변화하는 업무환경의 변화가 불러온 아이덴티티 급증
국내외 대표 제로트러스트-아이덴티티·사용자 보안 솔루션 : RSA, NETS, 에어큐브, 옥타코, 듀얼오스,
세일포인트, 와이키키소프트, 피앤피시큐어, 테이텀시큐리티
[보안뉴스 원병철 기자] 과기정통부가 발표한 제로트러스트 가이드라인 1.0에 따르면 제로트러스트의 원활한 구현을 위한 3가지 핵심원칙과 국내 환경에 적합한 6종의 핵심요소가 있는데, 이 6종은 △식별자·신원(Identity & User) △기기 및 엔드포인트(Device & Endpoint) △네트워크(Network) △시스템(System) △응용 및 워크로드(Application & Workload) △데이터(Data)다. 이번 ‘2024 제로트러스트-식별자·신원(Identity & User)’에서는 6종의 핵심요소 중 식별자·신원 분야를 정리함으로써 제로트러스트를 보안 솔루션에 접목하고자 하는 보안기업과 아울러 제로트러스트 보안 솔루션을 도입하려는 사용자에게 도움이 될 정보를 제공하고자 한다.
▲제로트러스트 아이덴티티·사용자 보안에 대한 선호도 조사[이미지=보안뉴스]
제로트러스트의 첫 번째 핵심 이슈, 아이덴티티·사용자의 안전하고 편리한 관리
제로트러스트의 핵심 이슈인 ‘절대 믿지 말고, 항상 확인하라(Never Trust, Always Verify)’에서 ‘확인(Verify)’하는 것은 바로 ‘아이덴티티(Identity)’와 ‘사용자(User)’다. 과학기술정보통신부에서 발표한 ‘제로트러스트 가이드라인 1.0’에 따르면 이 아이덴티티를 ‘식별자’로 번역하고, 사용자를 ‘신원’으로 번역해 사용하고 있다. 다만 업계 대부분이 아직 아이덴티티와 사용자란 용어를 그대로 사용하고 있어 이번 기사에서도 아이덴티티와 사용자를 그대로 사용하도록 한다.
아이덴티티(Identity)와 사용자(User)
아이덴티티는 사용자 또는 기기가 누구인지 나타내는 고유한 정보다. 사용자의 이름, 암호, 생체인식 데이터, ID 등이 아이덴티티에 포함된다. 기업에서는 사번이 주로 아이덴티티로 사용된다. 쉽게 설명하면 아이덴티티는 마치 신분증처럼 사용자가 누구인지 확인하는 데 사용된다.
사용자는 시스템에 접근하고 사용하는 사람이다. 기업과 기관의 직원과 고객을 비롯해 공급업체와 협력사 임직원은 물론 앱과 봇까지 포함된다.
아이덴티티는 사용자가 누구인지 확인하는 데 사용되며, 아이덴티티에 따라 데이터 혹은 리소스에 대한 접근(Acess)을 허용하거나 거부하는 데 사용된다. 즉, 아이덴티티에 따라 사용자는 허가된 데이터에만 액세스할 수 있으며, 이를 통해 민감한 데이터를 보호할 수 있다.
업계에서는 아이덴티티와 사용자를 기업 임직원(B2E/B2B)과 일반 최종 소비자(B2C) 영역에 대해 사람과 사람이 사용하는 디지털 식별자인 ID(일반적으로 로그인 ID)를 의미한다고 설명한다. B2E 영역에서 사람은 임직원, 협력직, 임시직 등 업무를 수행하는 주체이고, ID는 이들 주체가 사용하는 계정을 말하며, B2C 영역에서 사람은 서비스 제공자와 서비스 사용자로 구분할 수 있고, 이들이 사용하는 계정이 디지털 식별자인 ID가 된다는 설명이다. 여기에 각종 IoT 디바이스나 로봇 등까지 다 포함될 수도 있다. IoT 디바이스는 서비스를 제공하는 장치의 의미가 있어서 계정이 속한 대상 리소스라는 의미도 될 수 있고, IoT 디바이스 간의 서비스 연동을 위해서는 디지털 ID가 필요한 주체 역할도 될 수 있다. 로봇 역시 장치의 의미와 주체의 의미가 다 될 수 있다. 그래서 이렇게 폭넓게 의미를 적용하면 너무 의미가 방대해지는 관계로 식별자·신원은 디지털 서비스 제공자, 서비스 사용자, 이들이 서비스를 사용하기 위한 계정으로 한정 짓는 것이 실질적인 의미가 있다고 말한다.
아이덴티티는 6종의 핵심요소 중에서도 첫 번째로 꼽힐 만큼 제로트러스트와 연관이 깊다. 제로트러스트의 핵심에 가장 부합하기 때문이다. 제로트러스트 가이드라인 1.0에 따르면, 식별자·신원(Identity)은 사람, 서비스 혹은 IoT 기기 등을 고유하게 설명할 수 있는 속성 혹은 속성의 집합을 의미하며, 기업 혹은 기관은 식별자를 가진 사람 혹은 기기가 리소스에 접근하고자 하면 강한 인증 방식을 사용해 해당 식별자를 검증하고, RBAC 혹은 ABAC 등을 활용한 세밀한 접근제어 규칙에 따라 적절한 시간 내에 해당 리소스에 접근을 보장할 수 있어야 한다고 정의하고 있다.
폭증하는 아이덴티티 ‘아이덴티티 스프롤’
코로나19 펜데믹 이후 재택근무나 원격근무와 같은 근무환경이 변화하고, 디지털 전환이 급속도로 진행되면서 아이덴티티와 사용자 보호에 대한 이슈가 급속하게 늘어났다. 업계에서는 이를 ‘아이덴티티 스프롤(Identity Sprawl)’ 현상이라고 부르기도 한다. 아이덴티티 스프롤이란 조직에서 사용하는 사용자 계정, 액세스 권한과 인증 시스템이 너무 많아 관리하기 어려워지는 것을 말한다. 예를 들면, 퇴사한 직원이나 사용하지 않는 애플리케이션과 관련된 계정이 계속 유지되는 상황이나, 계정 생성과 삭제를 위한 프로세스가 없어 빠르게 이뤄지지 않는 상황, 혹은 기업이나 기관에서 인증 시스템을 여럿 사용할 경우 각 시스템에 대해 별도의 계정을 만드는 것 등이다.
실제로 가상업무 환경을 유지하기 위한 서비스와 리소스를 제공하는 애플리케이션의 수가 급증하고, 기존 IT 팀만으로 수많은 SaaS(Software as a Service) 솔루션을 통한 액세스 포인트를 관리해 기업과 기관의 리소스를 보호하는 것이 매우 복잡하고 어려워졌다고 업계에서는 설명한다.
문제는 이렇게 통제되지 않은 SaaS 앱의 수가 늘어날 경우 제3자가 부적절한 액세스를 시도해 핵심 데이터 탈취, 컴플라이언스 불충족, 데이터 유출 등의 심각한 문제가 발생할 수 있다는 사실이다.
이와 관련 세일포인트는 “Identity Defined Security Alliance가 2023년 발간한 보고서에 따르면, 전 세계 기업들의 90%가 아이덴티티 관련 침해를 경험한 것으로 나타났다. 또한 세일포인트가 발간한 ‘아이덴티티 보안의 사업적 가치’ 보고서에 따르면 전 세계 기업들의 44%는 여전히 아이덴티티 보안의 기초 단계에 머물러 있으며, 아시아태평양 기업들은 그 비율이 무려 60%에 달했다”고 설명했다.
이중 가장 아이덴티티 보안과 관련해 가장 큰 문제는 급속한 클라우드 서비스 도입 및 관련 디바이스와 앱 확산으로 발생하기 시작한 아이덴티티 스프롤의 관리다. 많은 조직이 누가 어떤 리소스에 액세스하는지를 확인하고 제어하는 데 어려움을 겪으면서 보안 공백이 생기는 경우가 많다. 특히 인간과 비인간 아이덴티티 관리하기가 매우 복잡해지며, 모든 사용자 활동과 액세스 포인트에 대한 포괄적인 보안을 제공할 수 있는 통합적인 솔루션의 중요성이 커지고 있다.
최근 많은 국내 기업들이 해외로 진출해 사업이 세계화되어가고 있으며, 정규직원이 아닌 외주나 파트너사 등 제3의 인력에 대한 업무 의존도가 높아짐에 따라 아이덴티티의 수 역시 급속도로 증가하고 있다.
아이덴티티의 증가는 필연적으로 취약하거나 문제 있는 액세스 권한이 있을 가능성도 커져 사이버 공격자들에게 악용될 수 있는 취약점이 늘어나는 것을 불러온다. 게다가 이제는 공급업체, 협력사, 자회사는 물론 인간이 아닌 봇까지도 자사 데이터에 접근할 수 있어 아이덴티티가 많이 늘어나 이를 IT 담당 팀이 모두 수동으로 관리할 수 없게 됐다. 이와 더불어 정규직원들의 인사와 액세스 주기 역시 매우 불규칙해지며 부적절한 액세스, 과도한 프로비저닝, 계정 비활성화 등의 문제로 이어지고 있다. 따라서 그 어느 때보다 AI와 ML 등 첨단 기술을 활용한 많은 양의 아이덴티티 관리 능력이 중요해졌다.
꾸준하게 성장하는 아이덴티티와 사용자 보호 시장
그렇다면 아이덴티티와 사용자 보호를 위한 솔루션은 어떤 것들이 있을까? 이 두 가지 영역을 보호하기 위한 보안 솔루션은 여러 가지가 있지만, 대표적인 것은 시스템 접근통제, 사용자 인증과 출입 보안, 계정관리, 다중 인증(MFA) 등을 들 수 있다. 아울러 최근에는 글로벌 기업을 중심으로 ‘아이덴티티 보안’이 떠오르고 있다.
글로벌 리서치 기업 가트너에 따르면 전 세계 기업의 보안 및 위험관리 비용은 2024년 2,150억 달러(한화 약 297조)에 달하며, 이는 2023년 대비 약 14.3% 증가한 숫자다. 그리고 아이덴티티 및 접근관리(IAM) 시장은 2023년 기준 약 180억 달러(한화 약 24조 9,012억원)이며, 2028년까지 300억 달러(한화 약 41조 5,020억원)에 달할 것으로 예측했다. 또한 IDC 보고서에 따르면 글로벌 접근제어 시장 규모는 2024년 35억 2,000만 달러(한화 약 4조 8,695억원)에 달하며, 2029년까지 연평균 성장률 8.09%로 성장해 2029년 52억 달러(한화 약 7조 1,936억원)에 달할 전망이다.
국내 시장은 아직 규모가 정확하게 예측된 자료는 없지만, 글로벌 시장의 성장세와 아이덴티티·사용자 활용 분야의 성장을 미뤄볼 때 높은 성장률을 보일 것으로 예측된다. 특히 급증하는 사이버보안 위협과 개인정보보호 및 데이터 보안 규제에 따른 규제 준수, BYOD 등 개인 장비의 업무 활용 증가와 클라우드 컴퓨팅 사용 증대 등의 상황을 미뤄보면 아이덴티티와 사용자 보호 시장의 성장은 예견된 일이다.
인공지능과 제로트러스트, 성장의 발판이 되다
특히 전 세계 IT 및 보안분야의 주요 이슈로 떠오른 인공지능과 제로트러스트는 이러한 아이덴티티·사용자 보호 시장 성장의 발판이 됐다. 앞서 설명한 것처럼 현재 기업과 기관이 관리하는 아이덴티티는 빠르게 증가하고 있다. 아이덴티티 스프롤이라는 용어가 나올 정도로 현재 기관과 기업이 관리해야 할 아이덴티티가 늘어난 것이다. 우선 임직원들이 사용하는 애플리케이션이 기하급수적으로 늘고 있다. 뿐만 아니라 정규직원이 아닌 외주인력에 대한 업무 의존도가 높아지는 것도 아이덴티티 증가에 한몫하고 있다. 클라우드 사용 증가와 다양한 디바이스, 그리고 챗봇 같은 로봇까지 아이덴티티는 늘고 있다.
이와 관련 넷츠는 “애플리케이션 종류에 따라 버튼 수준의 권한이 많게는 수천개가 있고 이를 10만명의 임직원이 사용한다면 산술적으로 수억 개의 권한을 관리해야 하고, 이러한 애플리케이션이 수십 개이면 이미 관리해야 하는 권한이 수십억 개 이상으로 방대해진다”면서, “이러한 방대한 권한을 통제하기 위해 RBAC, ABAC 등 다양한 권한 관리 기법이 적용되지만, 사람이 이를 직접 관리하기에는 너무 방대하고 어렵기 때문에 이들을 적절한 규모로 관리 통제하기 위해서는 AI의 도움이라도 받아야 하는 것이 현실”이라고 강조했다.
즉, 늘어난 아이덴티티를 인력으로 관리하는 것에는 한계가 있다는 설명이다. 이때 필요한 것이 바로 인공지능이다. 인공지능을 아이덴티티 보안 솔루션에 접목하면 막대한 양의 데이터를 분석하고 리스크 요인까지 탐지할 수 있다. 특히 인공지능을 통한 지능적으로 자동화된 액세스 권한 관리는 임직원, 서드파티, 비인간 아이덴티티를 비롯한 모든 아이덴티티에게 각자 맡은 역할을 수행하는 데 필요한 액세스를 부여하며, 더이상 필요하지 않은 액세스 권한은 자동으로 삭제할 수 있다. 즉, 인공지능을 이용해 자동화를 할 수 있다는 것이다.
인공지능으로 인해 아이덴티티 관리가 강화됐지만, 상시로 이뤄져야 하는 인증 때문에 업무상 불편함이 가중된 것은 누구나 인정하는 사실이다. 이에 업계에서는 쉽고 간편하면서도 안전한 방법을 찾아 아이덴티티 관리에 나서고 있다. 실제로 UN 산하 국제표준화기구인 ITU-T에서 패스워드리스에 대한 새로운 국제표준기술 X.1280을 지난 2024년 3월 제정·권고하고 있다. 이 기술은 스마트폰을 이용한 패스워드리스 기술로 사용자가 패스워드를 입력하는 게 아니라 온라인 서비스가 자동 패스워드를 사용자에게 제시하고, 사용자는 스마트폰에서 생성한 자동 패스워드와 비교해 일치하면, 사용자의 생체 정보로 이를 승인하는 방식이다. 이 기술은 온라인 서비스가 자동 패스워드를 사용자에게 제시하기 때문에, 사용자는 온라인 서비스의 진위를 확인할 수 있고, 온라인 서비스도 사용자의 스마트폰 생체인증을 통해 정당한 사용자를 확인하는 상호인증 방식이다.
그런가 하면, 생체인증을 통해 사용자가 별다른 액션을 취하지 않아도 필요할 때마다 사용자 인증을 자동으로 진행하는 방식도 있다. 피앤피시큐어는 페이스락커라는 자사의 안면인증 솔루션을 계정관리와 접근제어 제품에 접목해 사용자가 인식하지 않는 상황에서 본인인증을 함으로써 업무에 지장을 주지 않고도 아이덴티티 관리를 할 수 있도록 했다. 비밀번호에 대한 과도한 의존도를 줄이기 위해 모인 FIDO 얼라이언스도 이 분야에서 성과를 보였다. 와이키키소프트는 FIDO를 기반으로 모바일 생체인증과 mOTP 등 다양한 인증 수단을 활용하고 있다.
아이덴티티·사용자 보호 시장은 아직 성장하고 있는 시장이지만, 관리하는 아이덴티티가 많은 기업들을 중심으로 구축 사례가 늘고 있다. 예를 들면, 글로벌 기업인 아보이티즈(Aboitiz) 그룹은 필리핀, 아세안 지역, 중국 등에 소재한 47개 비즈니스 부문에 소속된 2만 2,600개 사용자 계정을 효율적으로 모니터링하고 관리하기 위해 기존에 수동으로 작동하던 시스템을 자동화된 아이덴티티 보안 플랫폼으로 대체했다. 시스템 교체 이후 새로운 제로 트러스트 프레임워크로 인한 향상된 보안은 물론 자동화를 통해 온보딩 및 계정 비활성화 절차를 더욱 빠르게 수행할 수 있었다고 세일포인트는 밝혔다.
제로트러스트와 찰떡궁합, 아이덴티티·사용자
제로트러스트는 지속적인 검증을 통해 허가받은 사용자가 허가받은 데이터에 접근하는 것을 허용해주는 것이 핵심이다. 아이덴티티·사용자 보안 솔루션은 이러한 접근·허가 정보를 관리하고, 사용자 인증과 접근 인가 기능을 수행하는 솔루션으로, 제로트러스트 구축에 기반이 되는 기능을 제공한다. 또한, 제로트러스트의 핵심요소 중 하나인 마이크로 세그멘테이션은 자원을 어떤 방식으로 분리할 것인가가 쟁점인데, 크게는 서버팜(여러 대의 서버를 한 곳에 집중배치한 시스템)부터 작게는 개별 애플리케이션, OS와 DBMS 단위로 접근을 통제하는데, 이러한 정보는 아이덴티티·사용자 보안 솔루션에서 리소스로 관리한다.
접근통제에서도 애플리케이션 수준의 접근통제에서 UI의 버튼 수준까지 통제할 수 있도록 세부 권한을 관리해야 하는데, 이러한 세부 권한을 사용자에게 부여하거나, 신청과 승인 과정에서 부여하거나 회수하는 기능도 이 아이덴티티·사용자 보안 솔루션의 기능이다. 즉, 아이덴티티·사용자 보안 솔루션은 제로트러스트 구현에 있어 필수 요소란 의미다.
기업과 기관 등은 통합적인 아이덴티티·사용자 보안 솔루션을 도입해 아이덴티티 주기와 속성관리를 자동화해 관리할 수 있어야 한다. 특히 앞서 설명했던 인공지능과 머신러닝 등 기술을 적극 활용해 액세스 리스크를 줄여야 한다. 그리고 강력한 아이덴티티·사용자 보안 솔루션은 조직들이 모든 종류의 디지털 아이덴티티의 액세스를 감독하고, 지속적으로 변화하는 조직과 리스크에 맞춰 시스템적으로 진화하는 제로트러스트 프레임워크를 수립해야 한다.
국내외 대표 아이덴티티·사용자 보안 솔루션 9종 분석
그렇다면 국내외 아이덴티티·사용자 보안 솔루션 기업들은 제로트러스트를 도입하기 위해 어떤 방향으로 제품을 개발하고 있을까? 우선 넷츠는 제로트러스트의 인증에서 MFA 사용은 필수 요소이며, 암호 없는 인증도 필수 요소이기 때문에 고객사가 보유한 MFA(Multi-Factor Authentication. 다중 인증)와의 연동은 물론 자체 MFA를 준비 중이라고 밝혔다. DualAuth는 기존에 파편화된 ID 발급과 인증 체계를 그대로 둔 상태에서 수시로 사용자만 검증하다 보면 PC, 웹 애플리케이션, 네트워크, 서버에 접근하는 사용자의 복잡도만 올라가기 때문에 이를 단순화시킬 수 있는 통합 ID기반 인증 및 접근제어 솔루션이 뒷받침되어야 한다고 강조했다. 와이키키소프트는 각각 다른 도메인임에도 불구하고 하나의 인증수단만 사용하는 것도 고려해야 한다면서, 가령 중요한 자원에 접근하는 사용자의 경우 생체인증 등 보다 강력한 인증수단을 필요로 한다고 덧붙였다. 이러한 노력으로 탄생한 아이덴티티·사용자 보안 솔루션은 다음과 같다
넷츠, 제로트러스트 솔루션
국내기술로 개발되어 지속적인 업그레이드를 통해 국내 IT 환경에 최적화된 제품으로 26년간 R&D를 통한 집약된 제품이다. 사용자 신원에 대한 정책 기반의 계정과 권한 관리 체계를 제공하며 지속적 인증과 최소한의 권한 부여를 통해 보안을 향상시킨다. 인사 시스템에서부터 대상 업무 시스템까지 유기적으로 동작할 수 있도록 제공되며 Compliance 대응을 위한 계정 현황 및 보고서 기능을 제공해 규제를 준수한다.
DualAuth, AutoPassword/AutoPassword Access Manager
AutoPassword와 AutoPassword Access Manager는 사용자가 패스워드를 입력하는 방식이 아니라 업무 애플리케이션이나 윈도우 PC에서 자동 패스워드를 제시하고 사용자가 스마트폰에서 이를 검증하는 상호인증 기술로 뛰어난 사용성과 보안성을 갖추고 있다. 특히 이 기술은 전 세계 보안전문가들이 국제표준화기구 ITU에서 국제표준 X.1280으로 제정할 만큼 우수성을 갖추고 있다.
세일포인트, 아이덴티티 보안 솔루션
최신 AI 및 ML 기술을 활용해 아이덴티티 거버넌스, 액세스 관리, 컴플라이언스 이행 등을 자동화하고 단순화한다. 이를 통해 조직들은 전체 이용자들의 활동에 대한 가시성을 개선할 수 있으며 강력한 보안 정책을 실행해 모든 아이덴티티를 효율적으로 관리할 수 있다. 또한 확장성, 유연성, 설정 가능성 면에서 각 기업의 필요에 맞춰 아이덴티티 프로세스를 자동화시키고 모든 디지털 아이덴티티를 쉽게 보호할 수 있도록 도와준다.
RSA, RSA Mobile Lock
RSA Mobile Lock은 iOS 및 Android용 RSA 인증 앱과 통합되어 별도의 설치가 필요하지 않으며, RSA 인증 앱 작동 시 모바일 단말기에서 중대한 위협을 자동 감지하고 안전이 확인될 때까지 사용자의 인증 기능을 제한하는 솔루션이다.
에어큐브, V-FRONT v8
V-FRONT v8은 강력한 ID 및 액세스 관리(IAM) 기능을 제공해, 사용자와 기기의 접근을 지속적으로 검증하고 최소 권한 원칙을 적용하며, 세분화된 접근제어와 실시간 모니터링을 통해 보다 안전한 디지털 환경을 구축할 수 있다.
옥타코, 옥타코MFA
옥타코MFA는 제로트러스트 보안을 실현하기 위한 최적의 솔루션으로, 다양한 보안요소를 통합하여 강력한 사용자 인증을 제공한다. 높은 보안성, 경제성, 편의성을 바탕으로 최신 보안규제에 부합하며, 다양한 산업분야에서 그 우수성을 인증받고 있다.
와이키키소프트, 와이덴티티(Ydentity)
FIDO1.0/FIDO2에 대한 호환성 테스트를 완료하고 인증을 획득한 차세대 간편인증 솔루션이다. GS인증 1등급 획득과 과기정통부의 우수 정보보호 제품으로 지정되어 신뢰성과 보안성이 검증되었으며 공공, 금융, 일반기업 다수에 공급돼 안정적으로 운영되고 있다. 또한 다수의 VPN, VDI 장비와 연동테스트를 마쳤으며, AD 연동, SSO 연동, 막강한 관리자 기능 제공 등 고객사 내부의 복잡한 래거시 시스템의 변경을 최소화할 수 있도록 최적화됐다.
테이텀시큐리티, 테이텀 CIEM
테이텀 CIEM은 클라우드 네이티브 애플리케이션 보안 플랫폼, ‘테이텀 CNAPP(Cloud Native Application Protection Platform)’에 포함된 솔루션 중 하나이며, 클라우드 환경에서의 조직 내 자산을 효율적으로 관리하고, 사용자 이상 행위로 인한 보안 사고를 최소화 한다.
피앤피시큐어, Vision AI
사용자의 별도 행위 없이 지속적으로 본인 여부를 검증하는 ‘무자각 지속 인증’ 기술 Vision AI는 객체탐지 기술을 이용해 카메라, 휴대폰 등으로 화면에 출력된 민감정보 유출을 감지해 차단하고, 촬영하는 행위를 이미지 로그로 저장할 수 있다. 또한, 화면이 보이는 영역에 제3자의 안면이 감지되면 화면을 차단해 Visual Hacking 공격인 Shoulder Surfing Attack을 방어할 수 있다.
제로트러스트 아이덴티티·사용자 보안에 대한 선호도 조사
늘어나는 아이덴티티와 이를 관리하는 문제가 부각되면서 아이덴티티·사용자 보안 솔루션을 도입하는 기업과 기관도 늘어나고 있다. 그렇다면 보안담당자들은 아이덴티티·사용자 보안 솔루션을 얼마나 도입했으며 어떻게 사용하고 있을까?
이와 관련 <보안뉴스>와 <시큐리티월드>는 2024년 7월 16일부터 19일까지 4일간 약 10만여명의 보안담당자에게 ‘식별자(이하 아이덴티티) 및 신원(이하 사용자) 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(32.8%)과 민간(67.2%)의 보안담당자 1,775명이 답했다.
먼저 아이덴티티·사용자 영역의 보안을 위해 보안 솔루션을 도입했는가에 관해 묻자, 응답자의 59.4%가 도입했다고 답했다. 다만 28.2%는 관련 솔루션에 대해 알지만, 비용 등의 이유로 도입하지 못했다고 답했으며, 12.4%는 아예 몰라서 하지 못했다고 답했다.
그렇다면 도입했다고 답한 보안담당자들은 세부적으로 어떤 보안 솔루션을 도입했을까? 이들은 시스템 접근통제(35.6%)를 가장 많이 도입했으며, 사용자 인증·출입보안(27.7%)과 계정관리(23.7%), 다중 인증(11.9%) 순으로 도입했다고 답했다.
이어 도입한 솔루션에 대한 만족도를 묻자, 50.8%가 보통이라고 답했고, 35.6%가 만족, 10.2%가 매우 만족한다고 답해 96.6%가 아이덴티티·사용자 보안 솔루션에 만족하는 것으로 조사됐다.
아이덴티티·사용자 보안 솔루션에 대한 만족도가 큰 만큼 또 다른 제품을 도입할 가능성도 높아 보였다. 보안담당자들은 다음으로 도입할 제품으로 계정관리(30.5%)를 꼽았고, 이어 다중 인증(26.0%)과 시스템 접근통제(23.7%), 사용자 인증·출입 보안(19.8%)을 선택했다.
하지만 1위와 4위의 차이가 그다지 크지 않아 아이덴티티·사용자 보안 솔루션을 강화하고자 하는 보안담당자들의 니즈를 파악할 수 있었다.
이와 함께 아이덴티티·사용자 보안 솔루션 도입에 있어서 가장 중요하게 생각하는 선택 기준을 물었다. 보안담당자들은 솔루션의 성능과 기술력(24.9%)을 1번으로 꼽으면서도 2위인 도입 비용(21.5%)도 큰 차이가 없을 정도로 선택함으로써 성능과 가격이라는 양립할 수 없는 조건에 고민하는 것으로 보였다. 또한 기존 보안 솔루션과의 연동(19.2%)과 관리의 편의성(16.9%)도 높은 응답을 보여, 보안담당자의 관리에 대한 고민을 엿볼 수 있게 했다.
아이덴티티·사용자 보안 솔루션 약진 기대
세일포인트가 2023년 8월 조사한 바에 따르면 대부분의 보안 솔루션과 마찬가지로 예산문제와 경영진의 관심 및 지원 부족으로 아이덴티티 보안 솔루션 도입에 어려움을 겪고 있다. 세일포인트는 자체적으로 아이덴티티 보안을 전략, 인적 역량, 운영 모델, 기술 능력에 따라 5단계로 구분했는데, 도입에 성공한 기업의 절반 정도는 심화된 보안 솔루션 도입은 하지 못하고 1단계의 구성만 갖춘 것으로 조사됐다.
그런데 재미있는 것은 세일포트인가 몇 년 동안 조사한 결과, 아이덴티티 보안 솔루션 도입 기업 중 1단계와 4, 5단계에 있는 기업들은 큰 변화가 없는데, 2단계에서 3단계로 발전한 기업들은 많이 늘었다고 한다. 제대로 된 아이덴티티 보안을 맛본 기업들은 한 단계 성장하기를 바랬다는 사실이다.
아이덴티티·사용자 보안 솔루션은 단순히 아이덴티티를 보호하는 데 그치지 않는다. 아이덴티티를 잘 관리할 수 있는 것은 물론 쉽고 편하게 관리하는 것에도 초점을 맞췄기 때문이다. 그 어렵다는 ‘보안’과 ‘편의성’ 두 마리 토끼를 잡은 것이다.
사이버보안 이슈는 지속적으로 늘고 있고, 업무환경의 변화와 기업의 성장에 따라 아이덴티티·사용자도 급증하고 있다. 이러한 상황에서 아이덴티티·사용자를 위한 보안 솔루션 시장의 성장도 기대되는 만큼 관련 보안기업들의 약진을 기대해 본다.
▲RSA Unified Identity Platform[이미지=RSA]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-1]
제로 트러스트, 특정 기술이나 서비스 아닌 보안에 대한 ‘다른’ 사고방식
RSA, 제로 트러스트는 아이덴티티에서 시작되고 아이덴티티의 미래는 당신으로부터 시작된다
아이덴티티는 제로 트러스트의 핵심이며, RSA는 RSA UIP(Unified Identity Platform)를 통해 자동화된 아이덴티티 인텔리전스, 다중인증(MFA), 거버넌스 및 라이프사이클을 하나의 응집력 있는 솔루션으로 결합해 다양한 환경과 솔루션 결합으로 인해 발생하는 격차와 사각지대를 보호한다.
RSA의 다중인증(MFA) 솔루션인 ID Plus는 클라우드, 온프레미스 또는 하이브리드 등 어떤 환경에서 작업하든 세계에서 가장 안전한 아이덴티티 및 액세스 관리 ‘Identity and Access Management(IAM)’ 플랫폼을 제공한다.
RSA ID Plus, 모든 환경의 ID 통합 관리 실현
클라우드 서비스의 보급에 따라 ID/비밀번호를 노린 사이버 공격의 피해는 해마다 계속 증가하고 있다. RSA Security Chief Product and Technology Officer 짐 테일러는 다음과 같이 말한다. “사이버 공격이 해마다 증가 추세에 있다는 것은 말할 필요도 없지만, 2024년은 특히 주의가 필요합니다. 잘못된 정보가 확산되거나, 가짜 웹사이트가 나돌거나, 딥페이크를 악용한 범죄가 증가할 것입니다. 또한 클라우드 서비스가 증가함에 따라 ID와 비밀번호를 겨냥한 사이버 공격이 증가하고 있습니다. 이러한 피해를 막기 위해서는 클라우드 서비스 도입 시 ID/비밀번호 인증 및 관리에 대한 적절한 대응이 요구됩니다.”
ID Plus는 다중인증(MFA), 싱글사인온(SSO), 원타임 패스워드(OTP) 및 ‘RSA Risk AI’를 통한 리스크 분석 및 관리의 자동화를 통해 모든 환경에서 애플리케이션 통합 관리를 실현하는 IAM 플랫폼이다. 사용자의 작업환경에 맞춰 클라우드, 온프레미스, 하이브리드 등 모든 환경에서의 유연한 인증 및 확장이 가능하다.
BYOD(Bring Your Own Device) 시대의 새로운 대안, RSA Mobile Lock
오늘날 BYOD(Bring Your Own Device) 정책이 보편화됨에 따라 기업은 개인의 모바일 기기 환경이 회사의 보안 정책과 충돌할 경우 이를 통한 인증이 위험할 수 있다는 점을 인지하는 동시에 사용자 편의를 보장해야 한다.
RSA Mobile Lock은 iOS 및 Android용 RSA 인증 앱과 통합되어 별도의 설치가 필요하지 않으며, RSA 인증 앱 작동 시 모바일 단말기에서 중대한 위협을 자동 감지하고 안전이 확인될 때까지 사용자의 인증 기능을 제한하는 솔루션이다.
위협 발견 시에는 즉시 사용자와 그 IT 부서에 경고해 조직의 시스템이나 데이터에 대한 액세스를 중지하는 역할을 하며, Mobile Lock이 위협을 감지하는 경우 사용자의 RSA 인증 사용기능만 일시 중단하고, 전화 걸기, 문자 보내기, 인터넷 검색 및 기타 장치 기능 사용 기능은 유지함으로써 사용자의 불편을 최소화한다.
RSA Mobile Lock은 인증을 시도할 때마다 사용자의 모바일 기기를 검색해 인증 프로세스를 보호하고, 보안 문제가 있는 모바일 장치가 귀중한 기업 자산에 액세스하지 못하도록 차단한다.
▲NETS*Identity Manager 대시보드[자료=넷츠]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-2]
제로트러스트와 계정/권한(IAM) 및 인증(SSO)
NETS의 통합계정권한관리, 통합인증 Identity Manager, Single Sign On
제로트러스트 보안 모델에서 계정 및 권한 관리의 중요성은 신뢰할 수 없는 환경에서 모든 접속 시도를 지속적으로 검증하고 최소한의 권한만을 부여하는 데 있다. 계정/권한(IAM) 및 인증(SSO) 솔루션은 이러한 기능을 효과적으로 수행하여 기업의 보안을 강화하고, 내부 및 외부 위협으로부터 기업 자산을 보호하는 데 핵심적인 역할을 하고 있다.
제로트러스트를 위한 넷츠의 여정
넷츠는 1998년 설립 후, 26여년간 계정/권한/인증 영역의 솔루션으로 활발히 활동하고 있는 기업이다. 1990년대 후반, 국내 기업의 IT 환경은 급격한 변화를 맞이했다. 인터넷이 보편화하기 시작하면서, C/S(Client/ Server) 기반의 애플리케이션들은 WEB 기반의 애플리케이션으로 전환되기 시작했다. 이 시기의 계정관리 및 통합인증 솔루션은 보안 측면보다 운영 편의성 및 사용자 편의성 측면에서 검토되는 경우가 많았다.
현재 많은 기업은 계정/권한(IAM) 및 통합인증(SSO) 솔루션을 단순 편의성 측면이 아닌, 컴플라이언스 측면으로 접근하고 있다. 기업의 보안 사고가 내부 직원에 의해 발생하는 경우가 많았고, 이는 솔루션을 활용한 내부통제 강화에 관심을 갖게 되는 계기가 되었다.
제로트러스트는 내부통제 콘셉트와 일부 유사해 보일 수 있으나, 굉장히 포괄적인 의미를 가지는 개념이다. 오래 전부터 많은 기업은 직원의 출입통제, 아이덴티티 관리 및 인증 통제, 관제 시스템 등을 통해 보안조치를 취하고 있다. 이는 제로트러스트 사상과 일맥상통한다고 볼 수 있겠다.
넷츠는 IT 기술의 발전 및 시장의 흐름에 따라 고객의 기대에 부응하기 위해 끊임없이 솔루션을 발전시켜 나아가고 있고, 현재 국내 200여 이상의 기업이 넷츠 솔루션으로 계정/권한/인증 이슈를 해결하고 있다.
제로트러스트의 필수 아이콘 ‘NETS*Identity Manager(IAM), NETS*Single Sign On(SSO)’
‘제로트러스트의 완성’에 대해 구체적이고 명확하게 설명하기는 어렵다. 이유는 IT 환경은 계속해서 변화하고 있고, 새로운 기술들이 등장하고 사라지기도 한다. 현재의 기술로 완성한 제로트러스트가 미래에도 유효하다고 단정할 수 없기 때문이다.
하지만, ‘제로트러스트 완성을 위한 필수 요소는 무엇인가?’라고 질문한다면, ‘계정(Identity)에 대한 lifecycle 관리와 인증 통제’라고 말할 수 있겠다.
NETS*Identity Manager(IAM)는 여러 인사원장(HR 시스템 및 협력사 관리 시스템)을 통해 기업의 식별자·신원 정보를 확보하고, 이를 기반으로 애플리케이션 및 인프라의 계정/권한 life-cycle을 관리한다.
넷츠 솔루션은 ‘정책 기반의 계정/권한 life-cycle 관리’, ‘신청/승인 기반의 계정/권한 life-cycle 관리’, ‘SoD(Segregation of Duties) 권한 관리’, ‘권한 중요도에 따른 권한 부여 프로세스 차별화’, ‘정기적인 권한 적정성 검토’, ‘불법 계정과 권한 탐지 체계’ 등의 기능을 통해 계정과 권한의 부여 체계뿐만 아니라, 지속적인 모니터링/검증 체계를 제공한다.
NETS*Single Sign On(SSO)은 기업의 식별자·신원 정보를 토대로 애플리케이션의 인증을 통제한다. ‘사용자의 유형 및 접근 위치에 따른 인증 정책 차별화’, ‘중요 업무 접근 시 추가 인증’, ‘사용자의 업무 접근 추적’ 등을 통해 인증 보안을 강화할 수 있다. 넷츠 솔루션은 SAML/OIDC(OAuth)와 같은 국제표준 인증 프로토콜을 지원하며, Legacy를 위한 SSO Agent 제공으로 다양한 애플리케이션의 인증을 통합할 수 있는 체계를 제공한다.
제로트러스트와 클라우드
제로트러스트는 오래전 등장한 개념이지만, 최근 관심이 높아지게 된 결정적인 요소는 클라우드의 보편화라고 본다. 그 동안 기업들은 폐쇄된 네트워크 환경에서 자사의 IT 자산이 안전하게 보호되고 있다는 인식이 강했다. 기업의 인프라 환경이 클라우드로 전환되어 가고 있는 현 시점에 클라우드에 위치한 IT 자산 혹은 데이터 보호는 민감하면서도 중요한 관심사가 되었다. 넷츠는 최근 국내 금융사에서 AWS, Azure, NHN Cloud를 대상으로 클라우드 관리자 콘솔의 계정/권한 관리 체계를 구축했다. 이는 클라우드에 위치한 IT 자산을 관리하는 핵심 인물들의 계정과 권한 또한, 체계적으로 관리/통제하는 것을 의미한다.
넷츠는 향후, 자사 솔루션에 AI를 활용한 이상징후 탐지 강화 체계 적용을 검토 중에 있다. AI의 적용은 사용자의 행동 패턴을 학습 후, 비정상 활동을 탐지 및 경고하게 된다. 이는 보안 사고를 미리 예측하여 조치할 수 있는 체계가 제공됨으로써 기업의 보안 수준을 한층 강화할 수 있을 것이라 기대한다.
넷츠 솔루션을 활용한 제로트러스트
제로트러스트는 지속적인 검증, 최소 권한 원칙, 컨텍스트 기반 접근제어를 기본 골자로 하며, 넷츠 솔루션은 제로트러스트 근간이 되는 식별자·신원의 관리/통제에 있어서, 국내 기업문화를 고려한 다양한 기능을 제공한다.
제로트러스트를 고민하는 기업에서 넷츠 솔루션은 ‘보안 강화’, ‘규정 준수’, ‘운영 효율성’, ‘사용자 경험 향상’ 등의 효과를 가져갈 수 있는 좋은 선택지가 될 것으로 본다.
▲V-FRONT 구성도[이미지=에어큐브]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-3]
패스워드리스/FIDO/안면인증, 계정 관리 및 보안 강화 해결책 제시
에어큐브, 차세대 MFA/SSO ‘V-FRONT v8’ 출시
오늘날의 디지털 환경에서는 사이버 보안 위협이 갈수록 정교해지고 다양해지고 있다. 전통적인 경계기반 보안 모델은 더이상 효과적이지 않으며, 이에 대한 대안으로 제시된 제로트러스트(Zero Trust) 모델이 기업 보안의 핵심 요소가 되었다. 제로트러스트는 ‘절대 신뢰하지 말고 항상 검증하라’라는 원칙을 기반으로, 네트워크 내외부의 모든 트래픽을 지속적으로 검증하는 보안 접근 방식이다.
기업은 V-FRONT v8을 사용해 제로트러스트 모델을 구현할 수 있다. V-FRONT v8은 강력한 ID 및 액세스 관리(IAM) 기능을 제공해, 사용자와 기기의 접근을 지속적으로 검증하고 최소 권한 원칙을 적용하며, 세분화된 접근 제어와 실시간 모니터링을 통해 보다 안전한 디지털 환경을 구축할 수 있다.
‘사용자 편의’, ‘강력한 보안’ 일거양득
사용자가 접근하는 애플리케이션의 모든 접근 시도는 항상 인증 및 인가 절차를 거친다. 사용자 편의에 따라 SSO 절차를 수행할 수 있지만, 강력한 보안이 요구되는 애플리케이션은 접속할 때마다 항상 인증 절차를 거치게 된다. 인증 절차 시 사용자와 애플리케이션에 따라 비밀번호와 피싱 공격에 강한 다중인증(MFA)을 수행하도록 설정할 수 있고, OTP, FIDO2, 안면인증 등을 제공해 사용자 식별을 수행한다. 또한 정책에 따라 접속 가능 기간과 접속 시간을 설정해 기간과 시간에 따른 인증제어가 가능하다.
세계에서 가장 많은 인증토큰 지원
복잡 다양한 기업환경에서는 다양한 요구사항과 다양한 보안요건을 충족하기 위해 생체인증, FIDO 인증, 패스워드리스, OTP 등 다양한 인증방식을 지원하는 것이 매우 중요하다. 에어큐브의 V-FRONT는 피싱방지가 가능한 FIDO 보안키, 패스키, 안면인증, 지문인증, 모바일 OTP 등 전 세계의 거의 모든 인증수단을 지원한다. 이러한 다양한 인증수단 지원을 통해 고객의 투자비용을 절감해주고, 또한 복잡다단한 기업의 인증/보안환경을 완벽하게 지원할 수 있다.
직관적 시스템 모니터링 및 로그 제공
사용자 ID, 접근 애플리케이션 정보, 접근 시간, 접근 정책 등을 모니터링하고 기록해 감사할 수 있도록 지원하며, 필요시 관리자가 사용자 세션을 회수하거나 접근을 차단하도록 지원한다.
▲옥타코MFA[이미지=옥타코]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-4]
가트너가 선정한 국내, 아시아 유일 MFA 사용자 인증 솔루션으로 제로트러스트 보안 실현
옥타코MFA : 제로트러스트 구현의 글로벌 선두주자
옥타코MFA는 클라우드 애플리케이션과 온프레미스 애플리케이션, 그리고 다양한 보안시스템을 제로트러스트 원칙으로 통합할 수 있는 유일한 사용자 인증 솔루션으로 모든 업무환경에서 일관된 보안을 유지할 수 있도록 해준다. 옥타코MFA는 제로트러스트 보안을 실현하기 위한 최적의 솔루션으로, 다양한 보안요소를 통합하여 강력한 사용자 인증을 제공한다. 높은 보안성, 경제성, 편의성을 바탕으로 최신 보안규제에 맞으며, 다양한 산업분야에서 그 우수성을 인증받고 있다. 제로트러스트 보안을 고려하는 모든 기업에게 옥타코MFA는 최고의 선택이 될 것이다.
플랫폼형으로 설계된 최초의 Phishig Resistant MFA 솔루션
옥타코MFA는 SI 솔루션이 아닌 플랫폼형 MFA로 최신 FIDO2 방식의 모바일 생체인증, PC 생체인증, FIDO 보안키 생체인증을 모두 한 플랫폼에서 지원하는 국내 유일의 Passwordless 사용자 인증 서비스다. 이는 다양한 디바이스와 환경에서 사용자 인증을 통합적으로 관리할 수 있게 고객을 지원한다.
독창적인 다중요소 인증으로 사용자를 보호하는 옥타코MFA
옥타코는 가트너가 선정한 FIDO 보안키 부문 글로벌 3대 대표 벤더 중 하나며, MFA 사용자 인증부문에서는 Microsoft와 OKTA와 같은 글로벌 대표 벤더로 선정된 국내 및 아시아 유일한 업체로, 끊임없는 연구개발과 사례경험을 바탕으로 세계적으로 그 신뢰성과 기술력을 인정받고 있다. 옥타코MFA는 알려진 모든 사용자 계정 공격을 방어할 수 있는 유일한 Phishing Resistant MFA이며, 옥타코만의 독창적인 다중요소 인증을 통해 중간자 공격, 피싱, 딥페이크 등 다양한 해킹 시도로부터 사용자를 보호한다.
글로벌 표준에 맞게 설계되어 최고의 보안성 제공 및 비용절감이 가능한 MFA
옥타코MFA는 제로트러스트 가이드라인 NIST800-207, 1800-35, 디지털 아이덴티티 가이드라인 800-63-3의 글로벌 표준을 준수하는 유일한 제로트러스트 MFA 솔루션이다. 이는 최고 수준의 보안요건을 충족해 국제적으로 신뢰할 수 있는 보안환경을 제공한다. 표준기술인 FIDO2 및 WebAuthn API 기반으로 경쟁자대비 총도입비를 70% 이상 절감할 수 있다. 유지보수 비용 역시 최소화되어 기업의 IT 비용절감에 크게 기여한다.
B2B Workforce Identity에 특화된 국내 유일의 MFA
옥타코MFA는 B2B Workforce Identity만을 전문적으로 다루는 MFA 솔루션으로, 기업의 업무환경에 최적화된 보안인증을 제공한다. 이는 기업 내 모든 사용자가 안전하게 시스템에 접근할 수 있도록 지원한다.
▲AutoPassword가 스마트폰과 PC에서 작동되는 실시 예시 화면[이미지=듀얼오스]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-5]
국제표준 패스워드리스 인증 기술과 통합 접근제어 기술로 편리성과 보안성 강화
듀얼오스, ‘AutoPassword’와 ‘AutoPassword Access Manager’로 제로트러스트 달성
듀얼오스는 AutoPassword라는 패스워드리스 인증 기술을 UN 산하 국제기술표준기구(ITU)에서 X.1280으로 제정시킬 만큼 독보적인 인증 기술을 보유하고 있으며, 또한 업무용 웹 애플리케이션에서부터 PC 및 리눅스 서버까지 한 번에 통합 로그인할 수 있는 통합 ID와 단말 및 서비스 접근관리 기술을 보유하고 있다. 우리은행, 유안타증권, 건설근로자공제조합 등과 같이 업무의 보안성과 편리성을 동시에 강화하려는 금융권에서 주로 도입하고 있으며, 조달 혁신 물품으로 등록 이후 구리시청, 한국관광공사, 해양교통연수원 등 공공기관에도 확산되고 있다.
패스워드리스의 편리함과 상호인증의 보안성을 동시에 갖춘 AutoPassword
듀얼오스의 AutoPassword는 사용자가 패스워드를 입력하는 방식이 아니라 온라인 서비스가 사용자에게 자동패스워드를 제시하게 하고, 사용자는 스마트폰에 설치한 AutoPassword 앱에서 이를 확인하여, 자동패스워드가 일치하면 정당한 온라인 서비스임을 사용자가 확인해 접속을 승인하는 기술이다.
국제표준 패스워드리스 인증 기술과 통합 접근제어 기술로 편리성과 보안성 강화
AutoPassword는 사용 편리성뿐만 아니라 상호인증의 보안성까지 인정받아 국제 기술 표준화 기구(ITU)가 X.1280으로 인정한 패스워드리스 기술이다. 기존의 사용자 패스워드, OTP, 인증서, 생체인증 등과 같은 모든 인증(Authentication) 기술은 사용자만 인증하는 기술로, 온라인 서비스에 접속한 사용자가 정당한 사용자인지를 스스로 입증해야 하는 기술이었다. 따라서 디자인이 똑같은 가짜 서비스에 접속해 사용자가 인증서를 제출하더라도 인증서 탈취에 대한 책임을 사용자가 져야 하는 취약점이 있었다.
하지만 AutoPassword는 접속한 온라인 서비스가 사용자에게 자동패스워드값을 먼저 제출하고, 사용자는 온라인 서비스가 제시한 자동패스워드값을 사용자 스마트폰에서 검증하는 기술로 입증에 대한 책임을 온라인 서비스가 갖게 된다.
AutoPassword를 통해서 사용자는 첫째, 패스워드 관리를 하지 않아도 되고 둘째, 사용자가 접속한 서비스가 진짜인지 가짜인지 확인할 수 있어 피싱이나 파밍과 같은 사이버 공격에 노출되지 않으며 셋째, 스마트폰의 생체인증 센서 하나로 모든 온라인 서비스에 대역 외 생체인증을 진행할 수 있어 가장 경제적으로 생체인증을 구축할 수 있다.
업무용 웹 애플리케이션뿐만 아니라 업무용 PC나 리눅스 서버까지 통합 접근관리를 하는 AutoPassword Access Manager
AutoPassword Access Manager는 사용자가 하나의 ID로 이메일, 그룹웨어, 윈도우 PC, 리눅스 서버 등 회사 내 모든 업무 시스템에서 하나의 ID로 식별/접근이 가능하게 할 뿐만 아니라, 관리자 측면에서도 특정 ID가 어떠한 애플리케이션이나 PC, 서버에 접근할 수 있을지 권한을 부여하는 통합 ID 및 접근관리 솔루션이다.
또한 사용자가 윈도우 PC 로그인 시 자동패스워드를 지원해 사용자는 패스워드 입력 없이 윈도우 PC에 로그인할 수 있으며, 이를 통해 스마트폰의 생체인증 센서 하나로 접근 권한이 부여된 모든 PC나 리눅스 서버에 대한 대역 외 생체인증을 진행할 수 있게 된다.
특히 사용자가 윈도우나 리눅스 서버에 접근할 때마다 윈도우와 리눅스 운영체제의 사용자 패스워드가 동적으로 변경되어 사용자는 더이상 패스워드를 기억하거나, 변경하는 불필요한 작업을 수행하지 않아도 된다.
▲세일포인트 아틀라스 통합 아이덴티티 보안 플랫폼–AI와 ML을 활용한 고객들에게 전 조직에 걸친 아이덴티티와 액세스에 대한 포괄적인 가시성을 제공한다.[이미지=세일포인트]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-6]
AI와 ML 활용한 솔루션과 플랫폼으로 조직 위한 맞춤형 아이덴티티 보안 프로그램 구축
세일포인트, ‘아이덴티티 시큐리티 클라우드’로 통합형 아이덴티티 보안 솔루션 제시
세일포인트는 2005년 설립되었으며 현재 전 세계 65개국에서 금융, IT, 통신 등 다양한 산업군에서 2,400개 이상의 고객들에게 아이덴티티 보안 솔루션을 제공하고 있다. 또한 포춘 500 기업들 중 43%가 세일포인트의 솔루션을 사용하고 있다. 한국에서의 주요 고객으로는 삼성바이오로직스가 있다.
세일포인트는 전 세계적으로 PwC, KPMG, 딜로이트, E&Y, 액센츄어 등 대형 컨설팅 회사를 포함한 폭넓은 글로벌 파트너 네트워크를 보유하고 있다.
세일포인트의 ‘아틀라스(Atlas)’ 아이덴티티 보안 플랫폼은 인공지능(AI)과 머신러닝(ML) 기술을 활용한 중앙형 AI 아이덴티티 보관소를 통해 조직들이 아이덴티티 및 액세스 전체에 대한 포괄성적인 가시성을 확보할 수 있도록 한다. 세일포인트 아틀라스는 현재 시장에서 유일한 클라우드 네이티브 및 멀티 테넌트 SaaS 플랫폼으로 강력한 엔터프라이즈급 아이덴티티 보안 프로그램을 구축, 유지 및 확장하기 위해 필요한 요소들을 제공한다. 조직들은 아틀라스 플랫폼을 통해 보안 아이덴티티에 대한 기록은 물론 다양한 시스템 및 애플리케이션에 대한 권한까지도 확인할 수 있다.
세일포인트 아이덴티티 시큐리티 클라우드
세일포인트 아이덴티티 시큐리티 클라우드는 조직의 아이덴티티 여정 모든 과정에 알맞은 맞춤형 아이덴티티 보안 프로그램을 구축할 수 있도록 돕는 아이덴티티 보안 기능들의 집합체다. 세일포인트 아이덴티티 시큐리티 클라우드는 인공지능(AI)과 머신러닝(ML)을 기반으로 기업들의 핵심 데이터와 애플리케이션에 대한 액세스를 지능적이고 자동적이며 통합적으로 보호한다.
세일포인트는 세계적인 기업들과 협력하며 사용자가 맡은 업무를 수행하는 데 필요한 최소한의 액세스 권한을 정확하게 파악할 수 있었다. 즉, 명확한 목표를 가진 단일, 통합 솔루션 패키지로 SaaS 기반 제품들을 제공한다.
세일포인트는 아틀라스 플랫폼을 기반으로 유연하고 쉽게 활용 가능한 사용자 중심의 솔루션을 제공해 조직들이 복잡한 IT 환경 속에서도 아이덴티티를 보호할 수 있도록 한다. 세일포인트의 모든 제품은 조직의 아이덴티티 보안 여정의 모든 단계에 걸쳐 규모, 범위 및 복잡성 면에서 늘어나고 있는 아이덴티티 보안 요구사항을 충족시킬 수 있는 첨단 기능들을 지원한다.
세일포인트 아틀라스는 조직들이 기존 솔루션을 재조정할 필요없이 새로운 유형의 아이덴티티 보안 문제들을 해결할 수 있도록 설계된 차세대 아이덴티티 보안 플랫폼이다. 아틀라스 플랫폼은 최첨단 AI 기술, 포괄적인 접근법, 확장 가능한 아키텍처를 통합해 아이덴티티 보안을 새롭게 정립할 뿐 아니라 세일포인트의 아이덴티티 시큐리티 클라우드 솔루션들을 구동한다. 이를 통해 보다 신속하고 향상된 수용율과 사용자 경험을 제공한다.
또한 단순화된 거버넌스와 특별한 인사이트를 통해 액세스 제어, 정책, 과정 등을 강화, 끊임없이 변화하는 디지털 생태계에 알맞은 보안, 효율성 및 액세스 절차를 보장한다.
세일포인트의 ‘아이덴티티 시큐리티 클라우드’ 솔루션은 현재의 아이덴티티 보안 니즈에 특화된 맞춤형 기능을 제공하는 동시에 미래의 니즈에 맞춰 확장 및 조정할 수 있는 네 가지 제품 모듈로 구성되어 있다.
· 액세스 모니터링 – 조직의 필요에 맞게 액세스 역할을 생성, 구현, 최적화한다.
· 수명주기 관리 – 도입 첫날부터 아이덴티티 수명주기를 자동적으로 관리한다.
· 컴플라이언스 관리 – 아이덴티티 과정을 간소화해 액세스 거버넌스를 강화한다.
· 분석 – 아이덴티티 데이터를 당장 실행 가능한 인사이트 형태로 제공해 빠른 의사결정을 지원한다.
세일포인트 아이덴티티 클라우드는 다음과 같은 방법으로 조직들의 아이덴티티 보안을 혁신한다.
· 신속하고 정확한 액세스 결정: 각 아이덴티티에 필요한 업무를 수행하는 데 필요한 최소한의 액세스 권한을 적시에 제공한다. 또한 보안을 저하하지 않으면서도 각 구성원이 맡은 업무를 수행할 수 있는 액세스를 제공해 업무 효율성을 한다.
· 아이덴티티 리스크 관리: 보안 전문가들에게 아이덴티티 및 액세스 리스크 요인들을 파악 및 대처할 수 있는 툴을 제공하며 잠재적인 데이터 유출의 여파를 최소화해 조직의 보안을 강화 및 리스크를 예방할 수 있다.
· 신속한 액세스 의사결정: 매니저들과 애플리케이션 소유자들이 신속하게 액세스 결정을 내릴 수 있도록 하며 개인화된 인사이트와 자동화된 워크플로우를 통해 부서 간 빠르고 효과적으로 협업할 수 있도록 한다.
· 단순화된 컴플라이언스: 내부 감사인들에게 쉽게 컴플라이언스를 입증할 수 있는 사용자 친화적인 툴 제공하는 것은 물론 컴플라이언스 과정을 단순화해 모든 감사를 원활하고 정확하게 규제 준수하도록 확인한다.
세일포인트 시큐리티 클라우드 스탠다드(Identity Security Cloud Standard)
세일포인트 아이덴티티 시큐리티 클라우드 스탠다드(이하 스탠다드)는 조직들이 아이덴티티 보안 여정을 시작하기 위한 통합 및 중앙화에 필요한 기본적인 기능들을 제공한다. 스탠다드 제품은 강력한 아이덴티티 보안 프레임워크를 통해 액세스 요청을 설정하거나 증명해 컴플라이언스를 준수하고 리스크를 줄일 수 있도록 한다. 또한 기업들이 현재 직면하고 있는 아이덴티티 보안 문제들을 해결할 뿐 아니라 조직이 확장됨에 따라 더욱 복잡해지는 요건들에 맞춰 지속적으로 조정할 수 있도록 한다.
아이덴티티 시큐리티 클라우드 비즈니스(Identity Security Cloud Business)
아이덴티티 시큐리티 클라우드는 비즈니스(이하 비즈니스)는 시간이 많이 걸리는 아이덴티티 관련 업무, 효율성이 떨어지는 액세스 확인, 정적인 액세스 제어를 동적이고 지능적인 자동화된 시스템으로 대체한다. 이를 통해 손실이 크고 기업 평판에 악영향을 줄 수 있는 보안 침해 사고로부터 기업들을 안전하게 보호할 수 있다. 또한, AI와 ML 기술을 적극 활용해 아이덴티티 업무를 자동화, 역할 관리를 간단하게 소화하고 실행 가능한 인사이트를 도출해 적절한 의사결정을 돕는다. 무엇보다 엄격한 컴플라이언스 요건까지도 모두 충족할 수 있도록 한다.
아이덴티티 시큐리티 클라우드 비즈니스 플러스(Identity Security Cloud Business Plus)
아이덴티티 시큐리티 비즈니스 플러스(이하 플러스)는 가장 포괄적인 기능으로 모든 애플리케이션, 데이터, 클라우드 리소스 등에 대해 확장된 액세스 보호를 제공한다. 플러스는 조직들이 업무 효율성을 극대화하는 동시에 첨단 분석과 활동 인사이트 기능으로 리스크 있는 액세스를 실시간으로 탐지 및 대응할 수 있도록 한다. 이에 더해 역할 관리를 최적화하고 조직의 변화를 정확하고 원활하게 액세스 제공 결정에 반영한다. 플러스의 기능들은 최상의 가시성, 자동화 및 통합을 통해 조직들이 전체 아이덴티티 패브릭에 걸쳐 확실한 아이덴티티 보안 전략을 수립할 수 있도록 한다.
▲와이키키소프트 ‘와이덴티티 2.0’[이미지=와이키키소프트]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-7]
기업 내부 인증의 패러다임 변화
내부직원 업무인증에 최적화된 인증 솔루션, 와이키키소프트 ‘와이덴티티 2.0’
얼마 전 한국인터넷진흥원(KISA)은 최근 자동 로그인 기능을 악용한 계정 정보 탈취 범죄가 급증함에 따라 과학기술정보통신부와 함께 브라우저 자동 로그인 기능에 대한 사용주의 권고를 발표했다. 조사 결과 크롬, 엣지, 파이어폭스 등 주요 브라우저에서 사용자 정보 탈취가 가능한 것으로 드러났다.
금융기관에서는 내부직원의 횡령 사고가 줄곧 발생하며 기업 내부 시스템 원격 접속을 위한 VPN 로그인 계정 해킹사고도 잇따른다. 이렇듯 끊임없이 발생하는 유출사고에 대한 근본적인 해결방법은 없을까?
전통적으로 기업의 보안시스템은 외부로부터의 비인가 사용자의 접근을 감지하고 차단하는 데 주력했다. 그러나 근자에 발생하는 사고는 내부직원의 부주의 또는 비윤리적인 행동이 원인이 되는 경우가 많다. 그 누구도 믿지 말라는 제로트러스트의 개념은 이러한 시대적 분위기에서의 필연적 등장일 수 있다. 사용자 인증의 관점에서 문제점과 해결방안은 다음 두 가지로 기술할 수 있다.
1. 취약한 인증수단
패스워드 기반의 인증수단은 해킹, 추측, 도용 등 취약함의 대명사로 잘 알려져 있다. 기업에서 도입한 서비스 및 관리자 시스템의 접근 권한을 부여하는 인증수단은 강화되어야 한다. 중요도에 따라 2차, 3차 인증이 필요할 수 있으며 생체인증처럼 패스워드를 대체하는 (Passwordless) 인증수단을 도입해야 할 수 있다.
2. 경계보안의 한계
어떠한 인증수단도 사용자의 완전한 자격증명을 보장받을 수 없다. 시스템 및 내부 정보에 접근하려는 사용자에게는 주기적, 이벤트적 인증이 추가되어야 한다. 국경을 넘었다고 해서 그 나라의 모든 자유를 허락하는 것은 각종 위험을 초래할 수 있다.
다만 보안만을 강조한 시스템은 편의성을 저해할 수 있다. 좋은 보안솔루션은 도입하는 기관의 정책에 맞는 보안성과 편의성을 제공해야 하며 도입의 부담이 없도록 기존 시스템의 변경이 최소화해야 한다.
최근 들어 금융기관, 공공기관, 일반기업들은 기술한 문제점을 극복하고자 2차 인증, 패스워드리스 인증, 생체인증 등 내부 정책에 부합하는 신규인증 시스템의 도입을 공통의 관심사로 하고 있다.
인증 솔루션 전문회사 와이키키소프트는 이러한 기업 내부의 고질적인 불안감을 해소하기 위해 다중인증 솔루션인 와이덴티티(Ydentity2.0)를 2018년에 출시했다. 출시 이후로 꾸준한 업데이트를 통해 고객의 다양한 요구사항을 반영했다. 와이덴티티가 탑재한 고도의 기술들은 혁신성을 인정받아 과학기술정보통신부로부터 우수정보보호 제품으로 선정됐으며 보안 선도기업인 안랩으로부터 전략적 투자 및 제휴를 맺었다.
기업의 복잡한 내부 시스템에 최적화
연차가 오래된 기업일수록 내부 서비스 구조는 복잡하기 마련이다. 그룹웨어, VPN, VDI, 클라우드, AD 등 각기 다른 벤더사의 솔루션을 도입한다. 패스워드의 활용성을 높일 수 있도록 SSO(Single Sign On)와의 연계도 보편화 되어 있다. 와이덴티티2.0은 다년간의 연구개발을 바탕으로 이러한 복잡한 래거시 시스템과의 연동을 쉽게 하도록 설계됐다. FIDO, SAML, RADIUS 등 표준 인증규격을 탑재했으며, 국내외 주요 VPN 장비와의 연동테스트를 마쳐 내외부에서 시스템 접근이 안전하고 편리하다. 윈도우 로그인, 모바일 생체인증, 보안키 연동, PC 탑재 지문인증과 연동뿐 아니라 얼굴, 핀, 패턴, OTP, 이메일, SMS 등 현존하는 모든 인증수단을 지원한다.
편리함의 극대화
스마트폰을 사용한 사람은 이전의 피처폰으로 바꾸기 어렵듯이 패스워드 기반의 인증을 대체인증으로 바꾼 고객은 이전 인증방식으로 회귀하기 어려운 비가역적 시스템의 편리함을 누릴 수 있다. 무언가를 기억할 필요도, 유출에 대한 불안감도 제거되기 때문이다. 실제 패스워드리스 인증을 도입한 고객사의 만족스러운 피드백은 이러한 주장을 뒷받침하고 있다.
막강한 관리 콘솔
새로운 보안솔루션을 도입할 때마다 기업 내 운영자는 부담을 갖게 마련이다. 와이덴터티의 관리 콘솔은 시스템 운영의 부담을 최소화하도록 짜임새 있는 관리페이지를 제공한다.
인증 회수, 성공/실패 여부, 그룹별 인증현황, 메모리 사용 등 실시간 모니터링을 할 수 있으며 운영자의 도움 없이 사용자 스스로 서비스 등록 및 관리를 할 수 있도록 별도 포털을 제공한다. 인사정보 연계, 사용자별/서비스별 인증정책, VPN, SSO 설정 등 모든 조건을 관리자 페이지에서 조정할 수 있도록 설정 옵션을 제공한다. 주 관리자는 전체 서비스를 조절하고 각각의 서비스별로 부관리자를 책정할 수 있다.
제로트러스트 반영
제로트러스트의 3가지 핵심원칙은 인증강화, 소프트웨어 정의 경계, 마이크로 세그멘테이션으로 제시되고 있으며 이 중에서 인증강화는 특히 중요한 요소로 강조된다. 가급적 시스템은 인증과정이 분리되어 인증이 완료되기 전에 시스템의 어떠한 정보도 취득할 수 없도록 설계하는 것이 중요하다. 또한 시스템 로그인 후에도 필요시 인증은 지속적이며 다양한 방식으로 이루어져야 한다. 와이덴티티는 기술된 다중인증 기능과 정책관리 뿐 아니라 인증만을 별도로 처리할 수 있는 공통 게이트웨이를 제공해 향후 전개될 제로트러스트 모델과 부합된 설계 구조를 갖추고 있다.
▲피앤피시큐어의 제로트러스트 3T 전략[이미지=피앤피시큐어]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-8]
제로트러스트 3T 전략을 통한 사용자 지속 검증 방안 제시
피앤피시큐어, 무자각 지속 인증 기술 접목한 제로트러스트 접근제어 전략 제시
강력한 보안 모델인 제로트러스트의 중요성이 재조명되면서 피앤피시큐어는 기존 업무 환경의 신뢰를 제거하는 제로트러스트 3T 전략을 제시한다. 피앤피시큐어의 실시간 안면인증 보안 솔루션 ‘FaceLocker’의 Vision AI 기술을 통합 접근제어 솔루션 ‘DBSAFER’에 접목해 번거로운 인증 절차 없이 화면을 바라보는 것만으로 기기를 조작하고 있는 사람이 실제 인가자인지 지속적으로 검증하는 ‘무자각 지속 인증’을 통한 제로트러스트 접근제어 환경을 제공한다.
피앤피시큐어의 제로트러스트 3T 전략
제로트러스트를 가장 함축적으로 나타내는 문구는 잘 알려진 바와 같이 “Never Trust, Always Verify”다. 문제는 지속적인 검증을 어떻게 할 것인가에 대한 실질적인 방안이다. 피앤피시큐어는 지속적인 검증으로 제거해야 하는 3가지 Trust(기존 업무 환경에서 안전할 것이라고 믿고 있던 3가지 신뢰)를 ‘의도’, ‘장소’, ‘시간’으로 정의한 3T 전략을 통해 지속적인 사용자 검증 방안을 제시한다.
Trust 1: 의도 사용자가 본인을 인증해 시스템에 로그인한 후, 정책에 따라 부여받은 권한 내에서 사용자가 진행하는 모든 작업은 모두 선한 의도이며, 실수 없이 완전무결하다는 Trust가 존재한다. 하지만, 권한이 있는 사용자가 의도적으로 화면 정보를 사진 촬영 등의 방법으로 유출하거나, 실수로 중요 데이터나 시스템을 삭제하는 문제가 발생하고 있다.
Trust 2: 장소 기존의 사무실이라는 공간은 물리적으로 외부인 통제가 되는 환경이었다. 재택/공공장소에서의 근무가 일반화된 지금도 일하는 공간은 안전할 것이라는 Trust가 존재한다. 하지만, 통제되지 못하는 환경에서는 Shoulder Surfing Attack과 같은 Visual Hacking이 발생할 수 있다.
Trust 3: 시간 사용자 인증 이후, 인증 유효시간 내에 단말을 통해 시스템이나 애플리케이션을 사용하는 사람이 바뀌지 않을 것이라는 Trust가 존재한다. 하지만, 최초 인증 후 인증 유효시간 내에도 사용자가 자리를 비운 상태에서 비인가자가 직접 단말에 접근하거나 세션을 탈취할 수 있어 완전히 신뢰할 수 없다. 이를 해결하고자 사용자의 인증 주기를 짧게 할수록 사용자의 업무 편의성은 저하되며, 실질적인 ‘제로 트러스트’ 보안 모델을 실현할 수 없다는 문제가 있다.
피앤피시큐어는 상기 문제에 대한 해결 방법으로 ‘무자각 지속인증’ 솔루션을 제안한다. 제로트러스트 환경에서의 검증은 최초 한 번만 진행되는 것이 아닌 지속적 검증이 핵심인데, 이는 사용자의 불편과 생산성의 저하라는 문제를 수반하게 되므로, 인증을 위한 사용자의 별도 행위 없이 인증이 지속적으로 수행되어야 한다. 이를 위해 피앤피시큐어는 실시간 안면인증 보안 솔루션 ‘FaceLocker’의 Vision AI 기술을 이용해 사용자가 업무 화면을 바라보는 것만으로도 지속적으로 본인 여부를 검증하는 ‘무자각 지속 인증’ 기술을 선보인다.
Vision AI 기술은 객체 탐지 기술을 이용하여 카메라, 휴대폰 등으로 화면에 출력된 민감 정보를 촬영하려는 행위를 감지하여 차단하고, 해당 행위를 이미지 로그로 저장함으로써, 사용자 의도에 대한 믿음을 제거한다. 또한, 화면이 보이는 영역에 제3자가 존재하는지 확인하여 제3자의 안면이 감지되면 역시 화면을 차단한다. 이로써 전통적인 Visual Hacking 공격인 Shoulder Surfing Attack을 방어할 수 있고, 적법한 사용자라 할지라도 제3자에게 화면을 임의로 공유하는 행위를 차단하여 장소에 대한 변수를 통제한다. 마지막으로 사용자가 자리에 있는지를 지속적으로 확인하며, 이석 감지 시 즉각적으로 화면과 키보드 마우스 등의 입력을 차단하고, 사용자가 되돌아오면 안면인증을 통해 사용자를 검증하여 업무를 재개할 수 있으므로 시간에 대한 위협 요소를 제거할 수 있다.
무자각 지속 인증 기술을 접목한 차세대 제로트러스트 접근제어 솔루션
기존 ID/PW를 통한 인증 절차는 접속자가 실제 인가자 본인인지 여부를 판단할 수 없는 한계가 존재한다. 또한, 중요/금지 명령어 실행 시 재인증 절차가 마련되어 있지 않아 제3자의 접속 및 기기 조작에 의한 보안 사고가 발생할 수 있다.
피앤피시큐어는 DB·시스템 접근제어 및 계정관리 솔루션 ‘DBSAFER’에 Vision AI 기술을 적용해 ‘무자각 지속 인증’을 통한 차세대 제로트러스트 접근제어 솔루션을 제안한다. 무자각 지속 인증은 비밀번호, OTP 입력과 같이 사용자의 개입이 필수적인 명시적 인증과 달리, 사용자가 인지하지 못하는 안면인증으로 사용자 인증을 자동으로 반복하는 방식이다.
보안성 강화 생체 정보를 인증 수단으로 활용함으로써 기존 ID/PW 및 OTP와 같은 인증 수단의 탈취 및 유출, 공유로 인한 보안 위협을 해소한다. 최초 접속뿐만 아니라 중요 명령어 실행 등 업무 수행 단계별로 인가자 여부를 검증해 접속과 조작 일련의 과정에서 보안사고 가능성을 원천 차단할 수 있다. 또한 접근제어 시장 70% 이상의 점유율을 자랑하는 접근제어 솔루션 ‘DBSAFER’의 강력한 중앙 통제 정책을 통해 보안성을 보장한다.
편의성 확보 ‘무자각 지속 인증’은 사용자가 업무 화면을 바라보고 있는 것만으로 기기를 조작하는 사람이 실제 인가자인지를 지속적으로 검증하며, 인증이 실패한 경우에만 명시적 인증을 요청함으로써 보안성과 편의성 모두를 충족할 수 있다.
사용자의 개입이 최소화된 만큼 업무의 연속성이 보장되어 인증으로 인한 생산력 저하 없이 안전한 보안 환경을 제공한다.
리소스 절감 Unified-IAM은 피앤피시큐어에서 제안하는 통합접근제어 및 계정관리 솔루션이다. 고객 환경에 맞춰 DB·시스템·서버 접근제어와 통합 계정관리 제품 중 2개 이상 솔루션을 연계하여 제안하는 통합 보안 전략으로. 온프레미스와 클라우드 환경에 제약 없이 접근제어와 계정관리를 모두 수행한다. 또한 보안 제품의 일원화를 통해 보안 환경 유지에 필요한 인력, 비용에 대한 절감 효과가 뛰어나다.
▲테이텀 CIEM ‘사용자별 권한 및 행위 분석’[이미지=테이텀시큐리티]
[제로트러스트-식별자·신원 보안 솔루션 집중분석-9]
자산 식별부터 이상행위 탐지와 정책 생성까지 인프라 자격관리 도와
테이텀시큐리티, 테이텀 CIEM 통해 제로 트러스트를 위한 멀티 클라우드 보안 관리 지원
최근 IT 기업들은 IDC 등을 자체적으로 구축하지 않고 자신들이 수행하는 비즈니스에 맞춰 여러 개의 클라우드 서비스 선택하는 멀티 클라우드 방식을 따르고 있다. 멀티 클라우드는 여러 클라우드 서비스 및 기술을 통합해 니즈별로 최적화된 솔루션을 구축할 수 있어 편리하지만, BYOD(Bring Your Own Device) 등으로 인해 사람, 기계뿐만 아니라 더 나아가 단일 서비스를 위한 신원까지 조직 내 신원이 더욱 다양해짐에 따라 관리 사각지대도 점점 증가하고 있다.
그래서 멀티 클라우드 환경에서 제로 트러스트 보안을 구현하려면 조직의 클라우드 자원을 안전하게 효과적으로 관리할 수 있는 동시에 보안 효율성을 높일 수 있는 최적의 클라우드 인프라 자격관리 솔루션(CIEM) 도입은 필수다.
제로 트러스트를 지원하는 혁신적인 클라우드 인프라 자격관리 솔루션
테이텀시큐리티는 테이텀 CIEM(Cloud Infrastructure Entitlement Management)을 통해 멀티 클라우드 환경에서 인프라 자격관리가 어려운 기업에게 해결책을 제시한다. 테이텀 CIEM은 클라우드 네이티브 애플리케이션 보안 플랫폼, ‘테이텀 CNAPP(Cloud Native Application Protection Platform)’에 포함된 솔루션 중 하나이며, 다음과 같은 특장점을 통해 클라우드 환경에서의 조직 내 자산을 효율적으로 관리하고, 사용자 이상행위로 인한 보안사고를 최소화한다.
첫째, 테이텀 CIEM은 클라우드 사용자 및 자산을 한눈에 식별, 감사할 수 있다. 클라우드 상에 존재하는 모든 사용자 및 자산을 적절하게 식별해 대시보드를 통해 효과적으로 보여준다.
실제로 클라우드 환경에서 기존 IT 조직이 온프레미스에서 관리하던 것과 동일하게 클라우드 사용자나 자산을 식별하는 것은 어려운 일이다. 이는 신원 정보를 가진 사용자가 사람뿐만 아니라 기계가 될 때도 있고, 특정 서비스를 위한 서비스 계정이 될 수 있기 때문이다. 또한 클라우드 자산이란 단지 컴퓨팅 자원만을 의미하지 않기 때문에 효율적으로 자원을 관리하기도 쉽지 않다. 예를 들어, 클라우드 상에서 네트워크 방화벽을 세운다면, 네트워크 방화벽뿐만 아니라 방화벽 정책, 방화벽 규칙 등 모든 것이 클라우드 자산으로 분류되기 때문이다.
자산 식별부터 이상행위 탐지와 정책 생성까지 인프라 자격관리 도와하지만 테이텀 CIEM을 사용하면 클라우드 환경에서 사람 신원, 기계 신원, 서비스 등 행위 주체가 될 수 있는 모든 사용자, 클라우드에 존재하는 모든 자원들을 한눈에 파악할 수 있다. 대시보드를 통해 사용자들은 어떤 클라우드 주체가 어떤 클라우드 자산에 접근할 수 있는지 직관적으로 식별, 감사할 수 있다.
뿐만 아니라, 자원 간의 관계를 파악해 공격 경로를 시각화하기 때문에 사용자는 어떤 자원이 어떤 네트워크에 속해 있고, 이에 따라 어떤 위험이 노출될 수 있는지 쉽게 식별할 수 있다.
둘째, 클라우드 사용자의 이상 행위를 탐지할 수 있다. 과도한 권한을 탐지하고, 리소스와 인프라의 관계를 시각화함으로써 잠재적인 보안 위협을 식별·차단해 보안사고를 예방한다. 조직 내 특정 사용자나 신원이 과도한 권한을 가지고 있는 경우, 이로 인해 이상 행위가 발생할 확률이 높아진다. 특히, 클라우드 환경에서는 권한이 매우 세부적으로 나뉘기 때문에 하나의 계정에 수천에서 수만 개까지의 권한이 할당될 수 있어 ‘과도하게 부여된 권한’을 사람이 직접 판단하기 어려운 일이 발생한다.
뿐만 아니라, 리소스 관리가 제대로 이루어지지 않으면 인터넷에 노출된 경로를 통해 공격자들이 APT(Advanced Persistent Threat) 공격을 수행하거나 클라우드에 침투하는 보안사고가 발생할 수 있다. 따라서, 리소스 간의 관계와 인프라 구조를 정확히 파악해 공격 경로를 시각화하는 것이 매우 중요하며, 이러한 이유로 클라우드 신원이 가진 과도한 권한을 탐지할 수 있는 솔루션은 필수다.
셋째, 클라우드의 최소 권한 원칙을 지키기 위한 정책을 생성해 조직 내 보안성을 한층 더 강화해준다. 클라우드 상에서 최소 권한 원칙(POLP, The Principle of Least Privilege)이란 조직 내에서 모든 사용자가 개발, 배포, 빌링 관리 등의 작업 수행 시 필요한 최소한의 접근 수준만을 부여하는 것이다. 이는 보안사고를 줄이고, 조직 내 자산 보호를 강화하는 데 중요한 역할을 한다.
그러나 클라우드 환경에서는 최소 권한 원칙을 준수하기가 사실상 쉽지가 않기 때문에 조직 관리자들의 부족한 보안 인식, 잘못된 보안 관리 등의 이유로 사용자에게 과도한 권한이 부여되거나, 잘못된 역할이 할당되지 않도록 각별한 주의가 필요하다.
테이텀 CIEM에서는 사용자들이 그들이 가진 권한을 실제로 사용하는지, 해당 권한으로 어떠한 클라우드 자원, 예를 들어 VM(Virtual Machine), 컨테이너와 같은 컴퓨팅 자원, VPN, 로드 밸런서와 같은 네트워크 자원에 접근하는지 등을 확인할 수 있다. 그래서 그들이 과도하거나 불필요한 권한을 가졌을 경우 그들을 위한 최소 권한 정책을 분석해 생성할 수 있기 때문에 보안사고 발생률을 낮출 수 있다.
테이텀시큐리티 양혁재 대표는 “CIEM 솔루션 이전에 IT 조직내 신원 및 자원을 관리하기 위한 ‘IAM(Identity and Access Management)’ 솔루션이 있었지만, 일괄된 표준이 없어 멀티 클라우드 환경에서 보안 구성을 일관적으로 설정/관리하지 못하고 보안 취약점을 발생시켰다”며, “테이텀 CIEM은 복잡한 멀티 클라우드 환경에서의 사용자 신원 및 권한을 적절히 제어함으로써 보안 효율성을 극대화하고 조직의 클라우드 자원을 안전하게 관리하기 때문에 제로 트러스트를 지원한다”고 말했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>