[IT 소식] 이젠 사람의 아이덴티티만이 아니라 ‘워크로드 아이덴티티’도 보호해야 한다

 

 

이젠 사람의 아이덴티티만이 아니라 ‘워크로드 아이덴티티’도 보호해야 한다


사람만 신원을 가지고 디지털 세계에서 비대면으로 활동하는 게 아니다. 이제는 소프트웨어와 소프트웨어, 혹은 인프라에서 인프라로 넘어가는 워크로드들도 비대면으로 활동을 한다. 따라서 보호해야 할 신원이 대폭 늘어난다.

[보안뉴스 문가용 기자] 팬데믹은 원격 근무 체제를 활성화시켰고, 그러면서 클라우드의 도입을 가속화했다. 이제 어느 조직이나 원격 근무자들을 위한 디지털 인프라를 갖추려 하고 있다. 하지만 그러면서 내부자 위협이라는 보안의 불안 요소들이 재정립 되고 있으며, 보안 담당자들은 사실상 조직 내 모든 사람을 위험 요인으로서 지켜봐야 하는 상황에 처하게 됐다.

[이미지 = utoimage]

그러니 사이버 공격자들이 클라우드 및 관련 인프라를 계속해서 노리게 된 건 자연스러운 흐름이다. 공격자들은 크리덴셜 스터핑, 피싱 등과 같은 갖가지 기법으로 우리의 새로운 인프라를 들쑤시기 시작했다. 2021년 발생한 웹 애플리케이션 공격의 약 85%는 도난당한 크리덴셜을 활용한 공격이었고, 70%는 피싱 공격과 신원 사칭과 같은 공격으로부터 시작된다는 통계가 나오고 있는 상황이다.

“크리덴셜 스터핑이나 피싱은 공격자들에게 있어 새로운 전략이 전혀 아닙니다. 그렇지만 그 낡은 전략을 써먹을 곳이 기하급수적으로 늘어나고 있어서 잘 통하는 겁니다. 수법은 늘 써왔기 때문에 익숙한데, 늘 새롭게 당해줄 곳들도 넘쳐나는 게 지금 상황이라는 것이죠.” 보안 업체 아티보 네트웍스(Attivo Networks)의 수석 보안 고문인 캐롤린 크랜들(Carolyn Crandall)의 설명이다.

“하이브리드 근무 체제가 급속도로 유행하면서 많은 기업들이 AWS와 애저 환경으로 이동하는 경우가 빠르게 늘어났습니다. 보안 담당자들로서는 도무지 감당하기 힘든 상황이 된 것이죠. 그러니 공격자들은 기술을 연마하거나 새로운 뭔가를 날카롭게 벼려서 들고 나올 필요가 없어졌습니다. 보안 담당자들이 미처 다 보지 못하는 곳만 노리면 되니까요. 그것도 자신들이 늘 써와서 익숙해진 전략을 가지고 말이죠. 공격자로서는 유리하고, 방어자로서는 불리한 상황일 수밖에 없습니다.”

이런 흐름에서 크리덴셜을 기반으로 한 공격이 제1의 위협으로 떠오르고 있는 것도 자연스럽다. 마이크로소프트는 2021년 한 해 동안 크리덴셜을 훔쳐 악의적으로 로그인하려는 시도를 260억 회 차단했다고 주장할 정도이며, 아카마이는 2020년 크리덴셜 관련 공격을 1930억 회 막았다고 주장한다. 참고로 아카마이의 기록은 2019년에 비해 31% 증가한 수치이기도 하다.

하지만 아이덴티티 관련 공격이 ‘크리덴셜 탈취 및 사기 로그인’으로만 구성되어 있는 건 아니다. 기업들이 비상 상태 시 회복력을 높이기 위해 다양한 클라우드 서비스를 동시에 활용하기 시작하자 공격자들은 ‘클라우드와 클라우드 간의 연결 고리’도 노리기 시작했다. MS의 부회장인 알렉스 시몬스(Alex Simons)는 “이 클라우드에서 저 클라우드로 이동하는 워크로드의 아이덴티티의 수가 급증했고, 이것을 노리는 것이 가능하다는 걸 공격자들이 익혀버렸다”고 설명한다.

“소프트웨어들은 다른 소프트웨어와 연동하며 워크로드를 주고받습니다. 이렇기 때문에 서로 ‘호환’이 되는 건데요, 소프트웨어들끼리도 아무 소프트웨어와 이야기를 하지 않습니다. 먼저 서로의 신원을 확인해야 그 다음 절차를 이어갈 수 있죠. 그래서 소프트웨어 혹은 워크로드에 아이덴티티가 부여됩니다. 공격자들이 노리는 것이 바로 이것(워크로드 아이덴티티)이고요. 따라서 각 사용자 기업들이 이를 관리해야 할 필요가 있습니다. 심지어 각 임직원의 아이덴티티보다 워크로드 아이덴티티가 훨씬 더 많은 상황이기도 하니까요.”

클라우드도 이제 공격 통로

시몬스는 “가상기계, 컨테이너 등 많은 업체들에서 도입 중인 기능들이 클라우드 워크로드”라고 설명한다. 90% 이상의 기업들이 멀티클라우드 전략을 도입했고, 이 때문에 기업의 인프라는 훨씬 더 복잡하게 이어지고 있습니다. 구조가 복잡하면 복잡해질수록 보안은 더 약화되고요. 실제로 많은 고객사들이 설정 때문에 어려움을 호소하고 있습니다. VM웨어와 AWS 등 여러 가지 솔루션을 도입하고 나니 무슨 일이 벌어지고 있는지 파악하기가 힘들다는 것이죠.“

게다가 모든 가상기계와 컨테이너, 각종 클라우드 워크로드 하나하나 권한을 관리해주기도 해야 한다. 하지만 잘 되지 않고 있다. 크랜들은 “인간의 아이덴티티만 해도 관리가 잘 안 되고 있는 상황에서, 비인간 아이덴티티(즉 워크로드 아이덴티티)까지 신경을 쓰려니 안 되는 게 당연하다”고 말한다. “우리는 다중 인증을 도입했으니까 접근 통제가 제대로 이뤄지고 있어, 라고 여기는 시대가 지나갔습니다. 이제는 더 세밀하고 깊이 들어가야 합니다. 왜냐하면 우리가 보호해야 할 아이덴티티의 종류가 늘어났기 때문입니다.”

아이덴티티 관련 공격은 대부분 피싱이라는 기법으로부터 시작된다. 크리덴셜을 가져가려는 시도의 70%가 피싱을 통해 이뤄질 정도다. 이렇게 해서 거머쥔 크리덴셜은 각종 브로커들과 판매상들에게 팔리며, 이 자원은 사이버 범죄 시장 안에서 돌고 돌아 추가 피해를 여기 저기서 일으킨다. “그런데 이중에 높은 권한이 가진 계정의 크리덴셜이 포함되어 있다면 어떻게 될까요? 해커들은 그 회사의 네트워크를 가로 세로로 휘저을 수 있게 됩니다.”

방어

“공격이 이런 식으로 이뤄지고 피해가 이런 과정으로 대부분 발생한다는 건 비밀번호에 대한 우리의 의존도가 지나치게 높다는 걸 시사한다”고 포레스터 리서치(Forrester Research)의 부회장인 안드라스 체르(Andras Cser)는 설명한다. “비밀번호는 고대 유물입니다. 전혀 쓸모가 없어요. 100% 쓸모 없는 요소라는 겁니다. 그런데다가 ‘안전하다’는 잘못된 느낌을 주므로 쓸모 없다는 말로는 부족합니다. 해롭습니다.”

그래서 보호해야 할 아이덴티티가 기하급수적으로 늘어난 상황에서 더 기본에 충실해야 한다고 체르는 설명한다. “기본 보안 위생에 철저한 조직들은 피싱과 크리덴셜 스터핑과 같은 공격을 98% 확률로 차단하고 있습니다. 공격을 진행시킬 통로가 크게 늘어났다고 하더라도 결국 피싱으로 시작한다는 건 대동소이하니까요. 또한 다중 인증 시스템을 보다 넓은 영역에 도입시키는 게 중요합니다. 비밀번호가 도난당했을 때 즉각적인 조치를 취하도록 하는 정책도 도입해야 하고요.”

체르는 또한 지속적인 모니터링의 중요성도 강조한다. “기업 자원에 누가 접근하는지를 우리는 계속해서 지켜봐왔죠. 워크로드 아이덴티티를 관리한다는 건 이제 ‘기업 자원에 무엇이 접근하는가’를 파악하는 거라고 볼 수 있습니다. ‘누가’가 ‘무엇’으로 확대된 겁니다. 그리고 ‘접근할 권한이 더 이상 필요하지 않다’고 생각된다면 그게 누구든 무엇이든 권한을 즉각 삭제해야 합니다.”

그 다음 중요한 건 오래된 소프트웨어나 솔루션들과의 호환성 때문에 취약한 버전을 유지하거나 다운그레이드하는 식의 생산성 유지 관리 전략을 탈피하는 것이라고 체르는 강조한다. “오래된 소프트웨어와 취약점은 공격자들이 너무나 잘 알고 익숙하게 익스플로잇 하는 공격 통로입니다. 업그레이드 및 업데이트를 하지 않는다는 건 위험을 알고도 방치하는 것과 다름이 없습니다. 물론 오래된 것들을 지우는 건 쉽지 않은 작업입니다. 그러나 새로운 환경으로 넘어가고 싶다면 반드시 거쳐야 할 과정입니다.”

3줄 요약
1. 원격 근무자들이 늘어나면서 ‘워크로드 아이덴티티’라는 게 기하급수적으로 늘어남.
2. 그렇기 때문에 ‘임직원 아이덴티티’와 ‘워크로드 아이덴티티’ 모두를 보호해야 하는 상황.
3. 보호할 게 많아지긴 했지만 기본에 충실할수록 방어 효과가 커진다는 건 마찬가지.



출처  : 보안뉴스
https://www.boannews.com/media/view.asp?idx=105408