2023년 3월 23일 데일리시큐 주최 상반기 최대 공공, 금융, 기업 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2023이 1,300여 명의 보안실무자가 참석한 가운데 성황리 개최되었다.
이 자리에서 이데아텍 오준서 부사장은 ‘제로트러스트 환경에서 필요한 사용자 인증 보안 전략’을 주제로 강연을 진행했다.
IT환경이 많이 변화되고 있다. 다양한 디바이스가 생산이 되고 있으며 또한 코로나를 겪으면서 근무 환경도 변화가 있었다. 또한 클라우드라는 저장공간으로 데이터가 모여서 운용되고 있다. 이러한 복잡해지고 급속한 환경의 변화는 보안 입장에서 보면 많은 위협들의 출현으로 이어졌다.
예전에는 고정된 PC로 회사내의 특정 시스템에 접속하는 환경이였다면, 노트북, 테블릿, 스마트폰 등 다양한 디바이스로 업무를 진행할 수 있는 환경이 되었으며, 특히 코로나로 인해 원격근무 환경이 되면서 사용자에 대한 인증이 매우 중요한 요소가 되었고, 클라우드라는 공간에 접속하기까지의 서비스 기반 시설이 오픈 API로 네트워크 변화가 되었다.
즉 디바이스 단말부터 특정공간 접속까지의 모든 사용자 및 단말기, 관련 제어, 감시, 관리가 현실적으로 불가능하게 되었다. 그래서 제로트러스트 관점에서는 아무도 신뢰하지 말 것을 말하고 있다.
이러한 복잡한 환경에서 전통적인 차단의 중점 전략보다는 인증의 중점 전략이 중요하다고 말하고 있다. 차단의 중점으로 운용하다보면 반드시 예외 사항 요청이 발생하게 되며 그것은 보안의 홀이 되고 정책에도 맞지 않게 된다.
그래서 제로트러스에서는 인증에 중점을 두는 전략이다. NIST에 따르면, 누구를 어떻게 누락없이 탐지하고 식별할 수 있는가?라고 질문을 던지고 다. 가시성의 확보라고 하는데, 그 방법은 사용자 및 컨텍스트, 데이터접근통제, 위치, 앱, 단말보안의 확인을 언급하고 있는 것이다.
이것은 결국 어떤 방법이든 당신이 누구인가?에 대한 확인이 필요하고 그것에 대한 인증하는 것이 제로트러스트 관점에서 세일즈하고자 하는 솔루션 업체들이 제안하는 기본 내용이다.
작년 4월 과기정통부에 따르면 원격으로 접속하는 모든 제품은 제로트러스트 관점에서 사용자 인증을 추가로 할 것을 강력 권고하고 있다. 심지어 제로트러스트 제품이라고 세일즈하고 있는 NAC제품 자체도 사용자에 대한 추가 인증을 할 것 권고하고 있다.
이데아텍 오준서 부사장은 “이데아텍은 사용자가 클라우드에 접속하기까지 여러가지 보안중에 제로트러스트 관점에서 가장 기본이 되는 사용자에 대한 인증과 서비스 기반시설이 되는 오픈 API 관리플랫폼에 대해 제품 및 구축 사례를 확보하고 있다”고 말했다.
이데아텍 ‘아이원패스’는 FIDO(Fast Identity Online) 기반의 사용자 인증 솔루션다. 소유기반과 속성기반이 결합된 아이원패스는 보안강도가 가장 높다는 것이다.
‘아이원 에이피아이 게이트웨이’는 오픈 API 관리 플랫폼으로 API에 대한 인증인가를 비롯해 API에 대한 관리하는 솔루션이다.
한편 두 개의 제품에 대한 결합된 구축 사례도 보유하고 있다. 또한 글로벌제품 세일포인트 IAM 제품과 아이원패스와 연동하여 제로트러스트 시장을 공략하고 있다고 설명했다.
오준서 부사장은 “얼마전 온라인 마켓에 대한 사고를 포함해 많은 기사는 결국 ID/PWD에 대한 문제를 지적하고 있다. 아이원패스는 FIDO 기반의 사용자 인증 솔루션으로 Passwordless와 2단계인증을 구현할 수 있는 솔루션으로 국제표준을 준수하고 있는 제품”이라고 밝히고 또 “공공부문 IT시스템은 2025년까지 클라우드 100% 전환 기사를 포함해서 오픈API에 대한 관리플랫폼이 중요지고 있는 가운데 관리 내용중 API 사용에 대한 인증/인가 기능도 중요해 지고 있다. 아이원 에이피아이 게이트웨이는 API인증인가를 포함해서 중계, 관리, 연계 등 오픈API 서비스를 구성하기 위한 풀라인업된 솔루션”이라고 소개했다.
G-PRIVACY 2023 이데아텍 오준서 부사장의 강연 자료는 데일리시큐 자료실에서 다운로드 가능하며, 보다 상세한 내용은 아래 강연영상을 참고하면 된다.
★정보보안 대표 미디어 데일리시큐!
