과감한 다중인증 결정을 내린 깃허브에 박수를 보낸다

2022-06-23 17:04
  • 카카오톡
  • url
조만간 깃허브는 모든 리포지터리에 다중인증 접근 옵션을 적용할 것이라고 한다. 누구나 깃허브에서 활동을 하려면 두 번 이상의 인증 절차를 거쳐야 하는 것이다. 깃허브가 앞장서서 이런 움직임을 보이는 것이 여러 의미에서 대단하고 고무적이다.

[보안뉴스 문가용 기자] 깃허브(GitHub)가 최근 체제를 바꾸기로 했다. 모든 리포지터리에 다중인증을 기본으로 적용하기로 발표한 것이다. 소프트웨어 생태계에서 깃허브가 갖는 무게감은 실로 막중하다. 그런 곳에서 자신의 입지를 알고 앞장서서 긍정적인 변화를 꾀한다는 것에 박수를 보내고 싶다.


[이미지 = utoimage]

하지만 아무리 깃허브가 중요한 조직이라고 해도, 혼자서 변화를 온전히 이끌어낼 수는 없다. 다른 조직들도 여기에 참여해야만 한다. 깃허브의 이런 움직임을 통해 각 조직의 IT 부문 결정권자들이 할 수 있는 일은 크게 두 가지다. 깃허브를 예로 들면서 마찬가지로 다중인증을 도입해야 한다고 주장하면서 보안을 보다 엄격하게 만들거나, 다중인증이 유행할 것에 대비하여 호환성이 높고 이용성도 좋으면서 보안성도 좋은 아키텍처를 구성하거나. 아니, 어쩌면 이 두 가지 모두 일수도 있다.

복잡하게 얽히고 설킨 현존 테크 스택
오늘 날의 기업들의 기술 의존도는 수년 전의 그것과 차원이 다르다. 이전에 우리가 기술 의존도라고 말할 때는 단일 솔루션이나 소프트웨어 한두 개가 사업하는 데에 무척 중요한 역할을 담당한다는 정도를 의미했다. 하지만 지금은 소프트웨어 몇 개에 의존하는 것에서 그치지 않는다. 그 소프트웨어 회사들이 만들어 놓은 생태계 전체가 의존 대상이다. 애저, AWS, 구글 클라우드, 옥타(Okta), 깃허브처럼 말이다.

그것만이 아니다. 그런 생태계 전체에 의존하게 되면서 우리는 생태계를 구성하고 있는 각종 서드파티 요소들에도 의존하게 되었다. 즉 우리가 화면에서 눈으로 보고 조작하고 있는 소프트웨어는 한두 개일지 몰라도, 그 뒤로 기나긴 서드파티와 구성 요소의 사슬들이 연결되어 있다는 것이다. 꼬리가 길면 밟힌다고 했던가. 과연 그 사슬 중 한 곳에라도 작은 구멍이 발견되고 그 곳을 통해 공격이 들어오면 우리는 곤란을 겪기 시작했다. 공격자들로서는 공격할 곳이 많아졌고, 우리로서는 간수해야 할 곳이 많아졌다.

필자가 소속된 회사인 옥타는 인증 서비스를 제공하는 곳으로 수많은 고객사들과 매우 밀접하고 복잡하게 얽힌 생태계를 가지고 있다. 올해 1월 한 고객사에서 보안 침해 사고가 발생했고, 공격자들은 그것을 바탕으로 옥타의 고객 지원 도구에 잠시 접근하는 데 성공했다. 공격자들이 옥타의 계정을 직접 침해하고, 그것을 통해 직접 옥타의 네트워크로 침투한 건 아니었다. 하지만 복잡하게 연결되어 있다는 현대 생태계의 특성 때문에 옥타의 뚫리지도 않은 보안이 위태로워진 것은 사실이었다. 아마 많은 기업들이 비슷한 위험에 노출되어 있다는 걸 부정할 수 없을 것이다.

문제 해결을 위해 해야 할 일
이 문제를 각 기업들은 어떻게 해결해야 할까? 먼저는 IT 담당자와 결정권자들이 내부 사정을 꼼꼼하게 검토해서 그 길고긴 사슬의 현황을 정확하게 파악해야 한다. 어떤 서드파티 요소와 서비스들이 사용되고 있고, 그중 어떤 것들이 대단히 중요하고 덜 중요한지를 이해해야 한다. 옥타의 경우 우리에게 각종 IT 서비스를 제공하는 파트너사들이 우리와 같은 고객사들에 접근 권한을 어떤 식으로 허용하고 있는지를 꼼꼼하게 조사했다. 또한 우리의 파트너사가 우리 고객들의 데이터에 접근하는 방식을 파악하고 그것의 보안성을 점검했다.

그렇게 내부 사정을 다 들여다 봤으면, 이제 외부 사정을 살필 차례다. 즉 우리의 플랫폼을 이용하는 고객들과 파트너사들이 어떻게 연결되어 있고, 어떤 방식으로 접근하는지를 검토한 것이다. 깃허브의 경우 수많은 고객과 파트너들이 깃허브라는 플랫폼에 외부로부터 접근한다. 공격의 통로가 상상을 아득하게 넘을 정도로 많다는 것을 의미한다. 하지만 그래도 안전하게 연결을 하려면 현황을 일일이 파악하고 조사해야 한다. 그 결과 깃허브는 거의 대부분의 사용자와 파트너사가 다중인증 옵션을 사용하지 않는다는 걸 알아냈고, 그래서 필수적으로 도입해야 한다는 결론에 다다른 것으로 알고 있다. 사실 MS 애저 액티브 디렉토리만 해도 사정은 비슷하다. 사용자의 78%가 다중인증을 사용하지 않고 있다니 말이다.

아이덴티티와 접근 관리(IAM)과 같은 요소들은 공격과 방어의 최전선에 놓여 있다. 공격자들이 1순위로 침해하려 하는 것이 바로 이 IAM이기 때문이다. 버라이즌의 데이터침해조사보고서(DBIR)에 따르면 89%의 웹 애플리케이션 공격이 크리덴셜 악용 때문에 벌어진다고 한다. 물론 접근 제어에 관한 다양한 표준들이 있어 상황이 좋아지고 있긴 하지만 아직 온전하지는 않다. 그래서 많은 해커들은 유유히 IAM에 접근하여 수많은 크리덴셜을 가져가고, 훔쳐간 크리덴셜로 버젓이 로그인을 한다.

하지만 보안 강화만을 목적으로 모든 시스템과 체제를 바꿀 수는 없다. IT 생태계와 인프라는 수많은 기능들로 복잡하게 구성되어 있기 때문이다. 보안 기능이 중요한 만큼 다른 기능들도 중요하고, 모든 기능들이 화목하게 공존해야 한다. 그렇기 때문에 일반적으로는 전사적인 변화를 한꺼번에 시도하는 것보다 중요하고 민감한 정보가 있는 곳에서부터 차근차근 보안 강화를 적용하는 것이 권장된다. 향상된 보안이 무엇인지, 어떤 느낌이고, 업무에 어떤 식으로 영향을 주는지 경험하게 하면서 동시에 익숙해질 기회를 주는 것이다. 시간이 좀 더 걸릴 순 있지만 이런 식의 접근이 좀 더 나은 효과를 낳기도 한다.

우리는 낡고 새로운 기술이 복잡하게 얽혀 상호 의존적인 관계를 유지하는 가운데 제 기능을 발휘하는 환경에서 살아가고 있다. 그렇기 때문에 각 IT 기능의 조화로운 공존이 매우 중요하다. 그리고 그런 상황에 맞는 표준과 정책을 제 때 수립해 적용하고, 모두가 지킬 수 있도록 지원하는 것도 중요하다. 그러나 깃허브처럼 조금 불편해질지라도 감수할 수 있어야 한다. 과감히 보안 강화를 위해 반드시 해야만 하는 실천 사항의 수위를 높이는 과감성도 필요하다.

적어도 이렇게나 사용자가 많은 회사에서 모든 사용자에게 다중인증을 필수적으로 요구하겠다고 한 곳은 없었다. 조금이라도 사용자가 불편하면 경쟁사로 옮길까봐 걱정스러우니 과감한 결정을 내리기 힘들었다. 그러나 깃허브는 그 어려운 걸 할 것이라고 발표했다. 필자는 글의 서두에서부터 지금까지 계속해서 박수를 치고 있다. 그러면서 마음 속으로는 수많은 깃허브 사용자들이 부디 깃허브를 통해 다중인증에 익숙해지기를 기도한다.

글 : 크리스 니겔(Chris Niggel), CSO, Okta
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


한대준(maltese80) 2022.06.24 09:27

WOW!!!


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기