[데이터넷] ID는 ‘제로 트러스트의 시작’이라고 한다. 경계가 사라진 하이브리드 업무환경에서 보안의 경계는 ‘ID’가 되고 있기 때문이다. 탈레스 조사에 따르면 69%의 데이터 유출 사고는 유출된 아이덴티티로 인해 발생하고 있어 ID 관리는 매우 중요한 보안 정책 중 하나로 꼽힌다.

ID는 계정 소유자 혹은 기기의 속성을 포함한다. ID 소유자에게 부여된 권한과 허용되는 업무, 허용되는 시간·기간 혹은 횟수 등이 정의된다. ID 발급과 변경, 폐기에 이르는 모든 과정은 정교하게 자동화되어야 하며, 권한의 오남용 없도록 설계해야 한다.

제로 트러스트 설계에 있어 모든 접근을 ‘거부’하는 상태로 두고, 다양한 컨텍스트를 고려해 ID의 신뢰를 평가하며, 이를 시스템 전반에서 학습하면서 계속 강화하도록 한다. 그래서 빠르게 변하는 비즈니스 환경에 신속하게 대처할 수 있도록 하며, 새로운 규제에도 유연하게 대응할 수 있어야 한다.

또한 설계 시 직원의 업무 환경과 생산성의 균형을 유지하며, 적절한 위험 완화를 실현하도록 한다. 과도하거나 부족한 투자가 이뤄지지 않도록 현재 IT와 비즈니스 상황에 맞는 투자 계획을 수립해야 하며, 데이터 거버넌스·보안 전략 등 다른 보안 전략과 통합해 현재 문제를 해결하고 위험을 감소시켜야 한다.

너무 강력한 액세스 정책은 ‘퇴사’ 부른다

제로 트러스트의 핵심이라고 할 수 있는 ‘액세스 정책 설정’은 임직원 저항과 비즈니스 유연성에 매우 큰 영향을 미칠 수 있기 때문에 주의해야 한다. 특히 권한관리자에 대해 엄격한 정책을 적용하려는 보안팀과 경영진 및 권한관리자의 반발을 살 수 있다. 한 사람, 기기, 애플리케이션에 많은 계정이 부여될 수 있는데, 발급받은 계정의 출처와 권한이 명확하지 않기 때문에 더 큰 저항을 받으면서도 보안을 효과적으로 강화하지 못한다.

가트너는 “2025년까지 액세스 제거 시간을 50% 줄이면, 퇴직 또는 이동하는 직원과 관련된 감사 리소스를 20% 감소시킬 수 있다”고 설명했다. 직원들이 더 편하게 업무에 접근할 수 있게 하면 퇴사율을 낮출 수 있다는 뜻이다.

하이브리드 업무 환경에 익숙해진 임직원은 더 편한 업무 환경을 추구하고 있다. 평소와 같은 업무 행위는 별도의 인증 없이 지속할 수 있게 하고, 중요한 업무에 접근하거나 평소와 다르게 업무에 접근한다 해도 얼굴인식·지문인증 등 간단한 인증행위만으로 추가인증을 받아 업무할 수 있기를 바란다.

그런데 제로 트러스트를 위해 최소원한 원칙 접근통제를 실시한다면서 로그인 마다 복잡한 ID/PW를 입력하게 하고, PW를 자주 바꾸도록 강제한다. 강력한 보안이 요구되는 시스템이라고 최소권한 원칙에 따라 1시간에 한 번씩 로그인하고 연결된 애플리케이션마다 다시 로그인하게 한다면 업무 수행에 많은 지장을 받게 된다.

업무가 수월하게 진행되지 않으면 보안을 우회하려는 시도가 발생하고 보안위협이 높아진다. 업무 불편으로 불만이 쌓이고 이직자가 늘어날 수밖에 없다. 그래서 가트너는 비즈니스 성격과 목표에 맞는 접근통제 정책을 적용해야 한다고 설명한다.

비즈니스 특성 맞는 액세스 정책으로 편의성·보안성 강화해야

가트너의 ‘결과 중심 지표(ODM)를 사용하여 ID 및 액세스 관리의 가치를 창출하라’ 보고서에서는 IAM 투자가 보안 강화와 비즈니스 개선으로 항상 이어지는 것은 아니라고 설명했다. 그러면서 기업 비즈니스 성격에 맞춘 ‘보호수준 협약(PLA)’를 설정한 후 특정 투자로 이뤄진 사이버 보안 효과를 측정하고 가치를 파악해 ODM을 도출해 IAM 전략에 적용할 것을 권고했다.

ODM 적용 IAM의 구체적인 예시로 가트너는 PLA에 따라 업무 중요도를 파악하고 접근권한을 설정하는데, 직위 이동이나 승진 등을 즉시 적용해 민감한 액세스에 필요한 시간을 줄이는 것을 들었다. 특권접근관리(PAM)를 도입, 적시(JIT) 접근과 최소권한 접근(JEP)를 적용해 권한계정을 이용한 위협을 막는다. 더불어 위험도에 따른 MFA를 적용해 액세스 보안을 강화한다.

IAM은 ID관리와 접근통제(AM)를 통합한 솔루션으로, 가트너는 IAM 시장이 2021년 159억달러에서 2027년 324억달러로 2배 가까이 증가할 것으로 예측했다. 특히 2021년 발생한 보안침해의 40%가 자격증명 남용과 관련돼 있으며, 신원 위협 감지 및 대응(ITDR)이 최우선 사이버 보안 투자로 꼽히면서 IAM이나 관련 기술에 대한 관심이 높아지고 투자도 증가할 것이라고 예측했다.

IAM 투자가 늘어나는 요인 중 하나가 SaaS의 증가다. 팔로알토 네트웍스에 따르면 매일 기업에서 사용하는 SaaS 앱은 평균 254개이며, 이 중 절반이 넘는 56%가 관리되지 않는다. 관리되지 않은 SaaS의 계정은 초기 침투, 혹은 데이터 유출에 사용되며, 때로 공격을 위한 인프라로도 악용된다.

편의성 강화한 ID 관리 솔루션

수시로 변경되는 ID의 라이프사이클을 통합 관리하고, 적법한 권한 부여와 권한에 따른 액세스 정책은 제로 트러스트 이행의 핵심 중 하나가 된다. 옥타의 아이덴티티 솔루션이 바로 이 역할을 하고 있다.

옥타는 멀티 클라우드 전반에서 ID 라이프사이클 관리와 권한에 따른 접근관리를 제공한다. 옥타 솔루션은 임직원을 위한 ‘워크포스 아이덴티티 클라우드(WIC)’와 고객을 위한 ‘커스터머 아이덴티티 클라우드(CIC)’로 구성된다.

옥타 솔루션은 싱글사인온(SSO), 적응형 MFA, ID 라이프사이클 관리, 권한 있는 액세스 관리, 아이덴티티 거버넌스 등의 기능을 기본으로 탑재하고 있으며, 분산된 인력을 위한 패스워드리스 인증 기술 ‘패스트패스(PastPass)’로 피싱 피해를 방지하고, 7000개 이상 심층 사전 구축 통합을 제공하며 간단한 통합 프로세스로 모든 앱과 통합할 수 있다. 새로운 코드 작성 없이 대규모 신원 프로세스를 자동화하며, 모든 사용자, 그룹, 장치를 위한 하나의 디렉토리를 제공하는 유니버설 디렉토리 기술을 제공한다.

CIC는 앱 개발자가 ID에 대한 전문성이 없어도 쉽게 서비스에 고객 아이덴티티 관리 프로세스를 적용할 수 있도록 하는 고객 계정 접근제어(CIAM) 솔루션이다. 고객 경험을 해치지 않으면서 고객의 중요한 정보를 보호할 수 있어 GDPR·개인정보 보호법 등 각종 규제를 준수할 수 있다.

개발자 친화적인 CIC는 마켓플레이스에서 프라이빗·퍼블릭 클라우드 배포와 작업, 드래그 앤 드롭 통합으로 개발팀의 역량을 강화할 수 있다. 새 코드를 작성하지 않고도 현지화된 언어로 로그인 환경을 만들 수 있는 범용 로그인과 고객이 선호하는 소셜 로그인을 쉽게 사용할 수 있도록 한다. 패스워드리스 인증으로 고객 불편 없이 안전하게 인증할 수 있게 하며, 점진적 프로파일링으로 고객 편의성과 신뢰를 구축할 수 있다. 또한 봇을 이용한 불법 로그인 시도 차단과 공격 방지 등의 기술도 적용된다.