IoT까지 인증 범위 확장…멀티·하이브리드 클라우드 지원 필수
[데이터넷] 다양한 사설인증서가 사용돼 사용 편의성이 높아졌지만, 소비자와 기업은 더 편리한 인증 서비스를 요구하고 있다. 너무 많은 사설인증서로 인해 소비자들이 어떤 인증서를 사용해야 할지 혼란스러워하고, 기업은 여러 인증서를 연동해야 하는 부담이 있다. 편리한 인증 서비스를 더 편리하게 하는 기술과 방법을 소개한다.<편집자>
비밀번호 없는 인증을 위해 MFA를 많이 사용하는데, MFA 역시 우회가 가능하다. 공격자는 MFA가 등록되지 않은 휴면계정을 찾아 공격자의 인증 매체로 MFA를 등록한다. 이 공격을 막으려면 계정관리를 철저히 해야 하는데, 수많은 클라우드를 사용하는 분산·이동 근무환경에서 완벽한 계정관리가 쉽지 않다.
벤 굿맨(Ben Goodman) 옥타(Okta) 아태지역 수석 부사장(SVP) 겸 제너럴 매니저(General Manager)는 “MFA 우회 공격을 막는 방법으로 적응형 MFA 플랫폼을 도입하는 것을 추천한다. 호주의 보험사는 적응형 MFA를 도입한 고객의 사이버 보안 보험료를 절감시켜주고 있는데, 적응형 MFA가 보안 침해 가능성을 크게 낮출 수 있기 때문”이라고 설명했다.
적응형 MFA는 상황에 따라 다른 접근정책을 적용하는 방식이다. 예를 들어 중요도가 높은 데이터에 접근하거나 평소와 다른 환경에서 접속할 때 보안 수준에 따라 생체인증 등 강력한 추가 인증을 요구한다. 적응형 MFA를 성공적으로 운영하기 위해서는 계정과 접근 제어 정책이 잘 정리되어 있어야 하며, 다양한 인증 매 체를 지원해야 한다. 또한 사용 편의성과 보안성을 모두 만족시켜야 임직원이 인증 시스템을 우회하는 편법을 쓰지 않는다.
옥타는 아이덴티티 관리 플랫폼 기업으로, IDM, IAM, MFA, SSO 등의 기술을 이용해 직원과 고객의 계정과 접근을 관리한다. 또한 아이덴티티 거버넌스 관리(IGA)를 옥타 IAM 플랫폼에 포함시켜 거버넌스 관점의 계정관리를 지원하며, 전 세계 주요 기업·기관과 협력해 유출된 계정정보로 인한 공격 위협을 효과적으로 관리할 수 있도록 돕고 있다.
토드 맥키넌(Todd McKinnon) 옥타 CEO 겸 공동 창업자는 “옥타는 고객의 다양한 기술 지원 이슈에 대응하기 위해 기술 개발에 적극적으로 나서고 있다. 옥타 단독 기술만으로 모든 문제를 해결할 수 있다고 보지 않으며, 아이덴티티 생태계 내에서의 협업으로 고객에게 가장 좋은 기술을 제공할 수 있다고 자신한다”며 “옥타는 아이덴티티를 중심으로 한 개방형 생태계를 만들고 있다”고 말했다.
폐쇄망까지 지원하는 MFA
MFA 시장에서 가장 점유율이 높은 솔루션은 RSA의 ‘ID플러스(ID Plus)’다. RSA는 OTP 솔루션을 ‘시큐어ID(SecurID)’, MFA를 ‘ID플러스’로 리브랜딩하고 시장 공략에 나섰다. RSA는 OTP 원천기술을 가진 세계에서 가장 오래되고 가장 전문적인 기업으로, 모든 환경, 모든 형태의 OTP와 MFA를 제공한다. RSA ID플러스는 가장 안전한 앱을 제공해 어떤 환경에서도 안전하게 인증을 수행할 수 있게 한다.
ID플러스는 클라우드·SaaS 애플리케이션 인증뿐만 아니라 기업의 폐쇄망·내부망 환경 인증까지 지원하며, 전세계 주요 애플리케이션·시스템과 연동된다. 전 세계에서 가장 보안에 민감한 기업·기관이 RSA 인증 솔루션을 활용하고 있으며, 주요 애플리케이션 들의 버전 업데이트 시에도 별도 연동 개발 없이 RSA MFA를 활용할 수 있다.
단일 앱, 단일 라이선스로 다양한 애플리케이션과 시스템 접속 인증에 활용할 수 있다. 예컨대 VPN 인증, 그룹웨어 접속 인증, 접근제어 솔루션 인증, ERP 인증 등 각각 다른 MFA를 도입하는 것이 아니라, 단일 RSA MFA로 다양한 애플리케이션과 시스템 접속 인증에 활용할 수 있다.
사용자 역할 따라 다른 MFA 적용
탈레스의 세이프넷 트러스티드 액세스(STA)는 다양한 비밀번호 없는 인증 기술을 제공하는 솔루션이다. STA는 클라우드를 기반으로 MFA, SSO, 시나리오 기반 액세스 정책을 결합하며, 온라인 ID와 액세스 보안을 효율적으로 관리하고 사용자 편의성과 보안규정 준수를 보장한다.
탈레스는 고객계정접근관리(CIAM) 기업 원웰컴을 인수하고 이 시장에 뛰어들었다. CIAM은 고객이 안전하고 편리하게 서비스를 이용할 수 있도록 고객의 계정과 접근을 보호하는 솔루션으로, 고객뿐 아니라 직원, 파트너까지 일관성있는 계정과 접근관리를 지원한다. 탈레스 원웰컴 아이덴티티 플랫폼은 B2E, B2B, B2C, 초단기 노동자(Gig Worker)에 상관없이 비밀번호 없는 인증을 수행한다.
하이더 이끄발(Haider Iqbal) 탈레스 제품 마케팅 이사는 “MFA는 사용자 역할과 사용사례를 평가해 어떤 유형의 인증 여정에 가장 적합한 인증방식인지 매핑하는 과정을 거쳐야 한다. 또한 다양하고 우수한 솔루션을 제공하는 업체를 선정해 기업의 선택지와 사고 과정을 넓혀야 한다. 그렇지 않으면 기업이 MFA의 전체 잠 재력을 활용하지 못하거나 사용자의 UX에 심각한 영향을 미치는 등의 결과를 초래한다. 따라서 보안과 사용자 경험 간 균형을 이루며, 기업의 MFA 요구사항을 잘 이해하고 해결할 수 있는 솔루션 파트너를 찾아야 한다”고 설명했다.
사람보다 사물에 더 많은 계정 발급
디지털 트랜스포메이션이 진행되면서 인증은 ‘사람’에서 애플리케이션, 워크로드, IoT, 자동차, 공조시스템 등 연결되는 모든 것(Everything)으로 확장되고 있다. 계정(Identity)이 생성되고 권한이 부여되는 모든 것은 제로 트러스트 원칙에 따라 먼저 인증한 후 권한 내에서 접근을 허용해야 한다.
가트너는 사람보다 사물에 더 많은 계정이 발급됐다고 분석했으며, 이러한 ID가 늘어날수록 여러 툴과 프 로세스를 필요로 한다고 설명했다.
PKI 전문기업 디지서트의 ‘IoT 디바이스 매니저’는 사내 네트워크에서 IoT 디바이스를 처음 도입할 때 디지털 신뢰를 구축할 수 있도록 지원한다. 기업의 자원과 어떤 기기의 연결을 허용할지 관리함으로써 내부자가 승인되지 않은 IoT 기기를 사내 네트워크에 추가하는 것을 방지할 수 있다. 이 솔루션은 커넥티드 기기를 위해 개발됐으며, 현장의 기기에 설치된 펌웨어의 무선(OTA) 업데이트 보안관리를 지원한다.
디지서트는 커넥티비티 스탠다드 얼라이언로부터스 마트홈 연동 표준 매터(Matter) 기기 증명을 위한 루트 인증기관(CA)으로 승인을 받았다. 디지서트는 매터 인증기관으로 승인받은 최초의 루트 인증기관으로서, 스마트홈 제조사들이 매터 인증이 필요한 제품의 신속한 시장 출시를 지원할 수 있게 됐다.
한편 디지서트는 SSL/TLS 인증서 관리, 엔터프라이즈 PKI, 이메일에 적용되는 상표표기 인증서, 스마트 씰 등의 솔루션을 제공한다
