.jpg)
.gif)
인간을 단순하고 반복적인 업무에서 해방시켜줄 도구...소프트웨어이자 인공지능
디도스 공격에 당하기도 쉽고, 디도스 공격의 도구가 되기도 쉽고...설계부터 보호해야
[보안뉴스 문가용 기자] 아직 우리가 그토록 두려워하던 로봇의 시대가 온 건 아니지만, 꽤나 비슷한 기술이 우리를 위협하기 시작했다. 바로 RPA로, 여러 가지 단순하고 반복적인 작업을 스마트하게 자동화시켜주는 기술로서 각광받고 있다. 가트너(Gartner)에 의하면 RPA 시장은 현재 급속도로 성장 중에 있으며, 2025년까지 72억 달러 규모로 성장할 것이라고 한다.
[이미지 = utoimage]
RPA는 지금도 이어지고 있는 디지털 변혁(digital transformation)과 혁신을 보다 수월하게 이뤄줄 기술로서 온갖 기대를 받고 있다. 특히 단순 반복 업무를 수월하게 만들어준다는 점에서, 그러므로 인간을 실제 ‘인간다운’ 일에 집중할 수 있게 해준다는 점에서 많은 조직들이 쌍수 들어 환영하고 있다. 하지만 보안의 관점에서 RPA는 어떤 상태일까? 안전한 기술일까?
첩보 및 데이터 분석 회사인 포트레스아이큐(FortressIQ)의 회장인 존 니슬리(Jon Knisley)는 “RPA 기술이 생산성과 컴플라이언스 측면에서는 엄청난 가치를 발휘할 것이 분명하지만, 새로운 사이버 공격의 가능성도 창출할 것”이라고 말한다. “RPA 봇들은 사람과 똑같은 시스템 권한을 요구합니다. RPA 봇들은 지속적으로 데이터를 자르고 붙이고 옮기고 복제하고 지우기 때문에 크리덴셜을 활용해야 할 때가 많은데, 그래서 크리덴셜을 스크립트에 하드코드 해두는 경우도 많고, 편리하게 활용하기 위해 위험한 장소에 따로 마련해 운영하기도 합니다.”
그 외에도 리스크들은 다양한 형태로 존재한다. 위에 언급한 접근 관련 문제는 빙산의 일각뿐이라고 니슬리는 강조한다. “단순 반복 작업을 자동으로 처리하는 기술이라는 건, 민감한 시스템을 포함한 여러 부분에 주기적으로 접속해야 한다는 뜻입니다. 또한 RPA도 결국 하나의 솔루션이죠. 공격자들이 군침을 노릴 만합니다.”
자동화 전문 업체 오토메이션 애니웨어(Automation Anywhere)의 제품 보안 전문가인 고탐 로이(Gautam Roy) 역시 “대부분의 보안 위협은 RPA 솔루션들이 처리하는 정보로부터 온다”고 말하며 니슬리의 말을 거든다. “수많은 일을 대신 처리해준다는 기술입니다. 생각해 보세요. 그 수많은 일들이 어떻게 처리되겠어요? 뭔가가 사람 대신 정보에 접근을 해 처리하니까 가능한 겁니다. 상황에 따라 엄청난 정보가 흐를 수 있죠. 공격자들이 이 부분을 공략하지 않으면, 그게 더 이상할 겁니다.”
니슬리는 “이처럼 불법적 접근 및 침해가 가장 먼저 예상되고 있기 때문에, 크리덴셜을 중앙에서, 암호화 기술을 통해 안전하게 보호하고 관리하는 것이 첫 번째 RPA 보안 수칙이 될 것”이라고 말한다. 또한 “아무리 일을 잘 처리해주는 봇이라고 하더라도 사람에 준하는 혹은 사람보다 높은 권한을 주기는 어렵다”며 “RPA에도 ‘최소한의 권한’ 수칙을 적용해야 하는데, 그 지점을 찾는 게 까다로울 수 있다”고 말한다.
RPA는 ‘로우 코드(low-code)’ 혹은 ‘노 코드(no-code)’ 형태로 솔루션을 제공하는데, 이 때문에 RPA는 어떤 환경에서 유연하게 구축될 수 있고, 이것이 RPA의 인기에 큰 몫을 차지한다. 당연하지만, 접근 권한과 크리덴셜 관리 정도만으로 RPA를 다 보호했다고 말하기는 힘들 것이다. 보안 담당자라면, 그리고 RPA 솔루션 관리에 대한 임무를 받았다면, RPA라는 솔루션을 어떤 부분에, 어떤 방식으로 구축할 것인지도 잘 평가해야 한다.
“보통 구축 임무를 가진 사람은 기능성과 생산성의 측면에서만 여러 가지를 고려하지 보안이나 위험 쪽은 잘 생각하지 않습니다. 따라서 기업 입장에서는 개발자와 보안 담당자가 서로 협력해서 RPA를 구축하도록 해야 할 것입니다. 특히 ‘IT 기술 비전문가’가 대부분인 일반 직원들이 RPA를 처음으로 사용해본다는 걸 염두에 두어야 합니다. 심지어 RPA에 관심을 가진 일반인들이 여러 가지 파일럿 프로젝트를 각기 진행 중인 곳도 많습니다. 애플리케이션 보안 전문가가 아니라면 득보다 실이 클 가능성이 높습니다.” 로이의 설명이다.
그 외에 RPA를 겨냥한 디도스 공격도 염두에 두어야 한다. 보안 업체 블루캣(BlueCat)의 정보 국장인 큐네이트 카룰(Cuneyt Karul)은 “RPA의 편리성이 조직 내에서 인정을 받기 시작하면 점점 더 많은 업무를 RPA로 처리하게 될 겁니다. RPA의 영향력이 커진다는 소리죠. 디도스에 대한 고려 없이 RPA를 확장시키다보면 단 한 지점에서 발생하는 조직의 업무 전체가 마비될 수 있습니다.” 심지어 디도스 공격의 도구로 활용될 가능성도 생각해야 한다. “RPA는 봇입니다. 봇은 본질상 확장(scale)이 쉽죠. 그렇기 때문에 디도스 공격 도구로서 안성맞춤입니다.”
카룰은 “결국 RPA도 IT 인프라에 포함되는 모든 요소들과 동일한, 아니 어쩌면 더 삼엄한 개념을 가지고 지켜야 할 영역이 될 것”이라고 예측한다. “고유 ID를 배정하고, 강력한 비밀번호 설정 규칙을 도입하고, 크리덴셜의 중앙 관리 기능 등 기본적인 보안 실천 사항을 지키는 것은 당연히 이뤄져야 할 것입니다. 또한 설계에서부터 개발, 구축, 관리, 지원이라는 생애주기 개념으로 보호하는 것도 필요합니다.”
RPA가 가진 태생적 보안 장점 한 가지는 자동화 도구이기 때문에 인간의 오류 때문에 사고가 날 가능성이 극히 낮다는 것이다. “인간이 개입하는 건 RPA의 설계와 구축 단계에서입니다. 이 부분을 잘 보호할 수 있다면 그 후 인간의 실수로 뭔가가 잘못되는 사례는 나타나지 않을 겁니다. 그것만으로도 보안성이 꽤나 높다고 볼 수 있습니다.”
3줄 요약
1. RPA, 디지털 혁신의 중심으로 요즘 기대받고 있음.
2. 하지만 결국엔 소프트웨어이자 봇. 게다가 방대한 정보를 처리함.
3. 공격자들이 노리기에 좋은 먹잇감. 삼엄하게 경계 및 보호해야 할 것.
[국제부 문가용 기자(globoan@boannews.com)]
디도스 공격에 당하기도 쉽고, 디도스 공격의 도구가 되기도 쉽고...설계부터 보호해야
[보안뉴스 문가용 기자] 아직 우리가 그토록 두려워하던 로봇의 시대가 온 건 아니지만, 꽤나 비슷한 기술이 우리를 위협하기 시작했다. 바로 RPA로, 여러 가지 단순하고 반복적인 작업을 스마트하게 자동화시켜주는 기술로서 각광받고 있다. 가트너(Gartner)에 의하면 RPA 시장은 현재 급속도로 성장 중에 있으며, 2025년까지 72억 달러 규모로 성장할 것이라고 한다.
[이미지 = utoimage]
RPA는 지금도 이어지고 있는 디지털 변혁(digital transformation)과 혁신을 보다 수월하게 이뤄줄 기술로서 온갖 기대를 받고 있다. 특히 단순 반복 업무를 수월하게 만들어준다는 점에서, 그러므로 인간을 실제 ‘인간다운’ 일에 집중할 수 있게 해준다는 점에서 많은 조직들이 쌍수 들어 환영하고 있다. 하지만 보안의 관점에서 RPA는 어떤 상태일까? 안전한 기술일까?
첩보 및 데이터 분석 회사인 포트레스아이큐(FortressIQ)의 회장인 존 니슬리(Jon Knisley)는 “RPA 기술이 생산성과 컴플라이언스 측면에서는 엄청난 가치를 발휘할 것이 분명하지만, 새로운 사이버 공격의 가능성도 창출할 것”이라고 말한다. “RPA 봇들은 사람과 똑같은 시스템 권한을 요구합니다. RPA 봇들은 지속적으로 데이터를 자르고 붙이고 옮기고 복제하고 지우기 때문에 크리덴셜을 활용해야 할 때가 많은데, 그래서 크리덴셜을 스크립트에 하드코드 해두는 경우도 많고, 편리하게 활용하기 위해 위험한 장소에 따로 마련해 운영하기도 합니다.”
그 외에도 리스크들은 다양한 형태로 존재한다. 위에 언급한 접근 관련 문제는 빙산의 일각뿐이라고 니슬리는 강조한다. “단순 반복 작업을 자동으로 처리하는 기술이라는 건, 민감한 시스템을 포함한 여러 부분에 주기적으로 접속해야 한다는 뜻입니다. 또한 RPA도 결국 하나의 솔루션이죠. 공격자들이 군침을 노릴 만합니다.”
자동화 전문 업체 오토메이션 애니웨어(Automation Anywhere)의 제품 보안 전문가인 고탐 로이(Gautam Roy) 역시 “대부분의 보안 위협은 RPA 솔루션들이 처리하는 정보로부터 온다”고 말하며 니슬리의 말을 거든다. “수많은 일을 대신 처리해준다는 기술입니다. 생각해 보세요. 그 수많은 일들이 어떻게 처리되겠어요? 뭔가가 사람 대신 정보에 접근을 해 처리하니까 가능한 겁니다. 상황에 따라 엄청난 정보가 흐를 수 있죠. 공격자들이 이 부분을 공략하지 않으면, 그게 더 이상할 겁니다.”
니슬리는 “이처럼 불법적 접근 및 침해가 가장 먼저 예상되고 있기 때문에, 크리덴셜을 중앙에서, 암호화 기술을 통해 안전하게 보호하고 관리하는 것이 첫 번째 RPA 보안 수칙이 될 것”이라고 말한다. 또한 “아무리 일을 잘 처리해주는 봇이라고 하더라도 사람에 준하는 혹은 사람보다 높은 권한을 주기는 어렵다”며 “RPA에도 ‘최소한의 권한’ 수칙을 적용해야 하는데, 그 지점을 찾는 게 까다로울 수 있다”고 말한다.
RPA는 ‘로우 코드(low-code)’ 혹은 ‘노 코드(no-code)’ 형태로 솔루션을 제공하는데, 이 때문에 RPA는 어떤 환경에서 유연하게 구축될 수 있고, 이것이 RPA의 인기에 큰 몫을 차지한다. 당연하지만, 접근 권한과 크리덴셜 관리 정도만으로 RPA를 다 보호했다고 말하기는 힘들 것이다. 보안 담당자라면, 그리고 RPA 솔루션 관리에 대한 임무를 받았다면, RPA라는 솔루션을 어떤 부분에, 어떤 방식으로 구축할 것인지도 잘 평가해야 한다.
“보통 구축 임무를 가진 사람은 기능성과 생산성의 측면에서만 여러 가지를 고려하지 보안이나 위험 쪽은 잘 생각하지 않습니다. 따라서 기업 입장에서는 개발자와 보안 담당자가 서로 협력해서 RPA를 구축하도록 해야 할 것입니다. 특히 ‘IT 기술 비전문가’가 대부분인 일반 직원들이 RPA를 처음으로 사용해본다는 걸 염두에 두어야 합니다. 심지어 RPA에 관심을 가진 일반인들이 여러 가지 파일럿 프로젝트를 각기 진행 중인 곳도 많습니다. 애플리케이션 보안 전문가가 아니라면 득보다 실이 클 가능성이 높습니다.” 로이의 설명이다.
그 외에 RPA를 겨냥한 디도스 공격도 염두에 두어야 한다. 보안 업체 블루캣(BlueCat)의 정보 국장인 큐네이트 카룰(Cuneyt Karul)은 “RPA의 편리성이 조직 내에서 인정을 받기 시작하면 점점 더 많은 업무를 RPA로 처리하게 될 겁니다. RPA의 영향력이 커진다는 소리죠. 디도스에 대한 고려 없이 RPA를 확장시키다보면 단 한 지점에서 발생하는 조직의 업무 전체가 마비될 수 있습니다.” 심지어 디도스 공격의 도구로 활용될 가능성도 생각해야 한다. “RPA는 봇입니다. 봇은 본질상 확장(scale)이 쉽죠. 그렇기 때문에 디도스 공격 도구로서 안성맞춤입니다.”
카룰은 “결국 RPA도 IT 인프라에 포함되는 모든 요소들과 동일한, 아니 어쩌면 더 삼엄한 개념을 가지고 지켜야 할 영역이 될 것”이라고 예측한다. “고유 ID를 배정하고, 강력한 비밀번호 설정 규칙을 도입하고, 크리덴셜의 중앙 관리 기능 등 기본적인 보안 실천 사항을 지키는 것은 당연히 이뤄져야 할 것입니다. 또한 설계에서부터 개발, 구축, 관리, 지원이라는 생애주기 개념으로 보호하는 것도 필요합니다.”
RPA가 가진 태생적 보안 장점 한 가지는 자동화 도구이기 때문에 인간의 오류 때문에 사고가 날 가능성이 극히 낮다는 것이다. “인간이 개입하는 건 RPA의 설계와 구축 단계에서입니다. 이 부분을 잘 보호할 수 있다면 그 후 인간의 실수로 뭔가가 잘못되는 사례는 나타나지 않을 겁니다. 그것만으로도 보안성이 꽤나 높다고 볼 수 있습니다.”
3줄 요약
1. RPA, 디지털 혁신의 중심으로 요즘 기대받고 있음.
2. 하지만 결국엔 소프트웨어이자 봇. 게다가 방대한 정보를 처리함.
3. 공격자들이 노리기에 좋은 먹잇감. 삼엄하게 경계 및 보호해야 할 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)