[클라우드 보안-IAM] 탈취한 계정 이용하는 공격자

2020.09.28


빠르게 변하는 클라우드 지원하는 IAM 솔루션 주목
모든 접근통제 기술 통합한 플랫폼 등장

[데이터넷] “공격자는 해킹하지 않고 로그인한다.”

시스코는 최근 보안 위협 동향을 이렇게 한 마디로 정의했다. ‘가성비’에 민감한 공격자는 시간과 비용이 많이 드는 APT 공격보다 관리자 계정을 이용해 잠입하는 방식을 선호한다.

APT를 위한 전술·전략을 수립하고 공격도구를 개발하는데 들이는 시간과 노력보다 훨씬 더 적은 투자로 공격을 성공시킬 수 있는 방법이 정상 사용자 계정을 이용하는 것이다. 비욘드트러스트 ‘특권권한 접근 위협 리포트 2019’에 따르면 IT·보안 관리자 64%가 직원 액세스를 잘못 사용하거나 남용해 침해사고를 겪었다고 답했다.

사용자 정보 탈취 공격으로 가장 많이 사용하는 것이 크리덴셜 스터핑이다. 공격자는 기존에 입수한 개인정보를 이용해 로그인하며, 추가 개인정보를 획득하거나 다른 사기에 이용하기도 한다. 이렇게 탈취된 개인정보가 클라우드 접속에 사용되면 계정정보만으로 접근할 수 있는 클라우드의 중요정보가 유출될 수 있으며, 이 클라우드를 통해 다른 클라우드와 시스템으로 잠입할 수 있는 통로를 발견할 수 있고, 해당 클라우드를 공격 거점으로 삼아 지속적으로 공격할 수 있다.


▲비욘드트러스트 ‘특권권한 접근 위협 리포트 2019’ 주요 내용

클라우드로 IAM 시장 성장 가속

클라우드에 대한 계정·접근관리 문제가 드러나자 관련 시장이 들썩이고 있다. 지금까지 이 시장은 토종 솔루셔이 우세했지만, 클라우드 환경에서는 글로벌 기업들도 경쟁이 가능하다고 기대하고 있다.

온프레미스 환경에서 국내 인증·접근통제 시장은 복잡한 국내 환경에 맞춰야 해 외산 솔루션 진입이 쉽지 않았다. 솔루션으로 구축되기보다 SI 프로젝트로 공급되기 때문에 완성된 패키지 솔루션을 도입하기 어려웠으며, 복잡한 규제와 낮은 가격의 문제를 해결하지 못했다.

클라우드는 표준 기술과 프로토콜을 사용하기 때문에 커스터마이징 요구가 없다. 규제로부터 비교적 자유로운 민간기업에서 클라우드 전환에 속도를 내기 때문에 규제준수 장벽도 낮은 편이다. 서브스크립션 방식으로 제공돼 초기 구축비용이 없어 국내 제품과의 가격 경쟁도 충분히 가능한 상황이 됐다.

온프레미스 환경에서 통합 계정·접근관리(IAM) 시스템은 한 번 구축하면 잘 바꾸지 않기 때문에 교체나 업그레이드 수요가 많지 않았다. 그러나 클라우드에서는 수시로 변경되는 계정과 접근권한관리를 자동화 해야 하기 때문에 다양한 클라우드 환경을 지원하는 IAM 솔루션 수요가 높아지고 있다.

마이크로포커스가 이 같은 클라우드 시장을 노리고 IAM 솔루션 ‘넷IQ’의 국내 공급을 시작했다. 넷IQ는 ‘IGA(Identity Governace & Administration)’, ‘AM(Access Management)’, PAM 솔루션으로 구성되며, 계정 생성단계부터 전체 라이프사이클을 관리하고, 단일 플랫폼으로 온프레미스·클라우드·SaaS를 관리할 수 있다. 리스크 기반 계정 관리와 접근제어를 수행하며, 임직원·파트너·고객까지 계정·접근을 제어한다.

원격근무 위한 완벽한 제로 트러스트 제공

접근관리에서 가장 중요한 것이 사용자를 식별하는 것이다. 적응형 인증 프로세스를 채택하면 중요하지 않은 없무는 ID/PW만으로 접근할 수 있도록 하며, 중요도가 높아질수록 강도높은 인증을 추가하는 다중요소 인증(MFA)를 적용한다. 컨텍스트와 사용자 행위 분석을 더하면 더 정확한 사용자 식별이 가능하다.

시스코는 MFA 플랫폼 ‘듀오’를 이용해 클라우드·온프레미스 접속을 통제한다. 사용자의 권한 수준과 접근하려는 업무 시스템과 데이터의 중요도를 파악하고 접근 범위를 통제한다. 기기의 보안 상태를 확인하고 감염된 기기는 접근을 차단하며, 사용자가 어떤 브라우저와 애플리케이션에 접근하는지 모니터링하고 행위를 분석한다. 사용자의 이동 위치를 확인하고 상황인지 기반 접근 정책으로 관리하며, 멀티클라우드 환경을 한 번에 통제할 수 있다.

시스코는 듀오와 모바일 VPN ‘애니커넥트’, DNS 게이트웨이 ‘엄브렐라’, 엔드포인트 APT 방어 솔루션 ‘AMP 엔드포인트’ 등을 결합해 원격근무·클라우드 보안을 위한 제로 트러스트를 완성해간다. 듀오는 제로 트러스트 프레임워크의 핵심 요소로 작동하며, 모든 액세스를 확인하고 검증해 애플리케이션에 접근할 수 있도록 하는 워크포스 보안 프로세스를 지원한다. 또한 듀오는 시스코 및 다른 보안 솔루션과 긴밀하게 연결돼 상황에 맞는 인증·통제 프로세스를 완성할 수 있게 한다.

시스코의 보안 제품은 네이티브하게 통합돼 자동화된 보안 프로세스로 작동할 수 있다. 다수의 보안 솔루션을 운영하면서 보안 피로도가 쌓인 보안조직의 어려움을 해결하고, 개별 보안 솔루션이 탐지한 이벤트를 연계해 전체 위협을 가시화하고 대응할 수 있게 한다.

모든 종류 ‘접근제어’ 기술 통합

클라우드를 위한 접근통제 전략은 클라우드 애플리케이션 계정에만 국한되지 않으며, 온프레미스에서 구동되는 시스템과 DB에 대한 접근통제까지 단일 플랫폼으로 지원돼야 한다. 피앤피시큐어는 ‘디비세이퍼’에 DB 접근제어, 시스템 접근제어, 애플리케이션 접근제어, 클라우드 접근제어, 시큐어OS, 계정관리까지 접근제어와 관련된 모든 기능을 통합한 ‘U-IAM’이 멀티 클라우드를 위한 진정한 접근제어 전략이라고 소개했다.

박천오 피앤피시큐어 대표는 “피앤피시큐어의 입증된 접근통제 기술이 적용된 U-IAM은 단일 플랫폼에서 멀티 클라우드까지 아우르는 통합 접근제어를 제공한다”며 “이미 많은 기업들이 U-IAM을 단계적으로 도입하면서 통합의 이점을 얻고 있다”고 말했다.

디비세이퍼는 ‘접근제어’라는 동일한 목적을 가진 모든 솔루션을 하나로 통합했다. 전통적인 온프레미스 환경에서 접근제어 기술들은 개별 솔루션으로 도입돼 구현 방법이나 적용지점이 다르다. 멀티클라우드로 전환되면서 수많은 접근제어 솔루션이 혼재된데다가 각각의 정책도 통일되지 않고 일관성도 없어 복잡성이 높아지게 됐다.

그래서 피앤피시큐어는 ‘접근제어’라는 개념을 가진 모든 기술을 단일 플랫폼에 통합시켰으며, 이를 온프레미스와 프라이빗 클라우드는 물론이고 국내에서 사용되는 거의 대부분의 퍼블릭 클라우드에서도 적용할 수 있도록 확대했다.

박천오 대표는 “보안 조직은 여러 종류의 접근제어 시스템을 운영하는데 어려움을 겪고 있다. 통합되지 않고 분산된 포인트 솔루션들은 각각 다른 종류의 이벤트를 발생시켜 전체 위협에 대한 가시성을 제공하지 못하며, 보안 복잡성을 높여 보안 리스크를 훨씬 높이는 결과를 초래했다”며 “U-IAM은 모든 IT 환경에서 요구되는 접근제어 기술을 통합해 종합적으로 보여줌으로써 전체 위협에 대한 가시성을 높일 뿐 아니라 보안 조직의 업무와 비용을 줄일 수 있다”고 말했다.

휴네시온은 시스템 접근제어와 계정관리, 패스워드 관리를 통합한 ‘NGS’ 솔루션을 클라우드를 통해 제공함으로써 멀티 클라우드 환경에서도, 규모가 작은 조직에서도 효과적으로 통합 접근제어 정책을 펼칠 수 있도록 한다. NGS는 OTP·생체인증 등 다양한 방식의 투팩터 인증을 지원해 적응형 인증 프로세스를 구현할 수 있도록 한다.

관리대상 시스템의 계정과 패스워드를 자동으로 수집·관리하며, 비인가자의 접근을 차단하는 한편, 시스템 보안 취약점 점검, 실시간 모니터링·이벤트 감시 통보 등의 기능도 지원한다. L4 스위치 없이 소프트웨어 방식 이중화로 가용성을 확보했으며, 클라우드에서도 온프레미스와 동일한 보안 기능을 제공한다.


◇데이터넷
[클라우드 보안-IAM] 탈취한 계정 이용하는 공격자

김선애 기자 boanone@boannews.com
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=151194