최소권한 원칙 계정·접근관리로 제로 트러스트 이행
사용자·계정 관리 중점 둔 ID 중심 제로 트러스트 솔루션 등장
[데이터넷] ‘제로 트러스트의 시작’이라고 하는 아이덴티티는 권한을 부여받을 때 의미가 생긴다. 공격자들은 더 높은 권한을 가진 ID를 탈취해 원하는 공격을 한다.
맨디언트가 수행한 레드팀 서비스의 한 사례가 있다. 레드팀 일원이 콜센터에 전화를 해서 자신이 데이터센터 운영을 위한 외주직원이라고 소개한 후 ID를 발급받았다. 이 ID를 갖고 데이터센터에서 출입카드를 받아 들어가 데이터센터 중요 서버에 임의의 코드를 삽입하는데 성공했다. 레드팀은 실제 공격자처럼 행동해 기업·기관의 공격 대응 능력을 확인하는 훈련인데, 맨디언트의 이번 훈련은 외주직원에 대한 통제가 전혀 되지 않고 있다는 사실을 알려준다.
콜센터에 전화했을 때, 실제 데이터센터 운영업무를 맡고 있는 기업에서 정식 배정한 사람인지 반드시 확인해야 했으며, 데이터센터에서도 정상 신분으로 ID를 발급받았는지 담당부서와 외주업체에 다시 한 번 확인해야 했다. 데이터센터의 중요 시스템에 접근해 수행할 수 있는 업무 범위는 최소권한 원칙에 따라 정해야 하며, 중요한 시스템 변경은 여러 사람의 확인을 거쳐 수행되도록 해야 하고, 이전에 발생하지 않은 코드 입력은 관리자가 반드시 확인하도록 해야 한다.
데이터센터의 중요한 설정을 바꿀 수 있는 권한 사용자가 실수로, 혹은 나쁜 의도를 갖고 주어진 권한 내에서 심각한 리스크가 될 수 있는 변경을 수행했다면, 혹은 권한사용자 계정을 훔친 공격자가 접근했다면 데이터센터 전체가 마비되거나, 가장 중요한 기밀정보가 모두 빠져나가거나, 데이터센터 전체가 공격자의 기지로 사용될 수 있다.
모든 것을 할 수 있는 권한계정을 ‘왕국의 열쇠’라고 하는데, 비욘드트러스트의 조사에 따르면 취약점의 90%는 과도한 관리자 권한과 관련 있고, 6%의 기업이 권한있는 액세스를 적절하게 추적하지 못하는 것으로 나타났다.
정교하게 계산된 최소권한 원칙 이행
PAM은 권한있는 ‘사람’뿐만 아니라 웹 기반 콘솔, RPA에도 부여된다. 특히 클라우드 확산으로 비인간 권한계정이 급증하면서 더욱 중요해지고 있다. 가트너는 PAM 시장이 2025년 27억달러 규모로 성장할 것으로 예상했다.
제로 트러스트의 핵심 원칙 중 하나가 ‘최소권한 부여’이며, PAM에서는 특히 더 정교하게 계산된 최소권한 원칙이 지켜져야 한다. 이 때 적시성(JIT)이 매우 중요하며, 기본 차단 상태에서 필요한 때, 필요한 만큼 권한을 부여받아 필요한 시간만큼 접근할 수 있어야 하며, 권한 검증과 허가, 허가되는 권한 범위와 시간은 상황에 따라 자동으로 조절될 수 있어야 한다.
퀘스트소프트웨어 원아이덴티티의 PAM 솔루션 ‘세이프가드(Safeguard)’는 안전하고 견고한 패스워드 저장소와 위협 탐지 및 분석기능을 제공하는 세션 관리 및 모니터링 솔루션이 결합된 통합 솔루션으로, 특권 계정 접근을 안전하게 보관, 관리, 기록, 분석한다.
이 제품은 정책 기반 배포 제어와 전체 세션 감사와 기록, 재생, 변경관리, 사용자 행위기반 생체인식, VPN 없이도 어디서나 접속할 수 있는 원격접속이 가능하다. 광범위한 프로토콜 지원과 전체 텍스트 검색이 가능하다. 또한 유닉스 루트계정, AD 관리자 계정의 세분화된 위임, SUDO 기업용 전환하는 애드온 등의 기능도 포함된다.
▲퀘스트소프트웨어 PAM 솔루션 ‘세이프가드’
원아이덴티티는 PAM과 IGA에 탁월한 리더십을 보유하고 있으며, 2021년 IdM 솔루션 원로그인(OneLogin)을 인수해 IAM 기능까지 완성했다. 원로그인은 높은 고객경험을 제공하며, CIAM 역량도 지원할 수 있다. 오픈커넥트, MFA 확장성, ID 주명주기 관리 등이 탁월하다. 가트너의 ‘2022년 PAM 분야 매직쿼드런트’에 원아이덴티티가 리더로, 원로그인이 도전자로 이름을 올리면서 양사 통합 시너지를 낼 수 있을 것으로 기대를 모으고 있다.
원아이덴티티 IGA 분야 리더십을 갖고 있으며, 아이덴티티에 대한 거버넌스를 체계적으로 관리한다. IGA는 IT 리소스 전반에서 자동화와 가시성을 개선해 거번너스와 규정 준수 요구사항을 관리하는 솔루션으로, IAM, PAM을 보완하는 개념으로 사용되다가 최근에는 IAM의 전략을 위한 패브릭으로 확장되고 있다. 가트너는 2025년까지 40% 이상 조직이 IGA 분석과 IGA 툴을 ID 패브릭에 통합시킬 것이라고 예측하면서 시장의 주목을 받고 있다.
IGA는 클라우드로 성장 기회를 갖게 됐다. 데브옵스 환경에서 개발자와 워크로드 그리고 로봇 등 기계 ID가 늘어나면서 비즈니스 전반의 ID 거버넌스를 관리하는 솔루션의 필요성이 점점 높아지고 있다.
포레스터는 고도로 분산된 하이브리드 환경에서 수많은 인간/비인간 계정이 작업을 위해 접근할 때, IT 관리자, 애플리케이션 소유자, 승인자, 요청자, 감사자 등이 이를 확인해야 하는데, 인증과 재인증이 반복돼 복잡성이 훨씬 가중된다고 설명했다. 이와함께 세계 각국의 데이터 주권 강화와 규제준수 요건, 클라우드 ID 거버넌스를 충족시킬 수 있어야 하며, 기업 개별상황과 내부 통제를반영할 수 있는 IGA 솔루션이 필요하다고 설명했다.
사용자·기기 관리 통합한 제로 트러스트 솔루션
국내 기업이 ID 기반 제로 트러스트 솔루션을 공개해 주목된다. SGA솔루션즈가 지난해 인수한 에스지엔의 계정관리 솔루션을 중심으로 한 ‘SGA ZTA’를 발표했다. SGA ZTA는 미국 NIST SP 800-207을 만족하도록 설계됐으며, 사용자와 기기의 계정을 관리하는 ‘ICAM’을 핵심 엔진으로 한다. 서버보안 기술을 기반으로 한 PAM 게이트웨이 ‘PEP’, 엔터프라이즈 리소스 보호 시스템 ‘ERS’, 정책 지원 포인트 ‘PDP’, SIEM과 보안 시각화, 위협 인텔리전스를 지원하는 PIP 등을 연동한다.
ICAM은 에스지엔 계정관리 기술과 SGA솔루션즈의 통합 엔드포인트 관리(UEM)를 결합해 사용자와 기기에 대한 지속적인 검증이 가능하도록 했다. 인사시스템과 연동되는 ICAM은 사용자와 디바이스의 정보를 수집, 업무 리소스에 접근하려는 사용자와 기기의 계정 상태와 권한, 무결성과 보안 정책 지원 여부를 확인하고, 신뢰가 검증된 사용자와 기기만 접근할 수 있게 한다.
SGA솔루션즈에서 R&D를 총괄하는 이기욱 상무는 “제로 트러스트 아키텍처를 설계할 때 반드시 고려해야 하는 것이 사용자와 기기를 인사 시스템과 연동해 리스크 기반 관리와 통제가 가능해야 한다는 것”이라며 “신뢰된 내부 네트워크에서만 일하던 기존 접근 방식에서 벗어나 언제, 어디서나 업무할 수 있으며, 다양한 클라우드 활용으로 비즈니스를 유연하게 하기 위해서는 비즈니스 리스크를 기반으로 한 ID 통제가 반드시 이뤄져야 한다”고 말했다.