[권한탈취 공격②] 특권권한 관리 실패, 대규모 보안사고로 이어져
상태바
[권한탈취 공격②] 특권권한 관리 실패, 대규모 보안사고로 이어져
  • 김선애 기자
  • 승인 2020.12.30 09:00
  • 댓글 0
이 기사를 공유합니다

멀티 클라우드 지원하는 광범위한 PAM 솔루션 필수
통합·차세대 IAM으로 모든 환경서 IM·AM 요구 만족해야

[데이터넷] 권한관리 실패로 인한 보안 사고는 셀 수 없이 많이 발생한다. 가트너는 IaaS·PaaS 보안을 위해 클라우드 액세스 관리 권한을 보호해야 하며, 민감 데이터에 대해 최소 권한을 부여해야 한다고 조언한다.

‘안전한 IaaS 및 PaaS를 위해 꼭 알아야 할 5가지’ 보고서에서 가트너는 ID 관리(IM)와 액세스 관리(AM), ID·거버넌스 관리(IGA)를 사용해 클라우드 사용 권한을 모니터링 해야 하는데, 세분화 된 역할 기반 액세스 제어(RBAC), 속성 기반 액세스 제어(ABAC) 모델은 모든 워크로드에서 과도한 권한이 제거되도록 최소 권한 원칙에 따라 설계돼야 한다고 조언했다. 또한 특권권한관리(PAM) 도구를 사용해 관리자 계정을 보호하고, 권한을 정기적으로 검토하며 조정해야 한다고 조언했다.

이러한 요구는 클라우드에만 해당하는 것이 결코 아니다. 온프레미스와 멀티·하이브리드 클라우드 모두 공통으로 통용되는 것으로, 특히 특권권한 관리는 대규모 보안사고를 막기 위해 필수라고 할 수 있다.

‘특권권한’은 중요 시스템에 대한 권한만을 말하는 것이 아니다. 거의 대부분의 사용자가 특권권한을 갖고 있다. 예를 들어 윈도우 PC를 사용하는 사람이라면 관리자 권한으로 로그인하며, 애플리케이션을 설치·삭제·중단할 수 있다. 저장된 데이터의 수정, 변경도 가능하다. 그래서 관리자 권한으로 로그인 했을 때 PC의 악성코드는 무단으로 시스템을 변경하고 랜섬웨어 공격을 하게 된다.

그래서 엔드포인트의 특권권한을 제거하고 관리자 권한으로 로그인하지 못하게하는 솔루션이 필요하다. 비욘드트러스트의 EPM 솔루션은 윈도우, 맥, 리눅스·유닉스 등 다양한 OS에서 특권권한을 제거해 보안조직의 엔드포인트 관리 효율성을 높일 수 있게 한다.

비욘드트러스트는 PC·시스템, 애플리케이션, 클라우드·데브옵스 모든 환경에서 특권권한을 관리할 수 있는 솔루션을 단일 플랫폼에서 제공한다. 사용자가 직접 권한을 갖지 않으며 특권권한 관리 솔루션에서 부여하는 최소한의 권한만으로 접속하기 때문에 안전한 업무 환경을 구성할 수 있다.

데브옵스의 권한관리를 예로 들어보면, 데브옵스의 빠른 개발·운영 환경에서 어떤 사람이 어떤 프로세스에 개입해 개발·테스트·운영하는지 정하는 과정이 필요하다. 다수의 개발·운영자들 하루에도 수십만개의 서비스를 개발하게 되는데, 모든 서비스마다 접근 가능한 개발자와 운영자를 수동으로 배치하는 것은 불가능한 일이다. 자동화된 권한관리 솔루션으로 허가된 사람만 허용된 절차에 배정돼 CI/CD 프로세스를 완성도 있게 운영할 수 있게 한다.

▲PAM 시스템 구성도(자료: 비욘드트러스트)
▲PAM 시스템 구성도(자료: 비욘드트러스트)

접근관리 기술 통합해 안전한 IT 운영

PAM 솔루션은 국내에서 시스템 접근제어, 패스워드 관리, 시큐어OS(서버보안) 등으로 불리기도 하지만, 실제 PAM은 이러한 포인트 솔루션보다는 광범위한 영역에서 특권권한을 관리한다. 온프레미스와 멀티·하이브리드 클라우드, IT·OT·IoT 전 영역에서 특권권한을 관리하고 제로 트러스트 기반 접근이 가능하게 된다.

PAM은 ID 관리(IM) 솔루션과 함께 사용돼 더 정확하고 안전한 권한관리가 가능하다. 이 같은 통합 솔루션을 IAM 혹은 차세대 IAM이라고도 부르는데, 클라우드 환경에서는 더 확장된 IAMㅇ 요구된다. 팔로알토네트웍스 조사에 따르면 2020년 단일 IAM 구성 오류로 인해 공격자가 전체 클라우드 환경을 손상시키고 거의 모든 보안 제어를 우회 할 수 있다는 사실을 발견했다. 이러한 잘못된 ID 구성은 수많은 클라우드 계정에서 발견되었으며, 이는 잠재적으로 1주일 이내에 수천개의 워크로드에 영향을 미칠 수 있는 심각한 보안 위험을 나타낸다.

복잡한 클라우드 환경에서 IAM을 성공적으로 운영할 수 있는 통합 솔루션으로 피앤피시큐어의 U-IAM이 있다. 피앤피시큐어는 DBMS·시스템·OS·클라우드 접근관리를 모두 통합했다. U-IAM은 국내에서 사용되는 모든 클라우드를 지원하며, 접근통제와 관련된 기술을 모두 통합해 관리 복잡성을 제거하고 정책 출돌, IT 사일로, 조직간 갈등을 해소하며, 비용 절감의 효과를 제공한다.

피앤피시큐어의 클라우드 통합 접근제어 솔루션 ‘디비세이퍼 포 클라우드(DBSAFER For Cloud)’는 AWS, MS 애저, 구글 클라우드 플랫폼(GCP), KT 클라우드, NAVER 클라우드, 토스트, 클라우드제트, CJ 클라우드 등 국내 주요 클라우드 사업자와 협력하고 있으며, 한국교육학술정보원(KERIS), KB금융그룹, 현대카드, 현대자동차그룹, SK그룹, CJ그룹 등 다양한 산업군에 제공됐다.

류승열 피앤피시큐어 솔루션사업본부장은 “다양한 클라우드 환경을 안전하게 운영하기 위해서는 통합접근제어를 선택해야 한다. 접근제어와 관련된 요구를 별도로 관리하면 관리포인트와 리소스가 증가하며, 실수·설정오류·장애와 충돌 등으로 인한 문제가 생길 수 밖에 없다”며 “피앤피시큐어는 17년간 접근제어 관련 기술을 개발해 통합해왔으며, 금융·공공·기업 등 국내 전 산업군 4000여 기업·기관에 공급해 온 신뢰할 수 있는 기업이다. 통합접근제어 기술력을 강화해 전문 인력 80%의 기술 집약적 인력 구성을 통한 철저한 품질관리를 진행하고 있다”고 강조했다.

통합접근제어의 트렌드는 이미 많은 기업들이 채택하고 있다. 휴네시온의 경우 시스템 접근제어와 계정관리 솔루션 ‘NGS’를 온프레미스와 클라우드 환경에 최적화해 제공한다. 이 솔루션은 망연계 솔루션, CCTV 비밀번호 관리 솔루션 등 휴네시온의 다른 솔루션과 연계해 다양한 활용사례를 제공할 수 있다.

엔시큐어는 ‘엔젠아이엠’으로 IAM 시장을 공략한다. 이 솔루션은 자체 개발한 워크플로우를 적용해 자동화된 계정관리 프로세스를 수립할 수 있으며, 다른 시스템과도 쉽게 연동할 수 있다. 특히 엔젠아이엠은 재택근무 보안 기능을 강화해 2차 인증, 접속 IP 등록 및 계정 접속 즉시 차단 등 다양한 기능을 제공하여 안전한 계정 보안 환경을 구축할 수 있도록 돕고 있다.

클라우드 MFA로 접근관리 보안 ↑

권한 및 접근관리는 클라우드에서 더 민감하고 복잡한 문제로 지목된다. 클라우드는 네트워크 보안 경계 없이 ID/PW와 추가인증만으로 접근 가능하다. 그래서 PAM·IAM이 무엇보다 중요한데, 탈레스 조사에 따르면 아태지역 63%의 기업이 ID·IAM을 도입했고, ID 서비스(IDaaS)를 도입한 기업이 57%, 스마트 싱글 사인온 55%, 클라우드 싱글사인온은 55%의 기업이 도입했다.

또한 66%의 기업이 직원에게 소셜 미디어 자격 증명을 사용해 기업 리소스에 로그인하도록 허용하거나 허용할 예정이지만, 이 방법이 클라우드·웹 기반 앱을 보호하기에 가장 좋은 방법이라고 답한 사람은 31%에 불과하다. 이 같은 비효율적인 접근관리 정책으로 인해 46%가 운영부담과 IT 비용 증가를 우려했으며, 43%는 클라우드 가시성 부족으로 대규모 사고가 유발될 수 있다고 답했다.

클라우드 계정과 접근을 보호하기 위해 2차인증과 싱글사인온도 필요하다. 탈레스 보고서에서는 스마트 싱글사인온과 2차인증을 도입한 기업이 각각 55%였다.

이 처럼 2차인증의 중요성이 높아지는 가운데 시스코코리아가 클라우드 기반 멀티팩터 인증(MFA) 솔루션 ‘듀오(Duo)’의 국내영업을 본격화하고 나서 주목된다. 듀오는 사용자가 애플리케이션이나 리소스에 연결하기 전, 접속자의 신원과 디바이스의 상태를 확인해 위협으로부터 기업을 보호한다. 멀티팩터 인증과 디바이스 보안 검사, 맞춤형 접근 정책에 따라 접속을 허용해 안전하고 쉽게 운영 관리할 수 있는 클라우드 기반 보안 서비스를 제공한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.