이제 대부분 기업들은 사이버 보안 위협의 심각하고 교활한 성향을 인지하고 있다. 그러나 지난 몇 년 동안 디지털 전환, 원격 작업, 자동화 및 클라우드 마이그레이션 활동으로 인해 데이터와 중요한 비즈니스 시스템에 액세스하려는 아이덴티티 수가 급증했다는 사실은 파악하지 못하고 있다. 아이덴티티 급증은 사이버 공격 가능성을 기하급수적으로 증가시켜 기존 IAM(Identity and Access Management) 패러다임 효율성을 약화시켰다.

현대 기업에서는 대다수 직원이 여러 개 네트워크 아이덴티티를 보유하고 있고, 다양한 기기를 사용해 비즈니스 시스템에 접근(액세스) 하고 있다.

사이버아크의 2022 아이덴티티 보안 위협 환경 보고서에 따르면 직원들은 평균 30개 이상 애플리케이션과 계정에 액세스하고, 수많은 비밀번호를 기억 및 관리하며, 시스템과 애플리케이션에 반복적으로 자신을 인증해야 한다. 이러한 직원들은 업무를 위해 민감한 회사 데이터 및 자산에 액세스하고, 타사 파트너와 다수 업무 협력을 수행한다. 머신이 생성한 아이덴티티는 인간보다 45배나 더 많았다.

버라이즌 데이터 위반 조사 보고서에 따르면 BWAA(Basic Web Application Attacks) 80%는 손상된 자격 증명에서부터 시작된다. 아이덴티티는 최근 사이버 보안 전쟁터에서 가장 고부가가치 타깃이 됐다. 그러나 아이덴티티 확산으로 인해 보안 전문가들은 엔드포인트, 장치, 클라우드 워크플로우 및 서비스형소프트웨어(SaaS) 솔루션으로 구성된 복잡한 웹을 보호하는데 필요한 작업 수행에서 안전장치와 속도 사이 적절한 균형을 맞추기가 어려워졌다. 이러한 흐름은 기업을 어렵게 만들거나, 악의적인 행위자들이 쉽게 악용할 수 있는 빈틈을 남기지 않아야 한다.

기존 IAM 툴은 보안 우선 접근 방식으로 구축되지 않았고, 구축형(온프레미스) 데이터센터, SaaS 환경 및 하이브리드, 멀티 클라우드 인프라에 존재하는 광범위한 인적, 애플리케이션 및 머신 ID를 관리하도록 설계돼 있지 않았다. 이러한 아이덴티티 문제는 자동화 부족과 가시성 저하로 인한 관리 문제를 야기하는 여러 개 사일로화된 툴을 사용함으로써 더욱 가중된다. 조직은 이 같은 위험을 감안할 때 아이덴티티를 재조정하고, 이를 보안 전략의 핵심 요소로 만들어야 한다.

'아이덴티티 관리'를 위한 새 비전

조직 내에서 모든 유형의 아이덴티티를 보호하는 가장 좋은 방법은 무엇일까? 그 방법은 제로 트러스트 핵심 개념을 수용하는 리스트-대비 아이덴티티 보안 접근 방식에서 출발한다. 여기에는 공격 발생을 인지하고 지능형 권한 제어를 일관적으로 적용해 인간 및 기계 모든 아이덴티티에 대한 액세스를 보호하고, 아이덴티티 생애주기(라이프 사이클)를 유연하게 자동화하는 것이 포함된다.

조직은 지속적인 위협 탐지 및 예방 기능을 계층화 함으로써 위협 요소를 보다 일찍 탐지하고, 실행 중인 아이덴티티 기반 공격을 방어할 수 있다. 궁극적인 목표는 사용자가 필요한 리소스에 빠르고 안전하게 액세스할 수 있도록 구현하는 동시에 아무것도 신뢰하지 않고 배후에서 모든 것을 확인하는 것이다.

아이덴티티 보안이 실제 환경에서 어떻게 작동하는지 이해하려면 평범한 설비 관리 작업은 봇의 도움을 받고, 매우 민감한 CI/CD 리소스 및 툴에 정기적으로 액세스하는 과정은 데브옵스(DevOps) 전문가 활용을 고려해야 한다. 아이덴티티 보안 접근 방식을 사용하면 DevOps 전문가와 봇(머신 아이덴티티) 모두 지능형 권한 제어를 통해 필요한 클라우드 워크스페이스에 진입할 수 있지만, 필요한 최소 시간 동안 최소한의 액세스가 필요한 컨텍스트 내에서 허용된다. 가령 개발자가 결국 그 자리를 떠났다고 생각해 보자. 유연한 자동화 및 조정 기능을 갖춘 최신 아이덴티티 보안 플랫폼은 적시에 자동으로 액세스 및 사용 권한을 차단하고, 동시에 봇은 액세스 권한을 유지하며 새로운 팀원에게 재배치할 수 있다.

'아이덴티티 보안' 모범 사례

보안은 입구에서부터 시작된다. 사용자는 다양한 리소스에 액세스해야 하기 때문에 아이덴티티 보안은 엔드포인트에서 시작돼야 한다. 엔드포인트에 대한 적응형 다중 인증(MFA) 및 지속적인 인증 같은 제어 기능을 사용해 사용자가 애플리케이션을 시작하기 위해 액세스 권한을 높이기로 결정한 경우 적절한 보안 제어 기능을 사용할 수 있다. 최소한의 권한과 애플리케이션 제어 외에도 정책 기반, 감사된 적시 권한 상승 세션, 자격 증명 방어, 직원 비밀번호 관리, 랜섬웨어 보호 등을 지원하는 솔루션을 찾아야 한다.

클라우드를 간과하면 안 된다. 클라우드는 잘못된 구성과 과도한 권한이 허용된 계정을 포함해 많은 아이덴티티 보안 문제를 야기한다. 과도한 권한을 감지 및 제거하고, 실행 가능한 업데이트를 제공하며, 적시에 권한을 부여받은 액세스를 촉진할 수 있는 플랫폼을 찾아야 한다.

머신이 유발하는 문제를 기억해라. 중앙 집중식 비밀 관리는 애플리케이션 및 자동화 도구에서 내장된 API 키와 비밀을 제거하고, 하이브리드 멀티 클라우드 환경에서 인증을 유도하는 데 도움이 될 수 있다.

지능형 권한 제어 기반 아이덴티티 보안은 차세대 보호 솔루션으로 기업이 비즈니스 결과에 집중하고, 적들보다 한 단계 앞서 나갈 수 있도록 하는 전체적이고 유연한 프레임워크를 제공한다.

<최영주> 사이버아크코리아 지사장

<기고와 칼럼은 본지 편집방향과 무관합니다.>