조만간 깃허브는 모든 리포지터리에 다중인증 접근 옵션을 적용할 것이라고 한다. 누구나 깃허브에서 활동을 하려면 두 번 이상의 인증 절차를 거쳐야 하는 것이다. 깃허브가 앞장서서 이런 움직임을 보이는 것이 여러 의미에서 대단하고 고무적이다.
[보안뉴스 문가용 기자] 깃허브(GitHub)가 최근 체제를 바꾸기로 했다. 모든 리포지터리에 다중인증을 기본으로 적용하기로 발표한 것이다. 소프트웨어 생태계에서 깃허브가 갖는 무게감은 실로 막중하다. 그런 곳에서 자신의 입지를 알고 앞장서서 긍정적인 변화를 꾀한다는 것에 박수를 보내고 싶다.
[이미지 = utoimage]
하지만 아무리 깃허브가 중요한 조직이라고 해도, 혼자서 변화를 온전히 이끌어낼 수는 없다. 다른 조직들도 여기에 참여해야만 한다. 깃허브의 이런 움직임을 통해 각 조직의 IT 부문 결정권자들이 할 수 있는 일은 크게 두 가지다. 깃허브를 예로 들면서 마찬가지로 다중인증을 도입해야 한다고 주장하면서 보안을 보다 엄격하게 만들거나, 다중인증이 유행할 것에 대비하여 호환성이 높고 이용성도 좋으면서 보안성도 좋은 아키텍처를 구성하거나. 아니, 어쩌면 이 두 가지 모두 일수도 있다.
복잡하게 얽히고 설킨 현존 테크 스택
오늘 날의 기업들의 기술 의존도는 수년 전의 그것과 차원이 다르다. 이전에 우리가 기술 의존도라고 말할 때는 단일 솔루션이나 소프트웨어 한두 개가 사업하는 데에 무척 중요한 역할을 담당한다는 정도를 의미했다. 하지만 지금은 소프트웨어 몇 개에 의존하는 것에서 그치지 않는다. 그 소프트웨어 회사들이 만들어 놓은 생태계 전체가 의존 대상이다. 애저, AWS, 구글 클라우드, 옥타(Okta), 깃허브처럼 말이다.
그것만이 아니다. 그런 생태계 전체에 의존하게 되면서 우리는 생태계를 구성하고 있는 각종 서드파티 요소들에도 의존하게 되었다. 즉 우리가 화면에서 눈으로 보고 조작하고 있는 소프트웨어는 한두 개일지 몰라도, 그 뒤로 기나긴 서드파티와 구성 요소의 사슬들이 연결되어 있다는 것이다. 꼬리가 길면 밟힌다고 했던가. 과연 그 사슬 중 한 곳에라도 작은 구멍이 발견되고 그 곳을 통해 공격이 들어오면 우리는 곤란을 겪기 시작했다. 공격자들로서는 공격할 곳이 많아졌고, 우리로서는 간수해야 할 곳이 많아졌다.
필자가 소속된 회사인 옥타는 인증 서비스를 제공하는 곳으로 수많은 고객사들과 매우 밀접하고 복잡하게 얽힌 생태계를 가지고 있다. 올해 1월 한 고객사에서 보안 침해 사고가 발생했고, 공격자들은 그것을 바탕으로 옥타의 고객 지원 도구에 잠시 접근하는 데 성공했다. 공격자들이 옥타의 계정을 직접 침해하고, 그것을 통해 직접 옥타의 네트워크로 침투한 건 아니었다. 하지만 복잡하게 연결되어 있다는 현대 생태계의 특성 때문에 옥타의 뚫리지도 않은 보안이 위태로워진 것은 사실이었다. 아마 많은 기업들이 비슷한 위험에 노출되어 있다는 걸 부정할 수 없을 것이다.
문제 해결을 위해 해야 할 일
이 문제를 각 기업들은 어떻게 해결해야 할까? 먼저는 IT 담당자와 결정권자들이 내부 사정을 꼼꼼하게 검토해서 그 길고긴 사슬의 현황을 정확하게 파악해야 한다. 어떤 서드파티 요소와 서비스들이 사용되고 있고, 그중 어떤 것들이 대단히 중요하고 덜 중요한지를 이해해야 한다. 옥타의 경우 우리에게 각종 IT 서비스를 제공하는 파트너사들이 우리와 같은 고객사들에 접근 권한을 어떤 식으로 허용하고 있는지를 꼼꼼하게 조사했다. 또한 우리의 파트너사가 우리 고객들의 데이터에 접근하는 방식을 파악하고 그것의 보안성을 점검했다.
그렇게 내부 사정을 다 들여다 봤으면, 이제 외부 사정을 살필 차례다. 즉 우리의 플랫폼을 이용하는 고객들과 파트너사들이 어떻게 연결되어 있고, 어떤 방식으로 접근하는지를 검토한 것이다. 깃허브의 경우 수많은 고객과 파트너들이 깃허브라는 플랫폼에 외부로부터 접근한다. 공격의 통로가 상상을 아득하게 넘을 정도로 많다는 것을 의미한다. 하지만 그래도 안전하게 연결을 하려면 현황을 일일이 파악하고 조사해야 한다. 그 결과 깃허브는 거의 대부분의 사용자와 파트너사가 다중인증 옵션을 사용하지 않는다는 걸 알아냈고, 그래서 필수적으로 도입해야 한다는 결론에 다다른 것으로 알고 있다. 사실 MS 애저 액티브 디렉토리만 해도 사정은 비슷하다. 사용자의 78%가 다중인증을 사용하지 않고 있다니 말이다.
아이덴티티와 접근 관리(IAM)과 같은 요소들은 공격과 방어의 최전선에 놓여 있다. 공격자들이 1순위로 침해하려 하는 것이 바로 이 IAM이기 때문이다. 버라이즌의 데이터침해조사보고서(DBIR)에 따르면 89%의 웹 애플리케이션 공격이 크리덴셜 악용 때문에 벌어진다고 한다. 물론 접근 제어에 관한 다양한 표준들이 있어 상황이 좋아지고 있긴 하지만 아직 온전하지는 않다. 그래서 많은 해커들은 유유히 IAM에 접근하여 수많은 크리덴셜을 가져가고, 훔쳐간 크리덴셜로 버젓이 로그인을 한다.
하지만 보안 강화만을 목적으로 모든 시스템과 체제를 바꿀 수는 없다. IT 생태계와 인프라는 수많은 기능들로 복잡하게 구성되어 있기 때문이다. 보안 기능이 중요한 만큼 다른 기능들도 중요하고, 모든 기능들이 화목하게 공존해야 한다. 그렇기 때문에 일반적으로는 전사적인 변화를 한꺼번에 시도하는 것보다 중요하고 민감한 정보가 있는 곳에서부터 차근차근 보안 강화를 적용하는 것이 권장된다. 향상된 보안이 무엇인지, 어떤 느낌이고, 업무에 어떤 식으로 영향을 주는지 경험하게 하면서 동시에 익숙해질 기회를 주는 것이다. 시간이 좀 더 걸릴 순 있지만 이런 식의 접근이 좀 더 나은 효과를 낳기도 한다.
우리는 낡고 새로운 기술이 복잡하게 얽혀 상호 의존적인 관계를 유지하는 가운데 제 기능을 발휘하는 환경에서 살아가고 있다. 그렇기 때문에 각 IT 기능의 조화로운 공존이 매우 중요하다. 그리고 그런 상황에 맞는 표준과 정책을 제 때 수립해 적용하고, 모두가 지킬 수 있도록 지원하는 것도 중요하다. 그러나 깃허브처럼 조금 불편해질지라도 감수할 수 있어야 한다. 과감히 보안 강화를 위해 반드시 해야만 하는 실천 사항의 수위를 높이는 과감성도 필요하다.
적어도 이렇게나 사용자가 많은 회사에서 모든 사용자에게 다중인증을 필수적으로 요구하겠다고 한 곳은 없었다. 조금이라도 사용자가 불편하면 경쟁사로 옮길까봐 걱정스러우니 과감한 결정을 내리기 힘들었다. 그러나 깃허브는 그 어려운 걸 할 것이라고 발표했다. 필자는 글의 서두에서부터 지금까지 계속해서 박수를 치고 있다. 그러면서 마음 속으로는 수많은 깃허브 사용자들이 부디 깃허브를 통해 다중인증에 익숙해지기를 기도한다.
글 : 크리스 니겔(Chris Niggel), CSO, Okta
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 깃허브(GitHub)가 최근 체제를 바꾸기로 했다. 모든 리포지터리에 다중인증을 기본으로 적용하기로 발표한 것이다. 소프트웨어 생태계에서 깃허브가 갖는 무게감은 실로 막중하다. 그런 곳에서 자신의 입지를 알고 앞장서서 긍정적인 변화를 꾀한다는 것에 박수를 보내고 싶다.
[이미지 = utoimage]
하지만 아무리 깃허브가 중요한 조직이라고 해도, 혼자서 변화를 온전히 이끌어낼 수는 없다. 다른 조직들도 여기에 참여해야만 한다. 깃허브의 이런 움직임을 통해 각 조직의 IT 부문 결정권자들이 할 수 있는 일은 크게 두 가지다. 깃허브를 예로 들면서 마찬가지로 다중인증을 도입해야 한다고 주장하면서 보안을 보다 엄격하게 만들거나, 다중인증이 유행할 것에 대비하여 호환성이 높고 이용성도 좋으면서 보안성도 좋은 아키텍처를 구성하거나. 아니, 어쩌면 이 두 가지 모두 일수도 있다.
복잡하게 얽히고 설킨 현존 테크 스택
오늘 날의 기업들의 기술 의존도는 수년 전의 그것과 차원이 다르다. 이전에 우리가 기술 의존도라고 말할 때는 단일 솔루션이나 소프트웨어 한두 개가 사업하는 데에 무척 중요한 역할을 담당한다는 정도를 의미했다. 하지만 지금은 소프트웨어 몇 개에 의존하는 것에서 그치지 않는다. 그 소프트웨어 회사들이 만들어 놓은 생태계 전체가 의존 대상이다. 애저, AWS, 구글 클라우드, 옥타(Okta), 깃허브처럼 말이다.
그것만이 아니다. 그런 생태계 전체에 의존하게 되면서 우리는 생태계를 구성하고 있는 각종 서드파티 요소들에도 의존하게 되었다. 즉 우리가 화면에서 눈으로 보고 조작하고 있는 소프트웨어는 한두 개일지 몰라도, 그 뒤로 기나긴 서드파티와 구성 요소의 사슬들이 연결되어 있다는 것이다. 꼬리가 길면 밟힌다고 했던가. 과연 그 사슬 중 한 곳에라도 작은 구멍이 발견되고 그 곳을 통해 공격이 들어오면 우리는 곤란을 겪기 시작했다. 공격자들로서는 공격할 곳이 많아졌고, 우리로서는 간수해야 할 곳이 많아졌다.
필자가 소속된 회사인 옥타는 인증 서비스를 제공하는 곳으로 수많은 고객사들과 매우 밀접하고 복잡하게 얽힌 생태계를 가지고 있다. 올해 1월 한 고객사에서 보안 침해 사고가 발생했고, 공격자들은 그것을 바탕으로 옥타의 고객 지원 도구에 잠시 접근하는 데 성공했다. 공격자들이 옥타의 계정을 직접 침해하고, 그것을 통해 직접 옥타의 네트워크로 침투한 건 아니었다. 하지만 복잡하게 연결되어 있다는 현대 생태계의 특성 때문에 옥타의 뚫리지도 않은 보안이 위태로워진 것은 사실이었다. 아마 많은 기업들이 비슷한 위험에 노출되어 있다는 걸 부정할 수 없을 것이다.
문제 해결을 위해 해야 할 일
이 문제를 각 기업들은 어떻게 해결해야 할까? 먼저는 IT 담당자와 결정권자들이 내부 사정을 꼼꼼하게 검토해서 그 길고긴 사슬의 현황을 정확하게 파악해야 한다. 어떤 서드파티 요소와 서비스들이 사용되고 있고, 그중 어떤 것들이 대단히 중요하고 덜 중요한지를 이해해야 한다. 옥타의 경우 우리에게 각종 IT 서비스를 제공하는 파트너사들이 우리와 같은 고객사들에 접근 권한을 어떤 식으로 허용하고 있는지를 꼼꼼하게 조사했다. 또한 우리의 파트너사가 우리 고객들의 데이터에 접근하는 방식을 파악하고 그것의 보안성을 점검했다.
그렇게 내부 사정을 다 들여다 봤으면, 이제 외부 사정을 살필 차례다. 즉 우리의 플랫폼을 이용하는 고객들과 파트너사들이 어떻게 연결되어 있고, 어떤 방식으로 접근하는지를 검토한 것이다. 깃허브의 경우 수많은 고객과 파트너들이 깃허브라는 플랫폼에 외부로부터 접근한다. 공격의 통로가 상상을 아득하게 넘을 정도로 많다는 것을 의미한다. 하지만 그래도 안전하게 연결을 하려면 현황을 일일이 파악하고 조사해야 한다. 그 결과 깃허브는 거의 대부분의 사용자와 파트너사가 다중인증 옵션을 사용하지 않는다는 걸 알아냈고, 그래서 필수적으로 도입해야 한다는 결론에 다다른 것으로 알고 있다. 사실 MS 애저 액티브 디렉토리만 해도 사정은 비슷하다. 사용자의 78%가 다중인증을 사용하지 않고 있다니 말이다.
아이덴티티와 접근 관리(IAM)과 같은 요소들은 공격과 방어의 최전선에 놓여 있다. 공격자들이 1순위로 침해하려 하는 것이 바로 이 IAM이기 때문이다. 버라이즌의 데이터침해조사보고서(DBIR)에 따르면 89%의 웹 애플리케이션 공격이 크리덴셜 악용 때문에 벌어진다고 한다. 물론 접근 제어에 관한 다양한 표준들이 있어 상황이 좋아지고 있긴 하지만 아직 온전하지는 않다. 그래서 많은 해커들은 유유히 IAM에 접근하여 수많은 크리덴셜을 가져가고, 훔쳐간 크리덴셜로 버젓이 로그인을 한다.
하지만 보안 강화만을 목적으로 모든 시스템과 체제를 바꿀 수는 없다. IT 생태계와 인프라는 수많은 기능들로 복잡하게 구성되어 있기 때문이다. 보안 기능이 중요한 만큼 다른 기능들도 중요하고, 모든 기능들이 화목하게 공존해야 한다. 그렇기 때문에 일반적으로는 전사적인 변화를 한꺼번에 시도하는 것보다 중요하고 민감한 정보가 있는 곳에서부터 차근차근 보안 강화를 적용하는 것이 권장된다. 향상된 보안이 무엇인지, 어떤 느낌이고, 업무에 어떤 식으로 영향을 주는지 경험하게 하면서 동시에 익숙해질 기회를 주는 것이다. 시간이 좀 더 걸릴 순 있지만 이런 식의 접근이 좀 더 나은 효과를 낳기도 한다.
우리는 낡고 새로운 기술이 복잡하게 얽혀 상호 의존적인 관계를 유지하는 가운데 제 기능을 발휘하는 환경에서 살아가고 있다. 그렇기 때문에 각 IT 기능의 조화로운 공존이 매우 중요하다. 그리고 그런 상황에 맞는 표준과 정책을 제 때 수립해 적용하고, 모두가 지킬 수 있도록 지원하는 것도 중요하다. 그러나 깃허브처럼 조금 불편해질지라도 감수할 수 있어야 한다. 과감히 보안 강화를 위해 반드시 해야만 하는 실천 사항의 수위를 높이는 과감성도 필요하다.
적어도 이렇게나 사용자가 많은 회사에서 모든 사용자에게 다중인증을 필수적으로 요구하겠다고 한 곳은 없었다. 조금이라도 사용자가 불편하면 경쟁사로 옮길까봐 걱정스러우니 과감한 결정을 내리기 힘들었다. 그러나 깃허브는 그 어려운 걸 할 것이라고 발표했다. 필자는 글의 서두에서부터 지금까지 계속해서 박수를 치고 있다. 그러면서 마음 속으로는 수많은 깃허브 사용자들이 부디 깃허브를 통해 다중인증에 익숙해지기를 기도한다.
글 : 크리스 니겔(Chris Niggel), CSO, Okta
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
