“클라우드 보안, 아이덴티티 식별부터” 사이버아크 방법론 들어보니

‘접근 권한 제어’ 현업서 고민 많아
권한 관리 힘들어 반영구적 액세스 허용하기도
일반·클라우드·서버·보안 관리자까지 한 곳서 통합 제어
동영상 로그 형태로 모든 행위 감사 가능

‘대(大) 아이덴티티’ 시대다. 아이덴티티는 보안 식별이 필요한 다양한 요소를 말한다. 멀티 또는 하이브리드 클라우드 환경 전환과 각종 애플리케이션이 늘어나면서 아이덴티티가 대폭 증가했다. 접근 권한을 보유한 인간형과 운영체제(OS), 데이터베이스(DB), 시스템 보안 등과 연관된 비인간형 아이덴티티로 나눌 수 있다.

김광수 사이버아크 부장(솔루션 엔지니어)은 지난 27일 <바이라인네트워크>가 서울시 강남구 과학기술컨벤션센터에서 개최한 ‘클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023’에 연사로 나서 아이덴티티 관리 방법론을 설파했다.

사이버아크(CYBERARK)는 특권접근관리(PAM) 시장 내 유력 기업이다. 아이덴티티 보안 강화를 위한 계정정보 보호와 통합 관리 솔루션을 제공 중이다. 김 부장은 컨퍼런스에서 “클라우드 보안 시작은 특권을 보유한 아이덴티티 식별”이라고 힘줘 말했다.

인간형 아이덴티티는 일반과 클라우드, 서버, 보안 관리자 등으로 나눌 수 있다. 외주 직원도 있다. 현업에선 접근 권한 제어에 대한 어려움을 겪는 중이다. 김 부장은 “현업에서 많이들 ‘고통받고 있다’라고 표현하시는 주요 이슈가 룰 관리 쉽지 않다는 것”이라고 짚었다.

예를 들어, A 사용자에게 최소 권한만 주어야 할 때 마이크로 서비스 형태로 디자인한 뒤 접근을 허용해야 하나, 실상 통째 관리가 이뤄진다. 또 잦은 룰 생성과 변경이 번거로워, 기존 룰을 그대로 사용하거나 잦은 접근이 필요한 아이덴티티에게 그때마다 룰 적용이 아닌 상시 권한을 부여하는 사례도 있다.

김 부장은 “클라우드로 옮겨서 힘들다며 고정 접근 권한을 요구하는데 사이클 관리가 힘들어 반영구적 액세스를 허용하는 형태로 운용되기도 한다. 현업에서 지적한 어려운 챌린지”라며 “클라우드 상 권한 관리가 필요한 룰이 점점 증가해 적재적소 유저에게 적용하기가 어려우나, 전통적으로 온프레미스에 적용한 강력한 보안이 클라우드에서도 필요하다”고 제언했다.

사이버아크는 아이덴티티 보안을 위한 통합 사용자환경(UI)을 제공한다. 동일한 웹 포털에서 클라우드, 서버, 보안 등 관리자별로 세분화해 접근과 룰 적용이 가능하다. 보안 관리자는 동영상 형태의 로그를 볼 수 있다. 사용자가 윈도우, DB, 리눅스 등에서 무엇을 했는지 시간대별로 어떤 명령어를 쳤는지 등 모든 행위를 감사할 수 있다. 당사자에겐 녹화 시 메시지를 띄운다.

이날 발표 중에 김 부장은 ‘정확한’, 정확하게’라는 말을 여러 번 썼다. 접근 권한 제어의 필요성을 거듭 강조한 것이다. 그는 “사용자가 어떤 업무 웹 애플리케이션을 사인(허용)받고 적합한 업무를 하는지 그리고 해당 사용자가 관리자라면 클라우드 액세스 권한 부여를 해서 정확한 시간에 정확한 사용자가 정확한 방법으로 정확한 타깃 시스템에 액세스를 하는지 볼 수 있도록 모듈 형태로 아이덴티티 솔루션을 제공하고 있다”고 설명했다.

글. 바이라인네트워크
<이대호 기자>ldhdd@byline.network