보안

'제로 트러스트' 네트워크 보안 기업, 생체인식 인증 비율 늘어나

Lucian Constantin  | CSO 2019.07.18
애플리케이션 등, 다양한 IT 자원에 대한 액세스 정책을 수립하고 시행할 때, 네트워크 경계를 신뢰의 지표로 삼는 방식에서 벗어나는 기업이 점차 늘어나고 있다. 사용자 위치와 상관없이 액세스 시도 때마다 사용자 신원 식별 및 장치 보안 확인을 수행하는 인증 솔루션을 활용하는 업체가 늘어난다는 의미다. 또, 생체인식형 인증을 선호하는 기업 비율도 늘어난다는 조사 결과가 발표돼 눈길을 끈다.

현장 IT인프라에서 BYOD 정책과 맞물린 클라우드 관리 애플리케이션 및 서비스로의 움직임이 가시화되고, 이와 함께 원거리 근무 직원의 수가 증가하면서 지난 10년 간 기업 IT 보안 부서에는 중요한 보안 문제가 여럿 발생했다.

초기에는 이런 문제를 해결하기 위해 VPN, NAC(Network Access Control), MDM(Mobile Device Management) 솔루션을 사용해 원격지 직원이 사용하는 장치가 기업 내부 네트워크에 접속하기 전에 안전한지를 확인했다. 하지만 범죄자도 위협과 공격 기법을 발전시켰고, 기업 네트워크 내부의 악의적인 수평 이동은 이제 여러 보안 유출 사건의 공통적인 구성요소가 되고 있다.

즉, 더 이상 네트워크 경계에서 장비 보안 확인을 수행한 후 연결 시스템의 무제한 액세스를 허용하는 것으로는 부족하다. 장치가 이미 네트워크 안에 진입한 상황에서도 해킹될 수 있으며 자격 증명을 훔칠 방법은 다양하다.
 

사용자 및 장치 확인

현재 시스코 시스템즈 산하의 MFA(Multi-Factor Authentication) 솔루션 제공 기업 듀오 시큐리티(Duo Security)의 자문 CISO 책임자 웬디 네이더는 "기본적으로 우리는 단순히 네트워크상에서 방화벽 안에 있다고 해서 모든 것을 신뢰할 수 없다는 점을 깨달았다"고 말했다. 네이더는 "따라서 이에 동의한다면 고민해 보아야 할 점이 있다. 우리가 신뢰해서는 안 되지만 현재 신뢰하고 있는 것은 무엇이며 지금보다 더 많이 검증해야 하는 것은 무엇일까? 정답은 사용자를 이전보다 더욱 신중하게 검증하고 그들의 장치를 검증해야 하며, 사용자 액세스의 민감도에 따라 검증을 강화해야 하고, 방화벽 통과를 허용할 때 한 번 이상 자주 확인해야 한다는 것"이라고 강조했다. 

네이더는 또, "더 일찍, 더 자주, 그리고 액세스 요청 때마다 확인한다면 예전에는 몰랐던 것을 찾아낼 가능성이 더 높아진다"고 말했다.

듀오는 이것을 제로 트러스트(Zero Trust) 네트워크 보안 원칙이라고 부르며 이는 2004년의 제리코 포럼, 2014년에 공개된 구글의 BC(BeyondCorp) 기업 네트워크 보안 접근방식, 가트너의 CARTA(Continuous Adaptive Risk and Trust Assessment) 모델 등 이전의 비 경계화 노력에서 영감을 얻었다.

물론 기업 네트워크 경계가 곧 사라지지는 않을 것이며 그럴 필요도 없다. 사용자 그리고 사용자가 액세스하는 자산의 위치(클라우드, 구내, 원격, 로컬 등)에 상관없이 관리가 사용자 및 장치 신원에 다시 집중되고 있다는 점이 차이점이다. 인증 수행 방식과 조직이 선호하는 인증 방법 및 장치도 영향을 받는다.
 

떠오르는 생체인식 인증

16일 공개된 2019년 듀오 트러스티드 액세스(Duo Trusted Access) 보고서에 따르면 비즈니스 애플리케이션에 액세스하기 위해 사용되는 모바일 장치 중 77%가 생체인식 기능을 탑재했고, 사용자 중 2/3 이상이 전화 통화와 SMS 등의 기존 방법보다는 모바일  기반 애플리케이션을 사용하고 있는 것으로 나타났다. 듀오의 데이터에 따르면 많은 온라인 서비스에 널리 사용되는 이중 인증인 SMS 전송 인증 코드는 듀오 고객 중에서는 단 2.8%만 감소한 것으로 나타났다.

듀오의 보고서는 구내 및 클라우드에서 100만 개 이상의 기업 애플리케이션 및 자원에 대한 2,400만 개의 비즈니스 기기에서 발생하는 5억 회의 월간 사용자 액세스 요청에 대한 분석에 기초하고 있다. 이번 데이터는 모든 산업 부문의 1만 5,000개 조직에서 익명으로 조사되었다.

또한, 이번 조사에 따르면 기업 직원이 매년 사용하는 iOS 장치의 수가 7%나 증가했고, 반면 안드로이드 장치의 사용량은 2% 증가했다. 윈도우는 47%로 여전히 기업 장치에서 가장 보편적인 운영체제였지만, 전체적인 사용량은 실제로 지난 해보다 8% 감소했다. 윈도우 10 도입율이 지속적으로 상승하고 있으며 현재 듀오가 관찰한 전체 윈도우 엔드포인트 장치 중 2/3를 차지하고 있다는 점이 고무적이다.

iOS, 안드로이드, 윈도우 10의 공통점은 모두 일정 형태의 생체인식 기반 인증을 지원한다는 점이다. 애플은 터치 ID와 페이스 ID를, 안드로이드는 지문 센서를, 윈도우 10은 윈도우 헬로(Hello) 기능을 내세우고 있다.
 

검증된 인증에는 신속한 제로데이 응답이 필요

모든 보안 요청에서 장치 신원과 보안을 검증하면, IT 보안 부서는 알려진 취약성에 대응할 수 있고, 사용자가 보안 업데이트를 더욱 신속하게 적용하도록 강제할 수 있다. 지난 3월 말 발표된 구글 크롬의 제로데이 취약성이 그 예시다.

취약성이 발표된 날 듀오는 자사 제품에서 구식 브라우저 정책 설정 사용량이 79%나 급증함을 관찰했으며 이로 인해 정상보다 인증 시도가 30회나 더 감소했다고 밝혔다. 즉, 기업의 IT 보안 부서는 정책 설정을 통해 네트워크 액세스 제어보다 더 빠르게 보안 위협에 대응했다.

듀오의 데이터에 따르면 사용자 장치에서 최신 상태가 아닌 것으로 발견되는 경우가 가장 많은 브라우저는 마이크로소프트 엣지로 73%의 비율을 차지했고, 모질라 파이어폭스(35%), 사파리(23%), 크롬(15%)이 그 뒤를 따른다. 운영체제의 경우 안드로이드로 구동하는 장치들이 가장 빈번하게(58%) 최신 상태가 아닌 것으로 발견되었으며 iOS 장치는 이보다 낮았다(38%).

이중 인증 및 사용자 신원 검증의 형태로서 활용되는 생체인식은 기업 영역에서 도입되고 있을 뿐 아니라 특정 산업에서는 규제 당국이 장려하기도 한다. 유럽에서는 9월부터 온라인 결제에 대한 새로운 보안 및 인증 요건이 발효된다. 이 요건은 금융기관이 생체인식 인증을 지원하는 휴대전화에서 앱 등을 통해 이중 인증으로 온라인 카드 거래를 보호하도록 의무화하는 내용을 골자로 한다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.