대부분의 네트워크에는 사용자 1,000명당 약 1만 개의 비인간 ID(NHI, non-human identity)가 있다. 이를 관리하는 데는 상당한 작업이 필요할 수 있다. NHI를 보호할 때 집중해야 할 3가지 기본 영역을 소개한다.
서비스 계정, 시스템 계정, IAM 역할, API 키, 토큰, 비밀 및 기타 형태의 인증 정보 등 인간 사용자와 관련이 없는 NHI가 기하급수적으로 증가하면서 보안 사고 및 데이터 유출에도 포함되는 경우가 늘고 있다.
NHI 보안을 위한 접근 방식을 구축하고자 할 때 집중할 주요 영역 3가지를 소개한다.
1. 발견 및 태세
일반적으로 조직의 사용자 1,000명당 약 1만 개의 비인간 연결 또는 인증 정보가 있다. 이는 지속적으로 검색, 파악, 모니터링하는 기본적인 활동이 중요하다는 것을 의미한다.
이런 활동은 내부에서 호스팅 및 관리되는 엔터프라이즈 IT 시스템뿐만 아니라 SaaS 애플리케이션과 같은 외부 환경에서도 이뤄져야 하며, 후자의 경우 가시성 및 모니터링과 같은 추가 과제도 남길 수 있다.
따라서 조직은 강력한 SaaS 거버넌스 프로그램을 갖춰야 한다. 이때 CSA(Cloud Security Alliance)의 클라우드 고객용 SaaS 거버넌스 모범 사례 가이드와 같은 리소스를 활용할 수 있다.
거버넌스 프로그램과 계획을 마련하는 것도 중요하지만, 조직은 자격 증명과 연결이 존재하는 환경인지에 관계없이 NHI 전반에 대한 가시성을 유지할 수 있는 최신 보안 도구를 갖춰야 한다.
가시성은 중요한 첫 단계이자 자산 인벤토리와 같은 기존의 모범 사례에 부합하지만, 여기에는 NHI 리스크의 우선순위를 정하는 데 유용한 컨텍스트를 풍부하게 제공하는 도구도 필요하다. 이런 도구는 연결 맵과 같은 시각화를 통해 연결이 이뤄지는 상황, 시스템, 제품 및 벤더, 관련 리스크를 보여줄 수 있다.
또한 여기에는 각 NHI가 어떤 권한을 갖는지에 대한 인사이트도 포함된다. 제로 트러스트를 광범위하게 지원하려면 NHI에서 어떤 수준의 권한이 활발하게 사용되고 있는지도 파악할 수 있어야 한다. 이를 통해 권한의 규모를 적절히 조정하고 최소 허용 액세스 제어와 같은 제로 트러스트 원칙을 촉진할 수 있다.
시스딕(Sysdig) 보고서에 따르면 적용된 권한 중 실제로 사용되는 권한은 2%에 불과한 것으로 나타났다. 이는 98%의 권한이 실제로 필요하지 않거나 지나치게 부여됐다는 의미다. 최신 버라이즌 데이터 유출 보고서는 이런 인증 정보가 계속해서 공격자의 주요 표적이 되고 있으며 데이터 유출의 주요 벡터 중 하나라고 언급했다.
결과적으로 NHI는 공격자가 침입하기만을 기다리고 있는 셈이며, 공격자가 침입하면 권한 스프롤을 활용해 측면으로 이동하고 민감한 데이터에 액세스하며 조직, 시스템 및 데이터에 영향을 미치는 유해한 조치를 취할 수 있는 것이다.
조직에서 NHI와 관련된 상태를 효과적으로 모니터링 및 관리하려면 다양한 요소를 고려해야 한다. 할당 및 사용 권한 문제, 관련 제품 및 벤더의 평판, 의심스러운 행동과 같은 실시간 런타임 컨텍스트, 최근 보안 침해 또는 보안 사고에 연루된 벤더와 같은 위협 인텔리전스 등의 측면도 있다. 이런 인사이트와 컨텍스트는 조직 내 NHI 리스크를 종합적으로 완화하는 데 사용할 수 있다.
2. 서드파티 침해 대응 및 인증 정보 순환
NHI는 비즈니스 파트너, 고객, 외부 SaaS 업체 등 서드파티와의 연결을 촉진하는 경우가 많다. 서드파티에 보안 사고가 발생하면 NHI도 영향을 받을 수 있다는 의미다. 이런 NHI를 위해 강력한 서드파티 침해 대응 및 인증 정보 순환이 필요하다.
침해 대응 활동의 첫 단계는 실제로 영향을 받았는지 파악하는 것이며, 여기에는 사고를 경험한 서드파티로부터 영향을 받은 인증 정보를 신속하게 식별하는 역량이 중요하다. NHI가 무엇에 연결돼 있는지, 누가 이를 활용하고 있는지, 중요한 비즈니스 프로세스를 중단하지 않고 어떻게 교체할 수 있는지 파악해야 하며, 그렇지 못하더라도 최소한 교체 전까지 영향 관련 사항을 이해할 수 있어야 한다.
보안 사고에서 속도는 생명이다. 문서화된 프로세스, 가시성 및 자동화를 통해 공격자를 앞질러 대응 시간을 단축하는 역량이야말로 서드파티 침해로 인한 직접적인 영향을 최소화하게 될지 혹은 사고 영향을 받은 조직 목록에 이름을 올리게 될지를 결정한다.
3. 태세를 넘어서는 ‘이상 징후 탐지’
상태 관리가 기본적인 보안 활동이라는 점은 잘 알려져 있지만 이것이 만병통치약은 아니다. 조직의 NHI와 관련된 비정상적 활동을 적극적으로 탐지할 수 있어야 무엇이 정상적인 행동이고 무엇이 잠재적 위협 또는 악의적 활동 같이 우려해야 할 원인인지를 파악할 수 있다.
의심스러운 행동은 IP, 지리적 위치, 인터넷 서비스 업체(ISP), API 활동 등 다양한 요소를 활용해 판단할 수 있다. 이런 요소가 NHI와 관련된 기본 활동에서 변경되면 악의적인 활동을 나타내며, 공격이나 침해가 확인되면 추가 조사가 필요하거나 심지어 해결이 필요할 수 있다.
하지만 보안팀은 정기적으로 업무가 과중되고 있으며, 조직의 전체 애플리케이션 및 서드파티 생태계에 대한 깊은 이해와 할당된 권한 및 관련 사용량에 대한 인사이트가 부족한 경우가 많다.
그렇기 때문에 NHI를 보호하는 많은 최신 보안 도구가 비밀을 순환하거나 할당된 권한을 줄이는 등의 수정 워크플로우를 자동화할 수 있는 가드레일을 제공하고 있다. 보안 도구는 기존 보안 스택과 통합할 수 있는 기능을 제공해 SOC 및 보안팀이 신속하고 효과적으로 대응하도록 지원해야 한다.
3가지 영역을 하나로 통합
검색 및 상태 관리, 서드파티 침해 대응, 이상 징후 탐지를 통합해야 조직은 NHI와 관련된 위험에 미리 대비할 수 있다.
내부 및 외부 시스템에 수만 개의 NHI가 분산돼 있는 현대 조직의 문제 규모를 고려하면, 이런 리스크를 수동으로 해결하겠다는 생각은 비현실적이다. 이 작업을 대규모로 수행하려는 조직은 최신 ID 및 권한 관리(IAM), ID 위협 탐지 및 대응(ITDR) 도구를 활용해야 한다.
* Chris Hughes는 IT/사이버 보안 분야에서 20년 가까이 경험을 쌓아온 전문가다. Aquia의 공동 창립자이자 CISO로 재직하고 있으며, 캐피톨 기술 대학과 메릴랜드 대학 글로벌 캠퍼스의 MS 사이버 보안 프로그램의 겸임 교수로 활동하고 있다.
dl-ciokorea@foundryco.com
