[데이터넷] 계정과 접근권한은 최근 공격자들이 가장 많이 사용하는 침투 기법이다. 정상 계정과 권한을 이용하기 때문에 보안 시스템을 쉽게 우회할 수 있으며, 타깃 맞춤형 악성코드보다 빠르고 쉽게 공격할 수 있다는 장점이 있다. 이에 제로 트러스트 원칙의 보안 기술과 정책이 필수로 요구된다. 비즈니스를 방해하지 않고 사용자 편의성을 해치지 않으면서 계정과 접근권한을 보호하는 방법을 알아본다.<편집자>

가트너는 보안침해의 75%가 ID, 액세스 권한을 관리하지 않아서 발생하는 것으로 분석했는데, 이는 2020년 50%에서 크게 증가한 것이다. ID 관리 실패로 인한 문제를 해결하기 위해 ID 관리 솔루션은 강력한 인증과 권한관리 기술을 접목하면서 발전하고 있다. ID 관리 솔루션은 계정 발급, 수정, 폐기 등 계정 라이프사이클을 자동 관리한다. 임직원과 계약직, 파트너, 기기, 애플리케이션·RPA 등 모든 계정을 정책에 따라 자동화된 관리를 제공한다.

ID 관리의 대표 솔루션은 마이크로소프트 액티브 디렉토리(AD)와 옥타의 아이덴티티 솔루션이다. 이 솔루션들은 ID 관리와 권한관리, 계정관리, 거버넌스 기능을 통합하고, SSO, MFA와 연계해 자동화된 계정과 권한, 접근관리가 가능하도록 한다.

계정 탈취 공격을 방어하기 위해 ID 관리, 권한관리, 접근관리 기술을 통합한 IAM이 선택되는 경우가 많은데, 지난해 핑아이덴티티 조사에 따르면 팬데믹 기간 동안 증가한 원격업무를 지원하기 위해 기업·기관의 70%가 향후 12개월 동안 IAM 투자를 늘릴 것이라고 답했다. 또한 조사기업의 절반 이상이 팬데믹 이후 IAM에 투자한 것으로 나타났다. 더불어 생체인증, 머신러닝, 인공지능, 위험기반 인증 등 다양한 추가인증 수단을 IAM에 적용해 정상 사용자의 비정상 행위를 통제할 수 있도록 한다.

그런데 IAM에도 한계가 있다. 너무 강력한 정책을 적용하면 정상 사용자의 정상 접근을 방해할 수 있다. 단일화된 통합 플랫폼을 사용하지 못해 ID관리, 액세스 관리, 특권권한관리 등 여러 솔루션을 사용하면서 사각지대가 생기고 복잡성이 늘어난다. 수시로 바뀌는 비즈니스 환경에 따라 계정과 권한, 접근 정책을 자동으로 변경, 적용해야 하는데, 자동화된 프로세스를 만들기가 매우 어렵다는 점이다.

클라우드는 IAM에 대한 대대적인 변화를 요구하는 요인이기도 하다. 클라우드는 필요에 따라 자유롭게 사용하거나 사용을 중지할 수 있다. 새롭게 사용하는 클라우드에 계정과 권한을 부여하고, 사용을 중지할 때 이를 회수해야 하는데, 클라우드 서비스마다 이 과정이 각각 다르며, 기업에 기 구축된 온프레미스·프라이빗 클라우드 업무 프로세스와도 다르다. 통합되고 일관된 정책을 적용하지 않으면 IAM은 성공하기 어렵다.

최근 제로 트러스트 보안모델이 각광받으면서 최소 권한 원칙에 따른 접근제어의 필요성도 부상하고 있는데, ‘최소 권한’의 기준도 정확하게 정의하기 어려운 상황이다. 권한 사용자가 한 번의 인증을 받고 접근했을 때 어느 업무까지 접근 가능한지, 접근 가능한 시간은 어느 정도로 설정해야 하는지, 업무를 지속하기 위해 매번 새롭게 인증을 수행할 수 없으므로 사용자가 자각하지 않으면서 강력한 인증을 유지하는 방법은 없는지 등을 해결해야 한다.

U-IAM으로 멀티 클라우드 통합 관리

피앤피시큐어는 U-IAM이라는 신개념을 제안하며 멀티 클라우드를 위한 새로운 계정·권한·접근관 리 방안을 제시했다. U-IAM은 온프레미스와 다양한 퍼블릭 클라우드에서 ▲DB 접근제어 ‘디비세 이퍼 DB’ ▲시스템 접근제어 ‘디비세이퍼 AM’ ▲OS·DBMS 계정 관리 ‘디비세이퍼 IM’ ▲OS 접근 통제 ‘디비세이퍼 OS’ ▲DB·파일암호화 ‘데이터 크립토(DATACRYPTO) ▲재택·원격근무자 실시 간 안면인식을 통한 무자각 지속 인증 ‘페이스락커 (FaceLocker)’ 등을 제공한다.

피앤피시큐어는 U-IAM을 통해 온프레미스부터 클라우드까지 접근통제에 대한 모든 작업을 통합관리 할 수 있다고 소개한다. 계정에 대한 라이프사이클 관리 와 모든 사용자 모니터링, 담당자 개입 없이 결재 과정을 거쳐 시스템에 접속할 수 있으며, 외주직원 접속 정보를 공유하지 않고 서버에 접속할 수 있다.

공용계정과 유동 IP를 사용해 사용자 식별이 어려운 때에도 권한 통제가 가능하며, 통신구간을 암호화해 데이터 유출을 방지한다. 하나의 관리 프로그램에서 모든 로그를 볼 수 있으며, 자동화된 스케일 아웃-인 기술로 클라우드에서도 자유로운 확장과 변경이 가능하다.

U-IAM을 이용한 접근통제 사용 사례를 설명하면, 디비세이퍼 IM을 이용해 신청-승인 기반의 계정 생성· 잠금·삭제 등 계정 라이프사이클을 체계적으로 관리하고, 디비세이퍼 AM을 통해 OS 장비의 실사용자 기반 계정 접근통제 및 위험 명령어·비인가 명령어 실행 통제를 수행하며, 디비세이퍼 DB를 통해 DBMS의 실사용자 기반 접근제어 및 통제, 권한 제어, SQL 감사 및 로깅 제어를 수행할 수 있다.

피앤피시큐어 U-IAM 은 금융, 공공기관 등에 공급돼 관리자의 업무 부담을 크게 줄였다. U-IAM을 도입한 기관들은 수많은 시스템과 애플리케이션의 계 정과 접근권한을 자동으로 관리할 수 있게 됐으며, 개인정보의 안전성 확보조치 기준, 금융회사 정보기술부 문 보호업무 모범규준 등 여러 필수 규제준수 요건을 만족할 수 있게 됐다고 평가했다.

페이스락커도 U-IAM의 일환이다. 재택·원격근무시 사용자의 얼굴을 지속적으로 확인해 본인이 직접 업무를 하고 있는지, 다른 사람이 화면을 통해 중요한 정보를 유출할 가능성은 없는지 검증하는 이 솔루션은, 사용자가 별도의 인증 행위를 하지 않아도 지속적으로 인증이 가능해 사용 편의성과 보안성을 모두 보장할 수 있다.

송종만 피앤피시큐어 정보보안기술연구소 실장은 “멀티 클라우드를 안전하게 운영하기 위해서는 반드시 단일 플랫폼을 통한 계정관리, 권한관리, 접근관리가 필요하다. 이는 시스템, 애플리케이션, 데이터·DB 모두에 동일하게 적용되어야 한다”며 “피앤피시큐어는 U-IAM을 발전시켜 온 업계 유일한 기업으로, 모든 환 경, 모든 계정과 권한에 대한 일관된 통제 정책을 제공할 수 있다”고 말했다.

편의성·보안성 높인 통합 솔루션 필수

IAM은 우리나라에서도 오래 전부터 기업·기관에 구축되어 왔지만, 현재의 복잡하고 수시로 변하는 비즈 니스 환경을 지원하지 못한다. 사용과 관리 편의성, 보 안성이 높으면서 유연하게 운영할 수 있는 IAM에 대한 수요는 매우 높다.

휴네시온은 시스템에 대한 접근제어와 계정관리를 제공하는 ‘NGS’로 고객이 직면한 문제를 해결한다. NGS는 인가된 사용자라도 정책기반 접근통제로 우회 접속을 탐지·차단하며, 접근이 허용된 시스템에 패스 워드 노출 없이 자동 로그인이 가능하도록 했다. 패스 워드 자동 관리로 비인가 계정, 휴면계정, 불법 계정을 차단한다. 에이전트·에이전트리스 혹은 하이브리드로 구성할 수 있으며, 국내 주요 클라우드 서비스를 지원한다.

우리나라에서 최근 몇 년간 꾸준히 공급사례를 높여온 계정·권한관리 시스템 중 패스워드 관리 솔루션이 있다. 행정안전부 대내외 보안 감사 요건과 IT 시스템 비밀번호 관리규정이 강화되면서 안전한 계정관리 수요가 높아졌으며, 이에 대응하는 시스템으로 비밀번호 관리 솔루션이 제안된다.

비밀번호 관리 솔루션은 수많은 시스템의 비밀번호를 라이프사이클에 따라 자동 발급, 변경, 회수한 다. 관리자가 수동으로 관리할 필요가 없어 업무를 줄일 수 있으며, 비밀번호 유출로 인한 불법 사용자의 접근을 막을 수 있다. 비밀번호 관리 솔루션은 서버, 네트워크 장비, CCTV 등 다양한 시스템을 지원하며, MFA와 사용자 행위 분석과 로깅 기능을 적용해 보안 성을 높인다.

비밀번호 관리 솔루션은 특권권한관리(PAM)와 혼동되기 쉬운데, 비밀번호 관리 솔루션은 PAM의 자격 증명 교체, 세션관리·기록, ID 거버넌스와 권한상승 등의 기능은 제공하지 않는다. 대신 사용 편의성이 높고 국내 장비 연동성이 뛰어나다. 국내 규제준수 요건도 만족할 수 있다.

비밀번호 관리를 위한 토종 솔루션은 휴네시온 ‘캠패스’, 한싹 ‘패스가드’, 시큐어가드테크놀로지 ‘APPM’ 등이 있다.