OTAC IAM

'제로 트로스트' 개념 적용한 ICAM

데이터넷 김선애 기자
데이터넷 김선애 기자

‘제로 트러스트’라는 용어가 유행하고 있다. 모든 접근을 의심하고, 검증·모니터링해 정확하게 정상적인 행위만을 허용한다는 철학을 담고 있다. 클라우드와 원격근무 및 재택근무가 확산되면서 제로 트러스트에 관심이 더 집중되고 있다. 임직원이나 기기들이 회사 네트워크 밖에서 접속하면서 기존의 보안 시스템으로는 다양한 기기와 네트워크를 사용하는 다양한 환경을 지원하지 못하게 됐기 때문이다.

재택·원격근무, 멀티·하이브리드 클라우드 등 사용자 및 중요한 서비스·애플리케이션이 분산돼 있는 환경에서 적법한 사용자가 허가된 서비스에 접속하는지 확인하기 위해 제로 트러스트를 적용한 접근통제 정책이 반드시 필요하다. IAM(Identity and Access Management)이 이 같은 추세를 따라 발전하고 있으며, 최근에는 크리덴셜 관리까지 통합한 ICAM(Identity, Credential, and Access Management)으로 발전하고 있다.

 

“적임자가, 적시에, 적절한 리소스에 액세스”

가트너는 IAM을 “적임자가, 적시에, 적절한 리소스에 액세스 할 수 있도록 지원하는 솔루션”이라고 소개했다. 이를 한 차원 발전시킨 것이 제로 트러스트 기반 IAM이다. 사용자 계정과 접근권한을 중앙에서 통제해 사용자가 직접 관리해야 하는 정보를 최소화한다. 사용자의 ‘선한의지’를 믿지 않으며, 권한있는 사용자의 자격증명을 정책에 따라 발급, 수정, 폐기해 사용자의 관리 범위를 최소화한다.

최소권한 정책을 적용해 사용자 권한으로 접속할 수 있는 서비스를 제한하고 계정권한을 탈취한 공격자가 이 권한으로 다른 서비스로 접속하는 것을 차단하다. 클라우드 및 원격·재택근무와 같이 분산된 환경에서도 중앙에서 체계적으로 모든 사용자 계정과 접근을 통제할 수 있으며, 개인정보보호법, EU GDPR, HIPAA 등 복잡한 컴플라이언스 요건도 만족시킬 수 있다.

IAM은 꾸준히 성장하고 있는 분야로, 시장조사기관 마켓앤마켓은 글로벌 IAM 시장이 2020년 123억달러에서 2025년 241억달러로 성장, 연평균 14.5% 성장률을 기록할 것으로 예측했다. 특히 코로나19로 인터넷 생태계가 급속도로 확장되고 클라우드 사용률이 폭증하면서 IAM 수요도 크게 증가했다고 설명했다.

 

편의성·보안성 보장돼야 IAM 성공

네트워크에 연결되는 사람·NPE가 많아질수록 계정·접근제어는 더욱 더 중용한 요소가 된다. 특히 사용자와 관리 편의성을 높이면서 보안을 강화하고, 기기의 하드웨어 및 소프트웨어 상황에 관계없이 제어할 수 있는 방법이 필수로 요구된다.

이러한 요구를 만족하기 위한 IAM의 중요 기능은 다음과 같다.

  • 디지털 신원 및 크리덴셜 관리: IAM은 서비스에 접속하려는 사용자NPE에 대한 ID를 생성·배포하며, 다양한 크리덴셜을 관리하고 실제 사용자·NPE가 맞는지 확인한다. 여러 애플리케이션에 대한 ID 연계(ID Federation)와 싱글사인온(SSO)으로 인증 과정을 단순화하면서 모든 서비스에 대한 중단없는 접근통제를 지원하며, 다중요소인증(MFA)을 통해 서비스 중요도에 따라 적절한 인증·접근 정책을 적용한다.
  • 역할기반 액세스 제어(RBAC): 각각의 디지털 ID마다 부여된 권한 내에서 서비스에 접속할 수 있도록 통제한다. 입사, 퇴사, 승진, 부서이동 등의 변경 시 자동으로 권한이 변경될 수 있도록 해야 하며, 최소권한 정책을 적용해 계정 탈취 공격자가 다른 서비스까지 무단으로 침투하지 않도록 해야 한다.

  • 생산성 향상: IAM은 보안을 강화하되, 사용 편의성은 한층 더 높일 수 있다. 정책에 따라 사용자의 계정과 크리덴셜, 접근통제가 체계적으로 이뤄지지만, 실제 업무에 접근하는 프로세스는 간단하게 한다. 예를 들어 임직원은 위치에 상관없이 자신의 스마트폰을 바라보는 것(얼굴인식) 만으로도 인증이 되고 자신에게 주어진 역할 내 업무에 접근할 수 있다. 사물의 경우 내장된 인증서와 크리덴셜을 이용해 사람의 개입없이 인가받고 서비스에 접근할 수 있도록 한다.

  • 보안과 감사보고: 계정정보가 탈취되지 않도록 암호화하고 키는 강력한 키관리 시스템을 이용해 보호한다. 사용자의 접근요청을 기록해 사후 감사에 활용할 수 있도록 하며, SIEM과 연동해 이상행위를 탐지한다.
  • 컴플라이언스: ICAM은 다양한 규정준수 요구에도 대응한다. 우리나라 개인정보보호법, EU GDPR, HIPAA, SOX 등 글로벌 규제를 파악해야 하며, 서비스를 제공하는 지역에서 필요한 규제준수 의무를 충족할 수 있게 해야 한다.

 

제로 트러스트 개념 계정보호 방안

IAM 성장률이 높아지는 가장 중요한 요인은 신원도용피해 때문이다. 공격자들은 정상사용자의 계정을 이용해 비정상 로그인 시도 탐지 시스템을 쉽게 무력화한다. 시만텍(현 브로드컴) 조사에 따르면 매년 10%의 사용자가 신원도용 피해를 입었으며, 이들 중 21%는 이전에도 여러번 동일한 피해를 입었다고 답했다. 신원정보가 한 번 유출되면 반복적으로 피해를 입힐 수 있다는 뜻이다.

신원정보를 크리덴셜(Credential)이라고 하는데, 패스워드, 인증서, 공개키·개인키 쌍, 생체정보 등이 많이 사용된다. 최근 크리덴셜은 IoT 기기, RPA, 애플리케이션 등 신원확인이 필요한 모든 요소(NPE: Non-Person Entity)까지 해당하는데, 이 같은 크리덴셜을 보호하는 솔루션이 IAM에 통합돼 ICAM으로 진화하고 있다.

크리덴셜 관리에도 제로 트러스트가 적용되는 추세다. 일반적으로 크리덴셜은 암호화 해 보호하지만 암호화 키로 사용되는 비밀번호는 쉽게 탈취되기 때문에 안전하지 못하다. 사용자가 직접 기억하고 입력하는 패스워드를 없애고 중앙에서 관리하는 패스워드리스(Passwordless)가 계정 보안을 강화하는 방법으로 제안되다.

센스톤의 일회용 인증코드(OTAC)는 기기에서 자체 생성되는 임의의 인증코드를 통해 계정 보안을 한층 강화한다. 공격자가 크리덴셜을 탈취했다 OTAC가 없으면 인증을 불가능하도록 해 크리덴셜 탈취 공격으로 인한 피해를 막을 수 있다. OTAC는 기업의 ICAM, 스마트시티·스마트팩토리, 이커머스 및 신용카드, 드론·IoT 등 다양한 분야에 활용되고 있다.

Leave a Comment