[데이터넷] 공격자는 해킹하지 않고 로그인한다. ID 관리가 그만큼 중요하다는 것이다. 공격자는 직접 훔치거나 구입한 계정을 이용해 접속하며, 계정에 부여된 권한 내에서 활동하면서 보안탐지 기술을 우회한다. 클라우드는 물리적 네트워크 보안 경계가 없어 ID만으로 접근이 가능하기 때문에 계정탈취 공격이 더 빈번하게 일어난다. 클라우드 환경에서의 ID 위협과 보호 방법을 알아본다.<편집자>

생체인증 결합 제로 트러스트 전략 전개

클라우드 환경을 위한 계정·접근관리 솔루션의 필요가 높아지면서 관련 솔루션 기업의 행보가 빨라지고 있다. 우리나라에 공급되는 솔루션은 토종 클라우드 서비스 지원, 국내 컴플라이언스 지원, 우리나라이 독특한 업무 환경 지원 기능을 추가하면서 발전하고 있다. 특히 토종 솔루션이 이러한 이슈에 적극 대응하면서 발전해나가고 있다.

피앤피시큐어는 통합 계정 접근관리(Unified-IAM) 솔루션 ‘디비세이퍼(DBSAFER)’와 실시간 안면인식을 통한 제로 트러스트 인증 솔루션 ‘페이스락커(FaceLocker)’를 결합해 사용 편의성을 높이면서 보안성을 강화한 새로운 접근 방식을 제안한다.

디비세이퍼는 시스템 접근제어, DB접근 제어, OS 접근제어를 유기적으로 통합한 솔루션으로, 단일 플랫폼에서 고객이 필요한 기능을 자유롭게 추가, 확장할 수 있어 관리 포인트와 비용을 줄이면서 보안을 한층 강화할 수 있다.

온프레미스와 클라우드 환경 등 환경에 제약없이 시스템, 네트워크, 데이터베이스에 대한 계정 관리, 권한 통제를 수행할 수 있으며, 기존 IAM의 인증과 권한 관리 기능을 지원할 뿐만 아니라 데이터베이스에 대한 접근 인증 워크플로우의 통합, 보고, 감사 기능을 갖추고 있다.

통합 접근제어 솔루션은 DB사용, 파일, 서버접속 등 사용자의 모든 작업을 감지하고 강력하고 광범위한 통제가 가능하도록 한다. 비용절감과 관리 리소스 절감 효과도 누릴 수 있으며, 통합 시스템으로 사용자 행위 추적을 용이하게 한다.

페이스락커는 안면인식을 통한 본인인증 솔루션으로, 화면을 보는 것 만으로 본인인증이 가능해 ID/PW 입력 없이 편하게 본인인증으로 업무 시스템에 접속할 수 있다. 중요한 결재, 승인도 안면인식만으로 진행될 수 있는데, 정책 조정을 통해 카메라를 정면으로 3초 동안 응시하게 하는 등의 방법으로 중요한 의사결정에서 추가인증의 효과를 거둘 수 있도록 한다. 페이스락커는 국내 대형 은행에 전사 도입됐으며, 대형 증권사의 재택근무 PC 인증 솔루션으로도 채택됐다.

디비세이퍼와 페이스락커를 결합시키면 확실하게 인증된 사용자만 DB, 시스템, OS에 접속할 수 있으며, 업무 중 지속적으로 본인 확인이 가능해 ‘지속적인 검증과 모니터링’을 원칙으로 하는 제로 트러스트 요건에 부합한다.

클라우드서도 기존과 동일한 보안 인증 제공

휴네시온의 시스템 접근제어·계정관리 서비스 ‘아이원NGS(i-oneNGS)’도 탁월한 클라우드 접근제어를 지원해 호평받고 있다. 아이원NGS는 내부 시스템 접근 경로를 일원화해 비인가 사용자의 접근을 차단하고, 인가된 사용자라도 정책 기반 접근통제로 우회 접속을 탐지하고 차단한다.

에이전트리스 방식으로 클라우드 환경 변화를 최소화하면서 구축할 수 있고, SMS, 이메일, OTP, 카카오톡, 생체인증 등 다양한 방식의 추가인증을 연동해 사용자 인증을 강화시킨다. 클라우드내 시스템의 계정, 패스워드 관리 기능을 통합해 관리·운영 편의성을 제공한다.

클라우드에서도 기존과 동일한 수준의 보안 기능을 제공하며, 하이브리드 운영도 가능하다. 행정·공공기관 대상 정보시스템 클라우드 전환사업에 참여해 130여개 기관 중 55개 기관에 접근제어 표준 제품으로 제공했으며, 이 밖의 공공기관, 금융기관, 일반 기업 등 500개 이상 고객에 공급했다. KT 클라우드, NHN, NCP, AWS 등 다양한 클라우드 인프라를 통해 130여개 고객사에게 서비를 제공하고 있다.

왕국의 열쇠 ‘특권 계정’ … 강력한 보안 필요

공격자가 노리는 ID는 특권을 가진 계정이다. 더 높은 가치의 데이터와 시스템에 접근할 수 있어 공격목표를 빠르게 달성할 수 있다. 특권계정을 ‘왕국의 열쇠’라고 하는데, 특권계정은 사람뿐만 아니라 웹 기반 콘솔, RPA에도 부여되며, 클라우드 애플리케이션에도 부여될 수 있다.

그래서 특권계정접근관리(PAM) 솔루션의 중요도가 매우 높아지고 있다. PAM은 정교하게 계산된최소권한 원칙을 기반으로 설계되어야 하며, 적시성(JIT)이 특히 중요하다. 필요한 만큼 권한을 부여받아 필요한 시간만큼 접근할 수 있어야 하며, 권한 검증과 허가, 허가되는 권한 범위와 시간은 상황에 따라 자동으로 조절될 수 있어야 한다.

퀘스트소프트웨어 원아이덴티티의 PAM 솔루션 ‘세이프가드(Safeguard)’는 안전하고 견고한 패스워드 저장소와 위협 탐지 및 분석기능을 제공하는 세션 관리, 모니터링 솔루션이 결합된 통합 솔루션으로, 특권 계정 접근을 안전하게 보관, 관리, 기록, 분석한다.

이 제품은 정책 기반 배포 제어와 전체 세션 감사와 기록, 재생, 변경관리, 사용자 행위기반 생체인식, VPN 없이도 어디서나 접속할 수 있는 원격접속이 가능하다. 광범위한 프로토콜 지원과 전체 텍스트 검색이 가능하다. 또한 유닉스 루트계정, AD 관리자 계정의 세분화된 위임, SUDO 기업용 전환하는 애드온 등의 기능도 포함된다.

원아이덴티티는 PAM과 IGA에 탁월한 리더십을 보유하고 있으며, 2021년 IdM 솔루션 원로그인(OneLogin)을 인수해 IAM 기능까지 완성했다. 원로그인은 높은 고객경험을 제공하며, CIAM 역량도 지원할 수 있다. 오픈커넥트, MFA 확장성, ID 주명주기 관리 등이 탁월하다. 가트너의 ‘2022년 PAM 분야 매직쿼드런트’에 원아이덴티티가 리더로, 원로그인이 도전자로 이름을 올리면서 양사 통합 시너지를 낼 수 있을 것으로 기대를 모으고 있다.

원아이덴티티 IGA 분야 리더십을 갖고 있으며, 아이덴티티에 대한 거버넌스를 체계적으로 관리한다. IGA는 IT 리소스 전반에서 자동화와 가시성을 개선해 거번너스와 규정 준수 요구사항을 관리하는 솔루션으로, IAM, PAM을 보완하는 개념으로 사용되다가 최근에는 IAM의 전략을 위한 패브릭으로 확장되고 있다. 가트너는 2025년까지 40% 이상 조직이 IGA 분석과 IGA 툴을 ID 패브릭에 통합시킬 것이라고 예측하면서 시장의 주목을 받고 있다.

엔터프라이즈부터 SMB까지 공급

국내 기업의 PAM 솔루션도 주목된다. 굿모닝아이텍이 공급하는 ‘시큐어키 PAM’은 PAM에 요구되는 새로운 사항을 모두 만족하면서 엔터프라이즈부터 SMB까지 도입 가능한 모델을 제안하고 있다.

‘시큐어키 PAM’은 멀티·하이브리드 클라우드 환경에서 최소권한 정책 기반 PAM으로 아이덴티티 중심의 포괄적인 사이버 보안 전략을 수립·운영할 수 있게 한다. 권한 있는 계정에 대한 상세한 통제, 모니터링과 감사 로그 생성, 지능화된 분석과 이벤트 관리, 공유계정 관리 등의 기능을 제공한다. 권한계정의 책임을 분명히 해 보안사고 가능성을 예방하고, 사고 시 정확한 원인 분석으로 복구 시간을 최소화한다. 계정, 접근통제와 관련된 규제준수를 지원하며 운영 효율성을 향상시킨다.

클라우드를 위한 시큐어키 솔루션은 PAM, MFA, 시크릿 매니지먼트, 아이덴티티 관리(IM)로 구성된다. 시큐어키 PAM 포 클라우드는 클라우드의 권한있는 자격증명 액세스를 중앙에서 보호하고 제어한다. 시큐어키 MFA는 FIDO2 인증을 받은 생체인증 기술을 활용한다. 안면·지문 등을 이용해 사용자 편의성을 높이며, 비밀번호 도용이나 재사용, 공유로 인해 발생하는 보안 문제를 해결한다. 생체인증이 어려운 경우 소프트토큰, QR코드를 이용한 인증도 가능하다.

시큐어키 시크릿 관리는 ‘시큐어키 사이드카’를 이용해 클라우드 애플리케이션에서 사용되는 비밀번호를 안전하게 관리한다. 시큐어키 IM은 클라우드 서버와 데이터베이스, 애플리케이션 계정 생성과 수집, 수정, 삭제 등 라이프사이클을 관리한다. 윈도우·유닉스·리눅스 등 다양한 OS 환경에서 아이덴티티 관리를 자동화해 관리되지 않은 계정이나 잘못된 권한 설정 등으로 인한 사고를 막는다.

클라우드·원격인력 보호하는 디지털 인증서

ID 관리가 중요해질수록 인증서 관리도 중요한 문제로 떠오른다. 인증서는 특정 신원을 확인하는 전자증명서로, 암호인증이 필요한 모든 곳에서 사용된다. 디지털 신뢰 전문기업 디지서트가 자동화된 인증서 관리 솔루션 경쟁력을 강조하면서 시장공략에 나선다.

디지서트의 통합 플랫폼 ‘디지서트 원’은 다양한 사용 사례를 만들고 있으며, 대표적으로 IBM의 WFA 환경을 들 수 있다. IBM은 수십만 명의 디바이스와 사용자, 직원, 협력업체 직원들이 전 세계 분산된 사무실과 지점, 지사, 협력업체 사업장, 재택근무, 다중이용시설 등 다양한 환경에서 사용자 경험을 보장하면서 안전하게 업무에 접속할 수 있도록 WFA를 구현했다.

디지서트 PKI와 인증서 관리 기술을 이용해 정상 사용자의 편리한 업무 접속을 보장하면서 이상행위를 지속적으로 검증하는 과정을 자동화, 단순화해서 안전하고 편의성 높은 업무 환경을 만들 수 있게 했다.

의료·기기 신뢰를 위한 사용사례로, 당뇨병 환자의 포도당 수치 모니터링에 적용된 것이 있다. 프로브를 이용해 포도당 수치를 측정하고 앱으로 데이터를 전송하는 데이터 조작을 방지하고 보호함으로써 의료 분야에서 디지털 신뢰가 어떻게 도움이 되는지 보여준다.

OT 환경에서도 여러 사용사례가 제안된다. 소매 업체가 네트워크에 연결된 기기로부터 데이터를 클라우드로 전송해 분석해 운영 효율을 높이고 있는데, 연결된 환경에서 기기 조작 방지, 보안·신뢰할 수 있는 펌웨어와 기기 ID 관리 등에 주의해야 한다. 디지서트는 수천 개의 소매 지점에서 네트워크로 연결된 기기를 보호하고 데이터 분석을 실현하도록 지원한다.