[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>

랩서스 공격그룹이 사용한 방법 중 하나가 다중요소인증(MFA)을 우회한 것이다. 공격자는 MFA 인증 오류 한도를 초과해 MFA를 재설정하도록 만든 후 관리자에게 전화해 MFA 인증매체 교체를 요구한다. 공격자는 자신이 사칭하는 직원의 개인정보를 미리 입수한 상태로, 관리자가 본인확인을 위해 묻는 질문에 정확하게 답할 수 있었다.

휴면계정을 이용한 MFA 우회공격도 있다. MFA가 설정되지 않은 휴면계정을 입수해 공격자의 매체로 처음 등록해 아무 장애 없이 중요 시스템에 접근한다. 악성코드를 제작하거나 사회공학 기법의 스피어피싱을 만들어 발송할 필요도 없이 너무 쉽게 계정 인증을 통과할 수 있다.

프루프포인트는 MFA 취약성을 이용하는 공격과 MFA 토큰을 탈취하는 피싱키트에 대해 경고한 바 있다. 프루프포인트는 공격자들이 사람의 습관이나 관심사를 이용한 범죄를 고도화하고 있다는 점을 강조하며, 타깃 직원에게 결제 요청을 수락할 때까지 계속 알림을 보내는 등 압박하는 방식으로도 공격이 가능하다고 지적했다.

암호없는 인증, 비밀번호 취약성 문제 해결

MFA는 신원(Identity)에 대한 강력한 인증(Authentication)을 위해 사용되는 도구로, ID/PW 외에 다른 요소를 추가해 인증한다. ID/PW와 캡챠를 입력해 봇이 아님을 증명하거나 SNS나 SMS, QR 등의 다른 방법을 이용해 본인 자신임을 입증한다. MFA는 매우 강력한 인증 방법이지만, MFA도 쉽게 우회할 수 있다는 사실이 실제 공격 사례로 입증됐다.

최근 인증 분야의 핫이슈는 ‘암호없는(Passwordless)’ 인증이다. MFA도 암호없는 인증의 한 수단이지만, 앞서 설명한 것과 같이 인증 프로세스 상에서 허점이 발생할 수 있기 때문에 보완책이나 대안이 시급한 상황이다.

암호없는 인증은 사용자가 직접 입력하는 비밀번호를 없애고 다른 수단으로 인증하도록 한다. OTP를 발생시키고 서비스에 자동으로 입력되도록 하는 방식은 사용자가 ‘입력’하는 수고를 덜어주지만 비밀번호 자체가 없어진 것은 아니기 때문에 암호없는 인증이라고 할 수 없다.

암호없는 인증은 FIDO 혹은 W3 컨소시엄 표준을 기반으로 생체인증, 사용자 기기를 이용한 MFA 혹은 PIN 인증 등이 제안된다. 가트너에 따르면 CISO가 암호없는 인증을 도입하기 위해 엔터프라이즈 ID 플랫폼을 요구할 것이며, 향후 1년동안 기업 중심의 암호 없는 인증 솔루션 수요가 늘어날 것으로 보인다.

암호없는 인증으로 최근 가장 많이 사용하는 방식이 스마트폰을 이용하는 것이다. 모바일뱅킹의 예를 들어보면, 스마트폰의 생체인식을 통해 본인인증을 하고 그 인증정보로 모바일뱅킹에 자동 접속한다. 거래 확인도 생체인증으로 대체할 수 있어 인증서 비밀번호, 계좌 비밀번호, OTP 등 여러 비밀번호를 입력하는 수고 없이 스마트폰에 손가락을 대거나 스마트폰을 쳐다보는 것 만으로 거래가 가능하다.

이처럼 쉬운 인증이 가능한 배경에 FIDO 표준이 있다. FIDO는 웹이나 모바일 앱에서 인증을 편리하게 하기 위한 표준으로, 사용자의 인증정보를 기기의 안전한 저장소에 보관하고, 이 기기를 통해 사용자를 인증하면 별도의 비밀번호 인증 없이 본인인증이 가능하도록 한 것이다. 스마트폰이 생체인식을 이용한 인증을 적용하면서 FIDO 표준을 채택하는 서비스가 늘어났으며, 지금은 암호없는 인증 혹은 강력한 본인인증을 위한 표준으로 자리잡았다.

분산ID로 인증·개인정보 보호 강화

FIDO 표준을 준수하는 생체인증이 본인인증을 쉽고 강력하게 만들었지만, 보안 문제가 해결됐다고 확신할 수 없다. MFA를 재설정하게 하는 공격은 여전히 가능하기 때문이다. 그래서 자신의 정보를 직접 관리할 수 있는 분산ID가 주목받고 있다.

분산ID는 신원인증기관으로부터 발급받은 신원정보를 블록체인에 개인이 직접 등록하고, 관리할 수 있는 서비스다. 예를 들면 사용자가 스마트폰에 신원정보를 발급받아 분산ID에 등록하면, 이 네트워크에 참여하는 기업·기관 서비스를 개인정보 제공 없이 이용할 수 있다. 기업·기관은 고객의 개인정보를 보유하지 않기 때문에 고객정보 보호·관리 부담을 덜 수 있고, 개인은 자신의 정보를 누가, 어떻게 이용하는지 확인할 수 있어 자기주권신원(SSI)을 확보할 수 있다.

분산ID의 대표 사례는 모바일 운전면허증이다. 모바일 운전면허증은 실물 운전면허증과 동일한 효력을 가질 뿐 아니라 더 안전하고 편리하다. 신분증을 제출해야 할 경우, 필요한 정보만 제공할 수 있기 때문이다. 예를 들어 성인인증이 필요한 경우라면 모바일 운전면허증에서 생년월일 정보만 보여줄 수 있고, 운전면허 확인이 필요한 경우 면허번호만 보여줄 수 있다. 그 외 정보를 제출하지 않아도 돼 안전하다.

분산ID는 본인인증이 필요한 모든 서비스에 사용될 수 있다. 시장조사기관 마켓앤마켓은 분산ID 활용사례로 금융권 자금세탁 방지를 위한 고객확인제도(KYC), 의료산업, 사이버 보안, 제로 트러스트 네트워크 액세스(ZTNA), IoT 등을 제안했다. 최소권한원칙에 따라 각 서비스마다 꼭 필요한 개인정보에만 접근할 수 있어 개인정보의 오남용도 막을 수 있다고 설명했다.

분산ID를 기반으로 디지털 ID를 안전하게 관리할 수 있는 프레임워크로 ADI협회가 제안한 ‘ADIA’가 있다. ADI협회는 디지털 ID를 생성, 관리, 사용하고 개인정보를 안전하게 공유할 수 있는 개방형 프레임워크 ADIA를 연구, 발전시키는 비영리 기관으로, 라온시큐어, CVS, 디지털 트러스트, 디지털애셋, 히타치 등 국내외 여러 기업이 참여하고 있다.

ADIA는 소비자가 하나의 신원발급기관으로부터 신 원증명을 발급받으면 생태계에 있는 모든 기업·기관에서 해당 신원증명을 사용할 수 있는 통합 프레임워크를 제안한다. 신원증명 발급을 위한 개인정보는 발급기관 에서만 보유하며, 다른 기관과 공유하지 않고, 소비자가 원할 때 수정, 삭제 가능하다. 서비스 사업자는 소비자 정보를 보유할 필요가 없어 개인정보 보호 의무에서 자유로울 수 있다.

디지털화 진전될수록 ID 관리 문제 ‘심각’

분산ID에 대한 관심이 높아지면서 시장 성장률도 가파르게 올라가고 있다. 마켓앤마켓은 전 세계 분산ID 시장이 올해 2억8500만달러 규모를 형성할 것이며, 2027년까지 CAGR 88.7%을 기록, 682만2000달러로 성장할 것으로 예상했다.

가트너 보고서에서도 분산ID의 성장 가능성을 높게 평가했는데, 아이덴티티를 보호하면서 더 편리하게 증명할 수 있다는 점을 장점으로 꼽았다. 그러면서 분산ID는 가장 안전한 암호화 기술로 보호되는 디지털 지갑에 개인의 신원정보를 저장할 수 있어야 하며, 모든 트랜잭션은 신뢰할 수 있는 패브릭 기반의 네트워크를 통해 이뤄져야 한다고 설명했다.

그러나 분산ID는 공통된 표준이 없고 규제가 불확실해 확장성이 떨어진다는 한계가 있다. 분산ID는 초기시장으로, 글로벌 수준의 응용프로그램이나 보안 규격이 없다. 또한 사용자가 여러 기관으로부터 ID를 발급받았을 때 ID가 중복돼 혼란을 겪을 수 있으며, 사용자의 디지털 지갑 분실이나 해킹 등에 어떻게 대응하는지 등에 대한 문제도 있다.

마켓앤마켓은 이러한 한계에도 불구하고 분산ID가 성장하는 시장이라는 것은 분명하다고 설명한다. 디지털화가 진전될수록 ID는 늘어나며, 사람뿐 아니라 각종 IoT, 애플리케이션 등에도 ID가 발급되고 관리되어야 한다. 기존 레거시 시스템에서의 IAM으로 기하급수적으로 증가하는 ID를 관리할 수 없으며, 새로운 ID 관리 방법이 시급히 요구되는데, 분산ID가 그 대안이 될 수 있을 것이라는 관측이 나온다.

아이덴티티 라이프사이클 관리 솔루션 필수

분산ID가 사용자 인증과 신원확인, SSI 보장을 위한 훌륭한 대안이지만, 아이덴티티 보호의 근본적인 대책이라고 하기는 어렵다. 공격자는 모든 수단과 방법을 동원해 아이덴티티를 훔치고 공격에 사용한다. 휴면계정, 퇴사자 계정, 관리되지 않은 계약직 직원 계정 등을 이용하거나 사용자의 스마트폰을 조작해 공격에 악용할 수 있는 가능성은 여전히 남아있기 때문이다.

그래서 아이덴티티 생성부터 배포, 운영, 회수·제거까지 전체 라이프사이클을 관리하는 자동화된 솔루션이 필요하다. 사용하지 않는 계정이나 과다 발급된 계정을 제거하고, 계정에 맞는 권한이 부여됐는지 확인해야 한다.

적응형 인증을 통해 상황과 맥락, 사용자 행위의 적정성을 판단할 수 있도록 해야 한다. 싱글사인온(SSO)을 이용해서 연결된 서비스 전반의 사용자 행위를 추적, 분석해 은밀하게 진행되는 이상행위를 탐지하고 제어할 수 있게 해야 한다.

아이덴티티 관리 기업 옥타는 적응형 MFA를 통해 MFA 우회 공격 리스크를 낮추고, 아이덴티티 거버넌스 관리(IGA)를 옥타 IAM 플랫폼에 포함시켜 거버넌스 관점의 계정관리를 지원한다. SSO를 통해 간편한 서비스 접근과 지속적인 사용자 행위 모니터링을 지원하며, 기기의 FIDO 크리덴셜을 이용해 편리하게 인증을 수행한다.

웹인증(WebAuthn) 등록을 특정 조직이 발행한 하드웨어 키로 제한해 관리되지 않은 기기를 이용한 접근이나 의심스러운 접속을 차단하고 피싱 공격을 막는다. 노코드 자동화 툴 ‘워크플로우즈’를 이용해 개발자들이 인증과 관련된 전문성이 없어도 쉽게 인증프로세스를 서비스에 적용할 수 있게 한다.

IBM은 AI 기반 컨텍스트 분석 기능을 적용한 ‘베리파이(Verify)’ 솔루션으로 아이덴티티 관리와 접근권한관리를 지원한다. 베리파이는 SSO, MFA 등 고급 인증, 머신러닝 기반 적응형 액세스를 통해 사용자 리스크를 지속적으로 평하고 대응한다.

ITDR로 IAM 타깃 공격 대응

아이덴티티 관리 솔루션은 더 다양한 기기와 애플리케이션, 클라우드를 지원하고, 표준 기반 자동화와 쉬운 개발과 서비스 적용에 집중하고 있다. 그런데 이 시스템을 공격하는 침해 행위를 차단하는 기술은 보유하고 있지 않다. 최근 빈번하게 발생하는 AD 침해 공격은 아이덴티티 관리 솔루션으로 해결하지 못한다.

공격자들은 AD 취약점을 이용하거나 AD 관리자 계정을 훔쳐 AD를 통해 악성코드를 유포하고, AD의 정보를 탈취한다. IAM 시스템을 공격하고 MFA의 설계상 취약점을 이용한 공격도 진행하며, 탈취한 계정으로 권한 내에서 접근하면서 ID 관리 솔루션을 우회한다.

그래서 계정 침해 탐지 및 대응(ITDR) 솔루션이 주목을 받고 있다. ITDR은 AD 등 ID 관리 시스템이나 IAM을 노리는 공격위협을 차단하는 솔루션으로, 위협 인텔리전스, 모범사례, 지식기반, ID 시스템 보호를 위한 도구와 프로세스를 포함한다. 신원 인프라 무결성을 복원할 수 있는 탐지 기술과 의심스러운 행위자에 대한 조사, 공격 대응 등의 기능을 갖췄다.

ITDR은 아직 성숙된 기술이 아니기 때문에 플레이북 등의 대응 프로세스는 완벽하지 않지만, 이 기술의 성숙도는 빠르게 높아질 것으로 보인다. 가트너는 액세스 관리(AM) 분야 매직쿼드런트에 선정된 기업의 66%가 향후 ITDR 기능을 추가할 계획이라고 설명한 바 있다.

가트너의 AM 분야와 특권접근관리(PAM) 분야 매직쿼드런트에서 리더로 선정된 사이버아크가 ITDR 개발 계획을 밝혀 주목된다. 사이버아크의 ITDR은 자동화된 대응과 플레이북 통합 기능을 갖추게 될 것이다. 사이버아크 아이덴티티 솔루션은 SaaS로 제공되며, 고위험 세션을 위한 프로세스 격리, 재인증을 갖춘 세션 기록, PAM, CIAM, 개발자 도구를 포함한다.

EPP·EDR·ITDR 결합하며 지능형 위협 대응

크라우드스트라이크와 센티넬원이 ITDR 기능을 고도화하면서 시장을 개척하고 있다. 엔드포인트 보안 전문기업인 이들은 EPP, EDR과 ITDR을 결합하면서 XDR 전략을 펼치고 있는데, IAM 침해를 빠르게 탐징하고 대응해 ID 악용 공격을 막을 수 있다고 주장한다.

센티넬원은 디셉션(Deception) 기술을 이용해 ID 침해 공격을 파악한다. 가짜 계정을 이용해 공격자를 유인한 후 공격행위를 분석하고 대응방안을 찾으며, 특히 AD 침해 대응에 탁월한 효과를 보인다. ITDR이 통합된 센티넬원 통합 플랫폼 ‘싱귤래러티 XDR’은 엔드포인트부터 클라우드, 워크로드, 컨테이너, IoT, 스토리지 등 모든 자산을 보호하고 위협에 대응한다.

크라우드스트라이크의 ITDR 솔루션 ‘팔콘 ID 위협 탐지’ 솔루션은 모든 자격증명 프로필과 도메인의 취약한 인증을 찾아 제거할 수 있게 한다. AD와 클라우드 SSO에 대한 자동화된 위협 탐지와 지속적인 평가, 사고대응을 지원하는 이 솔루션으로 계정을 노리는 공격을 방어할 수 있다.