[데이터넷] 공격자는 해킹하지 않고 로그인한다. ID 관리가 그만큼 중요하다는 것이다. 공격자는 직접 훔치거나 구입한 계정을 이용해 접속하며, 계정에 부여된 권한 내에서 활동하면서 보안탐지 기술을 우회한다. 클라우드는 물리적 네트워크 보안 경계가 없어 ID만으로 접근이 가능하기 때문에 계정탈취 공격이 더 빈번하게 일어난다. 클라우드 환경에서의 ID 위협과 보호 방법을 알아본다.<편집자>

오남용되는 관리자 권한

공격자가 클라우드를 공격하기 위해 가장 많이 사용하는 유효한 인증정보가 다크웹에서 10.68달러에 판매되고 있으며, 다크웹에서 판매되는 클라우드 자산 중 크리덴셜이 90%에 이른다. 이는 IBM 조사에 따른 것으로, 클라우드 보안 사고의 36%가 유효한 인증정보를 사용한 것이었으며, 클라우드 환경과 관련된 침해의 33%에서 사용자 엔드포인트에 평문으로 저장된 자격증명이 발견됐는데, 이 자격증명에는 과도한 권한이 부여돼 있었다.

지하시장에서 클라우드 계정 정보가 ‘절찬리’에 판매되는 이유는 탈취한 계정정보를 이용한 클라우드 공격 성공률이 높고 공격자의 수익을 높일 수 있기 때문이다. 맨디언트가 금전목적 공격그룹 UNC3944의 공격방식을 분석한 보고서를 보면, 이들은 스미싱·피싱으로 사용자를 속여 개인정보를 탈취하고, 이 정보를 이용해 헬프데스크를 속여 MFA를 재설정하며, 내부 시스템에서 특권계정을 훔쳐 주요 정보를 탈취한다.

계정탈취 공격자들은 오남용된 권한을 찾아 더 심각한 피해를 입힐 수 있는 공격을 진행한다. 오르카 조사에서는 33%의 조직이 클라우드 환경에서 10% 이상 IAM 역할에 전체 관리자 권한을 부여하고 있으며, 10%의 조직은 역할의 40% 이상에 관리자 권한을 부여하고 있다. 특히 AWS 계정의 IAM은 ID가 수행할 수 있는 작업과 액세스할 수 있는 리소스를 지정하는 특정 권한이 있는 ID로, IAM 사용자와 달리 IAM 역할은 한 사람에게 한정되지 않으며 권한이 있는 사람이라면 누구나 맡을 수 있다.

최근 공격자들이 집중적으로 노리는 권한계정은 개발자 계정이다. 개발자 자격증명을 이용해 소프트웨어 개발·운영 파이프라인에 침투한 공격자가 취약점이 있는 코드를 삽입시키고, 배포 과정에서 감염된 라이브러리가 포함되도록 하면서 대규모 소프트웨어 공급망 공격을 펼친다.

자동화된 ID 관리 솔루션 필수

ID를 보호하기 위해서는 사용중인 ID를 식별하고 분류하며 정책을 부여하고 직무별 권한 변경이 자동으로 진행될 수 있는 ID 관리 솔루션이 필수다. 특히 새로 채용된 직원이나 기기에 ID와 권한을 부여해 필요한 서비스에 자동으로 온보딩시키며, 변경사항을 즉시 반영하고, 퇴사 혹은 기기 사용 종료 시 ID를 제거해 공격자가 악용하지 않도록 한다. ID는 애플리케이션, 서비스, 봇 등에도 부여되기 때문에 ID가 생성되는 모든 것에 자동화된 ID관리가 가능하도록 해야 한다.

전통적인 ID 관리 솔루션은 이러한 요건을 만족시키지 못한다. 현재 ID 관리 솔루션은 온프레미스 환경에 최적화돼 있어 클라우드의 빠른 변화를 지원하지 못하며, 표준을 따르지 않아 자동화를 적용하는 것도 어렵다. 새로운 애플리케이션과 서비스 지원에 많은 시간과 복잡한 작업이 필요하며, 소속된 직원 외의 다른 계정과 권한 관리에 많은 제약이 있다.

그래서 서비스마다, 애플리케이션마다, 클라우드마다 각각 다른 ID 관리 솔루션을 체계 없이 사용하게 됐는데, 마이크로소프트 조사에 따르면 기업은 평균 45개의 보안도구와 9개의 ID·접근제어 솔루션을 사용하고 있다. 그런데 매 1초마다 921건의 암호 탈취 시도가 발생해 큰 피해로 이어지게 된다.

마이크로소프트는 ID 관리와 보호를 위한 모든 기능을 통합한 ‘엔트라(Entra)’를 통해 이 문제를 해결한다. 엔트라 제품군은 제로 트러스트 원칙을 적용해 어디서나 모든 앱과 리소스에 안전하게 액세스할 수 있도록 하면서 사용자 경험을 단순화한다.

엔트라는 ▲사용자, 앱, 워크로드, 기기 ID를 관리하는 ‘엔트라 ID(구 애저AD)’, 중요 자산 액세스 보호, 모니터링, 감사하는 ‘엔트라 ID 거버넌스’ ▲고객, 파트너를 위한 보안 액세스 ‘엔트라 익스터널 ID’ ▲개방형 표준 기반 신원자격 증명 발급, 확인 솔루션 ‘엔트라 베리파이드 ID’ ▲멀티 클라우드 인프라 ID 권한 관리 ‘엔트라 권한 관리’ ▲앱과 서비스가 클라우드 리소스에 안전하게 액세스하도록 지원하는 ‘엔트라 워크로드 ID’ ▲인터넷, SaaS, M365 보안 액세스를 지원하는 ‘엔트라 인터넷 액세스’ ▲비공개 앱에 안전하게 접속할 수 있도록 지원하는 ‘엔트라 프라이빗 액세스’로 구성된다.

클라우드 최적화된 IAM 필요

ID 관리는 액세스 제어와 통합되어야 완전한 ‘아이덴티티’ 보호가 가능하다. ID에 적용된 정책대로 사용자와 기기의 접근을 통제할 수 있는 통합 플랫폼 IAM은 클라우드 환경의 필수 솔루션으로 자리 잡았다. 클라우드에서의 IAM은 온프레미스와 다른 차원의 자동화와 셀프서비스가 필요하다.

기업·기관이 사용하는 수백개의 클라우드 서비스와 애플리케이션에 모든 임직원과 외부직원, 고객이 접근하기 때문에 완벽한 자동화 프로세스가 적용되어야 하며, 직원 스스로 정책에 따라 ID를 발급받고 필요한 애플리케이션에 접속할 수 있도록 해야 관리 조직의 부담을 줄이면서 관리자 실수에 의한 ID 오남용이나 불법 침입을 막을 수 있다.

클라우드 ID 관리 기술 적용 시 반드시 고려해야 할 사항으로 고객계정 관리가 있다. 고객정보 탈취 사고가 발생했을 때 책임소지가 어디있는지 입증할 책임은 기업에게 있기 때문에 기업은 어떠한 상황에서도 고객 정보가 유출되지 않도록 보호해야 한다. 그런데 너무 강력한 고객보호 정책으로 고객의 접근을 불편하게 하면 서비스 경쟁력이 낮아진다.

수시로 변하는 애플리케이션에서 고객계정 보호 기술을 일일이 적용하는 것도 쉬운 일은 아니다. 개발자들은 고객계정 보호 관련 기술을 갖고 있지 않은데, 서비스 개발 완료 후 이 기술을 따로 개발해 적용하는데 일정한 시간이 걸리고, 서비스와 맞지 않은 동떨어진 고객 경험을 제공할 수 있다.

최근 데이터 주권이 강조되면서 고객은 자신의 정보를 직접 통제하기를 원하는데, 대부분의 서비스는 개인정보 주체가 자신의 데이터를 편집하거나 삭제할 수 있는 옵션을 제공하지 않는다. 많은 모바일 앱이 슈퍼앱으로 통합되고 있는데, 제대로 통합되지 못한 앱은 사용자가 필요한 기능을 찾기 어려울 만큼 복잡하며, 로그인 정보가 연계되지 않아 반복해서 재인증을 요구하거나, 인증 없이 접근이 가능해 보안 문제를 일으킨다.

고객계정접근관리(CIAM) 솔루션은 온라인에서 고객정보를 강력하게 보호하면서도 편리한 고객경험을 보장하는 서비스 개발을 지원한다. 개발자가 ID에 대한 지식이 없어도 쉽게 고객과 직원의 계정을 보호하면서 사용자 경험을 개선할 수 있게 한다. 고객과 직원 ID 수명주기를 최적화하며, 중앙집중식 ID 관리와 액세스 정책을 적용할 수 있게 한다. 사용자 그룹과 특성에 맞춘 접근조건을 부여하고, 단일 채널을 통해 고객과 직원의 경험을 관리할 수 있게 한다.

ID 가시성·규제준수 지원

CIAM 시장의 대표주자로 원웰컴(OneWelcome)이 있다. 2022년 탈레스에 인수된 원웰컴은 사용자 친화 기능을 제공해 정보주체가 직접 자신의 정보를 제어할 수 있도록 하며, 디바이스와 채널에 관계없이 일관된 경험을 가질 수 있도록 한다. 기업의 개인정보보호 담당자와 보안 책임자는 GDPR, 개인정보 보호법 등 다양한 규제준수 요건을 만족하는 서비스 운영이 가능하다.

탈레스는 SSO, 패스워드리스, PAM, IGA 등 계정 및 접근통제(IAM)를 위한 다양한 솔루션을 제공하고 있다. 접근관리와 인증 포트폴리오를 보유하고 있으며, MS 애저, 옥타 등 다양한 ID 관리 솔루션과 연계해 유연하고 통합 IAM을 완성할 수 있다.

탈레스 접근관리 솔루션은 200개 이상 앱에 사전 설정됐으며, 온프레미스와 클라우드 앱에 대한 합당한 수준의 보안 레벨을 적용했다. 스마트 SSO와 이미 배포된 MFA를 활용하는 범용 인증, FIDO2 지원 인증, 패스워드리스 인증 등으로 인증에 필요한 예산을 줄일 수 있도록 한다.

탈레스에서 제공하는 접근통제 솔루션 ‘세이프넷 트러스티드 액세스(STA)’는 세분화된 액세스 보안을 제공하는 SSO로, 단일 콘솔에서 수많은 클라우드와 웹 기반 애플리케이션에 액세스 할 수 있게 하며, 비즈니스 전반의 가시성 확보와 규제준수가 가능하다.