기업은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 오랜 역사에도 불구, 여전히 실수가 발생할 가능성이 있으며, 특히 기업이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.
1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다
IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다.
브레츠만은 기업이 보통 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 정도의 대응을 한다고 언급했다. 그러나 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다.
포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. 직원 및 비즈니스 파트너라면 기업은 클라우드 기반 옵션보다 강력하고 기능이 풍부한 옥타(Okta) 등의 IDaaS(Identity-as-a-Service) 업체 또는 애저 액티브 디렉토리(Azure Active Directory) 또는 온프레미스 IAM 시스템으로 눈을 돌리는 경우가 많다. 고객을 위해 일부 기업은 사용자 이름과 비밀번호에서 구글 및 페이스북 등의 소셜 로그인으로 이동하기 시작했다.
마지막 IAM 액세스 카테고리는 머신 ID다. 2021년 가을, P&KF(Pulse and KeyFactor)가 실시한 설문조사 결과에 따르면 머신 ID는 사용자 ID보다 우선순위가 낮지만 CIO의 95%는 IAM 전략이 머신 ID를 공격에서 보호할 수 있다고 답했다.
아울러 기업은 온프레미스, 클라우드, SaaS, 모바일, 재택근무 등 다양한 환경에서 다양한 유형의 사용자를 모두 보호해야 한다는 사실에 유의해야 한다.
2. 사일로화된 IAM 플랫폼
가트너의 애널리스트 헨리크 테익세이라는 많은 조직이 액세스 관리, ID 거버넌스 및 관리, 액세스 권한 관리를 위해 서로 다른 솔루션을 쓴다고 지적했다. 테익세이라는 “사일로로 인해 추가적인 작업이 발생한다. 또 공격자가 악용할 수 있는 틈이 생긴다”라고 말했다.
이어서 “문제를 해결하기 위해 업체는 통합 솔루션으로 이동하고 있다. 예를 들면 옥타와 마이크로소프트는 더 많은 통합 플랫폼을 제공하기 시작했다. 가트너는 2025년까지 IAM 도입의 70%가 통합 IAM 플랫폼을 통해 이뤄질 것으로 전망했다”라고 설명했다.
한편 테익세이라는 "고객용 IAM은 훨씬 더 뒤처져 있다. 대부분의 기업은 자체 개발한 맞춤형 애플리케이션을 사용하고 있는데, 새로운 프라이버시 규제 요건을 충족시키고 최신 공격 유형에서 인프라를 보호할 때 문제가 된다”라고 덧붙였다.
3. 지나치게 공격적인 IAM 도입 계획
IAM 플랫폼이 모든 것을 한 번에 처리한다고 생각하면 솔깃하다. 씨저는 “경영진이 솔루션에 과도하게 집착할 수 있으며, 업체도 과도한 약속을 할 수 있다”라며, “많은 기업에서 발생할 수 있는 문제”라고 말했다.
씨저는 단계적 출시를 권장하면서, “한 번에 모든 것을 하려고 하는 건 비현실적이다. 예를 들어 업체의 장밋빛 약속과는 달리 기업은 일반적으로 애플리케이션 통합을 위해 많은 사용자 정의 및 오케스트레이션 작업을 해야 한다. 최신 IAM 접근 방식으로 인해 내부 프로세스의 재설계가 필요하다면 더욱더 그렇다. IAM 업데이트를 하는 기업은 이 기회를 활용해 프로세스를 먼저 간소화하고 합리적으로 개선해야 한다”라고 조언했다.
4. 별도의 인증 및 권한
검색 기술 회사 옉스트(Yext)의 CISO 로히트 파추리는 “IAM은 모든 보안 및 IT 프로그램의 주춧돌이다”라면서, “포트폴리오에 어떤 사용자와 자산이 있는지 파악해야 보호할 수 있다. IAM은 액세스 환경의 가시성을 제공하는 동시에 해당 액세스를 통제할 수 있는 기능도 지원한다”라고 언급했다.
파추리는 이전 회사에서 IAM을 구축할 때 몇 가지 문제에 직면했다고 밝혔다. 파추리는 “처음 IAM에 착수했을 때 몇 가지 요소를 빠뜨렸다”라면서, “첫 번째 문제는 인증과 권한을 별도의 개체로 취급한 것이었다. 별도의 권한 서버를 사용하여 서로 다른 두 시스템에서 인증과 권한 사이를 오가야 했다. 따라서 총소유비용이 증가하고 팀이 2개의 개체를 관리해야 하는 추가적인 부담이 발생했다”라고 설명했다.
5. 인증 사각지대
파추리가 직면했던 또 다른 문제는 몇몇 내부 시스템이 카탈로그화되지 않고 여전히 로컬 인증을 활용했다는 점이었다. 그는 “내부 시스템에서 로컬 인증을 사용하고 있었기 때문에 세션 관리, 사용자 온보딩 및 오프보딩 측면에서 가시성이 부족했다”라면서, “이러한 작업은 IAM 도구에서 처리돼야 했지만 그렇지 못했다”라고 전했다.
이 기업은 자산 관리 프로그램을 대상으로 기능 테스트를 하던 와중에 비슷한 실수를 발견했다. 파추리는 “구성관리 데이터베이스에 기록된 애플리케이션이 IAM 도구에서 캡처되지 않았다는 사실을 확인했다. 이러한 애플리케이션을 확인한 후, IAM 도구가 개체로 존재했지만 권한 검증을 로컬로 배포된 온프레미스 시스템에 아웃소싱하고 있었다는 사실도 알게 됐다”라고 말했다.
파추리에 따르면 문제를 해결하면서 가장 어려웠던 부분은 IAM 도구와 내부 도구를 SAML(Security Assertion Markup Language) 또는 SCIM(Cross-domain Identity Management)을 사용해 통합할 수 있는지 파악하는 것이었다. “나머지는 실행과 영구적인 관리였다”라고 파추리는 덧붙였다.
6. 여러 IAM 시스템에 따른 가시성 문제
규제, 위험, 컴플라이언스를 전문으로 하는 글로벌 자문 회사 스톤턴(StoneTurn)의 파트너 루크 테너리는 기업이 이질적인 IAM 플랫폼을 통합하는 데 어려움을 겪는다고 말했다. 또한 “ID 관리 시스템이 너무 많으면 보안 이상 간의 관계를 찾기가 어렵다”라고 덧붙였다.
예를 들어 많은 사이버 공격에는 일종의 이메일 해킹이 수반된다. 같은 ID를 회사의 세일즈포스 시스템 액세스에도 사용하는 경우 2번째 공격 벡터가 발견되기 전까지 상당한 지연이 있을 수 있다. 테너리는 “사용자 이름과 비밀번호가 동일하지만 분산된 방식으로 관리하면 세일즈포스에서 발생하는 해킹을 발견하지 못할 수 있다. 체류 시간이 길어지면 기업에 미치는 영향의 위험도 커진다. 암이 몸 안에 오래 있을수록 위협이 피해를 줄 시간이 늘어나는 것과 같은 원리”라고 전했다.
이어서 테너리는 위협 행위자가 글로벌 서비스 업체의 충성도 프로그램용 세일즈포스 데이터베이스에 침투하여 수백만 개의 고객 기록에 액세스했던 사례를 언급했다. 해결책은 전사적으로 ID 및 액세스 관리의 전체적인 뷰를 생성하는 것이다. 테너리는 “힘든 과정이지만 IAM 기능을 통합하는 플랫폼의 도움을 받을 수 있다”라고 덧붙였다.
기업이 직접 통합할 수 없는 경우 머신러닝 및 인공지능을 활용한 자동화로 이러한 연결을 구축하는 고급 도구가 있다. 테너리는 “세일즈포스 및 오피스 365는 직접 통합이 가능하다. 또 옵시디언 시큐리티(Obsidian Security) 등의 서드파티 도구가 있다. 이 플랫폼은 다양한 형태의 자동화와 머신러닝을 활용하여 ID 연결을 식별하고, 보안 이상을 감지하며, ID 위험을 관리한다”라고 말했다.
ciokr@idg.co.kr