사용 편의성·보안성 높인 분산ID 주목…비밀번호 없는 인증 시장 성장
[데이터넷] 사용자 계정·권한 탈취를 통한 사이버 공격이 급증하면서 접근제어(AM) 시장이 큰 폭의 성장을 이루고 있다. 가트너의 ‘2022년 액세스 매니지먼트 분야 매직쿼드런트’에 따르면 2021년 말 기준 전 세계 AM 시장 매출은 41억7000만달러로, 전체 보안 소프트웨어 시장의 6.8%를 차지한다.
또한 2021년 전체 공격 중 자격증명 위반으로 인한 사고가 40%를 차지하면서 AM만을 제공하기보다 ID관리를 통합한 IAM으로 전환하는 것이 중요한 추세를 기록, 매직쿼드런트 선정 기업의 75%가 통합 IAM 전략을 채택했다. 더불어 66%는 IGA, PAM, 부정행위 탐지, 신원증명 등 IAM의 확장 기능을 선보이고 있다. 또한 44%는 ID 위협 탐지 및 대응(ITDR)을 추가하면서 IAM 타깃 공격 방어 기능도 강화했다.
AM 기술 범위 확장…ID 침해 탐지 기술도 포함
이 보고서에서는 AM의 범위를 직원에 대한 통제뿐 아니라 고객, 임시직, 아웃소싱 계약직원, 파트너, 정부 서비스를 이용하는 시민까지 포함하고 있으며, 디렉토리 서비스, 개발자 도구, 적응형 액세스, SSO와 세션관리, 사용자 인증 등을 핵심 기능으로 소개했다.
AM에서 제공하는 확장된 기술로 ITDR이 집중 소개됐는데, 이는 기존 IAM의 취약점을 해결할 수 있는 방법으로 인식되고 있기 때문이다. IAM은 MFA 설계상 취약점으로 우회공격 당할 수 있으며, 탈취한 계정으로 권한 내에서 접근하는 공격자를 효과적으로 제어하지 못한다.
ITDR은 위협 인텔리전스, 모범사례, 지식기반, ID 시스템 보호를 위한 도구와 프로세스를 포함하고 있으며, 신원 인프라 무결성을 복원할 수 있는 탐지 기술과 의심스러운 행위자에 대한 조사, 공격 대응 등의 기능을 갖췄다.
ITDR은 아직 성숙된 기술이 아니기 때문에 플레이북 등의 대응 프로세스는 완벽하지 않지만, 이 기술의 성숙도는 빠르게 높아질 것으로 보인다. 매직쿼드런트 선정 기업의 66%가 향후 ITDR 기능을 추가할 계획이라고 설명했기 때문이다.
이 보고서에서는 분산ID에 대해서도 상세하게 설명했다. 분산ID는 블록체인 기반 분산원장에 디지털 신분증을 등록해 개인정보가 어떻게 사용되고 있는지 개인정보 주체가 관리할 수 있게 한다. 기업이 고객의 정보를 소유하지 않기 때문에 기업 고객정보 데이터 해킹 위협을 막을 수 있다. 보고서는 분산ID 도입 시 디지털 신분증 발급 기관의 신뢰성을 확인하고, 기 구축된 AM 시스템이 이를 지원하는지, 통합을 통한 관리 편의성을 보장하는지 검증할 것을 조언했다.
최근 ID 관리와 AM 분야에서는 IGA, PAM, 부정행위 탐지, 신원확인 등의 기능을 단일 벤더에서 통합한 IAM이 주목받고 있다. 가트너 조사에서 고객의 절반 이상이 통합 IAM 플랫폼을 선호하고 있으며, 75%는 공급업체 통합을 추진하고 있다.
또 다른 주목할만한 변화로 암호없는(Passwordless) 인증이다. 비밀번호 취약점을 제거하기 위해 도입되는 암호없는 인증은 사용 편의성과 보안성을 모두 높이기 위한 것으로, FIDO 지원, MFA 우회공격 차단, 직원·고객 모두를 고려한 다양한 인증 옵션 제공 등이 필요하다.
고객 계정 접근관리 기능도 중요
이번 보고서에서 가장 강력한 실행 능력을 인정받은 옥타는 직원·고객 사용사례 모두에서 널리 사용되는 SaaS 기반 IAM 플랫폼을 제공한다. 옥타는 고객 계정접근관리(CIAM)·개발자 지원을 위한 오스제로(Auth0)를 인수해 CIAM 솔루션에 포함시켰으며, 애저에서 프라이빗 클라우드 구축 옵션, ITDR, 스프루스 협력을 통한 이더리움과 로그인 서비스 등을 제공한다. 비밀번호 없는 보호, 사용자 지정 관리자 역할과 IGA도 지원한다.
옥타는 SSO, 분석, 액세스 관리를 위한 워크플로우 툴을 지원하며, 뛰어난 고객경험으로 고객들의 높은 신뢰를 얻고 있다.
한편 옥타는 이번 가트너 매직쿼드런트 리더 선정을 알리는 보도자료를 발표하고 “6년 연속 AM 분야 리더 선정, 2년 연속 가장 높은 실행능력 인정을 받았다. 옥타 아이덴티티 플랫폼은 사용 편의성, 중립성, 사용자 정의성, 신뢰성을 위해 설계·구축된 ID 솔루션을 제공, 고객이 자유롭게 혁신하고 운영 우수성을 강화해 지속적인 관계를 구축할 수 있도록 지원한다”고 밝혔다.
사이버아크는 가트너의 ID 관련 보고서 두 곳에서 모두 리더로 선정된 유일한 기업이라고 강조하며 자사 기술의 혁신성을 역설했다. 사이버아크는 이번 보고서뿐만 아니라 지난 7월 발표된 ‘PAM 분야 매직쿼드런트’에서도 리더로 선정됐다.
사이버아크 아이덴티티 솔루션은 SaaS로 제공되며, 고위험 세션을 위한 프로세스 격리, 재인증을 갖춘 세션 기록, PAM, CIAM, 개발자 도구를 포함하고 있다. 사이버아크는 매출의 29%를 R&D에 투자하며, 자동화된 대응과 플레이북 통합 기능을 갖춘 ITDR을 개발할 계획이다. 표준 애플리케이션 통합, 인증 기능에서 높은 점수를 받았으며, PAM을 기반으로 한 AM으로 더 강력한 보안을 제공할 수 있다.
사이버아크는 “가트너의 ID 관련 보고서 모두에서 리더로 선정된 것은 포괄적인 ID보안 플랫폼을 개발하려는 사이버아크 전략이 성공적이었다는 것을 입증한다. 사이버아크는 하이브리드·클라우드 환경에서 모든 장치, 사람, 기계의 ID를 안전하게 보호한다”고 밝혔다.
