[디지털데일리 김보민기자] 디지털 전환이 화두로 떠오르면서 기업 업무 환경이 복잡해지기 시작했다. 클라우드는 물론, 다양한 서비스형소프트웨어(SaaS) 도구를 적용할 필요성이 커지면서 보안 위협이 발생할 구간 또한 늘어나는 추세다.

특히 제3자를 뜻하는 서드파티(Third Party) 위협은 무시할 수 없는 요인으로 거론되고 있다. 아이덴티티 보안을 강화하지 않을 경우 협력사, 자회사, 하청업체 직원이 내부 기밀을 빼가더라도 알 도리가 없기 때문이다. 수동으로 접근(액세스) 권한을 설정하거나 실시간 모니터링 시스템을 갖추지 않은 기업이 정보 유출에 쉽게 노출될 수밖에 없는 이유다.

글로벌 아이덴티티 보안 솔루션 기업 세일포인트는 단일 플랫폼을 기반으로 기업이 서드파티 위험을 관리할 수 있도록 돕고 있다. 최근에는 인공지능(AI) 기술을 더해 힘을 보탰다. <디지털데일리>는 지난 26일 서울 여의도에서 지정권 세일포인트 코리아 지사장을 만나 주요 전략을 들어봤다.

◆ 퇴사한 협력 직원이 도면 탈취? "동일 관리 필수"

지정권 지사장은 "현재 대부분 기업은 자사 핵심 사업에 집중하되, 나머지 업무를 아웃소싱(제3자 위탁처리) 혹은 협력 관계를 통해 진행하는 경우가 많다"며 "아이덴티티 보안 측면에서 이전에는 자사 임직원만 관리하면 됐다면, 이제는 비(非)직원까지 통합 관리할 필요가 커졌다"고 말했다.

계약 직원, 프리랜서까지 포함해 서드파티 아이덴티티를 체계적으로 관리해야 예측하지 못한 보안 문제를 예방할 수 있다는 취지였다. 실제 기업은 대형 프로젝트를 추진할 때 수백명, 많으면 수천명의 외주 개발자를 일시 채용한다. 특정 직원은 1년 넘게 활동할 수 있지만, 어떤 이는 3개월 만에 프로젝트에서 빠지기도 한다. 프로젝트 시작과 종료에 맞춰 권한 관리를 하지 않으면 보안 문제가 발생할 가능성이 커질 수 있다.

지 지사장은 "누구나 접근하는 시스템 하나하나가 모두 방화벽(파이어월)이 돼야 한다"며 "아이덴티티 보안은 시스템을 '방화벽화'할 수 있는 중요한 역할을 한다"고 설명했다.

서드파티를 대상으로 아이덴티티 보안을 강화하지 않을 경우 발생할 수 있는 위험 요인은 다양하다. 이미 퇴사한 직원이 아직 액세스 권한이 회수되지 않아 고객사 정보를 빼가는 식이다. 정형뿐만 아니라 비정형 데이터를 탈취하는 사례도 있다. 제조사의 경우 도면과 같은 이미지 자료가 유출될 수 있다. 내외부 권한을 점검하지 않을 경우 '눈 뜨고 코 베이는' 사태를 겪을 수 있다는 의미다.

지 지사장은 "보안 침해가 발생한 사례 중 84%는 아이덴티티와 관련이 있다"며 "경로는 각각 다를 수 있지만, 대부분 아이덴티티나 계정을 탈취하는 것이 궁극적 목표"라고 말했다. 권한을 가진 계정을 알아내는 것만으로 탈취할 수 있는 정보가 무궁무진하기 때문이다.

특히 서드파티발 업무 형태가 다양해지고 있는 것도 위험 요소로 작용하고 있다. '제너럴 에이전시(General Agency·이하 GA)' 체계로 운영되는 보험이 대표적인 산업군이다. 이 체계에서 활동하는 보험 설계사는 어느 회사 상품이든 판매할 수 있는데, 이 과정에서 상품별 시스템 액세스 권한을 부여받게 된다. 설계사 근무 현황에 따라 아이덴티티 설정이 되지 않는다면, 가입자를 비롯해 중요 고객 정보가 유출될 위험이 있다.

지 지사장은 "사업 생태계(비즈니스 에코시스템)를 넓힐 때에는 결국 모든 서드파티가 동일한 체계로 관리될 필요가 있다"고 강조했다.

◆ "인적 관리, 한계 분명" 단일 플랫폼 전략 필요한 이유

그러나 기업 규모가 클수록 수많은 서드파티를 관리하기란 쉬운 일이 아니다. 세일포인트는 아이덴티티 관리를 한곳에서 할 수 있는 '단일 플랫폼' 전략을 꾀하고 있다. 가시성을 확보한 하나의 플랫폼에서 기업이 아이덴티티와 관련된 모든 것을 살펴볼 수 있도록 돕는다는 구상이다.

지난해 11월 간담회를 통해 소개된 '세일포인트 아틀라스(SailPoint Atlas)'가 대표주자다. 아틀라스 플랫폼은 아이덴티티 보안 클라우드(ISC)를 기반으로 기업 아이덴티티 보안 시스템 운영을 단순화할 수 있는 서비스를 제공한다. AI 기술로 주요 기능이 자동화된 점이 특징이다.

지 지사장은 "아틀라스는 AI를 기반으로 권한 및 역할 관리를 최적화한다"며 "권한을 부여할 때 적절성 여부를 AI가 조언할 수도 있다"고 설명했다. 이어 "직원이 특정 작업을 수행할 기간을 설정해두고 시간이 다 됐을 때 자동으로 권한을 바꾸는 것도 가능하다"며 "인적 관리 한계가 분명해진 만큼 AI는 빼놓을 수 없는 기반이 됐다"고 말했다.

지 지사장은 단일 플랫폼에 대한 시장 수요가 늘어날 것으로 내다봤다. 기업 환경이 복잡해지면서 단품 개념의 아이덴티티 솔루션 만으로 통합 관리를 실현하기 까다로워질 가능성이 커진 탓이다.

지 지사장은 "과거 디지털 제품은 휴대전화가 등장하면서 역사 속으로 사라졌다"며 "휴대전화가 사진 촬영은 물론, 음악을 듣고 영상까지 볼 수 있는 단일 플랫폼 역할을 하기 시작했기 때문"이라고 표현했다. 끝으로 "아이덴티티 보안에서도 단일 플랫폼의 역할이 중요해질 것"이라고 강조했다.