자동화된 ID 관리·강력한 인증 기술로 보호해야
[데이터넷] 옥타가 연이어 해킹을 당하면서 ‘ID’에 비상이 걸렸다. 랩서스 해킹부터 시작해 옥타 모든 고객에게 영향을 주는 해킹사고까지 발생했으며, 옥타가 이용하는 서드파티 서비스 때문에 전현직 직원과 가족의 개인정보가 유출당하는 사고도 당했다.
옥타에서 탈취한 정보가 다른 공격에 사용될 수 있다. 카지노 기업 시저스와 MGM 리조트가 랜섬웨어 공격을 당해 큰 피해를 입었는데, 이들은 모두 옥타 고객이었으며, 공격 단계 중 유출된 옥타 관리자 계정이 있었던 것으로 알려진다.
권한있는 계정 자동화된 보호 필수
계정에는 중요 시스템과 데이터에 접근할 수 있는 권한이 있기 때문에 공격자가 보안 탐지에 걸리지 않고 쉽게 침투할 수 있다. 그래서 공격자들이 계정 탈취를 위한 다양한 공격 활동을 전개하고 있다.
디지서트 조사에서는 지난해 아태지역 기업 72%가 신원확인 공격을 경험했다. 이 공격으로 수집된 정보는 다크웹에서 판매되거나 다른 공격에 이용된다.
지하 시장에서 몸값을 올리고 있는 서비스형 범죄(CaaS) 조직인 초기 침투 브로커(IAB)는 계정을 훔치고, 훔친 계정으로 목표 시스템에 잠입한 후 이를 다른 공격자에게 판매한다. 공격자가 이를 이용하면 더 쉽고 빠르게 공격 목표를 달성할 수 있다. IBM 조사에 따르면 다크웹에서 판매되는 클라우드 자산 중 크리덴셜이 90%이며, 유효한 인증정보는 10.68달러에 판매되고 있으며, 이를 이용한 사고가 전체 클라우드 사고의 36%에 달한다.
계정정보가 다양한 공격에 사용되기 때문에 기업·기관에서는 ID 보호를 위한 투자에 나서야 한다. ID 전체 라이프사이클에 대한 자동화된 보호, 최소권한원칙의 접근통제 정책, EDR·SIEM 등 모니터링·탐지 솔루션과 연계해 전체 공격 흐름을 파악과 대응이 필요하다.
ID는 조직에 속한 임직원뿐 아니라 파트너, 계약직 직원, 애플리케이션, 봇, IoT 기기 등에도 부여된다. 사람이 아닌 기계 ID는 사람의 개입 없이 자동으로 신원확인과 접근 통제, 모니터링이 필요하기 때문에 완벽하게 자동화된 ID와 접근관리가 필요하다.
가트너는 ID 인프라를 패브릭으로 구성하고 보안을 강화해야 한다고 설명하면서 ID 패브릭 면역성을 높이면 새로운 공격을 85% 막을 수 있고, 침해로 인한 재정적 영향을 80% 줄일 수 있다고 설명했다.
IAM·PAM 그리고 CIAM
계정의 권한에 따라 접근 허용·차단을 결정하고, 권한있는 사용자의 접근이라도 이상행위를 모니터링해야 한다. 이를 위한 IAM, PAM은 물론 고객을 위한 CIAM도 필요하다.
사용자 경험을 높이기 위해서는 강력한 보안과 편의성이 보장된 간편인증이 필요하다. 사용자가 입력하는 길고 복잡한 비밀번호가 아니라 생체인증, PIN 번호 인증 등 간단한 방법을 사용해 인증하는 패스키가 가장 많이 사용되는 인증 방법으로 자리 잡았다.
FIDO 얼라이언스에 따르면 전 세계 소비자 브랜드에서 80억명의 사용자 계정에 패스키가 적용됐다. 패스키는 자격증명 정보를 OS나 웹브라우저에 저장하고, 클라우드를 사용해 동일한 생태계 장치 간 동기화시키는 간편인증 방식이다. 예를 들면 설명하면 패스키를 지원하는 스마트폰 생체인식 기능을 이용해 본인확인을 하면 패스키 지원 웹 서비스에 로그인되는 방식이다.
패스키에 보안 허점이 없는 것은 아니다. 패스키는 공개 키와 비공개 키로 이뤄진 한 쌍의 키가 맞아야 인증이 완료되는 방식으로, 하나의 키만 탈취한 공격자는 로그인할 수 없다. 그런데 패스키 인증 정보가 저장된 기기를 잃어버렸을 경우, 크리덴셜이 저장된 기기의 저장소가 해킹당했을 경우의 대안도 반드시 마련해야 한다.
또 생체정보가 유출돼 오용될 가능성도 고려해야 한다. SNS나 인터넷의 이미지·동영상 화질이 좋아지면서 지문, 얼굴 등의 정보가 정확하게 공개되고 있기 때문에 유명인의 얼굴, 지문 등을 도용한 공격 가능성이 제기된다.
최근 보안 솔루션은 AI를 이용해 조작된 이미지와 영상을 탐지하는 기술을 탑재하고 있는데, 공격자는 이를 다시 우회하는 더 정교한 기술을 사용하고 있어 생체정보 오용으로 인한 보안 위협이 현실로 다가왔다. 특히 생체정보는 한번 유출되면 수정할 수 없기 때문에 강력한 보안 대책 마련이 요구된다.
