비대면 업무 증가하며 계정탈취 통한 보안위협 높아
[데이터넷] 공격자는 시간과 비용이 많이 드는 악성코드보다 탈취된 계정정보를 이용하는 방법을 더 선호한다. 다크웹에서 무료로 혹은 저렴하게 판매되는 계정정보, 방치된 클라우드에 남아있는 계정정보 등을 이용하면 정상 권한을 가진 사람으로 로그 인 할 수 있다. 코로나19로 비대면 업무가 증가하면서 계정탈취를 통한 보안위협과 권한 오남용, 비인가 단말 사용을 통한 위협은 더욱 높아지고 있다.
실수·권한 오남용으로 인한 리스크 ‘심각’
많은 기업과 기관이 강력한 경계기반 보안을 구축하고 운영하고 있지만, 정상 사용자 계정을 이용하는 침입자에 대한 통제는 부족하다. 시스템 침투에 성공한 공격자는 내부 네트워크 내에서 중요 시스템 계정 정보를 얻어갈 수 있다. 소스코드에 심어놓은 계정 비밀번호도 쉽게 알아낼 수 있으며, 업무 편의를 위해 공유하는 계정 정보도 ‘주워’ 갈 수 있다. 암호화 문서의 복호화 키를 내부 메일로 공유하기 때문에 공격자가 쉽게 문서를 열어볼 수 있으며, 암호화 데이터를 복호화 키와 함께 외부로 유출할 수 있다.
탈취된 계정 뿐 아니라 사용자의 실수나 권한 오용, 설정 오류로 인한 피해도 심각한 비즈니스 리스크다. 버라이즌의 ‘데이터 유출 조사 보고서(DBIR) 2020’에 따르면 데이터 유출 사고의 22%는 실수에 의해 발생하며, 8%는 특권권한 사용자의 권한남용에 의해 발생했다. 전체 유출사고의 30% 는 내부자가 연루돼 있다.
DBIR 2020에서는 산업군별 유출 사고에 대해서도 자세히 분석하고 있는데, 유통분야에서 가장 빈번하게 일어 나는 POS 해킹·랜섬웨어 사고는 악성 코드 뿐 아니라 오류와 도난당한 자격 증명도 사용된다. 제조업계에서는 관리자 계정정보를 획득해 침투한 후 악성 소프트웨어를 배포하는 공격이 사 용되며, 에너지·유틸리티 업계에서는 웹 애플리케이션 피싱을 통해 유출한 계정정보를 사용하고 있었다.
정상 사용자의 잘못된 접근이나 인프라·애플리케이션 기본 설정 오류로 인한 문제도 심각한다. IBM의 ‘2020 X-Force 위협 인텔리전스’에서는 퍼블 릭 액세스가 가능하도록 잘못 구성된 서버나 클라우드 스토리지, 클라우드 데이터베이스에 보호되지 않은 데이터 업로드 등으로 인한 데이터 유출 이 전체의 86%를 차지했다.
클라우드에서 더 복잡해지는 계정·접근관리
클라우드 환경에서 이 문제는 더 심각해진다. 클라우드는 계정 정보만으로 액세스 할 수 있다. 평소에 접근하던 곳과 다른 곳, 다른 시간대에 접근했을 때 이상정황을 인지하고 추가 인증을 요구하는 강화된 통제 정책을 적용하기도 하지만, 일정하게 패턴화된 이상행위탐지 정책은 어렵지 않게 우회할 수 있다.
가트너의 ‘안전한 IaaS 및 PaaS에 필요한 5가지 사항’ 보고서에서 소개한 ‘계정 및 접근 권한 관리(IAM)’ 방안에 따르면 워크로드마다 별도의 계정을 사용해 분리해야 하며, 강력한 권한을 가진 특권권 한계정을 철저하게 관리하는 PAM을 활용해 특권권 한을 통한 심각한 리스크를 피해야 한다. 또한 싱글 사인온(SSO)으로 사용 편의성을 높이되, 컨텍스트 인지 기술과 사용자 행위분석 기술이 결합된 적응형 멀티팩터인증(Adaptive MFA)을 통해 중요도가 높은 업무를 수행할 때 정확한 신원확인과 인 증이 가능해야 한다.
클라우드 책임공유 모델에 따르면 IaaS·PaaS·SaaS의 ID 관리와 접근관리, 데이터 보안은 모두 공통적으로 사용자의 책임이다. 따라서 GRBAC(Granular Role-Based Access Control)와 ABAC(Attribute-Based Access Control) 모델에 따라 세분화된 역할 기반 액세 스를 설계해야 하며, 모든 접근은 최소 권한 원칙에 따 라 설계해야 한다.
이러한 요건을 만족시키는 계정관리 시스템을 구축하는 것이 결코 쉬운 일은 아니다. 직원 한 명이 사용하는 업무 시 스템과 애플리케이션, SaaS와 IaaS는 수 십개에서 수백개에 이른다. 직원 수가 100명이 넘어가면 관리해야 할 계정은 아무리 적게 잡아도 1000개 이상이다. 정 식 고용된 정직원 뿐 아니라 계약직, 단기·임시 근로자, 아웃소싱 직원이 발급받은 계정, 퇴사자 계정을 수작업 으로 관리하는 것은 한계가 있다.
쉽게 사용할 수 있는 클라우드는 계정관리 업무를 더 어렵게 한다. 정식 계약을 맺고 장기간 사용하는 IaaS와 SaaS도 관리 한계를 넘어선다. 단기간 일시적으로 사용하는 클라우드, 임직원이 관리조직 허락 없이 무단으로 사용하는 클라우드, 무료 체험 기간을 이용하는 클라우 드까지 더하면 수작업으로는 관리할 수 없다.
ID 중심 거버넌스 이상 실현
계정관리 시스템(IM)은 자동화된 계정발급과 관리, 추적을 가능케 하는 솔루션으로, 국내에서는 대부분 SI 사업으로 진행됐다. 기업·기관마다 조직구성이 다르고, 표준화되지 않은 인사관리 시스템으로 인해 자동화 된 IM을 도입하는데 한계가 있었기 때문이다.
그러나 최근 기업들은 글로벌 표준 HR 시스템을 도 입해 인력 재배치를 유연하게 하고 있으며, 클라우드 전환 시에도 민첩한 비즈니스를 구현할 수 있도록 조직을 정비하고 있다. 이에 글로벌 표준으로 사용되는 IM, IAM 솔루션을 찾는 수요가 증가하고 있다. 더불어 CA 테크놀로지스 한국 지사 철수로 무주공산이 된 IAM 시장 선점을 위한 경쟁도 활발하게 진행되고 있다.
이 시장에서 가장 오랫동안 영업을 전개해 온 글로벌 기업은 퀘스트소프트웨어다. 퀘스트는 DB·백업 솔루션 뿐 아니라 AD 보안과 접근제어, 계정관리 솔루션을 공급하면서 국내 시장을 오랜기간 공략해왔다. 지난해 AD 계정 탈취로 인한 랜섬웨어 공격이 극성을 부리면서 AD 보안에 관심이 높아지자 퀘스트 AD 보안 솔루션도 주목받고 있다.
퀘스트의 ‘원아이덴티티(One Identity)’는 온프레미스, 클라우드, 하이브리드 환경에서 IM 뿐 아니라 접근 관리(AM), 특권권한관리(PAM)가 가능한 통합 솔루션으로, IAM 워크로드를 단순화하고 자동화해 ‘ID 중 심 거버넌스’ 전략을 쉽게 이행할 수 있게 한다. 또한 AD 계정수명관리 솔루션으로 AD 관리를 간소화하고 보안을 강화할 수 있다. 현재 대기업 그룹사, 인터넷 기 업 등 다양한 기업에 공급됐다.
김태전 퀘스트소프트웨어코리아 상무는 “그동안 국 내 ID 관리 사업은 SI로 전개돼 유연한 커스터마이징 과 낮은 비용을 제공하는 토종 기업이 유리한 상황이었 다. 그러나 비즈니스 민첩성이 강조되는 현 상황에서 기존 IAM 전략으로는 ‘ID 중심 거버넌스’를 이룰 수 없으 며, 클라우드 전환도 성공하지 못할 뿐 아니라 지능화 되고 복잡해지는 보안 문제를 해결할 수 없다”며 “퀘스트의 솔루션은 차세대 IAM의 요구를 만족할 수 있으며, PAM, AD 보안까지 지원할 수 있다. 국내외 컴플라이언스 지원, 다양한 클라우드 지원 등의 요구도 만족할 수 있어 ‘ID 중심 거버넌스’의 이상을 실현할 수 있다” 고 말했다.
