[데이터넷] 최근 사이버 공격 방법 중 하나가 다중요소인증(MFA)를 우회하는 것이다. 공격자는 MFA가 등록되지 않은 휴면계정을 찾아 공격자의 인증 매체로 MFA를 등록한다. 이 공격을 막으려면 계정관리에 철저해야 하는데, 수많은 클라우드를 사용하는 분산·이동 근무환경에서 완벽한 계정관리가 쉽지 않다. 또 최근 ‘계정(Identity)’은 임직원뿐 아니라 외부 파트너와 계약직, 고객, 각종 IoT 기기, RPA와 같은 애플리케이션 등에도 부여되기 때문에 발급된 계정을 모두 식별, 관리하는 것이 점점 더 어려워진다.

벤 굿맨(Ben Goodman) 옥타(Okta) 아태 지역 수석 부사장(SVP) 겸 제너럴 매니저(General Manager)는 “MFA 우회 공격을 막는 방법으로 적응형 MFA 플랫폼을 도입하는 것을 추천한다. 호주의 보험사는 적응형 MFA를 도입한 고객의 사이버 보안 보험료를 절감시켜주고 있는데, 적응형 MFA가 보안 침해 가능성을 크게 낮출 수 있기 때문”이라고 설명했다.

적응형 MFA는 상황에 따라 다른 접근정책을 적용하는 방식이다. 예를 들어 중요도가 높은 데이터에 접근하거나 평소와 다른 환경에서 접속할 때 보안 수준에 따라 생체인증 등 강력한 추가 인증을 요구한다. 적응형 MFA를 성공적으로 운영하기 위해서는 계정과 접근제어 정책이 잘 정리되어 있어야 하며, 다양한 인증 매체를 지원해야 한다. 또한 사용 편의성과 보안성을 모두 만족시켜야 임직원이 인증 시스템을 우회하는 편법을 쓰지 않는다.

옥타는 이러한 요구를 만족시키는 적응형 MFA 플랫폼을 통해 MFA 우회 공격 리스크를 낮춘다. 또한 휴면계정을 식별하고 조치할 수 있도록 안내해 계정 관리 실패로 인한 침해 가능성을 낮춘다. 또한 아이덴티티 거버넌스 관리(IGA)를 옥타 IAM 플랫폼에 포함시켜 거버넌스 관점의 계정관리를 지원하며, 전 세계 주요 기업·기관과 협력해 유출된 계정정보로 인한 공격 위협을 효과적으로 관리할 수 있도록 돕고 있다.

벤 굿맨 부사장은 옥타의 강점을 강조하면서 “옥타는 전 세계에서 가장 큰 아이덴티티 플랫폼 전문기업으로, 사용과 관리 편의성이 높으며, 다양한 클라우드 플랫폼과 애플리케이션에 쉽게 연동되며, 액티브 디렉토리(AD) 등과도 함께 사용돼 계정관리와 접근통제 플랫폼 운영을 용이하게 한다. 또 단일 플랫폼에서 계정관리와 접근통제 기능을 제공해 단순하지만 안전한 IAM을 운영할수 있게 한다”고 밝혔다.

성장기 스타트업, 기술 보호 위해 아이덴티티 플랫폼 필수

옥타는 지난해 5월 한국지사를 설립하고 한국시장을 공략, SK C&C, 쿠팡, 코빗, 아모레퍼시픽 드양한 산업군의 고객에게 선택받았다. 벤 굿맨 부사장은 한국에서의 성과 중에서 의료 스타트업 노을(Noul)에 공급된 사례가 주목된다고 밝혔다. 아이덴티티 플랫폼은 대규모 기업에서 고민하는 문제라고 생각하기 쉽지만 규모가 작은 스타트업에서도 필수라는 설명이다. 성장기에 접어든 스타트업은 기술유출 방지를 위해 많은 노력을 기울여야 하며, 계정탈취를 통한 공격에 특히 주의해야 한다.

굿맨 부사장은 “한국 기업·기관들도 클라우드 전환을 이행하면서 개선된 아이덴티티 플랫폼의 필요성을 인지하고 있다. 특히 클라우드에서 이행되는 비즈니스는 클라우드 기반 IAM을 필요로 하기 때문에 옥타의 아이덴티티 플랫폼을 긍정적으로 검토하고 있다”고 설명했다.

그는 “한국의 제조사, 통신사, 금융사 등은 하이브리드 클라우드 전략을 선택하고 있으며, 장기간에 걸친 클라우드 마이그레이션 계획을 이행하고 있다. 아이덴티티 플랫폼 역시 이 계획에 맞춰 구축할 수 있는데, 온프레미스 시스템과 클라우드는 옥타의 ‘액세스 게이트웨이’를 이용해 성공적으로 연결할 수 있다”고 덧붙였다.

아태지역 기업 98% “아이덴티티, 매우 중요”

아이덴티티는 ‘제로 트러스트의 핵심’으로 인정받는다. 제로 트러스트는 ‘사전에 정의된 신뢰’를 없애는 것으로 시작하는데, 아이덴티티 관리 솔루션은 신뢰가 확인된 사용자에게 계정을 발급하고, 이 계정이 접근할 수 있는 애플리케이션을 연결해 계정 사용자의 권한 오남용이나 계정을 탈취한 공격자의 수평이동을 차단시킨다.

옥타 조사에 따르면 아시아 태평양지역 기업의 83%가 제로 트러스트를 위한 아이덴티티의 중요성을 이해하고 있으며, 15%는 비즈니스에 매우 중요한 요소가 아이덴티티라고 설명했다. 특히 아태지역 조직의 절반 이상이 편의성보다 보안이 중요하다고 여기고 보안 투자를 강화하고 있어 제로 트러스트를 위한 아이덴티티 투자에도 적극 나설 것으로 예상된다.

옥타 의뢰로 펄스 Q&A가 발행한 아시아 태평양 지역 제로 트러스트 보안 현황’ 보고서에 따르면 제로 트러스트 보안 정책을 도입한 아태지역 기업이 50%에 이르며, 96%는 현재 이를 적용하고 있거나 적용할 계획으로 나타났다.

옥타는 제로 트러스트 성숙도를 5단계로 나누는데, 아태지역 기업 76%가 MFA 도입, 70%가 SSO를 구현하는 1, 2단계를 지나 3단계인 성숙단계로 진화하고 있다고 설명했다. 3단계는 직원 프로비저닝·디프로비저닝을 자동화하고 클라우드 인프라에 대한 PAM을 수행하는 단계로, 기업들은 향후 18개월 동안 이 프로젝트를 진행할 예정이라고 밝혔다.

4단계는 MFA 구축, API 액세스 보호 등 아이덴티티 프로젝트를 거의 완성하는 단계이며, 5단계는 패스워드리스를 비롯한 최신 액세스 기술 도입, 엣지 보안 수용 등을 수행한다. 5단계에 이른 아태기업은 0.5%, 18개월 내에 구현할 계획인 기업은 10%에 그치고 있지만, 이는 시장 성장 가능성이 매우 높다는 것을 의미하기도 한다.

굿맨 부사장은 “아태지역의 제로 트러스트는 1~2단계를 거쳐 3~4단계를 시작하는 상황으로 보인다. 이는 앞으로 성장할 가능성이 매우 높다는 뜻으로, 강력한 보안과 편의성을 보장하는 IAM 솔루션 수요가 크게 늘어날 것으로 기대한다”고 설명했다.

그는 “제로 트러스트는 단 한가지 기술이나 솔루션 공급업체를 통해 완성할 수 있는 것은 아니다. 기업의 환경과 향후 계획에 따라 적절한 파트너와 협력해 제로 트러스트 성숙도에 따라 적절한 솔루션을 구현하고, 기존 인프라와 통합해 운영할 수 있어야 한다”며 “옥타는 아이덴티티 중심 접근 원칙에 따라 다양한 파트너 생태계와의 협업을 통해 고객이 제로 트러스트 여정을 안전하게 이행할 수 있도록 돕겠다”고 말했다.

김선애 기자 다른기사 보기