[데이터넷] “공격자는 침입하지 않고 로그인한다.”

마이크로소프트 CISO인 브렛 아세놀트(Bret Arsenault)가 한 말이다. 계정을 탈취하면 공격자는 많은 것을 할 수 있다. 계정은 지하세계에서 무료로 혹은 저렴하게 구입할 수 있으며, 방치된 시스템과 클라우드, 엔드포인트에서 계정정보를 쉽게 수집할 수 있으며, 간단한 피싱만으로도 권한 사용자의 계정도 획득할 수 있다.

정상 계정으로 로그인한 공격자는 계정에 허용된 권한으로 접속할 수 있는 시스템을 찾아다니면서 더 높은 권한 계정을 탈취한다. AD 서버 관리자 계정을 탈취하면 높은 권한의 계정을 만들고 중요 시스템을 마음대로 드나들 수 있다.

‘왕국의 열쇠’라고 표현되는 특권권한이 있는 계정은 매우 중대한 침해행위를 할 수 있다. 사실 특권계정을 탈취하면 모든 것을 할 수 있다. 시스템의 중요한 설정을 변경하고, 새로운 권한 계정을 마음대로 생성하며, 외부와 통신하며, 중요한 데이터에 접근해 유출할 수 있다.

데이터 유출 사고의 80% 이상이 취약한 패스워드와 탈취된 계정에 의해 발생했으며, 피싱 공격의 90% 이상이 사용자 계정을 노린 것이고, 보안사고의 80%가 관리권한을 가진 계정에서 발생한 것이다.

그래서 계정과 접근관리는 보안의 시작이며 가장 중요한 원칙이라고 할 수 있다. 제로 트러스트 보안 원칙인 ‘신뢰하지 않고 검증한다’의 기본 사상도 계정과 접근관리의 영역이다.

가트너는 “아이덴티티가 보안 설계의 중심이 됐다. 원격·재택 및 사무실 근무자 등 모든 환경에서 접속하는 사람들을 위해 ‘아이덴티티 우선 보안’이 필수”라고 강조한다. 또 AM과 ID 관리(IM)를 통합한 IAM, 싱글사인온(SSO), 다중인증(MFA), ID 거버넌스 및 어드미니스트레이션(IGA), 특권권한관리(PAM) 등이 통합되고 있다고 설명했다. 고객의 ID와 접근을 제어하는 CIAM까지 지원할 수 있는 역량이 중요해지고 있으며, 이를 완성할 수 있는 플랫폼을 제공하는 ID 공급자(IdP)의 경쟁력도 집중 조명되고 있다.

통합·자동화된 IM/AM 필수

전통적인 계정관리는 SI 사업으로 진행됐으며, 한 번 구축하면 잘 바꾸지 않는 인프라의 성격을 가졌다. 그러나 비즈니스가 급변하면서 계정 변경이 수시로 일어나 오래 전 구축된 계정관리로 감당할 수 없게 됐다. 직원과 파트너사 직원, 계약직 직원, 때로 고객들의 계정까지 관리해야 하며, 다양한 기기에도 계정이 부여돼 업무 시스템에서 작동해야 한다. 클라우드로 비즈니스가 확장되면서 다양한 클라우드 환경을 지원해야 한다는 요구도 있다.

클라우드와 IoT 사용이 늘어나면서 관리해야 하는 계정이 폭증하고 있으며, 계정 생성과 권한 부여, 변경과 삭제를 수동으로 관리하는 것은 불가능한 일이 됐다. IBM 조사에 따르면 대규모 퍼블릭 클라우드 액세스 키는 단 15달러에 판매되고 있다.

따라서 비즈니스 속도에 맞춰 유연하게 변화될 수 있는 자동화된 계정관리(IM) 시스템이 필요하며, 계정에 부여된 권한 내에서 접근을 통제하는 AM도 필수다. IM과 AM은 클라우드 속도에 맞게 민첩하게 작동해야 하며, 개발자 친화적 환경을 통해 컨베이어벨트처럼 돌아가는 CI/CD 파이프라인에서 개발자들이 불편함 없이 통합 IAM을 적용할 수 있어야 한다. 더불어 컨테이너·서버리스·로코드·노코드 등 새로운 개발환경까지지원할 수 있는 기술적인 민첩성도 갖춰야 한다.

국내 기업 특수성 지원하는 토종 기업

계정관리와 접근관리는 국내기업의 경쟁력이 매우 강한 시장이다. SI성으로 사내 구축형을 선호하는 국내 기업의 특성에 맞게 개별 사이트에 맞춤형으로 공급해 온 전문 솔루션 기업들이 경쟁해왔다. 그러나 클라우드로 전환하는 상황에 유연하게 맞추지 못했다는 한계도 드러냈다. 그래서 국내 기업들도 클라우드 지원 기능을 한층 강화한 IM/AM 솔루션을 출시하고 있다.

접근관리 영역에서는 피앤피시큐어, 휴네시온, 넷앤드 등이 경쟁을 펼치면서 클라우드로 변화되는 시장에 적극 대응하고 있다. 또한 국내 기업들은 신 외감법 시행으로 중소·중견 상장사의 내부회계관리제도에 대한 인증 수준이 감사로 강화되고 정보기술 일반통제(ITGC)에 대한 대응이 필요해 접근통제를 적극 도입하고 있다. 2022년 1000억원 이상 기업, 2023년부터 1000억 미만 전체 상장사에 적용되기 때문에 2021년 접근통제 도입 사업이 활발하게 진행됐다.

휴네시온의 ‘NGS’는 내부 시스템에 대한 접근통제, 사용자 그룹별 권한 부여·삭제, 퇴직자 권한 회수, 계정 생성 및 사용이력관리 등을 위해 시스템 접근제어와 계정관리 서비스를 제공하는 통합 접근제어 시스템이다.

클라우드 환경에서도 사용자의 접근권한 관리, 모니터링, 감사 등을 수행해 업무효율은 물론 효과적인 클라우드 운영 방안을 제공한다. 조달청 나라장터 종합쇼핑몰 우선구매대상 제품으로 등록되어 있으며, KT클라우드 마켓플레이스에도 등록되어 있다.

글로벌 기업의 국내 성과 이어져

토종 솔루션이 주도권을 쥐고 있는 접근관리 시장에 글로벌 시장 리더인 옥타가 진출해 강력한 영업전략을 전개하면서 상당한 성과를 거두고 있다. SaaS로 제공되는 통합 AM 플랫폼을 제공하는 옥타는 통합 계정접근관리와 SSO, MFA 등 계정·접근에 관련된 모든 기술을 지원한다. 또한 개발자 친화적 계정·접근관리 기업 오스제로를 인수하고 모든 개발자들이 쉽게 IM/AM을 서비스에 적용할 수 있게 한다. 옥타는 계정·접근관리 포트폴리오를 확장해 IGA, PAM을 갖춘 통합 IAM으로 진화시킬 계획이다.

옥타는 SK㈜ C&C와 유니버셜 디렉토리(UD), SSO, MFA 솔루션을 제공한다. 양사는 2021년 말까지 SK 전 계열사 임직원 계정관리 프로젝트를 완료하며, 이후 대외 고객을 위한 서비스를 출시할 계획이다.

마이크로소프트도 IAM 분야의 경쟁력 있는 플레이어다. 애저 AD를 이용한 통합 계정관리와 제로 트러스트 원칙의 접근관리, 7월 인수한 클라우드녹스 시큐리티 기술을 접목한 멀티 클라우드 보안, PAM, IGA를 제공한다.

퀘스트소프트웨어의 ID 사업부인 원아이덴티티는 원로그인을 인수하면서 기존의 계정관리 솔루션과 결합한 IAM을 완성했다. 퀘스트소프트웨어의 AD 보안, PAM, IGA와 결합해 계정·접근관리에 대한 총체적인 계획을 제공할 수 있다.

제로 트러스트 완성하는 PAM

PAM은 권한을 가진 모든 계정을 위해 필요한 솔루션이다. 특권권한은 소수의 수퍼관리자에게만 부여되는 것이 아니라 사실상 모든 계정에 해당한다고 볼 수 있다. 예를 들어 윈도우 PC 사용자는 모두 특권권한을 갖는다. 사용자가 자유롭게 애플리케이션을 설치·삭제하고 설정을 변경할 수 있는 관리자 권한으로 접근하는데, 이것이 바로 특권권한이다.

PAM을 포함한 접근제어는 제로 트러스트의 ‘최소권한 원칙’에 따라 관리되어야 한다. 한 번 권한을 부여 받았을 때 접근할 수 있는 애플리케이션과 접근 시간을 제한해 권한을 탈취한 불법 사용자가 침해행위를 할 수 있는 시간을 최소화한다.

지속적인 검증과 권한부여를 위해 생체인증을 활용해 보다 편리하게 할 수 있는데, 예를 들어 모니터의 카메라를 바라보면 얼굴인식을 통해 본인인증을 하는 시스템을 갖춘다면, 모니터를 보고 업무를 하는 중 지속적으로 인증이 이뤄져 사용자를 불편하게 하지 않으면서 최소권한 원칙을 적용할 수 있다.

클라우드 확장으로 PAM에 대한 관심이 쏠리자 전문기업의 국내 진출도 활발하게 이어지고 있다. 사이버아크, 비욘드트러스트, 센트리파이, 퀘스트소프트웨어 등이 시장의 강자로, 다양한 사업에 PAM 솔루션을 적극적으로 소개하고 있다. 이 솔루션들은 윈도우 권한관리, 브라우저 플러그인 방식의 원격접속 솔루션, 권한세션관리, 머신러닝 기반 행위분석 등의 기능을 갖추고 클라우드, 재택·원격근무 환경의 보안 요구에 대응한다.

PAM을 보다 쉽게 구축할 수 있는 비밀번호 관리 솔루션도 국내에서 많이 사용된다. 휴네시온, 한싹시스템, 파이오링크 등 여러 기업들이 제공하는 비밀번호 관리 시스템은 비밀번호 유출·손실로 인한 보안위협을 원천 제거할 수 있다.

비밀번호를 없애는 패스워드리스도 빠르게 확장되고 있다. 사용자가 직접 입력하는 비밀번호를 없애고 생체인증, 모바일 인증 등을 이용하거나 사용자의 키보드·마우스 사용 습관을 익혀 평소와 다른 활동이 나타나면 접근을 거부하는 방식을 사용한다.

ID/PW 외에 추가인증으로 접근보안을 강화하는 MFA도 계정·접근보안을 위한 필수 솔루션이다. RSA의 시큐어ID는 전 세계적으로 가장 높은 점유율을 갖는 OTP와 MFA 솔루션을 제공한다. 적응형 인증을 지원하며, 위험기반 액세스 결정을 간소화하며, 클라우드 기반 디지털 이니셔티브를 지원한다.