Offcanvas

CIO / CSO / How To / 개발자 / 보안 / 애플리케이션 / 클라우드

보안과 접근성 모두 잡는 해법?!··· 기업 내 ‘비밀 관리’ 안내서

2022.08.24 딥티 파마르  |  CIO
오늘날의 엔터프라이즈 IT 환경은 지속적인 디지털 전환과 방대한 데이터 생성을 특징으로 한다. 한편 원격 및 모바일 작업이 팬데믹 이후의 세계에서 새로운 표준이 되면서 이동성과 민첩성은 비즈니스 연속성 측면에서 필수적인 과제로 부상했다.

각종 비즈니스 기능을 자동화 및 통합하고, 데이터 및 정보의 흐름을 중앙 집중화 및 가속화하며, 생산성을 향상하고, 더 나은 고객 환경을 제공하기 위해 조직은 복잡한 하이브리드 멀티 클라우드 운영 모델을 통해 애자일 데브옵스 환경을 구축하고 있다.

그러나 뛰어난 이동성과 데이터 접근성에는 대가가 따른다. 기업은 데이터, 서비스 및 PII의 보안을 유지하는 데 있어 점점 더 많은 과제에 직면하고 있다. 기술의 발전에도 불구하고, 매년 기록적인 수의 데이터 사고가 나타나는 이유이기도 하다.

전체 IT 인프라의 보안을 강화하는 동시에 직원이 디지털 리소스에 간단하게 액세스할 수 있도록 데이터 스토리지를 관리 및 보호 방법은 무엇일까? 그 해답 중 하나는 효과적인 비밀 관리다.
 
Image Credit : Getty Images Bank


비밀 관리란 무엇이며 왜 필요한가?
비밀 관리(secrets management)는 전체 수명 주기 동안 디지털 인증 자격 증명(또는 ‘비밀’)을 안전하게 저장하고 액세스하고 관리하는 데 사용되는 적절한 툴 및 모범 준칙의 집합이다. 비밀은 암호, 공공 및 개인 암호화 키, SSH 키, API, 토큰 및 인증서를 비롯하여 인증 및 승인에 사용되는 각종 데이터 항목이다. 기계와 인간 모두 비밀을 인증하고 소통하기 위해 사용한다.

이러한 비밀 관리가 중요해진 이유는 무엇일까? SaaS 기반 비밀 관리 툴인 에이키리스(Akeyless)의 CEO이자 공동 설립자인 오디드 헤어븐은 다음과 같이 설명했다.

“하이브리드 멀티 클라우드 인프라로의 보편적인 전환과 앱 컨테이너화에 대한 의존으로 인해 시스템과 데이터에 지속적으로 액세스해야 하는 기계와 인력 모두에 대한 필요성이 크게 증가했다. 예를 들어, 점점 더 많은 애플리케이션이 서로 다른 데이터 소스, 클라우드 서비스 및 서버에 지속적으로 액세스해야 하며, 종종 각 리소스에 필요한 서로 다른 종류의 자격 증명으로 액세스해야 한다. 이로 인해 데브옵스 프로세스 전반에 걸쳐 비밀이 기하급수적으로 필요하게 되었다.”

이를 까다롭게 만드는 것은 개발자들이 다양한 인프라에 존재하는 앱이나 마이크로 서비스 코드, 스크립트, 자동화 툴 및 코드 저장소 등 모두와 관련한 여러 비밀을 자주 인코딩한다는 점이다. 더 나쁜 것은, 이 코드들이 잘못 관리되고 보호되지 않을 위험이 각종 개발 단계에 있다는 것이다. 그 결과 전반적인 비밀에 대한 통제력 및 통합 부족 현상이 발생해 보안 업계에서 말하는 ‘비밀 스프롤’(ecret sprawl) 현상을 초래한다. 

문제는 거기서 끝나지 않는다. CI/CD를 수행하는 클라우드 플랫폼에 보관되는 비밀은 그 특성상 다른 기계와 소프트웨어에 대한 액세스를 허용한다. 이 과정에서 개발자의 노트북이나 빌드 서버와 같은 안전하지 않은 위치에 비밀과 서명 키(코드 봉인 및 소프트웨어 업데이트에 사용)를 저장되게 된다.

비밀 스프롤은 자격 증명을 추적하고 관리하는 것을 어렵게 할 뿐만 아니라 해킹에 취약하게 만든다. 사실, 버라이즌의 보고서에 따르면, 자격 증명 도난이 모든 데이터 침해의 거의 절반을 차지한다.

소프트웨어 공급망 해킹을 포함한 최근의 많은 공격 기법은 코드에 배치된 비밀을 이용한다. 실제로 깃허브는 최근 유출에 최적인 수천 개의 개인 저장소에서 70만 개 이상의 잠재적 자격 증명 유출을 감지했다.

사례가 계속 나오고 있다. 최근에 노출된 소프트웨어 공급망 공격은 인기 있는 PHP와 파이썬 라이브러리를 하이재킹 하여 AWS 키를 훔쳤다. 또 다른 예로, 오픈소스 개발자들이 소프트웨어를 작성하고 테스트하는 것을 돕는 일반 상용 서비스에서 비롯된 사건이 있었다. 이 서비스는 해커들이 도커, 깃허브, AWS 및 다른 코드 저장소에 있는 개발자들의 개인 계정에 접근할 수 있게 함으로써 수천 개의 인증 토큰과 다른 비밀들을 유출하고 있었다.

하지만 암호, 키 및 기타 자격 증명을 보호하는데 사용할 수 있는 수많은 방법이 이미 있지 않은가?

물론이다. 하지만, 여기에도 문제가 좀 있다.

비밀 관리의 문제점
오늘날의 보안 솔루션에는 기밀 관리 측면에서 상당한 비효율성과 중복성이 있다. 이러한 문제점 중 일부는 다음과 같다.

비밀 스프롤:
세계는 온프레미스(on-prem)에서 클라우드로 이동하고 있으며, 비밀도 마찬가지다. 빅 3 클라우드 서비스 제공업체(와 그 밖의 업체들)는 모두 자체적인 비밀 관리 솔루션을 제공하는데, 대부분의 기업은 기본적으로 더 나은 솔루션이 필요하기 때문에 이러한 솔루션을 수용한다. 공급업체의 자체 플랫폼이면 꽤 믿을 만한 것이 사실이기도 하다.

하지만 하이브리드 멀티클라우드 아키텍처가 중심이 되면서(채택이 증가하고 있는 유일한 IT 운영 모델임) 대부분의 데브옵스 팀은 서로 다른 워크로드에 대한 마이크로 서비스와 컨테이너로 가득 찬 여러 환경을 처리하고 있다. 이것들은 차례로 서로 통신하는 수천 개의 기계 대 기계 구성 요소를 가지고 있으며, 이는 상상도 할 수 없는 수의 키, 토큰 및 기타 비밀이 유통되도록 한다.

비밀의 폭발과 분산은 관리자와 데브옵스 실무자들에게 커다란 운영 부담이다. 오늘날 이용 가능한 수많은 클라우드 및 가상화 솔루션을 통해 사용자는 대규모로 VM 및 앱을 생성하고 폐기할 수 있다. 말할 것도 없이 이들 VM 인스턴스의 각각은 관리가 필요한 자체 비밀 집합이 함께 제공된다. 더욱이 SSH 키는 기업 조직에서 수백만 개에 달할 수 있다. 그 외에는 앤서블 작업, 쿠버네티스 컨테이너 및 일일 배치(batch) 루틴 모두 교대가 필요한 암호를 사용하는 경향이 있다. 

그리고 이러한 모든 시스템은 해당 환경의 외부에 해당하는 보안 리소스에 접근할 수 없다. 상이한 플랫폼에 걸쳐 저장된 여러 비밀 저장소를 관리하는 데 도움이 되는 통합 제어 차원이 없는 것이다.

불충분한 가시성:
(클라우드, 온프레미스, 엣지 혹은 하이브리드와 같은) 상이한 환경에 국한된 정적 비밀은 서로 다른 개인, 팀 및 관리자가 관리하면서 ‘비밀 섬’을 만든다. 이는 필연적으로 감사 문제와 보안 격차로 이어진다.

볼트(vault) 솔루션의 복잡성:
툴과 플랫폼(데브옵스와 비데브옵스 모두)의 수가 많고 각 툴에 대한 익스텐션도 다양하기 때문에 많은 경우 온프레미스 볼트 솔루션이 제대로 작동하지 않는다. 또한, 하이브리드 환경에서는 기본 컴퓨팅, 스토리지 및 네트워킹 인프라에 따라 볼트를 구성하는 것 자체가 어렵다. 빈번한 업데이트가 필요하기 때문에 온프레미스 볼트의 복잡성만 증가한다. 

클라우드 기반 볼트도 마찬가지다. 이러한 제품은 제공업체 소유이며 자체 환경과 생태계 내에서 실행되는 워크로드만 지원하곤 한다. 결과적으로 하이브리드 클라우드 아키텍처에는 적합하지 않다. 하나 이상의 주요 클라우드 공급업체, 즉 멀티 클라우드 환경을 사용하더라도 볼트 스프롤만 초래한다. 또 다른 우려 사항은 마스터 키가 클라우드 공급업체와 공유된다는 것이다. 이는 악성 관리자, 해커 또는 정부 기관이 액세스할 수 있고 기업이 무력화될 수 있다는 것을 의미한다.

비밀 관리 솔루션 체크포인트
완벽한 비밀관리 솔루션 같은 존재는 사실 없다. 그렇다고 해서 알려진 모든 위협과 알려진 모든 유형의 위협으로부터 기업을 안전하게 보호하는 풀 프루프 IAM 정책을 만들 수 없다는 뜻은 아니다.

일단 IAM이 새로운 경계선이다. 이는 현대 보안 전략의 근본이다. 인간과 기계 사용자의 ID(인증)를 검증하고 리소스(승인)에 액세스해야 하는 필요성을 정당화하는 작업은 자동화의 증가와 수요에 따라 변동하는 동적 워크로드의 수에 따라 나날이 복잡해지고 있다.

또한 인증의 특성은 지속적으로 변화하고 있다. 애플리케이션 및 데이터베이스 모듈은 더 이상 예전처럼 큰 코드 블록에 국한되지 않는다. 오히려 마이크로서비스와 하위 구성요소의 복잡하고 역동적인 통합이며, 각 구성요소는 고유한 인증 프로세스를 갖추고 있다.

다음은 멀티 클라우드 환경에서 운영하거나 온프레미스, 프라이빗 및 퍼블릭 클라우드 시스템을 혼재시킨 기업이 비밀 관리 플랫폼 또는 솔루션 검토 시 확인해야 할 사항이다.

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.