장해 사용자 계정을 탈취하며, 탈취한 정보로 여러 웹 서비스에 접속해 추가 개인정보를 입수하고 이를 이용해 여러 공격에 활용한다.

포레스터 보고서에 따르면 ID 도용과 계정탈취(ATO) 공격이 2019년부터 2020년까지 10~15% 증가했으며, 올해는 8~10% 더 증가할 것으로 예상된다. 클라우드와 다양한 비대면 업무가 늘어나면서 ATO를 통한 피해는 예상을 훨씬 뛰어넘는 속도로 증가할 것이라는 경고가 잇따르고 있다.

핀테크 스타트업 맞는 혁신성·보안성 위해 RSA 선택

핀테크 스타트업 한국신용데이터는 스타트업이 가져야 할 혁신성과 핀테크 기업이 가져야 할 보안성을 모두 만족해야 한다는 과제를 안고 있다. 또한 마이데이터 사업자로, 고객들의 정보를 안전하게 보호해야 한다는 무거운 책임도 갖고 있었다. 특히 임직원의 계정이 탈취당해 정상 사용자로 위장해 접근하는 공격자를 막는 것이 급선무였다.

전해성 한국신용데이터 CISO는 “한국신용데이터는 데이터와 사업자를 연결하는 다양한 서비스를 클라우드를 통해 제공하는 핀테크 스타트업이다. 소상공인을 위한 편리한 경영관리 서비스를 제공하기 위해 민첩하고 유연한 서비스를 제공하면서 직면한 보안 문제와 함께 금융기관의 컴플라이언스를 준수해야 한다는 문제를 해결해야 했다”며 “특히 계정을 탈취해 정상 사용자로 위장해 접근하는 공격자를 인식하고 대응하는 것이 무엇보다 중요했다”고 말했다.

전해성 CISO는 RSA코리아와 <데이터넷TV>를 통해 진행한 웨비나에서 다중요소인증(MFA)을 활용한 사용자 보안 강화 방안에 대해 소개했다.

한국신용데이터는 RSA의 ‘시큐어ID(SecurID)’를 인터넷망에 적용해 사용자 인증을 강화했다. 향후 내부망과 자회사 등에도 확대 적용해 제로 트러스트 기반 인증 보안을 갖추고 혁신적인 핀테크 서비스 제공을 위한 민첩성과 유연성을 확보할 수 있도록 할 계획이다.

고객정보 보호 위해 임직원 계정 보안 강화

이번 웨비나는 ‘제로 트러스트 시대의 차세대 인증 방안 및 활용 사례’라는 주제로 진행됐으며, 조남용 RSA코리아 이사의 차세대 인증 기술과 방법 및 RSA ‘시큐어ID’ 소개에 이어 전해성 한국신용데이터 CISO의 핀테크 기업의 운영 사례를 소개하는 시간을 가졌다. 마지막 세션으로 사회를 맡은 김선애 데이터넷TV 기자와 전해성 CISO, 조남용 이사가 함께 차세대 인증 보안 방안과 국내외 다양한 성공사례 등에 대해 이야기했다.

이 세미나에서 전해성 CISO는 계정 보안의 중요성과 MFA의 필요에 대해 설명한 후, MFA 도입 시 ▲다양한 SaaS 서비스와 연동 ▲SaaS 서비스와 사내 구성된 온프레미스 서버와 MFA 인증 가능 ▲다양한 디바이스에서 입력 가능 등을 중요한 요소로 고려했다고 밝혔다.

한국신용데이터는 업무 특성 상 SaaS 서비스를 많이 사용하는데, SaaS와 애저 AD 및 SSO를 MFA와 쉽게 연동해야 한다는 요구를 안고 있었다. 재택근무 등 회사 외부에서 접속할 때 회사에서 지급한 기기만을 이용해 접속하도록 하고, MDM·MAM을 적용해 모바일 근무 환경에 대한 보안 문제도 해결해야 했다. MDM·MAM을 SSO와 MFA를 연동해 편리하고 안전하게 서비스 접근이 가능해야 한다는 것도 중요 과제였다.

내부에 설치된 통합서버계정 인증과도 연동해야 했으며, CERT에서 SIEM을 통한 실시간 모니터링으로 비정상 로그인 시도를 즉시 탐지하고 조치할 수 있어야 했다.

전해성 CISO는 “한국신용데이터는 고객들의 중요한 정보를 다루기 때문에 사용자 계정을 탈취한 공격자의 접근을 차단하는 것 뿐 아니라 정상 권한 사용자의 오남용도 막을 수 있어야 했다. 정교한 행위분석을 통한 인증 우회공격 차단, 제로데이 공격 등 알려지지 않은 우회공격 탐지 등이 필요했으며, 지능형 SIEM과 연계한 정밀한 모니터링으로 지능적인 위협에 대응해야 했다”며 “RSA 시큐어ID는 이러한 문제에 대응할 수 있는 솔루션”이라고 밝혔다.

그는 “현재 국내에 다양한 MFA 솔루션이 소개되고 있는데, 자사 환경과 업무 특성에 맞는지, 업계 평판과 국내외 성공사례는 어떤지, 보안성과 안정성, 편의성 수준은 어떤지 확인하고 도입해야 한다”며 “또한 MFA 솔루션만으로 보안을 완성할 수 있다고 오해해서는 안되며, 여러 보안 솔루션과 연동해 유연하게 운영할 수 있어야 한다. 특히 비정상 사용자의 인증 시도를 모니터링하는 체계가 갖춰져야 한다”고 말했다.

안전한 앱·통신 제공하는 MFA 솔루션

한국신용데이터가 RSA ‘시큐어ID’를 선택한 이유 중 하나가 RSA가 원천기술을 갖고 있으며, 전 세계에서 가장 많은 고객을 갖고 있는 기업이기 때문이다.

RSA는 1977년 공개키 알고리즘을 발명한 로널드 라이베스트(Ron Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman)이 1982년 설립한 기업으로, 1985년에는 일회용 비밀번호(OTP)를 발명해 상용화 했다. OTP는 ID/PW 기반 인증의 취약성을 보완할 수 있는 기술로 현재도 2차인증 수단으로 많이 사용하고 있다.

시큐어ID는 다양한 추가인증(MFA)을 지원하는 SaaS 서비스로, 온프레미스와 다양한 클라우드 서비스와 유연하게 연동된다. 스마트폰의 본인인증 방식인 푸시, 생체인식 등을 이용해 쉽게 사용할 수 있다. 조만간 OTP와 MFA를 통합한 애플리케이션을 출시해 추가인증을 한층 더 편리하게 이용할 수 있게 한다. 스마트폰이 없는 사용자는 PC 웹·앱을 이용할 수 있다.

조남용 RSA코리아 이사는 “MFA 기술만을 보면 진입장벽이 높은 것은 아니다. 스마트폰에 내장된 본인확인 기능을 인증서버와 연동시켜, 스마트폰에서 본인확인이 되면 업무 서비스에 인가하는 방식을 택하기 때문이다. 그러나 MFA 애플리케이션이 해킹되거나, 위장 악성앱을 이용하고, MFA와 클라우드 연동 시 취약점을 이용한 중간자 공격이 발생하는 등의 보안위협이 매우 높다”고 지적했다.

그는 “MFA 앱의 강력한 보안성과 다양한 클라우드와 안전하게 연동되는 기술, 멀티 클라우드에서 유연하게 구성해 안전하게 운영한 다양한 경험 등이 MFA의 경쟁력”이라며 “시큐어ID는 가장 안전한 서비스로 인정받고 있으며, 다양한 온프레미스·SaaS와 미리 연동이 완료됐고, 인하우스 앱 등의 연동을 위한 API를 제공해 모든 환경에서 안전하고 편리한 추가인증을 사용할 수 있다”고 말했다.

VPN 제한된 환경서 MFA 활용 원격접속 가능

MFA는 ‘추가’ 인증이기 때문에 필수 솔루션이 아니라고 생각하기 쉽다. 그러나 ID/PW에만 의존하는 인증은 매우 위험하다는 것을 누구나 알고 있다. 제로 트러스트 보안 원칙을 적용해 비정상 상황이나 중요 시스템 접근 뿐 아니라 모든 접근에 대해 MFA를 추가하는 것이 보안 위협을 낮추는데 필수다.

특히 클라우드·재택근무와 같은 비대면 업무 환경이 증가하면서 MFA의 필요성은 더욱 중요하게 다가온다. 재택·원격근무를 위한 VDI를 사용할 때, VPN을 통해 원격에서 접속할 때 MFA가 필요이며, 대규모 인력의 원격접속 시 VPN만으로 해결할 수 없다면 MFA를 이용해 원격근무 환경의 보안을 한층 강화할 수 있다. 또한 다양한 SaaS를 사용할 때 접속자에 대한 인증을 위해 MFA가 필수다.

전해성 CISO는 “MFA는 ID/PW 인증에 한 단계를 더하기 때문에 초기에는 불편함이 느껴질 수 있다. 그러나 그안 쓰던 근육을 쓰는 것이 처음에는 불편하지만 곧 익숙해 지는 것 처럼, MFA도 쉽게 익숙해 질 수 있다. RSA ‘시큐어ID’는 다양한 방식으로 간편하게 인증을 완료할 수 있어 생산성과 보안성을 함께 높일 수 있다”고 말했다.

조남용 이사는 “비즈니스 혁신이 중요한 현재 상황에서 보안을 위해 불편함을 감내하라고 하거나, 생산성을 위해 보안을 희생하라고 할 수는 없다. 보안과 생산성을 모두 만족할 수 있는 솔루션을 통해 혁신에 성공해야 한다”며 “다양한 환경과 인증 방식을 지원하며, 가장 강력한 보안성과 안정성, 높은 평판을 제공하는 서비스를 통해 유연하고 민첩하게 비즈니스 혁신 여정에 나설 것을 권고한다”고 덧붙였다.