Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

IAM

“보안의 경계, ID를 지켜라” 성공적인 IAM을 구현하는 A to Z - Deep Dive

ID(Identity)는 오늘날 기업이 가장 주목해야 할 새로운 경계가 됐다. 하이브리드 근무 및 디지털 트랜스포메이션과 같은 변화로 인해 외부에서 기업의 내부 리소스에 접근하는 상황이 많아지고 제로 트러스트가 보안의 새로운 패러다임으로 떠오르면서 ID 중심의 보안이 그 어느 때보다 중요해졌다. 동시에 클라우드 및 온프레미스 애플리케이션에 대해 사용자와 기기의 역할과 접근 원한을 정의하고 관리하는 IAM(Identity and Access Management)의 역할도 커졌다. 그러나 기업이 수십 년 동안 IAM 전략을 개발하고 실행하고 있음에도 불구하고 여전히 사이버 공격은 승인되지 않은 무단 액세스를 통해 가장 많이 발생한다. IAM의 발전 현황과 사례를 살펴보고 IAM을 성공적으로 구현하기 위해 기업이 고려해야 할 부분을 짚어보자. 주요 내용 - “보안 관리의 시작” IAM의 개념과 역할 - “사일로부터 사각지대까지” IAM 전략의 문제를 드러내는 6가지 징후 - IAM을 배포하는 3가지 방법과 극복 과제 - “빠르게 확장하는 공격 표면” 머신 ID를 관리하는 7가지 베스트 프랙티스 - GE가 IAM 플랫폼 통합으로 유연성과 효율성을 확보한 방법 - “IAM으로 전체 공급망 강화” 플랙스의 싱글사인온 도입기

IAM ID관리 머신ID 2022.09.15

"ID 관리 문제, 해결 어렵고 비용 많이 든다" 가트너·래디언트 로직 설문조사

가트너와 ID 관리 솔루션 업체 래디언트 로직(Radiant Logic)이 최근 진행한 설문조사에 따르면, 대부분 기업은 복잡한 자격증명 및 ID 관리 문제로 어려움을 겪고 있지만, 해결 조치를 취하는 기업은 거의 없는 것으로 조사됐다.    래디언드 로직에 따르면 원인은 소위 말하는 'ID 스프롤(identity sprawl)'에 있다. 기업은 오늘날 점점 더 많은 수의 시스템에 대해 식별 및 자격증명을 요구한다. 즉, 사용자가 HR 시스템에 대해 하나의 로그인 계정을 갖고 있고 네트워크 공유 자산에 대해서도 로그인 계정을 갖고 있으며, 동시에 마이크로소프트 계정도 보유하고 있는 것과 같은 상황이다.  래디언트 로직은 ID 스프롤이 직원들에게도 골칫거리일 뿐 아니라 여러 이유로 IT 부서에 심각한 문제가 된다고 말했다. 특히 모든 관련 시스템에서 ID를 관리하는 복잡성이 대표적인 문제다.  래디언트 로직은 "모든 시스템에 대한 가시성 및 제어 부족으로 인해 개인(직원, 전 직원, 계약자, 파트너)의 오용 또는 과실이 더 많이 발생하고 결과적으로 사이버 범죄자들이 악용할 수 있는 신원 기반 사이버 공격 기회가 더 많이 생긴다. 조직 전반에서 횡적 이동하는 문제다"라고 말했다. 가트너와 래디언트 로직의 이번 설문조사는 전 세계 100명의 IT 의사결정권자를 대상으로 진행됐다. 응답자의 67%는 지나치게 복잡한 ID 관리로 인해 발생할 수 있는 문제를 알고 있지만 해결 방법을 모르고 있다고 답했고, 61%는 ID 관리에 "시간을 너무 많이 투입해야 하고 비용도 많이 든다"라고 응답했다. 문제의 규모를 아무리 강조해도 지나치지 않는 기업도 있다. 한 사용자가 회사 시스템 전반에 걸쳐 보유한 ID가 평균 21가지 이상이라고 답한 응답자는 60%에 달했으며, 응답자의 2/3는 이런 문제로 인해 기술 부채는 물론 직원들의 불만도 발생했다고 답했다. 직원들의 불만, 열악한 보안, 기술 부채는 서로 연관된 문제다. 직원들이 개...

ID관리 IAM 2022.08.23

"사일로, 사각지대…" IAM 전략의 문제를 드러내는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 오랜 역사에도 불구, 여전히 실수가 발생할 가능성이 있으며, 특히 기업이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 브레츠만은 기업이 보통 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 정도의 대응을 한다고 언급했다. 그러나 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. 직원 및 비즈니스 파트너...

ID 및 액세스 관리 IAM 인증 2022.07.08

"서비스형 IAM" IDaaS의 이해와 도입시 주의사항

클라우드 네이티브 생태계와 제로 트러스트(Zero Trust)의 세계에서는 ID가 새로운 경계라고 이야기하는 경우가 많다. ID는 분명 현대 시스템에서 우리가 하는 모든 활동의 중심에 있으며 제로 트러스트 아키텍처와 적절한 액세스 관리를 용이하게 하는 핵심이다. 이 때문에 IAM(Identity and Access Management)을 대규모로 운용하는 것은 쉽지 않은 일이고, 많은 기업이 IDaaS(Identity-as-a-Service) 솔루션을 도입하고 있다. IDaaS는 장단점이 있지만 우선 IDaaS가 무엇인지 알아보자.      IDaaS의 정의 IDaaS는 IAM을 위한 클라우드 기반 소비 모델이다. 오늘날 최신 기술 생태계의 다른 모든 것과 마찬가지로 IAM은 서비스로 제공할 수 있다. 예외가 있기는 하지만 IDaaS는 일반적으로 클라우드를 통해 서비스되며 해당 제공자의 조직적 요건과 역량에 따라 멀티테넌트 또는 전용 모델로써 사용할 수 있다. 가트너는 2022년 말까지 중견 기업과 대기업 중 40%가 전통적인 IAM 대신에 IDaaS를 도입할 것으로 전망했다. 지속적인 클라우드 도입과 재택근무의 확산으로 기업은 IAM을 스스로 호스팅하고 관리하는 대신 서비스로 사용하면서 시장 성장을 촉진하고 있다. 대신 기업은 고객에 가치를 제공하는 핵심 역량에 더 집중할 수 있다.     IDaaS의 이점  IDaaS의 장점으로는 IAM을 호스팅하지 않고 사용할 수 있다는 것, IAM과 관련된 관리 업무 일부를 서비스 제공자에 넘길 수 있다는 것 등이 있다. IAM을 더 강력하고 안전하게 구현하는 여러 기능도 사용할 수 있다. 예를 들어 대부분 IDaaS 업체가 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication) 등 네이티브, 통합 기능을 제공한다. 또한, IDaaS 업체는 클라우드 네이티브에 강점이 있어 이들의 서비스는 클라우드 생태계와 더 쉽...

IDaaS IAM 2022.05.27

원격 네트워크 접근을 보호하는 VPN의 7가지 대안 솔루션

한때 원격 근무 직원을 보호하기 위한 대표적인 방법으로 통했던 VPN(Virtual Private Network)은 전통적인 사무실 공간 내에서 작업하는 대다수 직원과 달리 외부에서 연결하는 소수의 인력를 대상으로 기업 데이터 및 시스템에 대한 안전한 접근을 제공하기 위한 목적으로 설계됐다.    그러나 2020년초 코로나 19로 인해 촉발된 대대적인 원격 근무로 인해 상황이 급변했다. 코로나19 이후 많은 기업에서 원격 근무를 표준적인 업무 형태로 사용하기 시작했고, 많은 직원이 아예 사무실에 출근하지 않거나 하더라도 이따금 하는 정도다. VPN은 원격 근무와 하이브리드 환경에서 사용하기에 충분하지 않고, 많은 수의 원격 근무 직원을 보호하기 위해 VPN에 의존할 경우 상당한 위험이 야기되기도 한다. 타이코틱센트리파이(ThycoticCentrify)의 최고 보안 과학자이자 자문역 CISO인 조셉 카슨은 “원래 VPN은 원격으로 작업하면서 특정 시스템에 대한 원격 접근이 필요한 소수의 직원 또는 외부 계약 직원들을 관리하기 위한 목적으로 만들어졌다”면서, 또한 VPN은 늘어난 마찰면으로 인해 직원의 생산성과 사용자 경험에 부정적인 영향을 미친다고 말했다. 네타시아(Netacea)의 위협 연구 책임자인 매튜 그레이시 맥민은 “대규모 클라우드에서 VPN을 사용하는 것은 누구도 예견하지 못한 상황이며, 이로 인해 넓어진 잠재적 공격표면은 IT 팀에는 보안 악몽”이라고 설명했다. 앱게이트(Appgate) 보안 연구원 펠리페 두아르테는 “코로나19 팬데믹으로 인해 대부분의 기업은 완전한 원격 근무 환경에 신속하게 적응해야 했고, 일부는 일반적인 VPN 솔루션을 구축해 직원들이 집에서도 동일한 시스템에 접근할 수 있도록 하고 이들의 기기를 무작정 신뢰하는, 안전하지 않은 방식으로 대처했다”라고 지적했다. 원격 및 하이브리드 업무 방식이 앞으로도 당분간 표준이 될 전망이므로 기업은 원격 근무 시대의 VPN의 단점과 위험을 인지해야 할 뿐만 아니...

VPN ZTNA SASE 2021.10.18

혼란스러운 AWS 접근 제어, 데이터 노출의 원인…라이트스핀

아마존 웹 서비스 IAM(Identity and Access Management) 메커니즘은 복잡하다. 그리고 구체적인 특징을 제대로 이해하지 못해 구성을 잘못하고, 클라우드 자산이 노출되는 경우가 많다. 클라우드 보안업체인 라이트스핀(Lightspin) 연구진은 많은 관리자 사이에 혼동을 불러오는 S3 버킷 권한의 특이한 특징들을 규명했다.   S3 버킷에 저장된 데이터에 대한 접근을 승인하거나 제한할 몇 가지 방법이 있다. 다른 방법보다 더 세밀한 방법이 있지만, 모두 상호의존적이다. 시간이 지나면서 개별 정책을 바꾸고, 이것이 무단 사용자에 데이터를 노출시키거나, 스토리지 버킷을 개방시킬 수 있다. 특히 수천 또는 수만 객체를 가진 큰 버킷을 다룰 때 이런 경우가 많다.  라이트스핀 연구진에 따르면, 관리자가 문제를 정확히 파악할 수 있을 정도로 AWS 경고 메시지가 명확하지 않거나 자세하지 않은 문제가 있다. 이런 이유로 AWS는 퍼블릭 액세스(public access)과 계정 교차(Cross-account) 공격 문제를 파악할 수 있는 오픈소스 S3 버킷 스캐너를 개발해 출시했다.  객체가 퍼블릭으로 공개될 수 있지만, 정확히 어떤 객체일까? S3 버킷을 다룰 때 퍼블릭 액세스를 제한하는 3가지 방법이 있다. ▲전체 버킷에 적용되는 버킷 ACL(Access Control Lists) ▲개별 객체에 적용되는 객체 ACL ▲S3 버킷 IAM 정책이 여기에 해당된다. 또 AWS는 관리자가 기존 ACL을 무시하는 방법으로 버킷을 안전하게 만들 수 있도록 도움을 주는 S3 블록 퍼블릭 액세스(Block Public Access) 기능을 제공한다. 그러나 이 기능에는 영향이 다른 4개 옵션이 있다. 이 옵션은 관리자에게 유연성을 주지만, 동시에 혼동을 초래할 수도 있다. 첫째, S3 ACL의 퍼블릭 액세스는 모든 사용자(AllUsers)나 자격증명 사용자(AuthenticatedUsers) 그룹 구성원에게 주어진 읽기, 또는 ...

AWS IAM 2021.06.10

클라우드에서 민감한 데이터를 보호하는 3가지 베스트 프랙티스

최근 베터클라우드(BetterCloud)의 설문에 따르면, 기업은 협업, 통신, 개발, 계약 및 인사 관리, 서명 인증, 기타 민감한 데이터를 처리하고 저장하는 비즈니스 기능을 지원하기 위해 평균 80가지 서드파티 클라우드 애플리케이션을 사용하는 것으로 나타났다. 또한 애플리케이션과 전체 비즈니스를 PaaS나 IaaS에서 구동하는 기업도 증가하고 있다. 2020년에만 기업의 76%가 AWS에서, 63%가 마이크로소프트 애저에서 애플리케이션을 실행했다.    캐피털 원(Capital One)의 고문이자 전 CISO인 마이클 존슨은 이런 퍼블릭 클라우드 서비스는 모두 필요하고 생산적이며 전통적인 데이터센터보다 더 안전한 환경까지 약속한다고 말했다. 그러나 이렇게 클라우드에서 처리하고 저장하는 민감한 데이터에는 위험이 따르게 되는데, 대부분의 위험은 서비스 설정 및 관리 과정에서 사용자의 실수로 발생한다.  존슨은 2019년 8,000만 명의 개인 기록이 유출된 사고 당시 캐피털 원의 대응을 이끌었다. 당시 사고에서 공격자는 잘못 구성된 서드파티 클라우드 환경을 이용했다. 존슨의 팀은 침해의 확산을 막는 한편, 강력한 대응 계획, 이사회 및 경영진과의 투명한 소통, 이전부터 유지해온 사법 당국과의 관계에 힘입어 데이터가 악용되기 전에 신속하게 범인을 체포하도록 지원했다.  클라우드에 민감한 데이터를 저장하는 데 따르는 위험에 대처하는 대응 계획은 모든 클라우드 보안 정책에 기본적으로 포함되어야 한다. 퍼블릭 클라우드를 위한 데이터 보호 정책을 시작하려면, 퍼블릭 서드파티 클라우드 서비스의 데이터가 어떻게 노출 또는 도난될 수 있는지 아는 것이 중요하다.    클라우드의 데이터는 어떻게 취약해지는가  클라우드 보안 연합(Cloud Security Alliance, CSA)의 연간 위협 보고서에 따르면, 서드파티 클라우드 서비스에서 데이터 침해나 유출이 발생하는 가장 일반적인 원인은 과도한 권한, 기...

클라우드보안 IAM 암호화 2021.03.17

클라우드 아키텍처에서 코로나19가 이끈 2가지 긍정적 변화

코로나19로 사회 전반에 여러 격리 조치가 시행된 후 바뀐 것들이 있다. 포브스가 선정한 전 세계 2,000개 기업인 글로벌 2000에 든 회사와 각국의 정부는 이제 기존의 데이터센터가 한때 생각한 것보다 팬데믹 등의 자연 재해에 훨씬 취약하다는 점을 이해하고 있다.   사실 클라우드 컴퓨팅 활용의 의미는 보호할 물리적인 데이터센터와 서버가 전혀 없다는 것이고, 과거만큼 물리적인 운영을 사람에 의존할 필요가 없다는 것에 있다. 지금에 와서는 너무나 당연해 보이는 이 점을 고려해서 클라우드 컴퓨팅의 미래, 특히 클라우드 컴퓨팅 아키텍처의 미래를 바라보자. 현재 같은 대규모 위기가 끝나더라도 쉽게 사라지지 않을 어떤 변화가 진행되고 있다. 데이터 통합(Data consolidation). 형식이 클라우드든 아니든, 데이터 통합을 옵션으로 두고 있는 기업은 얼마 되지 않는다. 보안 위험부터 시작해 클라우드나 온프레미스에 있는 복잡하고 분산된 데이터베이스에서 데이터를 이전하는 지난한 과정을 겪으려는 의지가 없는 문제까지 원인은 다양하다.  이제 코로나 19를 둘러싼 위험을 계기로 기업들은 데이터 통합 노력에 속도를 내고 있다. 퍼블릭 클라우드 업체나 복수의 업체와 계약하는 것이다. 이 경우 작게는 스키마부터 크게는 관계형에서 객체지향형 데이터베이스 모델로의 변화가 수반된다. 또한, 데이터베이스를 견인하는 애플리케이션의 변화도 의미한다. 비용과 위험이 뒤따르는 지점이다. 이 경우 손상을 입는 부분이 생길 수도 있다. 대다수 기업이 이런 방향으로 움직이지 않을 때의 위험이 데이터 통합의 위험보다 더 크다고 판단하고 있다. 코로나 19 이후의 시대에도 계속 선호하는 접근이 될 것이다. ID 기반 보안과 거버넌스 활용. 퍼블릭 클라우드를 선택했으면서도 여전히 IAM 같은 ID 기반 보안과 거버넌스에는 신경쓰지 않는 기업이 많다는 점은 놀랍다. 인력의 분산과 원격 관리라는 변화로 IT는 기존의 보안 레이어와 심지어 역할 기반 보안이 ID를 활...

코로나19 클라우드아키텍처 데이터통합 2020.09.23

IDG 블로그 | 아직도 풀지 못한 클라우드 아키텍처 문제 2가지

모든 클라우드 설계 문제를 해결했다고 생각한다면, 오산이다. 엣지 디바이스와 멀티클라우드 보안은 여전히 교착 상태이다.  2021년이 수평선 위로 떠오르면서 클라우드 전문가 대부분은 행복한 마음으로 2020년을 뒤돌아볼 것이다. 코로나19 팬데믹과 그로 인한 모든 혼란에도 불구하고, 2020년은 클라우드의 해였기 때문이다. 팬데믹을 우려한 많은 기업이 안전과 확장성, 민첩성을 위해 클라우드에 달려들었다.   하지만 아직 해결해야 할 일부 아키텍처 장애물이 남아 있다. 필자의 목록 최상위에 있는 두 가지 아키텍처 문제를 살펴보기에 지금만큼 좋을 때는 없을 것이다.  첫 번째는 엣지 데이터의 계층화 문제이다. 계층화된 아키텍처에 엣지 디바이스가 포함되어 있으면, 데이터의 백엔드를 어디에 두어야 할지 파악하기 위한 베스트 프랙티스와 프로세스가 필요하다. 이 문제는 쉽게 해결할 수 있는 것처럼 보인다. 그저 워크로드의 요구사항을 이해하고 적절한 계층화를 결정하면 된다. 그러나 엣지 디바이스의 수가 폭발적으로 증가하면, 데이터의 유기적인 성장이 엣지 디바이스를 잠식할 것이고, 요구사항은 위기사항이 된다.  이때 필요한 것은 필요한 데이터와 지식 기반을 옮기는 자동화를 사용하는 동적인 접근법이다. 하지만 이런 접근법은 잘못 사용하면 기술 과잉이라는 부정적인 영향을 통해 오히려 더 문제가 될 수 있다. 필자는 현재 이런 측면을 해결하기 위해 노력하고 한다. 두 번째 문제는 진정한 멀티클라우드 보안이다. 클라우드 전반에 걸쳐 적용하는 IAM 솔루션을 해법으로 이야기할 모르지만, 필자가 보기에 이들 솔루션 대부분은 아직 전성기를 맞을 준비가 되어있지 않다. 클라우드 보안 아키텍트는 무엇이 되었든 각 클라우드 서비스 업체에 맞춰 이용할 수 있는 클라우드 네이티브 보안 기술을 사용해야만 하는데, 이 때문에 해법은 더 복잡하고 보안팀이 운영하기 어려워진다. 결과물이 훼손될 위험성도 커진다. 또한, 각 클라우드의 네이티브 디렉토리 서...

2021 엣지디바이스 멀티클라우드 2020.08.12

코로나 19 이후의 클라우드 아키텍처, 지금 준비해야

분석 업체 캐널라이스(Canalys)에 따르면, 전 세계 조직이 2019년 서비스로서의 클라우드 컴퓨팅 인프라에 쓴 돈은 전년 대비 37% 늘어난 1,070억 달러로 사상 최고를 기록했다. 코로나 사태 이전에도 거의 모든 기업에서 클라우드 컴퓨팅 매출이 늘어나는 상황이었다. 대다수 클라우드 전문 애널리스트는 코로나 사태 이후에도 퍼블릭 클라우드 서비스의 수요가 폭증할 것으로 예측한다. 현재 코로나 위기를 겪는 많은 기업이 대체로 다음 3가지 중 1가지 형태를 선택해 운영하고 있다.  ‘보류 모드’인 기업은 상황이 확실해질 때까지 IT 관련 프로젝트에 대한 지출을 완전히 중지할 예정이다. 보통 중간 규모 및 대규모 기업이 이 부류에 속한다. 많은 프로젝트가 일시 중단된 상태이며 이처럼 광범위한 연기 사태로 인해 부작용이 생길 수도 있다. ‘비상 모드’인 사업체는 현재 코로나 관련 제약 때문에 부분적으로나 전체적으로 기능이 마비된 상태다. 이 부류에 속하는 식당, 호텔, 크루즈 선박, 소규모 상점 등은 임시변통에 가까운 단기 프로젝트로 자원을 옮기고 있다. 이러한 임시적 방편은 효과적이고 전체를 아우르는 계획 없이 실시될 가능성이 있고, 나쁜 의사결정을 불러와 추후 시정이 필요할 수 있다.   마지막으로, 계속 ‘정상 모드’로 평소와 다름없이 영업하는 기업도 있다. 코로나 사태 이전에도 자택 등 독자적인 공간에서 근무하던 IT 컨설턴트나 직원을 둔 사업체, 예술가와 공예가, 이외에도 이미 원격 운영이 가능했던 서비스 기반 사업체 등이 이 부류에 속한다. 어떤 상태로 운영하든 이번 사태가 일단락되면 기업이 마주하는 상황은 달라질 것이다. 팬데믹 위기가 끝난 후 각광받을 가능성이 높은 3가지 클라우드 아키텍처 패턴을 정리했다. - 전면 서버리스화. 그저 좋은 아이디어 수준에 그쳤던 서버리스 컴퓨팅은 이제 환상적인 해결책으로 변모했다. 이제 서버의 규모를 정하고 서버를 온라인에 배치할 필요가 없어졌다. 스토리지도 마찬가지이다. 대부분의...

IAM 서버리스 코로나19 2020.05.06

IDG 블로그 | 우리가 몰랐던 멀티클라우드 보안의 3가지 복병

보안은 보안일 뿐이라고 생각할지 모른다. 하지만 멀티클라우드는 온프레미스나 네이티브 퍼블릭 클라우드와는 다른 접근법과 메커니즘을 배워야 한다.   불과 몇 년 전에 한 퍼블릭 클라우드 서비스 업체에 맞춰 보안 계획을 세우고 물리 보안 기술을 구축한 사람이라면, 같은 방식을 수많은 클라우드, 즉 멀티클라우드에 그대로 적용할 수 있다고 생각하지 않기를 바란다. 그렇게 동작하지 않는다. 최근 멀티클라우드 배치와 운영에서 흔히 보는 보안 실책은 보안 아키텍처와 구현 기술을 선택하고 배치하는 과정에서 발생한다. 필자는 이들 실책으로부터 3조각으로 이루어진 멀티클라우드 보안 배치에 관한 조언을 편집해 냈다. 우선 보안에 대한 전통적인 접근법은 먹히지 않는다. 역할 기반의 전통적인 보안 접근법으로 기업 환경에서 성공했다 해도 멀티클라우드에서는 같은 결과를 얻을 수 없다. 멀티클라우드가 가져오는 복잡성을 처리해야만 하고, 보안 역시 이런 복잡성을 고려해 구성해야만 한다. 유휴 및 작업 중 암호화를 모두 지원하는 좋은 암호화 시스템과 결합한 IAM(Identity Access Management)이 훨씬 더 좋은 선택이 될 것이다. 둘째, 클라우드 네이티브 보안은 사용할 수 없다. AWS나 애저, GCP가 제공하는 보안이 네이티브 플랫폼에서는 정말 괜찮지만, 경쟁업체의 플랫폼도 보호하도록 만들어진 것이 아니다. 필자는 여전히 클라우드 네이티브 보안 플랫폼을 중앙집중화된 보안 관리자로 사용하고는 바로 실패하는 기업 사용자를 만나곤 한다. 멀티클라우드의 과제는 수많은 공통 서비스(보안, 거버넌스, 관리, 모니터링 등)를 멀티클라우드 배치 내에서 모든 클라우드 브랜드에 걸쳐 공통 서비스로 관리해야 한다는 것이다. 이를 위해서는 서로 다른 퍼블릭 클라우드 브랜드를 아우를 수 있으면서, IAM 같은 현대적인 기능을 제공하는 서드파티 보안 시스템이 필요하다. 마지막으로, 생각보다 책임져야 할 것이 많다. 퍼블릭 클라우드 환경에서도 서비스 업체는 일부 기본적인 보안을...

암호화 IAM 네이티브 2020.03.23

글로벌 칼럼 | 2020년 디지털 ID 전망

2019년, 세계가 정체성(Identity)의 용도와 기능에 눈을 뜨면서 정체성 분야가 잠에서 깨어나기 시작했다.   디지털 정체성은 전통적인 정체성 및 액세스 관리(Identity and Access Management, IAM)의 잔해에서 태어나 사이버보안의 핵심 요소로 부상했다. 갈수록 디지털화되는 세계에서는 정체성이 전부다. 모든 디바이스의 중심에는 정체성이 위치하면서 리소스 액세스뿐만 아니라 리소스가 소비하는 데이터를 통제하는 역할도 한다. 기계 속의 인간은 실제 정체성뿐만 아니라 보안의 열쇠이기도 하다. 데이터 침해는 2019년 전반기에만 54% 증가했다. 데이터가 곧 정체성이다. 사람에게 권한을 부여하려면 정체성에 권한을 부여해야 한다. 2020년에는 디지털 정체성이 새로운 성숙 단계로 발전하게 될까?     현재 상황 현재 정체성 분야는 정체성 공급업체, 데이터 속성 서비스, 소셜 계정 및 관련 로그인, 앱 기반 ID 등이 뒤섞여 혼란스럽다. 정체성 생태계의 중요한 요소를 정리해 보면 다음과 같다. - 정체성과 API 2019년 들어 이전의 많은 정체성 업체가 옷을 갈아입고 코드를 수정해 각자 핵심 제품의 API 버전을 만들면서 전통적인 정체성 플랫폼이 API로 다시 부상했다. 디지털 정체성은 사실 개인 데이터를 그럴듯하게 표현하는 용어에 불과하다는 점을 감안하면 자연스러운 수순이다. 우리가 온라인에서 사용하는 정체성은 거래를 증명하거나 리소스에 대한 권리를 주장하는 용도로 사용되는 경우가 많다. 이 증명은 더 넓은 범위에서 일어나는 이벤트 체인과 데이터 공유의 일부분이다. 정체성 계정 내의 클레임은 작업을 주도하고 서비스를 제공할 수 있다는 면에서 리소스 액세스를 위한 관문이다.  API 대세는 풍부한 데이터가 사용되는 현대의 디지털 정체성을 반영하는 자연스러운 현상이다. 디지털 정체성에 대한 API 접근 방식을 사용하면 갈수록 광범위해지는 소비자 앱과 서비스 전반에 걸쳐 연결 유연성을 ...

ID Identity IAM 2020.01.21

초고속 진공 열차 VHO, 협업 문화와 기밀 유지 방법

저압 튜브 속을 통과하는 고속 열차의 개념은 영국의 발명가 조지 메드허스트가 “바람 펌프(wind pump)”를 특허 받은 1799년까지 거슬러 올라간다. 하지만 이 비전이 현실화될 것처럼 보이기 시작한 것은 최근 10년간 일론 머스크가 흥미를 보인 이후부터다.  머스크는 2013년에 하이퍼루프 알파(Hyperloop Alpha) 백서를 발표했다. 테슬라와 스페이스엑스(SpaceX)의 창업자인 머스크는 거의 진공 상태의 튜브 안에서 시속 700마일(1,100km) 이상의 속도를 내는 새로운 형태의 고속 자기부상(magnetic levitation, maglev) 열차 시스템을 구상했다. 머스크는 하이퍼루프의 발전과 빠른 도입을 위해 아이디어를 직접 실천하거나 특허 등록 등의 독점을 주장하지 않고, 2013년 50페이지 가량의 ‘하이퍼루프 백서’를 통해 초기 개념을 공개하고 다른 사람들이 주도권을 갖도록 했다(편집자 주).    이후로 많은 기업이 이 개념을 실제 운송 수단으로 발전시키는데 참여해왔다. 가장 대표적인 업체는 버진 하이퍼루프 원(Virgin Hyperloop One, 이하 VHO)이다. 엔지니어가 위험을 늘리지 않고 가능한 안전하고 신속하게 작업할 수 있는 방법을 찾고있다. VHO, 보안은 필수 VHO는 2014년에 하이퍼루프 테크놀로지스(Hyperloop Technologies)라는 이름으로 설립되었다. 2017년에 영국에 본사를 둔 버진 그룹(Virgin Group) 리처드 브랜슨 회장의 투자를 받고, 사명도 버진 하이퍼루프 원(Virgin Hyperloop One)으로 변경되었다. 4억 달러 이상을 모금한 VHO는 현재 미국, 아랍에미리트 연합, 인도에 테스트 시설을 보유하고 있다. 2022년까지 승객 운송을 위한 준비를 갖추고 향후 몇 년 이내 상용 노선을 개설할 것으로 보인다.  VHO의 IT 책임자인 돈 암스트롱은 “우리는 확실히 백서 원안에 있는 개념을 훨씬 뛰어넘어 테스트를 반복해왔다. 현...

IAM SSO 보안 2019.12.18

'1,000여 개 협력사에 SSO 제공'··· 플렉스의 계정 관리 사례 분석

플렉스(Flex Ltd.)는 세계 최대의 IT 기업을 포함해 1,000곳이 넘는 고객사를 거느린 위탁 제조업체다. 기업 가치가 250억 달러에 달하는 이 기업은 몇 년 전 협력업체가 자사 시스템에 액세스하는 것을 더 안전하게 관리할 방법이 필요했다.   플렉스의 협력업체는 전 세계적으로 수천 곳에 달한다. 지메일 주소 하나가 전부인 소규모 자영 업체부터 글로벌 대기업에 이르기까지 매우 다양하다. 플렉스에 있는 앱에 액세스할 때 복수의 계정과 시스템을 이용하는 업체가 많았고, 플렉스는 비밀번호를 관리하거나, 계정의 프로비저닝 및 디-프로비저닝을 제어하는 중앙화된 방식이 없었다. 또한, 플렉스는 협력업체와 관련된 ID 및 액세스 환경이 매우 산만해서 의심스러운 비정상 활동을 감지할 역량도 모자랐다. 타깃 사건 이후, IAM 정비 이런 제약은 해커가 한 협력 업체의 네트워크 인증정보를 훔쳐 타깃(Target)에서 대규모로 데이터를 유출한 사건을 떠올리게 했다. 결국 플렉스의 경영진은 ID 및 액세스 관리(IAM) 인프라를 대대적으로 정비하기로 했다. 먼저 플렉스 임원진은 제품의 설계, 제작, 유통을 위탁한 고객사의 중요한 지적 재산과 데이터가 자사 시스템에서 안전하게 유지되기를 원했다. 또한 자사 클라우드 및 온-프레미스 앱에 액세스하는 도급 업체의 경험을 개선하고자 했다. 플렉스의 CISO이자 엔터프라이즈 정보기술 부사장인 프리츠 웨츠닉은 “가시성을 높이고, 협력사에 친화적인 환경을 제공하기 위해 정비가 필요했다”라고 말했다. 이를 위해 플렉스는 협력업체가 자사 시스템에 액세스하는 데 이용하는 복수 계정을 제거하고, 대신 최소 권한 액세스를 허용하는 SSO(Single Sign On) 프로세스를 구현하기로 했다. 웨츠닉은 “또한 액세스 로그에서 가시성과 투명성이 필요했다. 보안 관점에서 볼 때, 액세스 지점이 여러 곳이면 일탈 및 수상한 거동을 파악하기 어렵다. 따라서 중앙 로그를 유지하고자 했다"라고 말했다. 기술적 관점에서 볼 때, 플렉스의...

플렉스 IAM flex 2019.12.05

GE가 7개의 IAM을 하나로 통합한 이유

GE는 과거 파편화되어 있던 신원 및 접근 관리(Identity and Access Management, IAM) 인프라를 중앙에서 통합함으로써 상당한 비용 효율과 실적 혜택을 거두었다. 2014년부터 시작해 거의 5년 동안 GE는 여러 사업부에서 따로 관리했던 7개의 다른 신원 관리 시스템을 하나의 단일 플랫폼으로 통합해 현재 200만 명의 직원 및 협력업체가 GE 애플리케이션에 접근하는 것을 감독하고 있다.    GE의 ID 관리 서비스 총괄인 폴 베일리는 새 시스템이 값비싼 중복을 없앴고, GE가 전사적 애플리케이션 액세스를 위한 표준화된 규칙 세트를 수립할 수 있게 해주었다고 주장했다. 중앙화된 인프라에 의해 GE는 IAM 프로그램을 실행하는데 필요한 인력의 수를 250명으로부터 절반으로 줄였다. 또한 세계적으로 액세스 감사 관리 팀을 25명에서 단 2명으로 줄일 수 있었다.  베일리는 "더 중요한 것은 GE의 새로운 신원 관리 플랫폼은 새로운 애플리케이션을 탑재하고, 이용자 액세스를 허용하고 관리하고 종료하고, 신원이 규제적 요건을 준수하며 관리하는 것을 더욱 쉽게 해뒀다는 점이다"고 말했다.   GE가 신원 관리 인프라를 통합하게 된 배경  GE의 현재 거의 완수된 거대한 작업은 IAM 기능을 진화시켜 변화하는 비즈니스 요구와 여타 경향에 어떻게 보조를 맞출 수 있는지를 보여주는 실례이다.  가트너에 따르면, 클라우드 및 마이크로서비스 아키텍처의 도입, 증가된 디지털화, 그리고 이에 따른 사이버 위협의 급증에 의해 IAM에 대한 진화된 접근법을 이용하는 사례가 급속히 확장되고 있다.  가트너는 IT 리더들이 지난 몇 해 동안 보안 및 사기 검출 시스템과 ID 시스템을 보다 밀접하게 연결하고, IAM 모듈 사이의 통신과 자동화의 수준을 높이고, 고객의 동의를 보다 존중하는 데이터 관리 정책을 구현할 필요가 있음을 알게 되었다고 지적했다.  또한 "현대 ID 환경의 범위와...

GE IAM 2019.07.22

GE가 IAM 인프라를 통합한 이유

GE는 분산돼 있던 ID 및 액세스 관리(Identity and Access Management, IAM) 인프라를 중앙 통합함으로써 상당한 비용 효율성과 성능 향상을 달성했다. GE는 2014년부터 거의 5년 동안 여러 사업부에 걸쳐 7개의 개별 ID 관리 시스템을 단일 플랫폼으로 통합했다. 현재 이 시스템은 200만 명의 직원과 계약 업자의 GE 애플리케이션 액세스를 관할한다.   GE의 ID 관리 서비스 책임자인 폴 베일리에 따르면, 새로운 시스템은 많은 비용이 드는 중복성을 제거했으며 표준화된 전사적 애플리케이션 액세스 규칙을 정립하는 기반이 됐다. 중앙화된 인프라를 통해 GE는 회사의 IAM 프로그램 운영 인력의 수를 기존 250명에서 절반으로 줄이고 전세계 액세스 감사 관리 팀원 수도 25명에서 단 2명으로 줄였다. 베일리는 "GE의 새로운 ID 관리 플랫폼을 통해 신규 애플리케이션 온보딩, 사용자 액세스 권한 부여, 관리 및 해제, 규정에 따른 ID 관리가 더 쉬워졌다"고 말했다. GE가 ID 관리 인프라를 바꾼 이유 거의 완료 단계에 이른 이 프로젝트는 각 기업 조직이 변화하는 비즈니스 요구 사항 및 기타 추세에 보조를 맞추기 위해 IAM 역량을 어떻게 발전시키고 있는지 보여주는 좋은 예다. 가트너에 따르면, 클라우드와 마이크로서비스 아키텍처의 도입, 디지털화의 확대, 이에 따른 사이버 위협의 폭증에 따라 더 효과적인 IAM의 필요성에 대한 인식도 빠르게 확산되고 있다. 가트너는 "IT 리더들은 앞으로 ID 시스템을 보안 및 사기 방지 시스템과 더 긴밀하게 통합하고 IAM 모듈 간의 자동화 및 통신 수준을 높이고 고객의 동의를 더 중시하는 데이터 관리 정책을 구현해야 한다"고 말했다. 가트너는 "현대 ID 환경의 범위와 복잡성이 증가하면서 기존의 방법으로는 관리하기가 어려워졌다. 이런 추세에 대응해 기업은 IAM 환경을 발전시켜야 할 필요가 있다"고 말했다. 베일리는 GE...

GE IAM 2019.05.15

침해 이후 원로그인의 대응과 고객 신뢰 회복 방법…원로그인 CEO 브래드 브룩스 인터뷰

데이터 침해는 이제 비즈니스에서 보편적인 일상이 됐다. 종류와 규모에 관계없이 모든 기업이 사이버 공격의 목표물이 될 수 있는 만큼 데이터 침해에 대응하는 방식이 중요하다. 머스크(Maersk)와 노스크 하이드로(Norsk Hydro)는 대대적인 랜섬웨어 공격을 받아 운영에 차질을 빚었지만 명확하고 간결하며 투명한 메시지와 대응은 긍정적인 평가를 받았다. 더블펄사(DoublePulsar)의 케빈 부몬트는 노스크 하이드로의 대응 전략에 대해 "지금까지 내가 본 최고의 사고 대응 계획"이라고 말했다. 우수한 사고 대응은 비즈니스에도 유익하다. 실제로 노스크는 이 사고로 인해 제조 비즈니스의 여러 부분에서 과거의 수작업으로 돌아가야 했고 공격 첫째 주에만 생산성 손실로 인해 4,000만 달러의 피해를 입었음에도 불구하고 이 기사를 쓰는 현재, 주식의 가치는 사고 당시보다 높다. 반면 브라이언 크렙스는 에퀴팩스(Equifax)의 2017년 침해 사고 대응을 두고 "무계획적이고 뒤죽박죽인 혼란 그 자체"라고 평가했다. 에퀴팩스는 한 달이 지나서야 침해 사실을 공개했으며 사고 대응 전용 웹사이트 서비스 약관에 이후의 모든 집단 소송 참여에 대한 포기 조항을 집어넣었다. IAM(Identity and Access Management) 제공업체 원로그인(OneLogin)은 12개월 사이 두 건의 침해 사고를 겪었다. 그럼에도 불구하고 이 업체는 제자리를 되찾았고, 실수를 통해 배우고 이후 고객에게 보안 태세를 어떻게 바꾸었는지 보여줌으로써 최근에는 새로운 투자도 유치했다. 원로그인에 발생한 침해 사고 원로그인은 2009년에 창업된 클라우드 기반 IAM 제공업체로 미국 샌프란시스코에 본사를 두고 있다. 비상장 기업이며 전 세계 기업에 사용자 프로비저닝, 라이프사이클 관리, 다중 요소 인증(MFA) 서비스를 제공한다. 고객사로는 에어버스, 영국 적십자, 델, NASA, 미쓰비시 전기 등이 있다. 2017년 5월 31일, 원로그인...

IAM 침해 대응 2019.04.18

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.