제로 트러스트 보안은 사용자와 기기가 어디에 있는지가 아니라 누구인지 확인하는 것에 초점이 맞춰져 있다.
집에서 개인 PC로 회사 네트워크에 접근하는 직원 A와 사무실에서 회사가 사전에 설정해 둔 기기를 통해 네트워크에 들어오는 직원 B는 제로 트러스트 환경에선 똑같이 다뤄진다. 제로 트러스트에서 사용자와 기기들 신원(identity)과 접근을 제어하는 IAM(identity and access management)의 중요성이 커지는 것도 이 때문이다.
IAM은 예전부터 있어왔다. 하지만 현재 IAM 환경, 특히 클라우드 도입이 확산되고 있는 상황에서 IAM은 제로 트러스트 기준에 한참 못미친다는 지적도 적지 않다.
[사진: Pixabay]
IAM은 지금 너무 많은 것을 허락하고 있다
보안 업체 팔로알토 네트웍스가 운영하는 위협 인텔리전스 연구소 유닉42가 내놓은 보고서에서도 기업내 거의 모든 클라우드 사용자들(Users), 역할들(roles), 서비스들(services), 자원들(resources)에 대한 접근이 지나치게 관대한(permissive) 것으로 나타났다. 시스템에 접근하는 내부 사용자가 할 수 있는 것들이 과도하게 많다는 것이었다.
이런 상황에선 사용자 계정을 훔쳐 시스템에 들어온 침입자가 공격 범위를 크게 확장할 리스크가 커질 수 밖에 없다.
유닛42에 따르면 대부분의 기업들이 운영하는 IAM은 잘못 설정된 환경 구성(Misconfigurations) 때문에 클라우드 인프라와 접근 자격(credentials)들을 겨냥한 악의적인 행위자들 공격에 노출될 수 있다. 클라우드 환경에 대한 IAM과 관련해 조직들은 좋 거버넌스를 갖추지 못했다는 얘기다.
유닛42 연구원들은 이번 조사를 위해 200개 이상 조직들에 걸쳐 1만8000개 클라우드 계정들에서 68만개 이상 ID들을 분석해 환경 구성 설정과 사용 패턴들을 분석했다.
그 결과 클라우드 사용자들, 역할들, 서비스들, 자원들 99%가 60일 간 사용하지 않은 상태로 있는 과도한 허가(excessive permissions)를 인정하고 있는 것으로 나타났다. 이런 환경에서 ID를 확보한 칩입자들은 공격 반경을 수평적으로, 수직적으로 확장할 수 있다는 설명이다.
유닛42 데이터에 따르면 고객들이 생성한 정책들과 비교해 빌트인 콘텐츠 보안 정책들(Content Security Policies (CSPs)에서 사용되지 않거나 과도한 허가가 두배 이상 많은 것으로 조사됐다.
그런 만큼 과도한 허가들을 제거하는 것은 각 클라우드 자원들이 노출되는 리스크를 줄이고, 전체 클라우드 환경에 걸쳐 공격 표면을 최소화할 수 있지만 서툴게 수행된 IAM과 권한 관리에 의해 위협에 노출돼 있는 상황이다.
미스커피규레이션을 둘러씬 리스크는 매우 크다. 유닛42에 따르면 미스컨피규레이션은 탐지된 클라우드 보안 사고들 65%에 영향을 미쳤다.
분석된 클라우드 계정들 중 53%는 취약한 비밀번호 사용을 허락했고, 44%는 비밀번호 재사용도 가능한 것으로 조사됐다. 클라우드에서 ID 사용자들, 역할 또는 그룹 정책들에 대한 미스컨피규레이션은 클라우드 아키텍처에서 위협의 판을 크게 확장할 수 있다고 유닛42는 거듭 지적했다.
제로 트러스트 IAM 구현, 말처럼 쉽지는 않다
IAM은 제로 트러스트 때문에 나온 솔루션이 아니다. 예전에도 계속 있었던 개념이고, 여러 업체들이 이미 IAM 솔루션을 제공해왔다.
하지만 제로 트러스트 잣대에 맞도록 IAM 정책을 수행하는 것은 쉽지 않다. 미국 국립표준기술연구소(National Institute of Standards and Technology: NIST)가 2020년 내놓은 제로 트러스트 아키텍처 백서를 보면 네트워크 관리자들은 먼저 네트워크에 접근할 필요가 있는 사람과 기기들에 대한 모든 신원들을 확인해야 한다.
컴퓨팅 측면에서 모든 단일 사용자는 사람, 프로그램 또는 기기일 수 있는데, 새로 들어온 인턴부터 CEO까지 모두에 대해 이름을 지정하고 접근할 수 있는 권한을 분류할 필요가 있다.
NIST 백서는 접근 수준은 일을 하는데 꼭 필요한 최소 권한만 부여하는 선에서 축소되어야 한다고 강조하고 있다.
결국은 제로 트러스트에 맞게 조직들이 IAM 환경을 운영하는 것은 기술은 넘어 프로세스 차원의 변화가 필요하다는 것을 의미한다.
IAM과 관련한 결정들이 그때 그때 바로 내려지려면 IT담당자들에게 이와 관련한 권한들이 위임되어야 있어야 한다. 경영진(C-레벨) 차원에서 제로 트러스트를 중요하게 인식하고 밀어주는 것이 중요한 이유가 바로 여기에 있다. 실제로 사이버 리스크 얼라이언스(CyberRisk Alliance: CRA) 제로 트러스트 조사 보고서를 보면 경영진 지원과 예산 한계가 단기적으로 제로 트러스트 도입을 방해하는 주요한 요인들로 꼽혔다고 한다.
#제로트러스트 #IAM #보안프로세스 #기업보안전략
제로 트러스트 보안은 사용자와 기기가 어디에 있는지가 아니라 누구인지 확인하는 것에 초점이 맞춰져 있다.
집에서 개인 PC로 회사 네트워크에 접근하는 직원 A와 사무실에서 회사가 사전에 설정해 둔 기기를 통해 네트워크에 들어오는 직원 B는 제로 트러스트 환경에선 똑같이 다뤄진다. 제로 트러스트에서 사용자와 기기들 신원(identity)과 접근을 제어하는 IAM(identity and access management)의 중요성이 커지는 것도 이 때문이다.
IAM은 예전부터 있어왔다. 하지만 현재 IAM 환경, 특히 클라우드 도입이 확산되고 있는 상황에서 IAM은 제로 트러스트 기준에 한참 못미친다는 지적도 적지 않다.
[사진: Pixabay]
IAM은 지금 너무 많은 것을 허락하고 있다
보안 업체 팔로알토 네트웍스가 운영하는 위협 인텔리전스 연구소 유닉42가 내놓은 보고서에서도 기업내 거의 모든 클라우드 사용자들(Users), 역할들(roles), 서비스들(services), 자원들(resources)에 대한 접근이 지나치게 관대한(permissive) 것으로 나타났다. 시스템에 접근하는 내부 사용자가 할 수 있는 것들이 과도하게 많다는 것이었다.
이런 상황에선 사용자 계정을 훔쳐 시스템에 들어온 침입자가 공격 범위를 크게 확장할 리스크가 커질 수 밖에 없다.
유닛42에 따르면 대부분의 기업들이 운영하는 IAM은 잘못 설정된 환경 구성(Misconfigurations) 때문에 클라우드 인프라와 접근 자격(credentials)들을 겨냥한 악의적인 행위자들 공격에 노출될 수 있다. 클라우드 환경에 대한 IAM과 관련해 조직들은 좋 거버넌스를 갖추지 못했다는 얘기다.
유닛42 연구원들은 이번 조사를 위해 200개 이상 조직들에 걸쳐 1만8000개 클라우드 계정들에서 68만개 이상 ID들을 분석해 환경 구성 설정과 사용 패턴들을 분석했다.
그 결과 클라우드 사용자들, 역할들, 서비스들, 자원들 99%가 60일 간 사용하지 않은 상태로 있는 과도한 허가(excessive permissions)를 인정하고 있는 것으로 나타났다. 이런 환경에서 ID를 확보한 칩입자들은 공격 반경을 수평적으로, 수직적으로 확장할 수 있다는 설명이다.
유닛42 데이터에 따르면 고객들이 생성한 정책들과 비교해 빌트인 콘텐츠 보안 정책들(Content Security Policies (CSPs)에서 사용되지 않거나 과도한 허가가 두배 이상 많은 것으로 조사됐다.
그런 만큼 과도한 허가들을 제거하는 것은 각 클라우드 자원들이 노출되는 리스크를 줄이고, 전체 클라우드 환경에 걸쳐 공격 표면을 최소화할 수 있지만 서툴게 수행된 IAM과 권한 관리에 의해 위협에 노출돼 있는 상황이다.
미스커피규레이션을 둘러씬 리스크는 매우 크다. 유닛42에 따르면 미스컨피규레이션은 탐지된 클라우드 보안 사고들 65%에 영향을 미쳤다.
분석된 클라우드 계정들 중 53%는 취약한 비밀번호 사용을 허락했고, 44%는 비밀번호 재사용도 가능한 것으로 조사됐다. 클라우드에서 ID 사용자들, 역할 또는 그룹 정책들에 대한 미스컨피규레이션은 클라우드 아키텍처에서 위협의 판을 크게 확장할 수 있다고 유닛42는 거듭 지적했다.
제로 트러스트 IAM 구현, 말처럼 쉽지는 않다
IAM은 제로 트러스트 때문에 나온 솔루션이 아니다. 예전에도 계속 있었던 개념이고, 여러 업체들이 이미 IAM 솔루션을 제공해왔다.
하지만 제로 트러스트 잣대에 맞도록 IAM 정책을 수행하는 것은 쉽지 않다. 미국 국립표준기술연구소(National Institute of Standards and Technology: NIST)가 2020년 내놓은 제로 트러스트 아키텍처 백서를 보면 네트워크 관리자들은 먼저 네트워크에 접근할 필요가 있는 사람과 기기들에 대한 모든 신원들을 확인해야 한다.
컴퓨팅 측면에서 모든 단일 사용자는 사람, 프로그램 또는 기기일 수 있는데, 새로 들어온 인턴부터 CEO까지 모두에 대해 이름을 지정하고 접근할 수 있는 권한을 분류할 필요가 있다.
NIST 백서는 접근 수준은 일을 하는데 꼭 필요한 최소 권한만 부여하는 선에서 축소되어야 한다고 강조하고 있다.
결국은 제로 트러스트에 맞게 조직들이 IAM 환경을 운영하는 것은 기술은 넘어 프로세스 차원의 변화가 필요하다는 것을 의미한다.
IAM과 관련한 결정들이 그때 그때 바로 내려지려면 IT담당자들에게 이와 관련한 권한들이 위임되어야 있어야 한다. 경영진(C-레벨) 차원에서 제로 트러스트를 중요하게 인식하고 밀어주는 것이 중요한 이유가 바로 여기에 있다. 실제로 사이버 리스크 얼라이언스(CyberRisk Alliance: CRA) 제로 트러스트 조사 보고서를 보면 경영진 지원과 예산 한계가 단기적으로 제로 트러스트 도입을 방해하는 주요한 요인들로 꼽혔다고 한다.
#제로트러스트 #IAM #보안프로세스 #기업보안전략