제로 트러스트發 인증 혁신과 다가오는 비밀번호 시대의 종말

B2B SaaS와 원격, 재택 근무 확산을 등에 업고 차세대 기업 보안 패러다임으로 존재감을 키워가는 제로 트러스트가 현장에서 뿌리를 내리려면 업무 효율성을 흔들지 않으면서도 보안성을 유지하는 것이 중요할 수 밖에 없다. 

보안을 명분으로 사용자들을 너무 불편하게 하면 제로 트러스트 보안 패러다임이 지속 가능하기는 어려울 수 있다. 사용자들은 어떻게 해서든 우회로를 찾아낼 것이다. 사용성과 보안성 두마리 토끼를 모두 잡지 않으면 제로 트러스트는 자리를 잡기 어렵다.

사용성을 해치지 않으면서 보안성을 유지하는데 중요한 요소 중 하나가 바로 인증이다. 제로 트러스트에서 사람과 기기들에 대한 신원(Identity) 인증과 접근 관리는 수시로 이뤄진다. 그런 만큼 인증과 접근 관리가 불편하거나 부실하면 제로 트러스트의 안전망도 약해지게 마련이다.

2021년 랜섬웨어 공격을 당해, 440만달러치 비트코인을 주고 분실한 시스템 통제 권한을 되찾은 미국 에너지 유통 회사인 콜로니얼 파이프라인은 신원 및 접근관리 (identity and access management, IAM)의 중요성을 보여주는 대표적인 사례 중 하나로 꼽힌다. 이 회사는  가상사설망(VPN) 계정에 대한 비밀번호를 분실하는 바람에 곤욕을 치렀다.

[사진: pixabay]


비밀번호 중심 보안 환경, 한계 임박

IAM은 여러 인증 수단들을 거치게 하는 멀티팩터 인증(multifactor authentication, MFA)과 하나의 아이디로 다양한 곳에 접근하는 싱글사인온(single sign-on, SSO)부터  네트워크를 안전하게 하는 인증 요청들을 작동시키는 맥락 및 리스크 기반 정책( context and risk based policies)까지 제로 트러스트에 필요한 다양한 요소들을 가능케 하는 인프라로 통한다. 네트워크를 취약하게 하지 않고 모든 계정에 대해 온보딩(Onboarding)과 오프보딩(Offboarding)을 적절하게 보장하는 것도 IAM을 통해 가능해지는 일이다.

최근 IAM은 특히 비밀번호 없는(passwordless authentication) 인증의 미래로 가는 첫 단계로도 주목받고 있어 눈길을 끈다.

콜로니얼 파이프라인에 대한 랜섬웨어 공격을 놓고 지난해 6월 미국 상원 위원회는 청문회를 열었다. 청문회에서 콜로니얼 파이프라인 CEO는 상원의원들에게 침해를 당한 계정 비밀번호는 복잡했지만 기존 VPN가 MFA를 지원하지 않았다고 전했다. 비빌번호 기반 보안 환경의 취약성을 보여주는 장면이다.

매우 복잡해도 잘못 사용되거나 접근을 모니터링하고 추가로 신원 확인을 요구하는 수단들을 갖추지 못하면 비밀번호는 신원을 확인하는 완벽한 증명 수단이 될 수 없다. 다양한 곳에서 다양한 기기로 접근이 이뤄지는 요즘 기업 환경을 고려하면 특히 그렇다.

 사이버 공격들도 계속해서 네트워크와 시스템에 들어올 수 있는 자격(credentials)을 활용하는 흐름이 두드러진다. 버라이즌 데이터 침해 조사 보고서에 따르면 2020년 침해 사고들 중 61%가 자격들과 관련됐다.

자격이 유출되는 경로는 여러가지일 수 있다. 조직내 악의적인 내부자들 때문일 수도 있고, 피싱 또는 데이터 침해로 도난 당한 비밀번호가 공격 거점으로 악용될 수도 있다. 동료들끼리 서로 회사 자원들에 들어갈 수 있는 비밀번호를 이메일로 보내거나 오래전에 나간 사람  계정이 제거되지 않아 공격으로 이어질 수도 있다.


제로 트러스트 기본 인프라로 위상 점점 확대

제로 트러스트에서 틈만 나면 신원의 중요성이 강조되는 이유가 바로 여기에 있다. 신원 관리에선 사용자는 누구인지, 사용자들은 무엇에 접근할 수 있는지, 그리고 접근해 무엇을 할 수 있는지 입체적으로 파악하는 것이 우선이다.

이같은 환경을 지원하려면 SSO와 MFA 기반으로 모든 애플리케이션들에 걸쳐 통합된 사용자 디렉토리를 갖출 필요가 있다. SSO는 공격 표면을 줄이고 애플리케이션 및 시스템 자원들, 그리고 데이터들에 접근하기 위한 여러 비밀번호들을 제거하는 것을 가능케 한다. MFA는 보안은 강화하면서 IT관리는 간소화시킬 수 있다. 

맥락과 리스크 기반 정책들을 보다 원활하게 운영하는 것도 가능해진다.  과거 페리미터 기반(erimeter-based) 보호와 달리 제로 트러스트 보안은 사용자들이 일단 시스템에 들어와도 무조건 신뢰하지 않는다. 여러 차례 인증을 요구하고 권한도 최소로 부여한다.

누군가 인지 되지 않은 기기로 네트워크에 접근하면 기업 시스템은 문자 코드 형태로 MFA를 가동하는 것을 맥락 기반 정책의 예로 들을 수 있다. 맥락 기반 정책 환경에선 기업은 접근 여부를 승인하기 위해  알려진 사용자 신원 외에도 디바이스, 시간, 지리적인 위치 같은 추가 정보들을 결합해 사용할 수 있다. 비밀번호 대신 사용자 지문, 타이핑 같은 행동 특성, 인증 앱이나 하드웨어 토큰 같은 물리적인 특성들을 활용하는 것에 대한 관심도 커지고 있다.

리스크 기반 정책은 금융 정보나 HIPAA 같은 규제에 적용되는 데이터 등 조직에 특히 민감한 자원들에 대해 별도 보안 레이어를 추가할 수 있는 것으로 이해하면 된다.

제로 트러스트에도 관리 환경은 매우 입체적이고 복잡하다. 이에 따라 비즈니스 변화들에 관리 환경이 실시간으로 적응할 수 있는  자동화된 접근 관리를 지원하는 머신러닝 AI 기술에 대한 관심도 늘었다.

다시 한번 강조하지만 신원과 접근에 대한 체계적인 관리는 제로 트러스트를 현실화하는데 매우 중요한 전략적 요충지다. 관련 기업들 행보만 봐도 이를 확인할 수 있다. 클라우드 기반 신원 및 접근 관리는 이미 테크 생태계 격전지가 됐다. 보안 전문 업체들 외에 빅테크 기업들도 이 분야에 뛰어들고 있다. 비밀번호 없는 인증을 포함해 기존의 문제를 해결하는 것을 기치로 내건 유망 스타트업들도 속속 등장하면서 신원 및 접근 관리 시장에선 그 어느 때보다 역동적인 경쟁 환경이 펼쳐지고 있다. 

#제로트러스트 #IAM #인증 #패스워드프리보안 #SSO #MFA


3 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.