[데이터넷] 일상생활이 디지털화 되면서 비대면 환경에서 본인을 증명하는 ‘디지털 인증’이 중요해지고 있다. 간편하지만 강력한 보안이 보장되며, 온·오프라인에서 동시에 사용할 수 있고, 사람뿐 아니라 비인간 ID에도 적용 가능한 인증 기술이 다양하게 제안되고 있다. 차세대 인증 기술과 활용 사례를 소개한다.<편집자>

탈취한 계정정보, 다른 공격에 이용

안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다.

MFA 피로공격은, 공격자가 일부러 잘못된 MFA 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 MFA 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 MFA를 등록하는 방식으로 강력 인증을 무력화한다.

MFA 설정이 되지 않은 휴면계정에 MFA를 무단으로 등록한 후 정상 권한계정 사용자로 위장하거나, 사용자 정보를 미리 입수한 공격자가 MFA 발급 조직에 직접 연락해 MFA를 재설정하기도한다. 글로벌 기업은 시차를 이용해 공격하기 쉽다. 피해자가 자고 있는 시간에 MFA를 재설정하거나 비행기를 이용해 이동중일 때, 이 외 연락이 어려울 때 MFA를 재설정한다.

공격자는 피해자의 계정과 개인정보를 미리 입수해 이러한 공격을 진행한다. 반복되는 개인정보 유출 사고로 개인정보는 공공재나 마찬가지인 상황이 됐기 때문이다. 공격자는 이미 유출된 계정정보를 무작위로 입력해 로그인하는 크리덴셜 스터핑 공격으로 초기 침투에 성공한다. 초기 침투만 전문으로 하는 IAB(Initial Access Broker) 서비스도 있다. 가장 시간이 많이 드는 계정 탈취와 권한 획득 후 시스템 잠입에 성공하고, 대행 수수료를 받는 사이버 범죄 서비스(CaaS) 모델이다.

이러한 공격을 개시할 때 첫번째로 필요한 ‘계정정보’를 탈취하기 위한 침해시도가 계속 이어지고 있다. 특히 ID 관리기업이 연이어 해킹당하고 있으며 이 서비스를 이용하는 전 세계 기업·기관이 영향을 받을 수 있다는 우려도 높아지고 있다.

공격자들은 개인 피해자에게 사회공학 기법을 이용한 피싱 공격을 퍼붓기도 한다. 이력서, 급여이체 확인증, 연말정산 증빙서류 등 업무 혹은 일상생활과 관련된 메일을 보내 피해자를 감염시키고 정보를 탈취한다. 그 사례 중 하나로 글로벌 호텔 체인 MGM 리조트를 들 수 있다. MGM 리조트를 해킹한 공격자는 링크드인을 통해 관리 직원 정보를 입수한 후 헬프 데스크에 전화해 이 직원의 인증정보를 바꾸고 공격을 진행했다.

대규모 디지털 ID 성공운영 사례로 글로벌 진출

계정탈취 공격차단을 위해 계정 소유자의 각별한 주의가 필요하지만, 소유자가 아무리 주의해도 집요하고 지속적으로 시도하는 공격에 완벽하게 대응하지는 못한다. 그래서 디지털 ID를 관리하는 새로운 방법으로 분산ID(DID)가 제안된다. 블록체인에 디지털 인증서를 등록하고, 이 네트워크에 참여하는 기업이라면 별도의 회원가입과 개인정보 제공 없이 등록된 ID로 로그인 할 수 있도록 한다. 블록체인에 등록된 디지털 인증서는 이론적으로 위변조가 불가능하고 탈취가 어렵기 때문엔 개인이나 사업자가 직접 관리하는 것 보다 안전하다. 

라온시큐어가 DID 시장을 적극 공략하고 있다. 행정안전부 모바일 신분증 서비스에 플랫폼을 제공하면서 안정성을 입증했다. 라온시큐어는 FIDO 얼라이언스 보드멤버로, 이 협회를 글로벌 연합체로 성장시켜왔다.

이 경쟁력을 기반으로 설계된 라온시큐어 ‘옴니원 디지털 ID’는 디지털 증명서, 디지털 배지, 각종 증명서, 자격증, 이수증 발급과 관리, 사물인증(IDoT) 등에 사용할 수 있다. 세종시 블록체인 기반 자율주행차 신뢰 플랫폼 구축 사업을 성공시킨 바 있으며, 향후 스마트팩토리, 디지털 헬스케어, 발전소, 스마트시티, 교통 인프라, 스마트홈, 웨어러블 디바이스 등 다양한 분야에 적용할 수 있다.

라온시큐어 관계자는 “전 세계 13억 인구가 신분증이 없어 국가 복지 체계 혜택 등에서 소외되고 있다. 이 국가는 디지털 ID 도입이 필요해 월드뱅크, UN 등이 지원하고 있다. 라온시큐어는 행안부 모바일 신분증 등 대규모 디지털 ID 발급·운영 성공사례를 갖고 있어 글로벌 도전에 유리한 조건을 갖고 있다”며 “라온시큐어는 인도네시아와 동남아시아, 남미 다수국가와 디지털 ID 도입을 논의하고 있다”고 말했다.

계정 관련 거버넌스로 서비스 보호

디지털 환경에서 ‘계정(Identity)’은 로그인 시 필요한 ID 정보에만 국한되지 않는다. 사람, 사물, 봇, 애플리케이션, 데브옵스 등 연결되는 모든 것에 부여되며, 신원정보, 특성, 권한 등 다양한 정보가 포함된다.

세일포인트 조사에 따르면 조직 내 아이덴티티의 30% 이상이 기존 아이덴티티 솔루션 관리 범위 밖에 있으며, 특히 외주·협력사, 비 인간 아이덴티티, 데이터가 취약한 것으로 나타났다. 또 기업이 활용하는 IT 리소스가 늘어나면서 사용자 정보, 속성, 자격 증명까지 무분별하게 폭증하는 ‘아이덴티티 스프롤(Identity Sprawl)’ 현상도 일어난다. 세일포인트는 비인간 아이덴티티가 3~5년간 가파르게 증가할 것으로 예상하면서 더 심각한 보안문제가 발생할 것이라고 내다봤다.

세일포인트는 아이덴티티 거버넌스 관리(IGA) 솔루션 기업으로, 아이덴티티 관리·보안과 관련된 솔루션을 단일 플랫폼에서 제공한다. 회사 임직원과 외부 파트너, 비인간 계정까지 포괄하는 아이덴티티와 액세스 가시성을 확보·통제할 수 있으며, 다양한 워크플로우·시스템과 통합돼 아이덴티티와 사용권한 전반의 인사이트를 제공한다. AI/ML 기반 인텔리전스를 통해 아이덴티티·권한 소유와 사용에 대한 비정상적 패턴을 감지해 알려준다.

세일포인트는 국내 대형 제약사에 플랫폼을 구축, 디바이스, 장비, 제조시설과 연동된 아이덴티티·권한관리를 제공하고 있다.  금융 클라우드 규제 개선과 함께 개화되는 금융 클라우드를 위한 아이덴티티 솔루션 시장에서도 경쟁우위를 다지기 위해 금융시장 공략에도 속도를 내고 있다.

지정권 세일포인트코리아 지사장은 “세일포인트는 민첩성과 혁신성이 뛰어난 아이덴티티 솔루션을 제공한다. 데이터 사이언스 전담팀이 높은 수준의 AI를 적용해 엔터프라이즈 고객이 필요로 하는 지능적이고 자율적인 대응이 가능한 아이덴티티 보안 방식을 제공할 수 있다”며 “국내 제조, 금융권에서 세일포인트의 강점을 인정하고 높은 관심을 보이고 있어 높은 성장이 가능하다고 자신한다”고 말했다.

권한계정 보호해 심각한 위협 사전 방어

계정에는 권한이 부여된다. 공격자가 이용하는 것은 ‘권한’이며, 높은 권한을 가진 계정일수록 공격당하기 쉽다. 사이버아크 조사에 따르면 민감도가 높은 직원의 접근성이 적절하게 보장되지 않고 있다고 답한 IT 전문가가 62%에 이르며, 인간보다 더 많은 수의 머신이 민감한 액세스 권한을 갖고 있다고 응답했다(39% 대 45%).

가장 민감한 권한계정은 가장 강력하게 통제되어야 하는데, 실제 현장에서는 아웃소싱 직원에게도 최고관리자 권한을 부여하는 등 기본적인 관리조차 되고 있지 않다. 그래서 권한접근관리(PAM) 솔루션이 필요하다.

PAM은 권한을 가진 모든 계정을 관리·보호해 권한탈취 공격자의 이상행위를 막을 수 있다. PAM은 제로 트러스트 원칙에 따라 최소한의 범위에서만 권한을 부여하고 지속적으로 신뢰를 평가해 이상행위를 탐지하고 권한 사용자의 오남용을 막을 수 있게 한다.

PAM 분야 리더인 사이버아크는 시스템, 애플리케이션, 엔드포인트, SaaS 전반에서 권한있는 계정을 관리하면서 감염된 기기와 사용자의 권한을 즉시 제한하고 차단해 전체 인프라를 보호한다. 인사시스템과 연동해 디지털 ID, 애플리케이션, 업무 시스템, 시스템 권한 일관성을 신속하게 관리하고 정확하게 운영할 수 있다. 사이버아크 통합인증 플랫폼은 국내 제조, 이커머스, 제약사 등 여러 산업군 고객에게 공급하면서 시장에서 영향력을 강화하고 있다.

김광수 사이버아크코리아 부장은 “사이버아크는 사용자뿐만 아니라 비 사용자와 디바이스까지 모든 대상으로 하는 일관된 접근제어 솔루션을 제공하고 있다. 사이버아크 통합 인증 플랫폼은 인가된 사용자, 애플리케이션, 디바이스에 대한 접근 방법, 시간, 대상 시스템 등을 통제하며, 모든 접근과 작업 내용을 철저히 기록한다. 이를 통해 일반 사용자, 클라우드 관리자, 네트워크 관리자, 시스템 관리자, 개발자, 보안 관리자, 감사 등 모든 사용자에게 통합된 접근과 보안 솔루션을 제공한다”고 말했다.

굿모닝아이텍이 공급하는 시큐어키의 ‘시큐어키 PAM’도 국내외 여러 산업군 고객으로부터 호평을 받으면서 시장 점유율을 높이고 있다. 시큐어키 PAM은 생체인증, 접근통제, 비밀번호 관리 시스템과 PAM에 필요한 기타 여러 기능을 통합했으며, 멀티·하이브리드 클라우드를 지원한다.

적시(JIT) PAM을 위한 제로 스탠딩 권한(ZSP) 정책을 적용해 지속적이고 상시적인 특권 액세스를 제거하며, 액세스와 권한 사용이 필요한 경우에만 자동으로 부여한다. 이를 통해 특권권한을 탈취한 공격자 혹은 특권 권한 사용자가 실수·고의로 대규모 사고를 일으키지 못하게 한다.

시큐어키는 온프레미스, 클라우드 환경에서 모든 유형의 아이덴티티를 보호하는 통합 솔루션을 제공한다. 어플라이언스, 가상 어플라이언스, 클라우드 SaaS로 제공되며, 온프레미스와 멀티·하이브리드 클라우드 환경에서 중단없는 제로 트러스트 아이덴티티 요구가 지켜질 수 있게 한다.