[데이터넷] 계정과 접근권한은 최근 공격자들이 가장 많이 사용하는 침투 기법이다. 정상 계정과 권한을 이용하기 때문에 보안 시스템을 쉽게 우회할 수 있으며, 타깃 맞춤형 악성코드보다 빠르고 쉽게 공격할 수 있다는 장점이 있다. 이에 제로 트러스트 원칙의 보안 기술과 정책이 필수로 요구된다. 비즈니스를 방해하지 않고 사용자 편의성을 해치지 않으면서 계정과 접근권한을 보호하는 방법을 알아본다.<편집자>

계정·접근관리 솔루션 중 관리자 권한을 제거하는 특권접근관리(PAM)가 멀티 클라우드 환경에서 매우 높은 우선순위를 갖는다. PAM은 시스템, 애플리케이션, 클라우드, 기기 등에서 관리자 권한을 제거해 권한을 가진 사용자에 의한 불법적인 활동을 제한한다. 국내에서는 금융기관의 임직원 윈도우 PC 관리자 권한을 제 거하고 일반 권한으로만 로그인하게 해 허가되지 않은 애플리케이션·멀웨어 설치나 데이터 위변조를 막는 솔루션으로 공급돼왔다.

PAM이 필요한 이유로 비욘드트러스트는 ▲취약점의 90%는 과도한 관리자 권한과 관련 있음 ▲침해의 80%는 권한있는 계정 오 남용 때문 ▲침해의 28%는 내부자와 관련 있음 ▲6% 의 기업이 권한 있는 액세스를 적절하게 추적하지 못함 등의 이유를 든다.

굿모닝아이텍의 보안 자회사 조인어스비즈가 국내에 공급하는 비욘드트러스트는 범용 권한관리 (Universal Privilege Management) 접근방식으로 전사 모든 사용자, 자산, 세션을 보호한다. 관리자, 공급업체, 서비스 데스크, 개발자, 서비스 계정, 애플리케이션 권한 보호와 액세스 관리를 지원하며, 재택근무에서 클라우드까지 모든 영역을 보호할 수 있다.

비욘드트러스트는 전자금융감독 규정 준수로 망분리 대체 정보보호 통제를 준수할 수 있으며, 단순한 정책 설정과 관리, 다양한 보고서 제공 등의 편의 기능을 제공한다. 특히 비욘드트러스트 엔드포인트 특권관리 솔루션은 국내 금융기관의 윈도우 관리자 권한 제거 규제를 만족시켜 국내 다수 금융기관 60여곳에 공급했다.

비욘드트러스트는 접속권한을 얻는데 필요한 모든 크리덴셜을 중앙집중식으로 제어해 최종 사용자의 작 업을 편하게 만들어주며, 보안을 강화할 수 있다. 특히 랜섬웨어·멀웨어가 관리자 권한(특권권한)을 이용해 데이터를 암호화하거나 시스템을 변경하고 새로운 계정 생성, 권한 상승 등의 행위를 하는 것을 방지할 수 있다.

최소 권한 원칙으로 제로 트러스트 이행

PAM은 멀티 클라우드 확장으로 인해 성장속도가 가속화되고 있다. 가트너에 따르면 지난해 PAM 시장 수익은 전년대비 20% 성장했으며, 2025년 27억달러에 이를 것으로 예상된다. PAM은 비밀번호 관리, 클라우드 인프라 권한 관리(CIEM)로 확장되고 있으며, 대기업은 물론 중소 기업에서도 PAM의 필요성을 이해하면서 도입 속도를 높이고 있다.

또한 가트너는 ‘JIT PAM(Just-In-Time PAM)’이 필요하다고 강조하며, 제로 트러스트 원칙에 따라 특 권접근의 범위와 시간을 최소화하되, 필요할 때 즉시 접속권한이 부여되어야 한다고 강조한다. 권한계정의 위치를 이해하고 이를 보호하기 위한 로드맵이 마련돼 있어야 하며, PAM 효율성을 극대화하기 위한 프로세스 변경이 필수라고 설명했다.

PAM 시장의 글로벌 리더는 비욘드트러스트와 사이버아크, 퀘스트소프트웨어 원아이덴티티 등이며 ▲특권 비밀번호 관리 ▲엔드포인트 특권 관리 ▲보안 원격 액세스 ▲클라우드 보안 관리 등의 기술을 제공한다.

동훈아이텍을 통해 국내에 공급되는 사이버아크는 최초의 PAM 공급업체로 기록되고 있으며, 대규모 파트너 에코시스템을 보유하고 있어 ITSM, ID 거버넌스와 관리(IGA) 솔루션을 위한 커넥터를 지원한다. 사이버아크는 국내에서도 PAM 솔루션 전 제품을 공급하고 있으며, 보안원격접속 솔루션으로 재택·원격근무 환경을 보호하는 솔루션도 공급하고 있다.

퀘스트소프트웨어 보안사업부인 원아이덴티티는 윈도우, 리눅스, 유닉스, 맥OS 등 다양한 OS를 원활하 게 지원하며, 높은 고객경험을 제공해 만족도가 높다.

거버넌스 우산 아래 모이는 계정·권한 관리

계정·권한관리 분야에서 최근 주목받는 솔루션으로 IGA가 있다. 포레스터는 아이덴티티 관리와 거버넌스(IMG)라고도 하는데, 일반적으로는 IGA라고 불린다. 이 솔루션은 ID관리의 일부로 여겨져왔지만, 디지털 트랜스포메이션으로 비즈니스 복잡성이 높아지면서 ‘거버넌스’ 관점의 관리가 중요해짐에 따라 최근 조명을 받고 있다.

ID 거버넌스는 직무, 역할 관리, 로깅, 액세스 검토, 분석, 보고등을 각각 관장하는 프로세스와 정책을 말 하며, ID 관리는 계정 및 자격 증명 관리, 사용자 및 디바이스 프로비저닝·디프로비저닝, 권한 관리 등을 말한다.

최근 IGA는 이 두 툴을 포함할 뿐 아니라 IAM까지 통합해 사용자가 장소와 기기에 상관없이 애플리케이션에 안전하게 접속할 수 있게 한다. 또한 다양한 사용 옵션을 제공해 온프레미스와 클라우드에서 사용할 수 있으며, 대형 엔터프라이즈뿐 아니라 소규모 기업에게도 적절한 옵션을 제공한다.

IGA 시장의 리더인 세일포인트가 국내 시장 공략에 나서 주목된다. 세일포인트는 2018년 삼성바이오로직스에서 도입하면서 주목받았으며, 현재 국내 금융, 제 조, 리테일 분야에서 높은 수요가 발생하고 있다고 판 단하고 이 시장을 집중 공략한다.

세일포인트는 아이덴티티에 대한 전문성 있는 인텔리전스와 AI를 기반으로 모든 산업군, 모든 규모의 기업에 최적화된 IGA를 제공할 수 있으며, 국내외 규제 준수 요건도 만족시킬 수 있어 아이덴티티 관리와 관련 한 문제를 안고 있는 고객에게 최적의 해법을 줄 수 있다고 강조한다.

지정권 세일포인트코리아 지사장은 “현재 한국시장에서 IGA에 대한 이해가 높은 편은 아니지만, IAM으로는 부족하고 통합된 거버넌스 관점의 아이덴티티 관리가 필요하다는 인식은 매우 높다. 이를 해결할 수 있는 솔루션이 IGA며, 세일포인트가 이 분야에서 가장 경쟁력이 있다는 사실을 알리면서 적극적으로 고객을 설득시키겠다”며 “세일포인트는 다양한 업무환경 지원을 위한 커넥터와 표준화된 인터페이스 지원, API 지원으로 한국의 특수한 업무 시스템과 애플리케이션도 원 활하게 지원할 수 있다”고 말했다.

IAM 타깃 공격, ITDR로 막아야

ID 관리, IAM, PAM, IGA 등은 계정과 권한, 접근을 안전하게 관리하는데 초점을 맞추고 있다. 관리적 관점의 보안은 계정관리의 기본이라고 할 수 있지만 이 시스템을 직접 공격하는 위협 행위를 막지 못한다. 그래서 ID 위협 탐지 및 대응(ITDR)이 새롭게 등장했다. ITDR은 가트너의 ‘2022년 사이버시큐리티 톱 트렌드’에 선정됐다.

ITDR은 이제 막 제안되기 시작한 초기 시장으로, 완성된 제품이 나온 것은 아니다. 다만 IAM 인프라 공격, 사용자 컨텍스트 분석 및 평가, 정상 사용자로 위장한 위협 행위자 식별, MFA 우회 공격, 계정탈취 공격, 사용자 및 엔티티 행위분석 등의 기능이 통합돼 지능적인 공격으로부터 아이덴티티를 보호한다.

ITDR 분야의 주목할만한 변화는 엔드포인트 보안 기업들이 ITDR을 통합하면서 XDR로 진화하고 있다는 것이다. 센티넬원, 크라우드스트라이크 등이 그 대표적인 예로, 엔드포인트를 통한 ID 위협을 다른 보 안 시스템과 연계 분석해 XDR의 범위를 넓힌다고 설 명한다.

센티넬원은 기만기술 기업 아티보네트웍스를 인수하고 기만기술을 이용한 ITDR을 제공, XDR 여정을 강 화한다. 아티보네트웍스의 기만기술은 공격자가 속을만한 가짜 계정정보, 도메인 관리자 정보 등을 노출시킨 후 공격자가 이 미끼를 통해 접속하면 실제와 동일 하게 구현된 가상환경으로 연결해 공격행위를 분석한 다. 분석된 정보는 SIEM·SOAR 등으로 전송해 실제로 이와 같은 위협이 진행되고 있는지 탐지하고 대응할 수 있게 한다.

아티보네트웍스 기술이 적용된 센티넬원의 ‘싱귤래러티 아이덴티티(Singularity Identity)’는 잘못된 자격 증명 사용을 차단하고, AD를 보호한다. IT, IoT, OT에서 사용되는 모든 OS를 지원하며, 로컬·클라우드 데이터 액세스를 통제하고, TTP 인텔리전스 수집으로 공격 대응 능력을 향상시킨다.

크라우드스트라이크는 ‘팔콘 아이덴티티 위협 탐지 (Falcon ITD)’ 솔루션으로 ITDR을 제공, 모든 도메인에서 자격증명 프로필 위조, 인증 우회, 잘못 설정되거나 오남용된 권한 계정 파악과 조치 기능을 수행한다. 이 솔루션은 AI·행위분석으로 랜섬웨어 등 최신 공격을 차단할 수 있는 심층적인 실행 가능한 통찰력을 제 공한다. 침해가 발생하기 전에 계정이 수행하는 작업을 파악하고, 모든 자격증명에 대한 통찰력과 분석으로 수평이동을 사전에 차단한다.