클라우드 시대, 서버 없이 플러그인 가능한 인증 기술 전환해야
[데이터넷] 사상 초유의 정부 행정망 마비 사건은 정부 인증시스템 네트워크 장비 오류가 원인으로 밝혀졌다. 이 사건이 시사하는 여러 의미가 있지만, 게이트웨이 방식의 인증서버가 갖는 근본적인 문제를 해결해야 한다는 점을 주의 깊게 살펴봐야 한다.
이번 사건 이전에도 기존 인증 방식의 한계가 분명하게 드러나는 사고가 여러 차례 있었다. 특히 랩서스 조직에 의해 기밀정보 유출 사고를 겪은 국내 글로벌 기업의 경우, 2차인증 우회, MFA 피로공격 등으로 내부정보에 접근할 수 있는 권한을 탈취당한 것으로 알려진다.
기존 인증 방식은 프록시·게이트웨이 서버를 통하는 것으로, 우회접속과 원격접속이 가능하다. 이를 보완하기 위해 FIDO 표준 기반 인증으로 간편하지만 안전하게 인증하도록 하는데, 이 방식은 통신장애가 발생하거나 외부 연결이 불가능한 보안지역에서는 인증서버와 통신할 수 없어 인증을 받을 수 없다. 또 단시간 인증 요청이 몰릴 때 속도가 크게 저하되며, 인증서버 장애 시 관련 서비스가 중단된다는 문제도 있다.
클라우드 시대에는 별도의 인증서버 방식이 아니라 개별 또는 분산인증 방식인 플러그인 가능한 모듈인증(PAM)을 고려해야 한다. 별도의 인증서버가 필요 없는 PAM은 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 누구나 손쉽게 곧바로 적용해 사용할 수 있고, 모듈인증 방식을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없다.
시스템과 인프라는 새로운 방식으로 바뀌고 있는데, 전통적인 인증서버 기반 인증을 고집해서는 안된다. 누리아이티의 ‘바로팸(BaroPAM)’과 같은 새로운 환경에 맞는 인증 방식이 필요한 때이다.
