Offcanvas

CIO / CSO / How To

칼럼 | 수명주기 관점의 인간·기계 인증이 필요하다

2022.08.22 릭 그리넬  |  CIO
지난 칼럼을 통해 사용자 인증과 관련된 사이버 보안 이슈 몇 가지를 제시한 바 있다. 그 중에서도 특히, 원격/하이브리드 작업 시대에 CISO는 해커들이 사용하는 새로운 도구와 전술을 이해하며, 사이버 보안 위험을 감소시킬 수 있는 새로운 AI 기반의 기술을 수용함으로써 회사의 데이터 접근을 보호해야 한다고 주장했다. 

그러나 필자가 좀더 근본적으로 강조한 것은 CISO들이 계속해 발전하고 있는 신원 확인 및 접근 관리 기술들을 도입할 필요가 있다는 것이었다.

업계의 CISO들은 일반적으로 다중 인증(MFA)를 포함하여 인증에 관한 문제가 있다는 데 동의하지만, 일부는 다음과 같은 질문을 하곤 한다. ‘FIDO가 이 모든 위험을 제거해야 하는 거 아닌가?’, ‘최근 FIDO얼라이언스에서 FIDO 보안 키를 사용해 MFA 적용을 가속화하기 위한 새로운 UX 가이드라인을 발표하지 않았는가?’ 등이다. 맞다, 사실이다. 하지만 기술 전문가가 해야 할 일이 아직 많이 남아있다. 이에 대해 아래에서 자세히 설명하려고 한다.

FIDO의 역할
산업 이니셔티브로서의 FIDO는 10년 전 강력한 인증/암호 기술 필요성을 표준화하기 위해 시작되었다. 이는 기본적으로 더 강력한 보안 인증 수단이다. 본질적으로 기기와 타사 서비스 간의 더 나은 보안 ‘핸드세이크’(handshake)를 제공한다. 

FIDO 얼라이언스에는 애플, 아마존, 메타, 마이크로소프트, 구글과 여러 기술 중심의 기업들이 이사회의 멤버로 포함된다. 이들은 대체적으로 수많은 사용자 이름과 비밀번호를 생성, 유지 및 기억해야하는 등 사용자들에 의해 발생하는 문제와 씨름하고 있다.

이러한 이니셔티브는 의미가 있지만, 기기와 최종 서비스 간의 인증 문제를 해결하는 데에 그친다. 브라우저, 스마트폰 또는 앱에서 원활하고 안전한 보안 인증 서비스를 제공하기는 하지만, 현실적으로 이는 인간 인증이 아니라 기기 인증이다. 프론트 엔드에는 여전히 사용자가 기기로 자신을 인증해야 하는 단계가 있는데, 이 단계에서 위험에 노출될 수 있다.

신원 확인과 접근 – 사용자 인증 문제
예를 들어, 내 스마트폰의 얼굴 인식을 사용하는 경우 아이들이 스마트폰을 내 얼굴에 가져다 대면 아이들은 바로 스마트폰에 접근할 수 있다. FIDO가 제공한 모든 추가 보호 장치들이 순식간에 무용지물이 되어버린다. 

게다가, 누군가가 그들의 기기에 나를 사칭한 가짜 신분증을 만들 수도 있다. 그 이후 사용자 서비스는 해커가 사용을 해도, 기기 또는 브라우저가 인증되었기 때문에 내가 그 사용자라고 생각할 것이다.

이러한 악용 시나리오에 대응하기 위해서는 지속적인 인증 및 사용자 신원 관리 레이어가 필요하다. 단순히 설정이나 로그인할 때만이 아니라 지속적으로 사용자와 기계를 식별하자는 것이다. 

어떻게 하면 실제 사용자를 특정하는 동시에 시스템에 가장 중요한 접근을 할 수 있는 사용자 등급에서 이전 사용자(직원 또는 계약업자)를 제외하는 일을 좀 더 잘 수행할 수 있을까?

바로 이 부분에서 스타트업 시장에서 나오는 새로운 제품들 중 일부가 우리 조직을 보호하는 데 큰 도움이 될 수 있다.

인간 vs. 기계
인간의 사용자 신원과 인증 문제를 해결하는 것은 문제의 일부분일 뿐이다. 시큐리티 어페어(Security Affairs)의 최근 기사는 다음과 같이 기술하고 있다.

“사용자는 자기 자신을 식별하기 위해 사용자 이름과 비밀번호가 필요로 한다. 기계 또한 서로에 대해 자신을 식별하고 있다. 하지만 기계는 기계의 신원 확인 역할을 하는 키와 인증서를 사용하여 접속하고 통신할 수 있다. 이 과정 또한 해커들에 의해 침해될 가능성이 있다."

클라우드 서비스, SaaS 애플리케이션이나 다른 시스템에서 사용되는 기기의 신원 관리는 아마도 훨씬 더 큰 문제가 될 것이다. 조직들은 대부분의 경우 새로운 웹 서비스를 구축하고, 이와 관련된 신분과 IT 자산을 만드는데, 일단 서비스를 시작하고 나면 IT 직원들은 이 시스템의 보안 설정을 변경하거나 업데이트를 서두르지 않을 가능성이 높다. 기기 간의 초기 의존 관계가 설정될 경우 이러한 복잡한 관계를 끊어내거나 업데이트하는 것이 훨씬 어려워지게 된다.

그러나, 보안을 중시한다면 관리상 큰 문제가 될 수도 있는 이러한 상황을 갱신해야 한다고 판단할 것이다. 결과적으로 오래되고 낡은 인증서들은 손쉬운 공격대상이 될 뿐이다.

해커들이 점점 기계용 인증서를 점점 더 악용하여 공격을 시도하고 있다. 다른 사람을 속이는 것처럼 해커들은 다른 기계를 속여서 민감한 데이터를 훔칠 수 있다. 시큐리티 어페어에 따르면 기계의 신원이 기업 네트워크 중 유독 이해하기 어렵고 보안이 미흡한 부분이다. 이를 감안할 때 사이버 범죄자들이 이 부분을 공격적으로 악용하고 있다는 점은 당연하다. 

스턱스넷에서 솔라윈즈에 이르기까지 공격자는 보호받지 않은 기계의 신원을 악용하여 다양한 공격을 감행하고 있다. 실제로 지난 4년간 취약한 기계의 신원을 노린 위협은 400% 증가했다. 이는 심각한 문제이다.

보다 넓은 시각으로
궁극적으로, 기업이 하이브리드 및 멀티 클라우드 디지털 서비스 사용을 계속 확대해 나감에 따라 기업이 관리해야 하는 사람과 기계의 목록이 더 늘어날 것이다.

CIO는인간과 기계 모두를 아울러 신원과 접근 생명주기를 관리해야 한다. 여기에는 통합, 탐지 및 자동화를 원활하게 처리하는 새로운 AI 연결 도구가 포함될 수 있다. 이러한 도구는 사람인 직원들과 자동화된 작업 모두에서 특정 기능에 대한 접근을 동등하게 제한하거나 확장할 수 있어 불필요한 계정 라이선스를 삭제함으로써 비용을 절감하는 동시에 보안을 향상시킬 수 있다.

게다가, 이러한 솔루션은 컴플라이언스 및 정보 보고에 관한 과제에 대해서도 답을 줄 수 있다. 기존 시스템에 전체적인 감사추적을 구축하는 것이 그 시작이다. 이미 자동화가 도입되어 있기 때문에, IT 직원은 관리 방식을 보다 효율적으로 다룰 수 있다.

준비가 되어 있건 아니건, CIO와 CISO는 점차 발전하는 신원 및 접근 관리 환경에 적응함으로써 종합적인 전략을 채택해야 한다. 부적응의 대가는 보안 위반, 규정 준수 실패 및 상당한 비용의 벌금 위험일 것이다. 

* 릭 그리넬은 CIO닷컴에 기고하는 기술 전문가다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.