.jpg)
늘어난 IT 시스템과 계정정보 노리는 사이버 위협, 복잡해진 컴플라이언스 요구 등이 변화 요구
IAM과 PAM, 권한 관리 등 기존 솔루션 통합하는 아이덴티티 보안 솔루션으로 성장 중
사용자 설문조사...현재 사용하는 시스템 접근제어·계정관리·패스워드 관리 솔루션은 ‘IAM’
시스템 접근제어·계정관리·패스워드 관리 솔루션 전문기업 집중 분석: 베이스스톤
[보안뉴스 원병철 기자] 1900년대 전산시스템이 등장한 이후 기업 등 조직들은 전자식 접근 통제에 대한 고민을 지속적으로 하고 있다. 특히 1980년대 이후 컴퓨터 네트워크와 서버 시스템이 보편화되면서 IT 시스템에 대한 접근을 통제할 필요성이 커졌다. 이어 관리하는 시스템이 증가하고 애플리케이션이 늘어나면서 사용자 계정을 관리하는 계정관리 솔루션이 2000년대 초반 등장했다. 또한 주로 기업을 중심으로 비밀번호를 안전하게 보관하고 자동으로 관리하는 패스워드 관리 솔루션도 발전하기 시작했다.
[자료: gettyimagesbank]
시스템 접근제어(SAC: System Access Control)는 시스템에 대한 접속하는 경로와 행위를 통제하고 기록함으로써 시스템을 보호하기 위한 솔루션이다. 접근을 통제하고, 세션 관리와 감사를 통해 사용자의 모든 행위를 통제하고 기록한다.
계정관리(IAM: Identity Access Management)는 서버와 데이터베이스, 네트워크 장비에 산재한 사용자 계정을 통합·관리하는 솔루션이다. 계정의 생성부터 권한 부여, 변경과 폐기까지 전체 생명주기(Life Cycle)를 관리하며, 접근 신청과 승인 프로세스를 자동화해 효율적으로 내부를 통제한다. 계정이 생성되고, 생성된 계정에 권한을 부여하며, 권한 부여된 계정이 사용되는 모든 행위를 모니터링하고 기록하는 것은 물론 계정을 사용하는 사용자(실제 사용자 및 프로그램, 서비스나 앱 등)의 속성에 따라 권한 변경과 승인 절차를 통한 부여 등의 프로세스를 제공한다. 아울러 더 이상의 권한이 필요 없을 때 이를 비활성화하거나 삭제하는 등의 모든 과정을 정책 기반으로 관리한다. 이를 통해 불필요한 권한 보유, 권한 남용, 계정 방치 등의 보안 리스크를 예방한다.
패스워드 관리(Password Management) 솔루션은 사용자 인증에 필요한 비밀번호의 복잡성 정책 적용과 주기적 변경 강제, 암호화 저장과 접근 로그 관리 등을 수행한다. 즉, 패스워드 관리 솔루션은 인증 정보(패스워드, SSH Key, API Key, 인증서 등)를 중앙 집중적으로 보관하는 것은 물론 암호화 저장 및 로테이션을 통해 인증 정보에 대한 무단 공유와 재사용 방지에 중점을 둔다. 이를 통해 패스워드 탈취 공격을 무력화하고, 고정되고 공유되는 패스워드 사용에 따른 보안 취약성을 제거한다. 최근에는 패스워드를 넘어 생체인증, 다중인증(MFA), 패스워드 관리 인증까지 포괄하는 사용자 인증 관리 개념으로 확장하고 있다.
특히 패스워드 관리는 특권 계정(관리자 계정 Root 등)의 보안을 위한 솔루션은 PAM(Privileged Access Management)으로 확장됐다. IT 환경이 복잡해지면서 생긴 수많은 시스템의 비밀번호를 수동으로 관리하는 것에 한계가 오자, 이를 안전하게 보관하고 관리하기 위해 만들어진 것이 비밀번호 관리 솔루션이었다. 이후 단순한 비밀번호 관리를 넘어 특정 계층의 모든 접근 행위를 관리해야 한다는 요구가 생겼고, 이때 등장한 것이 바로 PAM이다. PAM은 ‘패스워드 관리’는 물론 접속 후 행위를 감시하는 ‘세션 관리’, 그리고 꼭 필요한 권한만 부여하는 ‘최소 권한 원칙 관리’ 기능까지 포함했으며, 이를 통해 접속한 후의 행위까지 통제하고자 했다.
이 세 가지 솔루션은 분명 독립적인 영역을 갖고 상호 보완하지만, 기능이 조금씩 겹치며 경쟁하는 일도 있다. 예를 들면 많은 IAM 솔루션과 PAM(Password Access Management)은 패스워드 관리 기능과 사용자 계정 라이프사이클 관리 기능이 겹치며 경쟁하며, 시스템 접근제어와 PAM도 특권 사용자의 서버 접속 통제라는 목표를 공유하며 기능상 겹치는 부분이 있다.
이 때문에 일부에서는 이 세 가지 기능을 하나의 통합된 플랫폼으로 제공하려는 움직임도 있다. 각 기업의 장점을 기준으로 IAM을 확장하려는 곳도 있으며, PAM을 진화시키려는 곳도 있다. 특히 최근 이슈인 제로트러스트 구현을 통한 통합 제품을 고민하는 곳도 있다.
사이버아크는 “패스워드 관리 영역은 과거에는 별도의 솔루션으로 시장에 도입하기도 했지만, 현재는 대부분의 계정관리 솔루션에 하나의 모듈로 같이 구성된 경우가 많다”면서, “최근 세계시장은 물론 한국에서도 AI 기술이 확산하면서 서비스 및 애플리케이션에서 사용되는 계정들이 기하급수적으로 늘어나고, 자동화된 시크릿 정보보호 및 변경 관리가 필수가 되면서, 전통적인 사람 중심의 계정관리에서 AI 및 머신 등에서 사용되는 계정관리로 확장되는 수요가 많이 늘어나고 있는 상황”이라고 설명했다.
▲국내외 대표 시스템 접근제어·계정관리·패스워드 관리 솔루션[자료: 각 사 제공, 정리: 시큐리티월드·보안뉴스]
순항 중인 시스템 접근제어·계정관리·패스워드 관리 시장
업계에 따르면 시스템 접근제어·계정관리·패스워드 관리 시장은 꾸준하게 성장하고 있다. 피앤피시큐어는 “국내 계정관리 및 접근제어 시장은 금융권, 공공기관을 중심으로 꾸준히 성장하고 있으며, 특히 금융감독원의 IT 내부통제 강화 기조, 개인정보보호법 및 전자금융감독규정 준수 요구가 시장 성장을 견인하고 있다”고 설명했다.
세일포인트 역시 시장이 최근 몇년 동안 성장하고 있다고 말했다. “이는 사이버 보안위협의 증가, 디지털 생태계 확장, 그리고 클라우드와 하이브리드 환경 전반에서 안전한 접근제어에 대한 수요가 급증한 데 따른 결과입니다.”
시큐브는 “국내든 해외든 일정 규모 이상의 IT 시스템을 운영 중인 기업이나 조직은 어떠한 형태든 계정관리 시스템을 운영 중이라고 보는 게 맞을 것”이라면서도 “다만 한국 시장은 이전에 있었던 금융 시스템 침해사고 등의 영향으로 금융기관은 ‘통합 계정권한 관리(계정관리, 복합 인증, 접근권한관리, 행위 감사, 명령어 통제, 패스워드 관리)’ 형태로 구축되어 있고, 그 외 조직은 계정관리와 접근 권한 관리만 기본이고 그 외 기능은 필요에 따라 구축한 것 같다”라고 분석했다.
또한 베이스스톤은 “글로벌 시장은 이미 IDaaS(Identity as a Service) 형태의 클라우드 기반 통합 인증으로 빠르게 재편되고 있으나, 한국 시장은 컴플라이언스와 내부 데이터 보호 이슈로 여전히 온프레미스 수요가 강력하다”면서, “특히 금융권과 공공기관, 방산 분야에서는 망분리 환경 등 특수성을 고려한 고도화된 구축형 솔루션을 선호한다”고 말했다.
사이버아크도 “세계에서는 기업 간 인수합병으로 인한 통합 확장을 통해 솔루션 벤더들이 시크릿 관리, 머신 계정 및 TLS 인증서 관리 영역으로 시장을 넓히고 있고, 국내 시장의 경우 아직은 영역별로 세분화된 기능을 제공하는 솔루션으로 시장에 진출하는 경향이 많다고 볼 수 있다”면서, “시장 측면에서는 세계시장의 경우 빠른 SaaS 전환과 대형 클라우드 네이티브 고객 비중이 늘어나고 있고, 한국 시장의 경우 금융권 및 공공기관 중심의 규제, 컴플라이언스 요건 충족을 위해 서버 접근 계정관리 도입이 활발히 진행되고 있다고 볼 수 있다”고 설명했다.
비용과 솔루션 구현 어려움 등이 대중화 막아
앞서 설명한 것처럼 시스템 접근제어·계정관리·패스워드 관리 시장의 주요 고객은 대기업과 금융기관, 그리고 제조업 등 전문기관이다. 금융권은 전자금융감독규정, ISMS/ISMS-P 인증 등 엄격한 컴플라이언스 요건으로 인해 필수적으로 도입하고 있다. 특히 ISMS/ISMS-P 인증의 경우 연간 매출 100억 이상의 기업과 개인정보를 많이 처리하는 기업 모두 포함되기 때문에 금융은 물론 제조와 이커머스 등 많은 기업이 시스템 접근제어·계정관리·패스워드 관리 솔루션을 찾고 있다는 것이 업계의 설명이다.
최근 클라우드 기반의 SaaS 모델과 구독형 서비스가 등장하면서 진입장벽이 낮아지고는 있지만, 아직 중소기업에까지 대중화되지는 못한 것으로 알려졌다. 다만 구동형 서비스를 사용하는 기업들이 사용 비용을 낮추기 위해 다년 계약을 선택하는 움직임이 늘고 있는 것도 주목할 점이라고 업계에서는 보고 있다.
솔루션 구현이 복잡한 것도 대중화를 어렵게 하고 있다. 엔터프라이즈급 솔루션은 고도화된 보안 아키텍처(암호화, 제로 지식 구조, 외부 검증 등)를 필요로 하고, 온프레미스·클라우드·레거시 시스템을 아우르는 광범위한 통합 기능, 그리고 지속적인 업데이트가 요구된다. 수작업 기반의 사용자 계정관리 프로세스는 시간이 오래 걸리고 인력 소모가 커서 결과적으로 기업에 상당한 비용을 발생시키는 문제도 있어 쉽지 않다는 설명이다.
임직원들의 불편함과 사용상 실수로 인한 문제도 있다. 보안 때문에 업무가 불편해지는 것은 어쩔 수 없다지만, 복잡한 비밀번호 정책이나 다중인증(MFA) 사용을 불편해하는 사용자가 많아 비밀번호 재사용이나 취약한 비밀번호 설정 등 잘못된 보안 습관까지 만들어지는 문제가 종종 발생하기 때문이다.
▲시스템 접근제어·계정관리·패스워드 관리 솔루션 기업별 구축사례 [자료: 각 사 제공, 정리: 시큐리티월드·보안뉴스]
제로트러스트와 패스워드리스 붐이 성장 속도 높여
다행히 최근 몇 가지 이슈를 통해 시스템 접근제어·계정관리·패스워드 관리 시장의 성장 속도를 높이고 있다. 우선 제로트러스트의 급상승으로 인해 계정관리 시스템에 대한 관심도 높아지고 있다. 그런데 제로트러스트는 세분화된 접근제어를 필수적으로 요구하고, 이를 통해 워크로드를 격리하고 잠재적 침해사고의 피해 범위를 최소화하는 마이크로 세그멘테이션 기술의 발전을 촉진하고 있다. 계정관리 솔루션은 이러한 기술과 통합돼 매우 정교한 수준의 접근 정책을 적용할 수 있다고 세일포인트는 설명한다.
사이버아크 역시, 내부 사용자라도 매번 접속자를 확인하고 접근시도가 적절한지를 확인하는 제로트러스트 개념 때문에 아이덴티티가 보안 경계가 되었고, 계정관리가 보안 정책의 출발점이 되고 있다고 설명했다.
“이를 위해 기술적으로는 보안 인증을 위해 적응형 MFA(Multi Factor Authentication) 기반으로 사용자에 대한 강력한 인증을 제공하고, 인증 후 접속하는 계정들에 대해서는 최소 권한 및 동적 권한 제어를 통해 불필요하고 과도한 권한을 제거하는 형태의 기술들이 도입되고 있습니다. 또한 고객들은 이러한 제로트러스트 기반의 확대에 따라 전사 통합 계정관리 플랫폼 등의 도입을 고려하게 되고, 기존 사용자 통합 정보 디렉토리를 이러한 통합 계정관리 플랫폼과의 연동을 통해 모든 자원에 대한 접속시 제로트러스트 기반의 인증/권한 체계를 적용하는 방식을 요구하고 있습니다.”
패스워드리스(Passwordless) 붐 역시 산업 발전에 영향을 주고 있다. 기존 패스워드 입력 방식이 피싱이나 유출, 재사용과 브루트 포스(Brute Force) 등 여러 사이버 공격에 매우 취약했기 때문에, 사용자는 물론 기업 입장에서도 부담이 매우 컸다. 이로 인해 보안성과 사용자 편의성 양쪽을 동시에 만족하는 새로운 방식에 대한 수요가 커졌고, 그 결과로 등장한 것이 패스워드리스라는 것이다.
물론 패스워드리스가 기존 계정관리 시스템을 완전히 대체하는 것은 아니다. 계정의 생명주기 관리와 권한 관리, 감사 로그 등은 여전히 필요하며, 패스워드리스는 인증 방식의 진화로 보는 것이 타당하다는 업계의 판단이다.
한편, 공공을 중심으로 실질적인 도입 움직임도 진행 중이다. 베이스스톤은 “현재 조달청 혁신 시제품 시업을 통해 내년 공공기관 PoC가 예정되어 있으며, 대기업과 금융권 CISO를 중심으로 활발하게 논의중”이라며 시장 활성화를 강조했다.
▲시스템 접근제어·계정관리·패스워드 관리에 대한 사용자 설문조사[자료: 베이스스톤]
보안전문가들의 시스템 접근제어·계정관리·패스워드 관리에 대한 설문조사
그렇다면 실제 보안전문가들은 시스템 접근제어·계정관리·패스워드 관리에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 12월 9일부터 10일까지 양일간 설문조사를 진행했다. 이번 설문조사에는 공공(26.6%)과 민간(73.4%)의 보안전문가 1731명이 답했다.
먼저 관리자 페이지의 본인 인증 시 어떤 서비스를 사용하는지를 물어봤다. 가장 많은 30.7%의 응답자는 ‘휴대폰 SMS’를 이용한다고 답했다. 이어 ‘간편인증(PASS, 네이버, 카카오 등)’이 23.7%, ‘이메일 인증’이 18.5%의 선택을 받았다. 또한 ‘생체인식’도 9.2%의 응답자가 선택했다. 다만 17.3%는 ‘별도로 하지 않음’을 선택했다.
이어서 주기적으로 관리자 페이지 패스워드를 변경하는 지도 물어봤다. 응답자의 79.2%는 ‘그렇다’라고 답했고, 20.8%는 ‘아니다’라고 답해 아직 보안에 취약한 기업들이 있음을 보여주었다. 이는 다음 질문에서도 나타났다. 관리자 페이지 패스워드 변경은 얼마나 자주 하는지 묻자 16.2%는 ‘정책화되어 있지 않고, 거의 안 바꿈’이라고 답했기 때문이다. 또한 9.2%는 ‘1년에 1번’이라고 답해 보안상의 문제를 드러냈다. 또한 보안 강화를 위해 다중 인증을 도입했는지 묻는 질문에도 36.4%가 ‘아니다’라고 답했다. 물론 50.9%는 ‘그렇다’라고 답변했고, 12.7%도 ‘아직 도입 전이지만, 1년 안으로 도입할 계획이다’라고 답해 상당수의 조직은 다중 인증을 사용하는 것으로 조사됐다.
마지막으로 어떤 종류의 ‘시스템 접근제어·계정관리·패스워드 관리’ 솔루션을 사용하는지 물어봤다. 이번 질문은 한 조직이 여러 솔루션을 사용할 수 있기 때문에 복수로 응답을 받았다. 가장 많은 선택을 받은 것은 36.4%의 ‘IAM(Identity and Access Management)’이었다. 이어 34.1%는 ‘SSO(Single Sign-On)’을 선택했고, 29.5%는 ‘MFA(Multi-Factor Authentication)’를 그리고 15.0%는 KMS(Key Management System)를 꼽았다. ‘EAM(Enterprise Access Management)’과 ‘PKI(Public Key Infrastructure)’, 그리고 ‘PM(Password Management)’이 사이좋게 10.4%의 선택을 받았다. 또한 8.7%는 ‘PAM(Privileged Access Management)’, 5.8%는 ‘IM(Identity Management)’, 5.2%는 ‘PSM(Privileged Session Management)’을 각각 선택했다.
기능 통합과 단일화되는 시스템 접근제어·계정관리·패스워드 관리 솔루션
현재 시스템 접근제어와 계정관리, 그리고 패스워드 관리 솔루션 시장은 기능 통합과 단일화의 흐름을 타고 변화하고 있다. 각각의 솔루션을 별도로 도입해 운영하면서 발생하는 관리 비용 증가와 정책 일관성 저하, 보안 사각지대 발생 등의 문제를 해결하는 한편, 통합하면서 얻는 효과가 좋았기 때문이다.
업계에서는 IAM과 PAM, 권한 관리 등이 하나의 통합 아이덴티티 보안 플랫폼으로 통합하는 방향으로 진화하고 있다고 봤다. 제로트러스트 확산에 따른 아이덴티티가 새로운 보안의 중심이 되고 있고, 계정을 노리는 공격이 지속되고 있으며, 다양한 컴플라이언스가 이어지면서 강화된 아이덴티티 보안의 등장을 요구하고 있기 때문이다.
이처럼 시스템 접근제어와 계정관리, 그리고 패스워드 관리 솔루션 시장은 큰 변화와 기회의 기로에 서 있다. 시장의 발전은 당연한 순서지만, 변화의 바람을 타고 승승장구할 것인지, 아니면 거스르다 기회를 잃을 것인지는 각자의 선택과 노력에 달려 있다.
▲베이스스톤 Quardian Auth[자료: 베이스스톤]
[시스템 접근제어·계정관리·패스워드 관리 솔루션 집중 분석]
베이스스톤, 동적 인증키 기반 ‘Quardian 플랫폼’으로 차세대 양자 보안 표준 제시
국정원 인증 MFA ‘Quardian Auth’에 통신 구간 보호 솔루션 ‘Quardian Trust’ 결합으로 제로트러스트 체계 완성
베이스스톤은 고도화되는 사이버 위협에 대응해 양자 현상으로 발생하는 무작위 ‘양자 엔트로피’를 독자 특허 기술을 통해 인증키로 생성한다. 이를 활용한 혁신적인 인증 체계 ‘Quardian Auth’를 필두로 통신 구간 보호 솔루션 ‘Quardian Trust’까지 아우르는 통합 보안 모델을 제시했다. 베이스스톤은 이 같은 ‘Quardian(쿼디안)’ 플랫폼 기반의 제로 트러스트 전략을 본격화하며 공공·금융 시장 공략에 속도를 내고 있다.
예측 불가능한 동적 인증키로 인증 패러다임 혁신 ‘Quardian Auth’
베이스스톤 보안 전략의 핵심은 단연 ‘Quardian Auth(쿼디안 어스)’다. 최근 GPKI(행정전자서명) 인증서 유출이나 계정 도용 등 정적 인증 체계의 취약점이 잇따라 드러나는 가운데, 베이스스톤은 별도의 인증 정보를 저장하지 않는 일회성 인증 방식을 도입하여 새로운 인증 패러다임을 제시했다.
‘Quardian Auth’는 제품 운영 환경에 탑재된 QRNG로부터 추출한 순수 양자 엔트로피를 공급받아, 베이스스톤의 특허 기술을 통해 무작위성이 극대화된 인증키를 생성한다. 매 세션 생성되는 이 인증키는 사용 즉시 폐기되어 패킷을 탈취(Sniffing 공격) 당하더라도 재사용이 불가능하다. 또한, 패턴이 존재하지 않아 다음 값을 계산할 수 없는 인증키의 특성 덕분에 키 예측 시도는 물론 기기 복제나 메모리 덤프 공격까지 원천적으로 방어한다.
사용자 경험(UX) 측면에서도 강점을 보인다. 사용자가 로그인을 시도하면 모바일 앱으로 푸시(Push) 알림이 전송되고, 지문·페이스ID 등 생체인증을 수행해 FIDO 2 프로토콜과 연동된다. 즉, ‘소유·생체·지식(인증키)’이 결합한 강력한 다중 인증(MFA)을 구현해 피싱 및 중간자 공격(MITM)을 원천 차단한다. 이러한 기술력을 인정받아 조달청 혁신 제품으로 지정되었을 뿐 아니라, 국정원 보안기능확인서까지 획득하는 성과를 거뒀다.
내부망까지 보안 공백 ‘제로’... ‘Quardian Trust’와의 결합
베이스스톤은 ‘Quardian Auth’로 진입 관문을 철저히 통제하는 데 그치지 않고, 내부망 통신 구간 보호 솔루션 ‘Quardian Trust(쿼디안 트러스트)’를 연계해 보안 시너지를 극대화했다. 이는 제로 트러스트의 완성형 모델로 평가받는다.
‘Quardian Trust’는 내부망 서버 간 통신을 보호하며 제로 트러스트를 완성한다. 엄격한 접근제어로 해커의 ‘수평 이동’ 위협을 최소화하며, 인증서 없이도 양자 엔트로피 기반의 동적키를 매 세션 갱신해 기밀성을 극대화했다. 이는 무단 터널링 차단은 물론, 현재의 데이터를 탈취해 미래에 해독하려는 ‘HNDL’ 공격까지 방어하는 핵심 수단이 된다.
베이스스톤 관계자는 “조달청 혁신제품으로 지정된 ‘Quardian Auth’를 중심으로 현재 다수의 공공기관과 구체적인 도입 협의를 진행 중”이라며, “검증된 인증 기술에 내부망 보호 기능을 더해 관리 편의성과 강력한 보안을 모두 갖춘 차세대 양자 기반 보안 표준을 제공하겠다”라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
IAM과 PAM, 권한 관리 등 기존 솔루션 통합하는 아이덴티티 보안 솔루션으로 성장 중
사용자 설문조사...현재 사용하는 시스템 접근제어·계정관리·패스워드 관리 솔루션은 ‘IAM’
시스템 접근제어·계정관리·패스워드 관리 솔루션 전문기업 집중 분석: 베이스스톤
[보안뉴스 원병철 기자] 1900년대 전산시스템이 등장한 이후 기업 등 조직들은 전자식 접근 통제에 대한 고민을 지속적으로 하고 있다. 특히 1980년대 이후 컴퓨터 네트워크와 서버 시스템이 보편화되면서 IT 시스템에 대한 접근을 통제할 필요성이 커졌다. 이어 관리하는 시스템이 증가하고 애플리케이션이 늘어나면서 사용자 계정을 관리하는 계정관리 솔루션이 2000년대 초반 등장했다. 또한 주로 기업을 중심으로 비밀번호를 안전하게 보관하고 자동으로 관리하는 패스워드 관리 솔루션도 발전하기 시작했다.
[자료: gettyimagesbank]
시스템 접근제어(SAC: System Access Control)는 시스템에 대한 접속하는 경로와 행위를 통제하고 기록함으로써 시스템을 보호하기 위한 솔루션이다. 접근을 통제하고, 세션 관리와 감사를 통해 사용자의 모든 행위를 통제하고 기록한다.
계정관리(IAM: Identity Access Management)는 서버와 데이터베이스, 네트워크 장비에 산재한 사용자 계정을 통합·관리하는 솔루션이다. 계정의 생성부터 권한 부여, 변경과 폐기까지 전체 생명주기(Life Cycle)를 관리하며, 접근 신청과 승인 프로세스를 자동화해 효율적으로 내부를 통제한다. 계정이 생성되고, 생성된 계정에 권한을 부여하며, 권한 부여된 계정이 사용되는 모든 행위를 모니터링하고 기록하는 것은 물론 계정을 사용하는 사용자(실제 사용자 및 프로그램, 서비스나 앱 등)의 속성에 따라 권한 변경과 승인 절차를 통한 부여 등의 프로세스를 제공한다. 아울러 더 이상의 권한이 필요 없을 때 이를 비활성화하거나 삭제하는 등의 모든 과정을 정책 기반으로 관리한다. 이를 통해 불필요한 권한 보유, 권한 남용, 계정 방치 등의 보안 리스크를 예방한다.
패스워드 관리(Password Management) 솔루션은 사용자 인증에 필요한 비밀번호의 복잡성 정책 적용과 주기적 변경 강제, 암호화 저장과 접근 로그 관리 등을 수행한다. 즉, 패스워드 관리 솔루션은 인증 정보(패스워드, SSH Key, API Key, 인증서 등)를 중앙 집중적으로 보관하는 것은 물론 암호화 저장 및 로테이션을 통해 인증 정보에 대한 무단 공유와 재사용 방지에 중점을 둔다. 이를 통해 패스워드 탈취 공격을 무력화하고, 고정되고 공유되는 패스워드 사용에 따른 보안 취약성을 제거한다. 최근에는 패스워드를 넘어 생체인증, 다중인증(MFA), 패스워드 관리 인증까지 포괄하는 사용자 인증 관리 개념으로 확장하고 있다.
특히 패스워드 관리는 특권 계정(관리자 계정 Root 등)의 보안을 위한 솔루션은 PAM(Privileged Access Management)으로 확장됐다. IT 환경이 복잡해지면서 생긴 수많은 시스템의 비밀번호를 수동으로 관리하는 것에 한계가 오자, 이를 안전하게 보관하고 관리하기 위해 만들어진 것이 비밀번호 관리 솔루션이었다. 이후 단순한 비밀번호 관리를 넘어 특정 계층의 모든 접근 행위를 관리해야 한다는 요구가 생겼고, 이때 등장한 것이 바로 PAM이다. PAM은 ‘패스워드 관리’는 물론 접속 후 행위를 감시하는 ‘세션 관리’, 그리고 꼭 필요한 권한만 부여하는 ‘최소 권한 원칙 관리’ 기능까지 포함했으며, 이를 통해 접속한 후의 행위까지 통제하고자 했다.
이 세 가지 솔루션은 분명 독립적인 영역을 갖고 상호 보완하지만, 기능이 조금씩 겹치며 경쟁하는 일도 있다. 예를 들면 많은 IAM 솔루션과 PAM(Password Access Management)은 패스워드 관리 기능과 사용자 계정 라이프사이클 관리 기능이 겹치며 경쟁하며, 시스템 접근제어와 PAM도 특권 사용자의 서버 접속 통제라는 목표를 공유하며 기능상 겹치는 부분이 있다.
이 때문에 일부에서는 이 세 가지 기능을 하나의 통합된 플랫폼으로 제공하려는 움직임도 있다. 각 기업의 장점을 기준으로 IAM을 확장하려는 곳도 있으며, PAM을 진화시키려는 곳도 있다. 특히 최근 이슈인 제로트러스트 구현을 통한 통합 제품을 고민하는 곳도 있다.
사이버아크는 “패스워드 관리 영역은 과거에는 별도의 솔루션으로 시장에 도입하기도 했지만, 현재는 대부분의 계정관리 솔루션에 하나의 모듈로 같이 구성된 경우가 많다”면서, “최근 세계시장은 물론 한국에서도 AI 기술이 확산하면서 서비스 및 애플리케이션에서 사용되는 계정들이 기하급수적으로 늘어나고, 자동화된 시크릿 정보보호 및 변경 관리가 필수가 되면서, 전통적인 사람 중심의 계정관리에서 AI 및 머신 등에서 사용되는 계정관리로 확장되는 수요가 많이 늘어나고 있는 상황”이라고 설명했다.
▲국내외 대표 시스템 접근제어·계정관리·패스워드 관리 솔루션[자료: 각 사 제공, 정리: 시큐리티월드·보안뉴스]
순항 중인 시스템 접근제어·계정관리·패스워드 관리 시장
업계에 따르면 시스템 접근제어·계정관리·패스워드 관리 시장은 꾸준하게 성장하고 있다. 피앤피시큐어는 “국내 계정관리 및 접근제어 시장은 금융권, 공공기관을 중심으로 꾸준히 성장하고 있으며, 특히 금융감독원의 IT 내부통제 강화 기조, 개인정보보호법 및 전자금융감독규정 준수 요구가 시장 성장을 견인하고 있다”고 설명했다.
세일포인트 역시 시장이 최근 몇년 동안 성장하고 있다고 말했다. “이는 사이버 보안위협의 증가, 디지털 생태계 확장, 그리고 클라우드와 하이브리드 환경 전반에서 안전한 접근제어에 대한 수요가 급증한 데 따른 결과입니다.”
시큐브는 “국내든 해외든 일정 규모 이상의 IT 시스템을 운영 중인 기업이나 조직은 어떠한 형태든 계정관리 시스템을 운영 중이라고 보는 게 맞을 것”이라면서도 “다만 한국 시장은 이전에 있었던 금융 시스템 침해사고 등의 영향으로 금융기관은 ‘통합 계정권한 관리(계정관리, 복합 인증, 접근권한관리, 행위 감사, 명령어 통제, 패스워드 관리)’ 형태로 구축되어 있고, 그 외 조직은 계정관리와 접근 권한 관리만 기본이고 그 외 기능은 필요에 따라 구축한 것 같다”라고 분석했다.
또한 베이스스톤은 “글로벌 시장은 이미 IDaaS(Identity as a Service) 형태의 클라우드 기반 통합 인증으로 빠르게 재편되고 있으나, 한국 시장은 컴플라이언스와 내부 데이터 보호 이슈로 여전히 온프레미스 수요가 강력하다”면서, “특히 금융권과 공공기관, 방산 분야에서는 망분리 환경 등 특수성을 고려한 고도화된 구축형 솔루션을 선호한다”고 말했다.
사이버아크도 “세계에서는 기업 간 인수합병으로 인한 통합 확장을 통해 솔루션 벤더들이 시크릿 관리, 머신 계정 및 TLS 인증서 관리 영역으로 시장을 넓히고 있고, 국내 시장의 경우 아직은 영역별로 세분화된 기능을 제공하는 솔루션으로 시장에 진출하는 경향이 많다고 볼 수 있다”면서, “시장 측면에서는 세계시장의 경우 빠른 SaaS 전환과 대형 클라우드 네이티브 고객 비중이 늘어나고 있고, 한국 시장의 경우 금융권 및 공공기관 중심의 규제, 컴플라이언스 요건 충족을 위해 서버 접근 계정관리 도입이 활발히 진행되고 있다고 볼 수 있다”고 설명했다.
비용과 솔루션 구현 어려움 등이 대중화 막아
앞서 설명한 것처럼 시스템 접근제어·계정관리·패스워드 관리 시장의 주요 고객은 대기업과 금융기관, 그리고 제조업 등 전문기관이다. 금융권은 전자금융감독규정, ISMS/ISMS-P 인증 등 엄격한 컴플라이언스 요건으로 인해 필수적으로 도입하고 있다. 특히 ISMS/ISMS-P 인증의 경우 연간 매출 100억 이상의 기업과 개인정보를 많이 처리하는 기업 모두 포함되기 때문에 금융은 물론 제조와 이커머스 등 많은 기업이 시스템 접근제어·계정관리·패스워드 관리 솔루션을 찾고 있다는 것이 업계의 설명이다.
최근 클라우드 기반의 SaaS 모델과 구독형 서비스가 등장하면서 진입장벽이 낮아지고는 있지만, 아직 중소기업에까지 대중화되지는 못한 것으로 알려졌다. 다만 구동형 서비스를 사용하는 기업들이 사용 비용을 낮추기 위해 다년 계약을 선택하는 움직임이 늘고 있는 것도 주목할 점이라고 업계에서는 보고 있다.
솔루션 구현이 복잡한 것도 대중화를 어렵게 하고 있다. 엔터프라이즈급 솔루션은 고도화된 보안 아키텍처(암호화, 제로 지식 구조, 외부 검증 등)를 필요로 하고, 온프레미스·클라우드·레거시 시스템을 아우르는 광범위한 통합 기능, 그리고 지속적인 업데이트가 요구된다. 수작업 기반의 사용자 계정관리 프로세스는 시간이 오래 걸리고 인력 소모가 커서 결과적으로 기업에 상당한 비용을 발생시키는 문제도 있어 쉽지 않다는 설명이다.
임직원들의 불편함과 사용상 실수로 인한 문제도 있다. 보안 때문에 업무가 불편해지는 것은 어쩔 수 없다지만, 복잡한 비밀번호 정책이나 다중인증(MFA) 사용을 불편해하는 사용자가 많아 비밀번호 재사용이나 취약한 비밀번호 설정 등 잘못된 보안 습관까지 만들어지는 문제가 종종 발생하기 때문이다.
▲시스템 접근제어·계정관리·패스워드 관리 솔루션 기업별 구축사례 [자료: 각 사 제공, 정리: 시큐리티월드·보안뉴스]
제로트러스트와 패스워드리스 붐이 성장 속도 높여
다행히 최근 몇 가지 이슈를 통해 시스템 접근제어·계정관리·패스워드 관리 시장의 성장 속도를 높이고 있다. 우선 제로트러스트의 급상승으로 인해 계정관리 시스템에 대한 관심도 높아지고 있다. 그런데 제로트러스트는 세분화된 접근제어를 필수적으로 요구하고, 이를 통해 워크로드를 격리하고 잠재적 침해사고의 피해 범위를 최소화하는 마이크로 세그멘테이션 기술의 발전을 촉진하고 있다. 계정관리 솔루션은 이러한 기술과 통합돼 매우 정교한 수준의 접근 정책을 적용할 수 있다고 세일포인트는 설명한다.
사이버아크 역시, 내부 사용자라도 매번 접속자를 확인하고 접근시도가 적절한지를 확인하는 제로트러스트 개념 때문에 아이덴티티가 보안 경계가 되었고, 계정관리가 보안 정책의 출발점이 되고 있다고 설명했다.
“이를 위해 기술적으로는 보안 인증을 위해 적응형 MFA(Multi Factor Authentication) 기반으로 사용자에 대한 강력한 인증을 제공하고, 인증 후 접속하는 계정들에 대해서는 최소 권한 및 동적 권한 제어를 통해 불필요하고 과도한 권한을 제거하는 형태의 기술들이 도입되고 있습니다. 또한 고객들은 이러한 제로트러스트 기반의 확대에 따라 전사 통합 계정관리 플랫폼 등의 도입을 고려하게 되고, 기존 사용자 통합 정보 디렉토리를 이러한 통합 계정관리 플랫폼과의 연동을 통해 모든 자원에 대한 접속시 제로트러스트 기반의 인증/권한 체계를 적용하는 방식을 요구하고 있습니다.”
패스워드리스(Passwordless) 붐 역시 산업 발전에 영향을 주고 있다. 기존 패스워드 입력 방식이 피싱이나 유출, 재사용과 브루트 포스(Brute Force) 등 여러 사이버 공격에 매우 취약했기 때문에, 사용자는 물론 기업 입장에서도 부담이 매우 컸다. 이로 인해 보안성과 사용자 편의성 양쪽을 동시에 만족하는 새로운 방식에 대한 수요가 커졌고, 그 결과로 등장한 것이 패스워드리스라는 것이다.
물론 패스워드리스가 기존 계정관리 시스템을 완전히 대체하는 것은 아니다. 계정의 생명주기 관리와 권한 관리, 감사 로그 등은 여전히 필요하며, 패스워드리스는 인증 방식의 진화로 보는 것이 타당하다는 업계의 판단이다.
한편, 공공을 중심으로 실질적인 도입 움직임도 진행 중이다. 베이스스톤은 “현재 조달청 혁신 시제품 시업을 통해 내년 공공기관 PoC가 예정되어 있으며, 대기업과 금융권 CISO를 중심으로 활발하게 논의중”이라며 시장 활성화를 강조했다.
▲시스템 접근제어·계정관리·패스워드 관리에 대한 사용자 설문조사[자료: 베이스스톤]
보안전문가들의 시스템 접근제어·계정관리·패스워드 관리에 대한 설문조사
그렇다면 실제 보안전문가들은 시스템 접근제어·계정관리·패스워드 관리에 대해 어떻게 생각할까? 시큐리티월드와 보안뉴스는 보안전문가들의 의견을 들어보기 위해 2025년 12월 9일부터 10일까지 양일간 설문조사를 진행했다. 이번 설문조사에는 공공(26.6%)과 민간(73.4%)의 보안전문가 1731명이 답했다.
먼저 관리자 페이지의 본인 인증 시 어떤 서비스를 사용하는지를 물어봤다. 가장 많은 30.7%의 응답자는 ‘휴대폰 SMS’를 이용한다고 답했다. 이어 ‘간편인증(PASS, 네이버, 카카오 등)’이 23.7%, ‘이메일 인증’이 18.5%의 선택을 받았다. 또한 ‘생체인식’도 9.2%의 응답자가 선택했다. 다만 17.3%는 ‘별도로 하지 않음’을 선택했다.
이어서 주기적으로 관리자 페이지 패스워드를 변경하는 지도 물어봤다. 응답자의 79.2%는 ‘그렇다’라고 답했고, 20.8%는 ‘아니다’라고 답해 아직 보안에 취약한 기업들이 있음을 보여주었다. 이는 다음 질문에서도 나타났다. 관리자 페이지 패스워드 변경은 얼마나 자주 하는지 묻자 16.2%는 ‘정책화되어 있지 않고, 거의 안 바꿈’이라고 답했기 때문이다. 또한 9.2%는 ‘1년에 1번’이라고 답해 보안상의 문제를 드러냈다. 또한 보안 강화를 위해 다중 인증을 도입했는지 묻는 질문에도 36.4%가 ‘아니다’라고 답했다. 물론 50.9%는 ‘그렇다’라고 답변했고, 12.7%도 ‘아직 도입 전이지만, 1년 안으로 도입할 계획이다’라고 답해 상당수의 조직은 다중 인증을 사용하는 것으로 조사됐다.
마지막으로 어떤 종류의 ‘시스템 접근제어·계정관리·패스워드 관리’ 솔루션을 사용하는지 물어봤다. 이번 질문은 한 조직이 여러 솔루션을 사용할 수 있기 때문에 복수로 응답을 받았다. 가장 많은 선택을 받은 것은 36.4%의 ‘IAM(Identity and Access Management)’이었다. 이어 34.1%는 ‘SSO(Single Sign-On)’을 선택했고, 29.5%는 ‘MFA(Multi-Factor Authentication)’를 그리고 15.0%는 KMS(Key Management System)를 꼽았다. ‘EAM(Enterprise Access Management)’과 ‘PKI(Public Key Infrastructure)’, 그리고 ‘PM(Password Management)’이 사이좋게 10.4%의 선택을 받았다. 또한 8.7%는 ‘PAM(Privileged Access Management)’, 5.8%는 ‘IM(Identity Management)’, 5.2%는 ‘PSM(Privileged Session Management)’을 각각 선택했다.
기능 통합과 단일화되는 시스템 접근제어·계정관리·패스워드 관리 솔루션
현재 시스템 접근제어와 계정관리, 그리고 패스워드 관리 솔루션 시장은 기능 통합과 단일화의 흐름을 타고 변화하고 있다. 각각의 솔루션을 별도로 도입해 운영하면서 발생하는 관리 비용 증가와 정책 일관성 저하, 보안 사각지대 발생 등의 문제를 해결하는 한편, 통합하면서 얻는 효과가 좋았기 때문이다.
업계에서는 IAM과 PAM, 권한 관리 등이 하나의 통합 아이덴티티 보안 플랫폼으로 통합하는 방향으로 진화하고 있다고 봤다. 제로트러스트 확산에 따른 아이덴티티가 새로운 보안의 중심이 되고 있고, 계정을 노리는 공격이 지속되고 있으며, 다양한 컴플라이언스가 이어지면서 강화된 아이덴티티 보안의 등장을 요구하고 있기 때문이다.
이처럼 시스템 접근제어와 계정관리, 그리고 패스워드 관리 솔루션 시장은 큰 변화와 기회의 기로에 서 있다. 시장의 발전은 당연한 순서지만, 변화의 바람을 타고 승승장구할 것인지, 아니면 거스르다 기회를 잃을 것인지는 각자의 선택과 노력에 달려 있다.
▲베이스스톤 Quardian Auth[자료: 베이스스톤]
[시스템 접근제어·계정관리·패스워드 관리 솔루션 집중 분석]
베이스스톤, 동적 인증키 기반 ‘Quardian 플랫폼’으로 차세대 양자 보안 표준 제시
국정원 인증 MFA ‘Quardian Auth’에 통신 구간 보호 솔루션 ‘Quardian Trust’ 결합으로 제로트러스트 체계 완성
베이스스톤은 고도화되는 사이버 위협에 대응해 양자 현상으로 발생하는 무작위 ‘양자 엔트로피’를 독자 특허 기술을 통해 인증키로 생성한다. 이를 활용한 혁신적인 인증 체계 ‘Quardian Auth’를 필두로 통신 구간 보호 솔루션 ‘Quardian Trust’까지 아우르는 통합 보안 모델을 제시했다. 베이스스톤은 이 같은 ‘Quardian(쿼디안)’ 플랫폼 기반의 제로 트러스트 전략을 본격화하며 공공·금융 시장 공략에 속도를 내고 있다.
예측 불가능한 동적 인증키로 인증 패러다임 혁신 ‘Quardian Auth’
베이스스톤 보안 전략의 핵심은 단연 ‘Quardian Auth(쿼디안 어스)’다. 최근 GPKI(행정전자서명) 인증서 유출이나 계정 도용 등 정적 인증 체계의 취약점이 잇따라 드러나는 가운데, 베이스스톤은 별도의 인증 정보를 저장하지 않는 일회성 인증 방식을 도입하여 새로운 인증 패러다임을 제시했다.
‘Quardian Auth’는 제품 운영 환경에 탑재된 QRNG로부터 추출한 순수 양자 엔트로피를 공급받아, 베이스스톤의 특허 기술을 통해 무작위성이 극대화된 인증키를 생성한다. 매 세션 생성되는 이 인증키는 사용 즉시 폐기되어 패킷을 탈취(Sniffing 공격) 당하더라도 재사용이 불가능하다. 또한, 패턴이 존재하지 않아 다음 값을 계산할 수 없는 인증키의 특성 덕분에 키 예측 시도는 물론 기기 복제나 메모리 덤프 공격까지 원천적으로 방어한다.
사용자 경험(UX) 측면에서도 강점을 보인다. 사용자가 로그인을 시도하면 모바일 앱으로 푸시(Push) 알림이 전송되고, 지문·페이스ID 등 생체인증을 수행해 FIDO 2 프로토콜과 연동된다. 즉, ‘소유·생체·지식(인증키)’이 결합한 강력한 다중 인증(MFA)을 구현해 피싱 및 중간자 공격(MITM)을 원천 차단한다. 이러한 기술력을 인정받아 조달청 혁신 제품으로 지정되었을 뿐 아니라, 국정원 보안기능확인서까지 획득하는 성과를 거뒀다.
내부망까지 보안 공백 ‘제로’... ‘Quardian Trust’와의 결합
베이스스톤은 ‘Quardian Auth’로 진입 관문을 철저히 통제하는 데 그치지 않고, 내부망 통신 구간 보호 솔루션 ‘Quardian Trust(쿼디안 트러스트)’를 연계해 보안 시너지를 극대화했다. 이는 제로 트러스트의 완성형 모델로 평가받는다.
‘Quardian Trust’는 내부망 서버 간 통신을 보호하며 제로 트러스트를 완성한다. 엄격한 접근제어로 해커의 ‘수평 이동’ 위협을 최소화하며, 인증서 없이도 양자 엔트로피 기반의 동적키를 매 세션 갱신해 기밀성을 극대화했다. 이는 무단 터널링 차단은 물론, 현재의 데이터를 탈취해 미래에 해독하려는 ‘HNDL’ 공격까지 방어하는 핵심 수단이 된다.
베이스스톤 관계자는 “조달청 혁신제품으로 지정된 ‘Quardian Auth’를 중심으로 현재 다수의 공공기관과 구체적인 도입 협의를 진행 중”이라며, “검증된 인증 기술에 내부망 보호 기능을 더해 관리 편의성과 강력한 보안을 모두 갖춘 차세대 양자 기반 보안 표준을 제공하겠다”라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
