오늘날의 디지털 환경은 기업 운영에 많은 변화를 가져왔다. 기업의 디지털 자산은 계속 확장되고 있으며 자동화와 스마트 기기에 대한 의존도가 빠르게 증가하면서 관리해야 할 아이덴티티도 폭발적으로 증가하고 있다. 세일포인트가 2022년 발간한 조사 보고서에 따르면 기업들이 관리해야 하는 아이덴티티의 수는 향후 3년 이내 10% 이상 증가할 것으로 나타났다.
이미 대부분의 기업들은 정규직과 더불어 머신 아이덴티티와 서비스 계정 같은 인간이 아닌 아이덴티티를 대량으로 운용하고 있다. 논휴먼 아이덴티티는 여러 클라우드 플랫폼 전반에 걸쳐 존재하며 관리 주체가 다양해 일관적으로 모니터링하고 관리하기가 어렵다. 즉 사이버 공격에 대한 취약점이 늘어남을 의미한다.
더 이상 데이터가 위치한 물리적 공간을 보호하는 기존 보안 전략은 의미가 없다. 이제 데이터가 여러 플랫폼과 디바이스에 걸쳐 분산 저장되는 상황에서 레거시 시스템은 현대 보안 솔루션과 잘 호환되지 않는다. 그렇기에 레거시 시스템은 필연적으로 수동적인 방법으로 액세스를 관리할 수밖에 없다. 또한 수백 명에 달하는 사용자들의 로그인과 비밀번호를 지속적으로 확인해야 하고 사람의 실수로 인한 비인가 액세스가 발생할 확률이 높아 효율적으로 관리하기가 어렵다. 이는 아직까지 45%에 달하는 기업들이 수동으로 아이덴티티 보안 시스템을 가동하고 있는 점을 고려한다면 우려스럽지 않을 수 없다.
기존 보안 솔루션으로는 AI 시대의 새로운 리스크에 대응할 수 없다. 많은 기업들이 AI 기반의 엔터프라이즈 애플리케이션을 도입해 혁신을 가속화하는 시점에서는 더더욱 그렇다. 최근에는 AI가 데이터셋을 기반으로 학습하는 점을 노려 데이터셋 자체를 조작하는 등의 수법이 크게 유행하고 있다. 그러나 레거시 보안 솔루션은 AI 시스템의 취약점을 직접 노리는 첨단 수법에는 전혀 대비되어 있지 않다.
반면, 아이덴티티 중심의 보안 접근법은 각 시스템과 기기 전체를 전수 검사하지 않는 대신 액세스를 요청하는 특정 아이덴티티에 주목한다. 기업 내 인력들이 맡은 업무에 기반해 아이덴티티와 액세스를 확인함으로써 일관적이고 효율적인 관리가 가능하게 한다. 특히 기업의 규모가 커질수록 복잡해지는 구성원들의 액세스를 필요한 업무와 역할에 맞춰 분류 및 정리해 인가되지 않은 액세스를 원천 차단할 수 있다.
특히, 기업의 규모가 커질수록 복잡해지는 구성원들의 액세스를 유사한 역할에 맞춰 분류하고 정리하여 인가되지 않은 액세스를 원천 차단한다.
이 외에도 아이덴티티 중심의 보안은 여러가지 이점을 제공한다. 첫째, 모든 사용자 계정, 머신 아이덴티티, 애플리케이션 등을 단일 플랫폼으로 관리할 수 있어 복잡하게 분산된 각각을 별도로 모니터링하고 관리할 필요가 없어진다. 둘째, 아이덴티티 중심 전략은 기업 자산에 액세스 하는 모든 아이덴티티에 대한 통합된 가시성을 제공한다. 기업들은 이를 통해 각 아이덴티티가 업무 수행에 필요한 도구에만 액세스할 수 있는 최소한의 권한을 시의적절하게 제공할 수 있다. 이는 유출된 인증 정보나 인가되지 않은 액세스로 발생할 수 있는 피해를 최소화할 수 있어 중요하다.
전통적인 보안 솔루션만으로는 AI와 함께 대두된 새로운 리스크에 대응할 수 없다. 특히 많은 기업들이 혁신을 가속화하기 위해 AI 기반의 엔터프라이즈 애플리케이션을 도입하고 있는 상황 속에서는 더더욱 그렇다. AI는 데이터셋을 기반으로 학습하기 때문에 최근 사이버 범죄자 사이에서는 데이터셋 자체를 조작하는 등의 수법이 유행하기 시작했다. 물론 전통적인 보안 솔루션은 이미 알려진 사이버 리스크에는 대응할 수 있지만 AI 시스템의 취약점을 노리는 첨단 수법에는 전혀 준비가 되지 않았다.
무엇보다 아이덴티티 중심의 보안 전략은 역동적인 비즈니스 환경과 기업의 성장에 맞춰 조정할 수 있다. 클라우드 도입과 분산된 인력 구조에 따라 급증하는 아이덴티티와 액세스 요청을 모두 처리할 수 있는 점이 핵심이다. 또한 중요 아이덴티티 보안 기능을 연결된 모든 애플리케이션에 적용해 보안 정책과 액세스 제어 등을 간소화함으로써 일괄적으로 전 조직에 걸쳐 실행할 수 있도록 한다.
결론적으로, 기업들은 아이덴티티를 중심으로 사이버 보안 전략을 수립해야 데이터와 자산을 안전하게 보호할 수 있다. 특히 새로운 유형의 사이버 위협이 계속 나타나는 지금 아이덴티티 보안을 통한 한층 강화된 보안으로 비즈니스 성장을 도모할 때다.
[글. 세일포인트 코리아 지정권 지사장 / jeonggwon.jee@sailpoint.com]
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★