[보안뉴스= 오상근 한국퀀텀컴퓨팅(KQC) 부사장] 기업 보안에서 계정 탈취는 여전히 중요한 위협이다. 그런데 최근 몇 년 사이 공격 양상이 달라지고 있다. 비밀번호가 사라지고 OTP와 패스키 같은 피싱 저항 MFA가 확산되면서, 공격자들은 전략을 바꿨다.
해킹의 양상이 시스템이 사용하는 키와 토큰을 노리는 것으로 바뀌어 가고 있다.
사람의 로그인을 뚫는 대신, 시스템이 사용하는 키와 토큰을 노리기 시작한 것이다. 해커나 보안 위협자들은 더 이상 관리자의 ID/PW를 훔치거나 OTP를 우회하려 애쓰지 않는다. 앞단에서 아무리 통제해도 시스템 내부에 프라이빗 키나 서명키 자체를 탈취해 간다면 현재의 보안체계는 무용지물이 된다.
왜 기계 신원이 공격 대상이 되었나?
이유는 간단하다. 로그인은 사람이 하지만, 실제 권한을 행사하는 건 시스템이기 때문이다.
고객의 대량 트랜잭션을 승인하고, 데이터베이스에 직접 접근하는 주체는 점점 더 사람이 아닌 기계 신원이다. 애플리케이션, 마이크로서비스, 배치 작업, CI/CD(자동배포)봇—이들이 사용하는 API 토큰, 서명키, 클라우드 접근 키가 한 번 유출되면 어떻게 될까? 사용자의 비밀번호나 OTP는 물론, 강력한 MFA조차 무력해진다. 공격자는 로그인 화면을 거치지 않고, 훔친 키로 정상 시스템처럼 행동하면 된다.
문제의 본질은 관리되지 않는 키
그런데 더 큰 문제는 이런 키와 토큰이 제대로 관리되지 않는다는 점이다. 한 번 발급되면 몇 년씩 유지되는 영구 키, 여기저기 복제되어 남아 있는 시크릿, 실행 시점에 메모리로 로드되는 민감 정보—이 모든 게 결합되면 공격 표면은 걷잡을 수 없이 넓어진다. 특히 CI/CD 파이프라인, 컨테이너 이미지, 백업 파일에 비밀값이 남는 순간 공격자는 사실상 ┖운영자 권한┖에 가까운 열쇠를 손에 넣게 된다.
결국 보안의 관점도 달라져야 한다. 비밀번호를 어디에 저장하느냐를 넘어, ‘기계 신원의 키와 토큰이 언제 어디서 어떻게 생성되고 사용되며 폐기되는지’에 주목해야 한다.
중앙화된 시크릿 라이프사이클 관리
그렇다면 어떻게 대응할 것인가? 답은 중앙화된 시크릿 관리 시스템이다. 수백, 수천 개의 API 키, 데이터베이스 자격증명, 서명키, 클라우드 접근 토큰을 한곳으로 모아 전 주기를 통제하는 것이다.
코드나 설정 파일에 하드코딩되거나 환경 변수에 평문으로 박혀 있던 시크릿을 모두 중앙 저장소로 모은다. 각 애플리케이션과 시스템은 필요한 순간에만 시크릿을 요청하고, 사용 후에는 흔적을 남기지 않는다. 모든 시크릿은 암호화되어 보관되고, 접근 정책과 감사 로그로 통제된다.
이런 구조에는 네 가지 핵심 원칙이 작동한다. 첫째, 키와 토큰의 수명을 짧게 가져가고 자동으로 회전시킨다. 키가 오래 살아 있을수록 침해 피해는 기하급수적으로 커진다. 영구 키의 시대는 끝나야 한다. 발급은 짧게, 사용은 제한적으로, 회전은 자동으로 이뤄지게 설계한다.
둘째, 즉시 회수할 수 있어야 한다. 퇴사나 직무 변경이 있을 때 사람 계정만 막는 것으로는 부족하다. 그 사람이 운영하던 시스템 계정과 시크릿이 남아 있으면 뒷문이 된다. 중앙 관리 체계에서는 어떤 키를 누가 언제 발급받았는지 추적되므로, 필요한 순간 전체를 빠르게 회수할 수 있다.
셋째, 완전한 가시성을 확보한다. 누가(사람 또는 시스템), 언제, 어떤 경로로 어떤 키를 요청해 사용했는지 모든 이력이 기록된다. 이 로그가 보안 정보 및 이벤트 관리 시스템, 관제 체계와 연동되면 이상 징후를 즉시 포착할 수 있다.
넷째, 대응을 자동화한다. 경보만 울리는 보안은 실전에서 무력하다. 이상 징후가 포착되면 어떤 키를 우선 회수하고, 어느 시스템을 격리할지 실행 절차가 즉시 돌아간다. 중앙 관리 시스템은 정책 기반으로 이런 자동화를 가능하게 한다.
.
하드웨어 보호: 최상위 열쇠를 잠그는 법
하지만 여기서 한 가지 더 중요한 질문이 있다. 시크릿 관리 시스템 자체는 무엇으로 보호할 것인가? 모든 시크릿을 암호화하는 마스터 키, 즉 최상위 루트키가 소프트웨어 영역에 평문으로 존재한다면 결국 같은 문제가 반복된다.
이 지점에서 하드웨어 보안 모듈(HSM)이 필요하다. HSM은 키의 생성, 저장, 중요 연산을 물리적 경계 안에서 수행해 키가 평문으로 노출되거나 복제되는 위험을 구조적으로 차단한다. 시크릿 관리 시스템은 정책으로 수천 개의 키를 통제하고, 그 시스템의 마스터 키는 HSM이 하드웨어로 잠그는 구조다.
▲오상근 KQC 부사장 [자료: 오상근 부사장]
그리고 지금 인프라를 다시 설계한다면, 양자내성(PQC) 전환 수용성은 나중 과제가 아니라 필수 조건이 돼야 한다. 앞으로 여러가지 암호알고리즘이 발전한 가능성이 있기 때문에 암호 민첩성(Crypto Agility), 즉 암호화 유연성으로 설계된 양자내성 전환이 가능한 인프라로 가야한다. 그냥 HSM이 아니라, 암호화 유연성을 겸비한 양자내성 HSM으로 말이다.
보안의 기준은 인증 관리의 문제
이제 질문은 “MFA를 도입했는가?”가 아니라 “기계 신원 인증을 어떻게 관리하느냐”이다. 사람의 로그인을 막는 것만으로는 더 이상 충분하지 않다. 보안의 관점이 달라져야 한다.
“비밀번호를 어디에 저장하느냐”가 아닌 “기계 신원의 키와 토큰이 언제 어디서 어떻게 생성되고 사용되며 폐기되는지”에 초점을 맞춰야 할 때다. 이제는 계정 보안이 아닌 기계 신원과 키를 지켜야 보안사고를 막을 수 있다.
[글_ 오상근 KQC 부사장]
필자 소개_
- 2025 ~ 현재: KQC 부사장 (양자 보안 부문)
- 2019 ~ 2023: (주) 이더블유비엠 대표
- 2002 ~ 2006: 삼성전자 S.LSI 상무
- 미국 퍼듀대학 공학 박사 (전자공학)
- FIDO협회 한국지부 부회장 (2021~2022)
- IEEE 신호처리 분과장 (달라스 지역)
해킹의 양상이 시스템이 사용하는 키와 토큰을 노리는 것으로 바뀌어 가고 있다.
사람의 로그인을 뚫는 대신, 시스템이 사용하는 키와 토큰을 노리기 시작한 것이다. 해커나 보안 위협자들은 더 이상 관리자의 ID/PW를 훔치거나 OTP를 우회하려 애쓰지 않는다. 앞단에서 아무리 통제해도 시스템 내부에 프라이빗 키나 서명키 자체를 탈취해 간다면 현재의 보안체계는 무용지물이 된다.
왜 기계 신원이 공격 대상이 되었나?
이유는 간단하다. 로그인은 사람이 하지만, 실제 권한을 행사하는 건 시스템이기 때문이다.
고객의 대량 트랜잭션을 승인하고, 데이터베이스에 직접 접근하는 주체는 점점 더 사람이 아닌 기계 신원이다. 애플리케이션, 마이크로서비스, 배치 작업, CI/CD(자동배포)봇—이들이 사용하는 API 토큰, 서명키, 클라우드 접근 키가 한 번 유출되면 어떻게 될까? 사용자의 비밀번호나 OTP는 물론, 강력한 MFA조차 무력해진다. 공격자는 로그인 화면을 거치지 않고, 훔친 키로 정상 시스템처럼 행동하면 된다.
문제의 본질은 관리되지 않는 키
그런데 더 큰 문제는 이런 키와 토큰이 제대로 관리되지 않는다는 점이다. 한 번 발급되면 몇 년씩 유지되는 영구 키, 여기저기 복제되어 남아 있는 시크릿, 실행 시점에 메모리로 로드되는 민감 정보—이 모든 게 결합되면 공격 표면은 걷잡을 수 없이 넓어진다. 특히 CI/CD 파이프라인, 컨테이너 이미지, 백업 파일에 비밀값이 남는 순간 공격자는 사실상 ┖운영자 권한┖에 가까운 열쇠를 손에 넣게 된다.
결국 보안의 관점도 달라져야 한다. 비밀번호를 어디에 저장하느냐를 넘어, ‘기계 신원의 키와 토큰이 언제 어디서 어떻게 생성되고 사용되며 폐기되는지’에 주목해야 한다.
중앙화된 시크릿 라이프사이클 관리
그렇다면 어떻게 대응할 것인가? 답은 중앙화된 시크릿 관리 시스템이다. 수백, 수천 개의 API 키, 데이터베이스 자격증명, 서명키, 클라우드 접근 토큰을 한곳으로 모아 전 주기를 통제하는 것이다.
코드나 설정 파일에 하드코딩되거나 환경 변수에 평문으로 박혀 있던 시크릿을 모두 중앙 저장소로 모은다. 각 애플리케이션과 시스템은 필요한 순간에만 시크릿을 요청하고, 사용 후에는 흔적을 남기지 않는다. 모든 시크릿은 암호화되어 보관되고, 접근 정책과 감사 로그로 통제된다.
이런 구조에는 네 가지 핵심 원칙이 작동한다. 첫째, 키와 토큰의 수명을 짧게 가져가고 자동으로 회전시킨다. 키가 오래 살아 있을수록 침해 피해는 기하급수적으로 커진다. 영구 키의 시대는 끝나야 한다. 발급은 짧게, 사용은 제한적으로, 회전은 자동으로 이뤄지게 설계한다.
둘째, 즉시 회수할 수 있어야 한다. 퇴사나 직무 변경이 있을 때 사람 계정만 막는 것으로는 부족하다. 그 사람이 운영하던 시스템 계정과 시크릿이 남아 있으면 뒷문이 된다. 중앙 관리 체계에서는 어떤 키를 누가 언제 발급받았는지 추적되므로, 필요한 순간 전체를 빠르게 회수할 수 있다.
셋째, 완전한 가시성을 확보한다. 누가(사람 또는 시스템), 언제, 어떤 경로로 어떤 키를 요청해 사용했는지 모든 이력이 기록된다. 이 로그가 보안 정보 및 이벤트 관리 시스템, 관제 체계와 연동되면 이상 징후를 즉시 포착할 수 있다.
넷째, 대응을 자동화한다. 경보만 울리는 보안은 실전에서 무력하다. 이상 징후가 포착되면 어떤 키를 우선 회수하고, 어느 시스템을 격리할지 실행 절차가 즉시 돌아간다. 중앙 관리 시스템은 정책 기반으로 이런 자동화를 가능하게 한다.
.
하드웨어 보호: 최상위 열쇠를 잠그는 법
하지만 여기서 한 가지 더 중요한 질문이 있다. 시크릿 관리 시스템 자체는 무엇으로 보호할 것인가? 모든 시크릿을 암호화하는 마스터 키, 즉 최상위 루트키가 소프트웨어 영역에 평문으로 존재한다면 결국 같은 문제가 반복된다.
이 지점에서 하드웨어 보안 모듈(HSM)이 필요하다. HSM은 키의 생성, 저장, 중요 연산을 물리적 경계 안에서 수행해 키가 평문으로 노출되거나 복제되는 위험을 구조적으로 차단한다. 시크릿 관리 시스템은 정책으로 수천 개의 키를 통제하고, 그 시스템의 마스터 키는 HSM이 하드웨어로 잠그는 구조다.
▲오상근 KQC 부사장 [자료: 오상근 부사장]
그리고 지금 인프라를 다시 설계한다면, 양자내성(PQC) 전환 수용성은 나중 과제가 아니라 필수 조건이 돼야 한다. 앞으로 여러가지 암호알고리즘이 발전한 가능성이 있기 때문에 암호 민첩성(Crypto Agility), 즉 암호화 유연성으로 설계된 양자내성 전환이 가능한 인프라로 가야한다. 그냥 HSM이 아니라, 암호화 유연성을 겸비한 양자내성 HSM으로 말이다.
보안의 기준은 인증 관리의 문제
이제 질문은 “MFA를 도입했는가?”가 아니라 “기계 신원 인증을 어떻게 관리하느냐”이다. 사람의 로그인을 막는 것만으로는 더 이상 충분하지 않다. 보안의 관점이 달라져야 한다.
“비밀번호를 어디에 저장하느냐”가 아닌 “기계 신원의 키와 토큰이 언제 어디서 어떻게 생성되고 사용되며 폐기되는지”에 초점을 맞춰야 할 때다. 이제는 계정 보안이 아닌 기계 신원과 키를 지켜야 보안사고를 막을 수 있다.
[글_ 오상근 KQC 부사장]
필자 소개_
- 2025 ~ 현재: KQC 부사장 (양자 보안 부문)
- 2019 ~ 2023: (주) 이더블유비엠 대표
- 2002 ~ 2006: 삼성전자 S.LSI 상무
- 미국 퍼듀대학 공학 박사 (전자공학)
- FIDO협회 한국지부 부회장 (2021~2022)
- IEEE 신호처리 분과장 (달라스 지역)
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
