2017.07.12

신원 인터넷의 시대와 보안의 미래

Jon Oltsik | CSO
바야흐로 사물인터넷(IoT)의 시대다. 글로벌 인터넷 망에 연결된 기기의 수는 이미 수십억 대에 이르고 있으며, 일부 연구원들은 2020년까지 그 규모가 500억 대 수준으로 성장할 것이라 전망하고 있다.

이러한 연결형 기기들은 단순히 그 규모만이 아닌 다양한 측면에서 CISO들에게 고민거리를 안겨주고 있다. IoT가 야기하는 주요 과제는 다음과 같다.

1. 직원들의 모바일 기기 활용이 확산되며, 좀더 다양한 기기 유형을 통한 기업 애플리케이션 접근이 이뤄지게 된다.
2. 애플리케이션과 워크로드, 컨테이너의 프라이빗/퍼블릭 클라우드에 대한 의존도가 확대되며 이 두 환경 사이의 이동 또한 증가하게 된다.
3. 연결형 기기 수의 증가와 함께 클라우드 애플리케이션과 모바일 사용자 규모의 증가 역시 공격 지점의 확대로 이어진다. CISO에겐 부족한 사이버 보안 인력으로 이처럼 증가하는 IT 자산들을 보호할 책임이 주어지는 셈이다.

이는 말 그대로 '말도 안 되는' 상황이다. 다시 말해, 전통적 보안 프로세스와 통제 전략, 기술만으로는 IoT 모바일 시대가 안겨주는 보안 문제들을 완벽하게 대응하는 것이 불가능하다.

이런 고민 속에서 새롭게 등장하는 개념이 바로 "신원(Identity)'이다(기기 신원, 사용자 신원, 자산 신원 등). 어떤 대상의 출처와 목적지를 연결하는 작업은 2, 3계층 프로토콜들과 사용자 이름, 비밀번호 너머를 다뤄야 하는 과정이다. 나아가, 인터넷 상의 모든 대상은 신뢰할 수 있는 신원을 지녀야 한다. 그리고 관리자는 바로 이 신뢰할 수 있는 신원을 이용해 연결의 안전성을 지시, 관리하게 된다.

필자의 동료인 마크 보우커는 이 경향을 '신원 인터넷(IoI, Internet of Identities)'이라는 이름으로 정의한다. 이 개념은 많은 보안 트렌드를 해석하는데 유용한 도구로 기능했다. 예를 들어, 앞서 언급한 '신뢰할 수 있는 신원'이라는 개념은 마이크로-세그먼테이션(micro-segmentation)이나 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)와 같은 네트워킹 트렌드의 핵심을 구성한다.

기기 혹은 사용자의 신원, 그리고 해당 기기 혹은 사용자가 연결을 원하는 애플리케이션 혹은 서비스 정보를 파악함으로써 관리자는 각 대상을 확인하고 정책 엔진을 검토해 연결 및 연결 지점 승인, 출처-목적지 간 트래픽 암호화, 연결 검토 로그 관리, 나아가 양 노드 간 교환된 모든 패킷에 대한 검토 등의 작업까지 진행할 수 있게 된다.

글로벌 인터넷은 수십 억의 고정-기능(fixed-function), 개인화 가상 망분리로 분할되고 있으며, 이 모두는 파이프 양 종단의 신원을 기반으로 운영되고 있다.
개인적인 의견을 덧붙이자면, 마크의 이론은 수십 억 개의 노드 안에서 발생하는 활동들에 대한 모니터링 기능 확보와 네트워크 공격 표면 축소를 위한 신원 및 소프트웨어-정의 네트워킹 기술, 빅데이터 분석 활용의 필요성을 강조했다는 점에서 중요한 의미를 지니고 있다.

비즈니스의 측면에서 IoI는 기업들이 핵심 네트워크 트래픽 및 중요 소비자들에게 보다 상급의 서비스를 집중할 수 있도록 하는데 도움을 줄 것이다. 개념적으로 IoI는 이미 충분한 논리성을 확보한 듯 보이지만, 현실 세계에서 이것의 성패는 향후 수년 간 다음과 같은 여러 요인들에 의해 좌우될 것이다.

1. IoT 기기들에 대한 강력한 신원 관리
모든 IoT 기기는 생체측정 기술, 지문 인식 기법, 또는 검증된 X.509 디지털 인증서 등에 기초한 강력하고 고유한 신원을 갖춰야 한다.

2. 표준 및 임베디드 기술의 폭넓은 활용
FIDO나 오쓰(OAuth), 오픈ID(OpenID), SAML 등 다양한 표준들과 이로써 탄생한 스마트폰 지문 인식 기능을 예로 생각해볼 수 있을 것이다.

3. 클라우드를 통한 신원 관리
클라우드를 통한 신원 관리 및 신원 통제 노력은 이미 페이스북과 구글, 마이크로소프트 등 주요 기업들에서 시행되고 있는 내용이지만, IoI는 여기에서 나아가 보다 통합적인 생태계의 역할을 필요로 한다. 시장의 주요 기업들은 협력과 협의를 통해 국립표준기술위원회의 신용 신원 그룹(Trusted Identity Group)이나 NSTIC 등의 모델과 유사한 형태의 신원 생태계를 구축해나가야 할 것이다.

4. 소프트웨어-정의 네트워킹 기술의 활용 확대
앞서 언급한 내용이지만, VPN 기술에서 소프트웨어-정의 경계에 이르는 마이크로-세그먼테이션과 마이그레이션의 활용 확대가 필요하다. 이를 통해 사용자, 신원, 위치, 리스크, 그리고 엄격한 비즈니스 주도적 정책에 기반한, 엔드투엔드(end-to-end)의 관점을 넘어선 보다 탄력적인 네트워크 접근을 보장해야 할 것이다.

5. 보다 성숙한 사용자 및 조직 행동양식 분석(User and Entity Behavior Analysis, UEBA) 도구 개발 
새로운 양상의 네트워크 접근들을 추적하고 이상 행동을 포착하기 위해서는 보안 분석에 역시 새로운 관점이 요구될 것이다. 머신러닝과 인공지능(AI)을 활용한 선진 행동양식 기반 보안 분석 툴은 이 과정에 새로운 해답을 제안해줄 것이다.

대기업들은 다음과 같은 방식으로 IoI 관련 계획을 수립해야 한다.
- 전략적 신원 관리에서 나아간, 보다 포괄적 신원 및 접근 관리(Identity and Access Management, IAM) 전략 수립
- IAM에 대한 CISO의 총괄 관한 보장 및 정책 정의 및 리스크 관리 과정에 대한 비즈니스 관리진의 참여 확대
- 보안, IT, 운영 기술 그룹 간 협업 확대 editor@itworld.co.kr  


2017.07.12

신원 인터넷의 시대와 보안의 미래

Jon Oltsik | CSO
바야흐로 사물인터넷(IoT)의 시대다. 글로벌 인터넷 망에 연결된 기기의 수는 이미 수십억 대에 이르고 있으며, 일부 연구원들은 2020년까지 그 규모가 500억 대 수준으로 성장할 것이라 전망하고 있다.

이러한 연결형 기기들은 단순히 그 규모만이 아닌 다양한 측면에서 CISO들에게 고민거리를 안겨주고 있다. IoT가 야기하는 주요 과제는 다음과 같다.

1. 직원들의 모바일 기기 활용이 확산되며, 좀더 다양한 기기 유형을 통한 기업 애플리케이션 접근이 이뤄지게 된다.
2. 애플리케이션과 워크로드, 컨테이너의 프라이빗/퍼블릭 클라우드에 대한 의존도가 확대되며 이 두 환경 사이의 이동 또한 증가하게 된다.
3. 연결형 기기 수의 증가와 함께 클라우드 애플리케이션과 모바일 사용자 규모의 증가 역시 공격 지점의 확대로 이어진다. CISO에겐 부족한 사이버 보안 인력으로 이처럼 증가하는 IT 자산들을 보호할 책임이 주어지는 셈이다.

이는 말 그대로 '말도 안 되는' 상황이다. 다시 말해, 전통적 보안 프로세스와 통제 전략, 기술만으로는 IoT 모바일 시대가 안겨주는 보안 문제들을 완벽하게 대응하는 것이 불가능하다.

이런 고민 속에서 새롭게 등장하는 개념이 바로 "신원(Identity)'이다(기기 신원, 사용자 신원, 자산 신원 등). 어떤 대상의 출처와 목적지를 연결하는 작업은 2, 3계층 프로토콜들과 사용자 이름, 비밀번호 너머를 다뤄야 하는 과정이다. 나아가, 인터넷 상의 모든 대상은 신뢰할 수 있는 신원을 지녀야 한다. 그리고 관리자는 바로 이 신뢰할 수 있는 신원을 이용해 연결의 안전성을 지시, 관리하게 된다.

필자의 동료인 마크 보우커는 이 경향을 '신원 인터넷(IoI, Internet of Identities)'이라는 이름으로 정의한다. 이 개념은 많은 보안 트렌드를 해석하는데 유용한 도구로 기능했다. 예를 들어, 앞서 언급한 '신뢰할 수 있는 신원'이라는 개념은 마이크로-세그먼테이션(micro-segmentation)이나 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)와 같은 네트워킹 트렌드의 핵심을 구성한다.

기기 혹은 사용자의 신원, 그리고 해당 기기 혹은 사용자가 연결을 원하는 애플리케이션 혹은 서비스 정보를 파악함으로써 관리자는 각 대상을 확인하고 정책 엔진을 검토해 연결 및 연결 지점 승인, 출처-목적지 간 트래픽 암호화, 연결 검토 로그 관리, 나아가 양 노드 간 교환된 모든 패킷에 대한 검토 등의 작업까지 진행할 수 있게 된다.

글로벌 인터넷은 수십 억의 고정-기능(fixed-function), 개인화 가상 망분리로 분할되고 있으며, 이 모두는 파이프 양 종단의 신원을 기반으로 운영되고 있다.
개인적인 의견을 덧붙이자면, 마크의 이론은 수십 억 개의 노드 안에서 발생하는 활동들에 대한 모니터링 기능 확보와 네트워크 공격 표면 축소를 위한 신원 및 소프트웨어-정의 네트워킹 기술, 빅데이터 분석 활용의 필요성을 강조했다는 점에서 중요한 의미를 지니고 있다.

비즈니스의 측면에서 IoI는 기업들이 핵심 네트워크 트래픽 및 중요 소비자들에게 보다 상급의 서비스를 집중할 수 있도록 하는데 도움을 줄 것이다. 개념적으로 IoI는 이미 충분한 논리성을 확보한 듯 보이지만, 현실 세계에서 이것의 성패는 향후 수년 간 다음과 같은 여러 요인들에 의해 좌우될 것이다.

1. IoT 기기들에 대한 강력한 신원 관리
모든 IoT 기기는 생체측정 기술, 지문 인식 기법, 또는 검증된 X.509 디지털 인증서 등에 기초한 강력하고 고유한 신원을 갖춰야 한다.

2. 표준 및 임베디드 기술의 폭넓은 활용
FIDO나 오쓰(OAuth), 오픈ID(OpenID), SAML 등 다양한 표준들과 이로써 탄생한 스마트폰 지문 인식 기능을 예로 생각해볼 수 있을 것이다.

3. 클라우드를 통한 신원 관리
클라우드를 통한 신원 관리 및 신원 통제 노력은 이미 페이스북과 구글, 마이크로소프트 등 주요 기업들에서 시행되고 있는 내용이지만, IoI는 여기에서 나아가 보다 통합적인 생태계의 역할을 필요로 한다. 시장의 주요 기업들은 협력과 협의를 통해 국립표준기술위원회의 신용 신원 그룹(Trusted Identity Group)이나 NSTIC 등의 모델과 유사한 형태의 신원 생태계를 구축해나가야 할 것이다.

4. 소프트웨어-정의 네트워킹 기술의 활용 확대
앞서 언급한 내용이지만, VPN 기술에서 소프트웨어-정의 경계에 이르는 마이크로-세그먼테이션과 마이그레이션의 활용 확대가 필요하다. 이를 통해 사용자, 신원, 위치, 리스크, 그리고 엄격한 비즈니스 주도적 정책에 기반한, 엔드투엔드(end-to-end)의 관점을 넘어선 보다 탄력적인 네트워크 접근을 보장해야 할 것이다.

5. 보다 성숙한 사용자 및 조직 행동양식 분석(User and Entity Behavior Analysis, UEBA) 도구 개발 
새로운 양상의 네트워크 접근들을 추적하고 이상 행동을 포착하기 위해서는 보안 분석에 역시 새로운 관점이 요구될 것이다. 머신러닝과 인공지능(AI)을 활용한 선진 행동양식 기반 보안 분석 툴은 이 과정에 새로운 해답을 제안해줄 것이다.

대기업들은 다음과 같은 방식으로 IoI 관련 계획을 수립해야 한다.
- 전략적 신원 관리에서 나아간, 보다 포괄적 신원 및 접근 관리(Identity and Access Management, IAM) 전략 수립
- IAM에 대한 CISO의 총괄 관한 보장 및 정책 정의 및 리스크 관리 과정에 대한 비즈니스 관리진의 참여 확대
- 보안, IT, 운영 기술 그룹 간 협업 확대 editor@itworld.co.kr  


X