9월 10일 열린 PASCON 2024에서 세일포인트의 김환일 부장은 '성공적인 제로트러스트 구현을 위한 필수 요소: AI 기반의 아이덴티티 보안'을 주제로 강연을 진행했다. PASCON 2024는 데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회 후원을 개최됐으며 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황래 개최됐다.
강연에서 김 부장은 디지털 트랜스포메이션의 가속화로 인해 기업 보안 환경이 복잡해지면서 전통적인 보안 모델의 한계가 드러나고 있다고 지적했다. 그는 이러한 변화 속에서 제로트러스트 보안 모델의 중요성이 점점 더 부각되고 있으며, 특히 아이덴티티 보안이 그 핵심 요소로 자리잡고 있다고 설명했다.
◆세일포인트와 아이덴티티 보안
세일포인트는 2005년 미국 텍사스에서 설립된 이래, 아이덴티티 거버넌스 및 보안 분야에서 글로벌 리더로 자리매김했다. 현재 전 세계 3,000개 이상의 고객사를 보유하고 있으며, 포춘 500대 기업 중 46%가 세일포인트의 솔루션을 사용하고 있다. 김 부장은 세일포인트가 미국 NIST의 제로트러스트 아키텍처 프로젝트의 파트너로서 아이덴티티 및 접근 관리 부문에서 중요한 역할을 수행하고 있다고 설명했다.
◆AI 기반 아이덴티티 보안의 필요성
그는 전통적인 보안 모델은 아이디와 비밀번호를 기반으로 접근 관리를 해왔지만, 디지털 트랜스포메이션으로 인해 다양한 SaaS 애플리케이션과 웹 기반 애플리케이션이 도입되면서 보안 환경이 더욱 복잡해졌다고 설명했다. 이어 외주 인력, 벤더사, 자동화 소프트웨어 로봇(RPA) 등 다양한 주체들이 업무에 참여하면서 아이덴티티 관리와 보안의 중요성이 더욱 커졌다며, "AI 기반 아이덴티티 보안은 복잡한 IT 환경에서 필수적인 요소"라고 말했다.
이어 김환일 부장은 아이덴티티 보안 관리가 직면한 현실적 문제를 지적했다. 그는 "기업의 IT 환경이 점점 더 복잡해지고 있으며, 그에 따라 관리해야 할 아이덴티티와 권한의 수가 기하급수적으로 증가하고 있다"고 밝혔다. 그는 1,000개의 아이덴티티, 200개의 애플리케이션, 그리고 3,000가지의 권한을 보유한 기업이 관리해야 할 액세스 포인트는 약 12억 개에 달할 수 있다고 설명했다. 이러한 방대한 데이터와 권한을 수동으로 관리하는 것은 현실적으로 불가능하며, 이로 인해 관리의 공백이 발생하고 보안 취약점이 노출될 위험이 크다고 지적했다.
◆아이덴티티 보안 위협 요소
김 부장은 아이덴티티 보안에서 자주 간과되는 위협 요소에 대해서도 언급했다. 과도한 권한을 보유한 계정, 사용되지 않지만 활성화된 계정(고아 계정), 그리고 SoD(Separation of Duties)와 같은 위험한 권한 조합은 외부 해커뿐만 아니라 내부의 보안 사고로도 이어질 수 있다고 경고했다. 그는 "해커들이 기업 네트워크에 침투했을 때 과도한 권한을 부여받은 계정이나 고아 계정을 악용해 주요 정보에 접근할 수 있다"고 설명했다. 또한, 이러한 권한 관리는 내부자에 의한 사고, 예를 들어 횡령이나 기밀 유출 같은 문제도 발생할 수 있는 중요한 위험 요소라고 강조했다.
◆AI의 역할과 세일포인트의 10단계 구축 방법론
김 부장은 복잡해진 아이덴티티와 권한 관리를 해결하기 위해 세일포인트가 AI 기반 아이덴티티 보안 솔루션을 제공하고 있다고 소개했다. 그는 AI를 활용해 모든 아이덴티티와 권한의 히스토리를 분석하고, 최소 권한의 원칙에 따라 적시에 적절한 권한을 부여하며, 이를 지속적으로 검증하는 것이 필수적이라고 강조했다. 또한 세일포인트는 아이덴티티 일원화, 역할 기반 권한 관리, 정책 수립, 아이덴티티 라이프사이클 관리 등 10단계 구축 방법론을 통해 제로트러스트 보안 모델을 효과적으로 구현할 수 있다고 설명했다.
세일포인트의 AI 솔루션은 아이덴티티 보안 관리에서 컨설턴트 역할을 수행한다고 김 부장은 설명했다. AI는 각 사용자가 보유한 권한의 이력을 분석해 불필요하거나 과도한 권한을 검토하고, 권한 관리 담당자에게 필요한 인사이트를 제공한다. 그는 AI 기반 아이덴티티 보안이 제로트러스트의 핵심 원칙인 "절대 신뢰하지 않고 항상 검증하라"는 철학을 실현하는 데 필수적인 역할을 한다고 말했다.
김 부장은 세일포인트가 앞으로 AI를 통해 아이덴티티 보안 전반에 걸쳐 더 효율적이고 최적화된 솔루션을 제공할 계획임을 밝혔다. AI 기반의 접근은 어플리케이션 연결부터 위험 감지까지 모든 과정에 적용될 것이며, 이를 통해 기업들이 더욱 안전하게 디지털 혁신을 추진할 수 있도록 지원하겠다고 강조했다. 김 부장은 강연을 마무리하며, "세일포인트와 함께 제로트러스트를 구현해 기업만의 아이덴티티 보안 철학을 새롭게 정의하고, 안전하고 신뢰할 수 있는 보안 환경을 구축하길 기대한다"고 말했다.
보다 상세한 내용은 아래 강연영상을 참고하면 되고 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★