[데이터넷] ID 관리 기업 옥타 해킹 사고 여파가 계속 이어지고 있다. 옥타는 공격자가 9월 28일부터 10월 17일까지 옥타 고객 134명의 고객지원 시스템 내부 파일 무단 액세스 권한을 얻었다고 3일 공식 발표했다. 해커가 액세스 한 파일에는 웹사이트와 브라우저간의 상호작용을 추적하는 HAR 파일이 있었으며, 세션 하이재킹 공격에 사용될 수 있는 세션 토큰도 포함돼 있었다. 옥타는 지난달과 지난해에도 해킹으로 자격증명 정보를 탈취당해 신뢰에 치명적인 타격을 입은 바 있다.

옥타 해킹 사고에 업계의 관심이 집중되는 또 다른 이유는, 옥타를 통해 유출된 자격증명 정보가 또 다른 공격에 이용될 수 있기 때문이다. 옥타 고객인 원패스워드, 클라우드플레어 등이 이 사실을 공개적으로 알리면서 옥타의 책임을 강하게 질책하고 있다.

서비스형 사이버 범죄 쉽게 하는 ID 탈취 공격

특히 ID 탈취를 통한 추가 공격은 서비스형 사이버 범죄(CaaS) 시장을 더 활성화시킬 수 있어 더욱 더 주의가 요구된다. CaaS를 성행하게 하는 비즈니스 모델 중 하나가 초기침투 브로커(IAB)이기 때문이다. IAB는 탈취한 자격증명이나 취약점 등을 이용해 목표 조직에 초기 침투까지 성공한 후 다른 조직에게 판매한다. 사이버 공격에서 가장 많은 시간과 리소스가 소요되는 초기 침투 단계를 대행하기 때문에 정치·금전적 목적을 가진 공격그룹이 더 쉽게, 더 효과적으로 목표를 달성할 수 있다.

IAB는 직접 해킹을 통해 계정 정보를 수집하거나, 이전에 유출된 계정 정보를 무작위 대입하는 크리덴셜 스터핑으로 추가 정보를 완성하기도 한다. 지하시장에서 판매하는 정보를 이용하기도 하는데, IBM 조사에서는 클라우드 침투에 사용되는 계정 정보가 10.68달러에 판매되고 있으며, 전체 클라우드 보안사고의 36%가 유효한 인증정보를 사용한 것이었다.

랜섬웨어오알지(Ransomware.org)는 지하시장에서 판매되는 도난당한 자격증명이 150억개에 이른다고 밝혔는데, 이 자격증명 중 중요한 시스템 접근이 가능한 권한계정과 관련된 것도 상당수에 이른다. 이러한 권한계정을 이용하면 보안탐지를 우회해 성공적으로 목표 시스템에 잠입할 수 있다.

정상 권한계정 악용 공격 증가

권한계정은 공격자들이 가장 좋아하는 것으로, 접근성이 높은 클라우드에서는 더 심각한 보안위협으로 이어질수 있다. 권한계정을 이용하면 IT 인프라와 애플리케이션의 구성을 변경하고, 데이터를 생성, 수정, 삭제할 수 있으며, 보안 탐지·차단 시스템을 속이면서 침해 활동을 전개할 수 있다.

정상 권한계정을 가진 내부자에 의한 사고도 자주 일어난다. 정규직원, 외부 파트너, 계약직 직원 등에게 정상적으로 발급된 계정에서도 사고가 일어난다. 업무 편의를 위해 부서 내, 혹은 외부 직원과 ID/PW를 공유하거나 2차인증 프로세스를 갖추지 않은 경우, 혹은 2차인증도 공유하는 경우 권한계정으로 인한 침해사고가 발생한다.

권한계정을 가진 사용자가 작업 시스템에서 관리자 승인 없이 shutdown, rm, kill 등의 명령어를 사용해 시스템 전체를 위험하게 만들 수 있으며, sudo 명령어 등을 사용해 허가되지 않은 root 권한을 획득할 수 있다.

원격·재택근무로 인해 권한계정 사고 위험이 더 높아지고 있다. 이동이 제한된 코로나19 동안 중요 시스템 관리를 원격에서 수행할 수밖에 없었는데, 코로나19 이후에도 원격관리 체계가 굳어지면서 권한계정의 원격접속 관리 수요도 늘고 있다. 원격접속은 특히 IT 아웃소싱 서비스나 OT/ICS 등 중요 인프라에 대한 권한계정 접근이 일상적으로 일어나면서 보안사고 발생 가능성이 높아지고 있다.

버라이즌 조사에 따르면 2022년 발생한 전체 침해사고의 74%가 내부자 권한을 이용해 발생한 것으로 집계됐으며, IBM 조사에서는 내부자에 의한 데이터 유출 피해가 490만달러로, 일반 데이터 유출 피해액 445만달러보다 9.6% 높은 것으로 나타났다.

최소권한원칙 PAM으로 권한 오남용 피해 예방

권한계정의 불법탈취와 오남용, 혹은 실수로 인한 사고를 막기 위해 특권접근관리(PAM)가 필요하다. PAM은 권한있는 계정과 자격증명에 대한 액세스, 명령 실행을 통제하는 중앙집중관리 솔루션으로, 관리자 계정뿐만 아니라 일시적으로 승인된 사용자, 권한을 가진 모든 내·외부 계정을 관리한다.

우리나라에서 PAM은 서버 접근제어(SAC), 접근제어(AM), 비밀번호 관리 시스템(PM)으로 불렸다. 그러나 이 기술은 PAM이 제공하는 많은 기능 중 일부로, 권한계정 검색, 매핑, 보고하는 PAM의 전반적인 기능을 제공하지 못한다.

PAM은 모든 시스템과 애플리케이션, 데이터에 접근을 통제하고, 계정의 권한 부여, 액세스 추적·기록, 모니터링 등의 포괄적인 기능을 담당한다. 최소권한원칙에 따른 권한통제를 적용하며, 누가, 언제, 어떤 권한 계정을 사용해 무엇을 하는지 기록해 권한 사용자의 오남용이나 공격자의 불법 행위를 식별한다.

다단계 인증(MFA), 비밀번호 없는 인증 등을 사용해 자격증명을 공개하지 않고도 권한있는 계정을 사용할 수 있게 하며, 특정작업만 실행되도록 허용하고, 사용자 권한을 일시적으로 상승시켜야 할 때 관리자 승인을 거치도록 하며, 모든 작업은 기록하고 이상행위를 감시한다.

엔드포인트 권한관리도 필수

PAM은 엔드포인트 권한관리를 위해서도 사용된다. 윈도우의 경우 기본적으로 모든 사용자에게 관리자 권한이 부여되기 때문에 사용자가 PC의 중요 설정을 변경하거나 애플리케이션 설치·삭제, 데이터 저장과 삭제, 변경이 가능하다.

그래서 랜섬웨어 공격자가 PC 사용자 계정을 탈취해 중요 데이터를 무단으로 암호화하고 시스템 설정 변경하거나 파괴할 수 있다. 이에 PC 권한관리를 위한 PAM이 사용되고 있으며, 국내금융권은 이를 의무적으로 도입해야 한다.

엔드포인트 PAM은 어디서나 일하는(WFA) 환경에서 중요도가 높아지고 있다. 재택근무, 이동·출장 근무자가 무단으 로 엔드포인트 설정을 바꾸거나 랜섬웨어 등 공격을 당할 수 있기 때문에 관리자 권한을 제거해 PC 설정 변경을 금지하고 회사의 보안 정책을 준수할 수 있도록 지원하는 PAM이 필요하다.

PAM은 엔터프라이즈에서 주로 도입되어왔지만, 중견·중소기업에서도 수요가 늘어나고 있다. 중견·중소기업은 클라우드 도입 속도가 빨라지면서 권한계정이 급증하고 있어 PAM 도입 문의가 증가하고 있다. 이들은 비용 효율적이면서 구축과 관리가 용이한 클라우드 PAM을 선호한다.

모든 환경서 동일한 아이덴티티 관리 지원

굿모닝아이텍이 공급하는 ‘시큐어키 PAM’은 PAM에 요구되는 새로운 사항을 모두 만족하면서 엔터프라이즈부터 SMB까지 도입 가능한 모델을 제안하고 있다. 시큐어키는 시큐어가드테크놀러지를 합병한 아이덴티티 관리 전문기업으로, 온프레미스부터 하이브리드 클라우드, SaaS까지 심리스한 제로 트러스트 아이덴티티를 이행할 수 있게 한다. 자동화된 아이덴티티 관리와 권한계정 접근관리, 인증·권한 부여, 모니터링, 시크릿 관리, 규제준수 요건 지원 등을 통해 권한탈취 공격자와 권한 사용자로 인한 위협을 효 과적으로 낮춘다.

시큐어키 대표 제품인 ‘시큐어키 PAM’은 시큐어가드테크놀러지의 비밀번호 관리 시스템 ‘APPM 포 패스워드’와 접근통제 시스템 ‘아이라스(iRASS)’, 생체인증 솔루션 ‘APPM 포 간편로그인’, 그리고 PAM에 요구되는 여러 기능을 통합해 완성한 솔루션이다. 멀티·하이브리드 클라우드 환경에서 최소권한 정책 기반 PAM으로 아이덴티티 중심의 포괄적인 사이버 보안 전략을 수립·운영할 수 있다.

시큐어키 PAM은 권한 있는 계정에 대한 상세한 통제, 모니터링과 감사 로그 생성, 지능화된 분석과 이벤트 관리, 공유 계정 관리 등의 기능을 제공한다. 권한계정의 책임을 분명히 해 보안사고 가능성을 예방하고, 사고 시 정확한 원인 분석으로 복구 시간을 최소화한다. 계정, 접근통제와 관련된 규제준수를 지원하며 운영 효율성을 향상시킨다.

적시(JIT) PAM을 위한 제로 스탠딩 권한(ZSP) 정책을 적용해 지속적이고 상시적인 특권 액세스를 제거하며, 액세스와 권한 사용이 필요한 경우에만 자동으로 부여한다. 이를 통해 특권권한을 탈취한 공격자 혹은 특권 권한 사용자가 실수·고의로 대규모 사고를 일으키지 못하게 한다.

사용자 경험 개선하며 효과적인 접근 통제 제공

시큐어키는 온프레미스, 클라우드 환경에서 모든 유형의 아이덴티티를 보호하는 통합 솔루션을 제공한다. 어플라이언스, 가상 어플라이언스, 클라우드 SaaS로 제공되며, 온프레미스와 멀티·하이브리드 클라우드 환경에서 중단없는 제로 트러스트 아이덴티티 요구가 지켜질 수 있게 한다.

클라우드를 위한 시큐어키 솔루션은 PAM, MFA, 시크릿 매니지먼트, 아이덴티티 관리(IM)로 구성된다. '시큐어키 PAM 포 클라우드'는 클라우드의 권한있는 자격증명 액세스를 중앙에서 보호하고 제어한다.

시큐어키 MFA는 FIDO2 인증을 받은 생체인증 기술을 활용한다. 안면·지문 등을 이용해 사용자 편의성을 높이며, 비밀번호 도용이나 재사용, 공유로 인해 발생하는 보안 문제를 해결한다. 생체인증이 어려운 경우 소프트토큰, QR코드를 이용한 인증도 가능하다.

시큐어키 시크릿 관리는 ‘시큐어키 사이드카’를 이용해 클라우드 애플리케이션에서 사용되는 비밀번호를 안전하게 관리한다. 시큐어키 IM은 클라우드 서버와 데이터베이스, 애플리케이션 계정 생성과 수집, 수정, 삭제 등 라이프사이클을 관리한다. 윈도우·유닉스·리눅스 등 다양한 OS 환경에서 아이덴티티 관리를 자동화해 관리되지 않은 계정이나 잘못된 권한설정 등으로 인한 사고를 막는다.