[웨비나 중계] “AI기반 아이덴티티 보안의 모든 것”
글로벌 아이덴티티 보안 솔루션 기업 세일포인트는 지난 16일 바이라인플러스를 통해 ‘디지털 전환 시대의 필수! AI기반 아이덴티티 보안의 모든 것’이라는 주제로 웨비나를 개최했다.
이 웨비나를 통해 세일포인트는 현재 보안 침해사고 현황을 공유하고 이를 막기 위한 아이덴티티 보안의 중요성과 현재의 기술 트렌드, 세일포인트 플랫폼의 특징 등을 설명했다.
지정권 세일포인트 한국 지사장을 비롯, 세일포인트에서 제품 및 마케팅을 담당하는 벤 코디(Ben Cody)와 자이쉬르 수브라마니아(Jaishree Subramania), 이윤혁 차장, 김시윤 상무, 김환일 부장, 이성호 PwC컨설팅 전무 등이 발표자로 나섰다.
아래는 각 발표를 요약한 내용이다.
지정권 세일포인트코리아 지사장
클라우드 계정 현황 보고서에 따르면, 올해 이미 83%의 조직이 보안 유출 사고를 경험을 했고 그 중 절반이 5회 이상의 보안 유출 사고가 있었고, 또 20%는 10회 이상을 경험했다는 보고서가 있습니다.
기존의 임직원 계정 탈취를 넘어 계약직, 공급업체, 협력업체 등 제3자로 점점 확대돼 있고, 로봇이나 서비스 계정 등으로 계정 탈취 활동으로 점차 확대되고 있는 상황입니다.
각 정부는 사이버 위협이나 데이터 위협에 대한 규제를 점점 강화하고 있고. 기술의 진화에 따라 비례해서 위험 또한 증가하고 있습니다. 또 어디서나 애플리케이션과 데이터에 접근할 수 있는 오퍼레이션 애니웨어(Operation Anywhere) 환경도 점점 확대되고 있습니다.
이런 환경에서 가장 중요한 것은 ‘누가 무엇을 사용하고자 하느냐’ 하는 것을 즉시에 판단하고 즉시에 대응할 수 있는 능력을 갖춰야 합니다.
조직의 아이덴티티 보안의 채택을 방해하는 요소는 예산 부족 문제와 기술적인 접근이 제한을 받는 경우입니다. 세일포인트는 이런 문제를 해결할 수 있는 아틀라스라는 통합 아이덴티티 보안 플랫폼을 가지고 있습니다.
아틀라스는 세 가지 특징을 가지고 있습니다. 우선 통합된 인텔리전스의 단일화된 창을 통해서 실제로 어떤 사용자가 어디에 엑세스하는지, 또는 어떤 사용자가 어디에 억세스 할 수 없는지를 구분합니다. 두 번째는 AI에 기반으로 워크플로우와 통합해 인적 개입이 가장 적은 자동화 플랫폼을 구현했습니다. 마지막으로 다양한 커넥터를 통한 통합 환경을 구축했습니다.
세일포인트는 2005년 설립 이후 아이덴티티 보안 외길만 20년 걸어온 기업입니다. 미국 포춘 500대 기업의 48%가 세일포인트를 사용하고 있고, 포브스 2000 기업의 24%가 저희 솔루션을 사용하고 있습니다.
비즈니스 가치를 높이는 통합 아이덴티티 보안 (Ben Cody & Jaishree Subramania)
사이버 보안 사고의 90%는 아이덴티티와 관련돼 있다는 점에서 아이덴테티 보안은 가장 중요한 보안입니다. 하지만 조직의 44%는 아직 아이덴티티 보안 도입 안 한 상태입니다.
통합 아이덴티티 보안에 필요한 핵심 요소를 세 개로 꼽을 수 있습니다.
- 모든 인사이트와 리스크를 종합하는 공통 플랫폼 필요합니다. 현명한 의사결정을 위한 필수적인 기반입니다
- 모든 아이덴티티를 지원해야 합니다. 조직에 소속한 직원뿐 아니라 협력업체와 서드파티는 물론 비인간 아이덴티티와 클라우드 권한, 특수 권한 계정의 아이덴티티까지 지원해야 합니다.
- 이 모든 요소를 하나로 연결하는 자동화가 필요합니다.
이를 위한 세일포인트의 새로운 기능을 소개하겠습니다.
애플리케이션 온보딩입니다 직관적인 AI 기반의 추천엔진을 사용해서 애플리케이션을 발견하고 설정하는 새로운 자동화 기능입니다. 앱 온보딩은 업계 초기부터 까다로운 문제였습니다. 저희는 앱 온보딩 시간을 줄였습니다.
예를 들어 관리되지 않던 애플리케이션을 찾아내 최적의 연결 유형을 추천합니다. AI 추천 기능을 활용해서 해당 아이덴티티를 계정과 연결합니다. 일일이 설정하지 않아도 됩니다. 단 한번의 클릭으로 설정할 수 있습니다.
생성형 AI를 이용한 권한설명도 새로운 기능입니다. 앱을 온보딩하면 수많은 권한이 생기는데 그에 대한 설명이 필요합니다. 조사에 따르면 시스템 권한의 60%는 설명이 전혀 없다고 합니다. 있어도 부실한 경우가 많고요. 그래서 생성형 AI로 권한을 설명하는 기능을 마련했습니다. 저희는 앞으로 LLM과 AI를 활용한 다양한 기능을 출시할 예정입니다.
비직원 리스크 관리 시스템에도 새로운 기능이 추가됐습니다. 역시 온보딩 시간 단축을 목표로 합니다. 저희가 제공하는 다양한 템플릿을 사용하면 IT 협력업체, 감사업체, 판매 딜러, 중개인의 아이덴티티를 쉽게 관리할 수 있습니다.
세일포인트는 민감한 데이터나 클라우드 인프라에 대한 엑세스 권한 관리 솔루션도 가지고 있습니다. 이 솔루션의 가장 큰 장점은 아이덴티티 시큐리티 클라우드에 인증 검토 기능이 통합돼 모든 데이터 엑세스와 애플리케이션 엑세스를 한 곳에서 확인하면서 최적의 결정을 내릴 수 있다는 점입니다. 이를 통해 궁극적으로 사각지대를 없앨 수 있습니다.
저희 솔루션은 클라우드 아이덴티티도 통합적으로 관리할 수 있습니다. CIEM(Cloud Infrastructure Entitle Management)이라고 부르는 이 솔루션은 이제 AWS Identity Conter 프로비저닝을 지원합니다.
리스크 커넥터라는 기능은 사용자의 애플리케이션 사용을 관찰합니다. 사용자가 로그인을 하면 그 빈도를 확인한 다음 관리자가 해당 아이덴티티의 엑세스 권한을 계속 유지할지 판단할 수 있게 지원합니다.
오래전부터 저희는 정규직 아이덴티티에 초점을 맞춰 왔습니다만, 이제는 비직원 및 비인간 아이덴티티 솔루션도 갖췄습니다. 또 라이프사이클 관리를 비롯해 컴플라이언스, 인증, 엑세스 모델링, 분석 기능, 리스크 관리 데이터 액세스 보안 계층, 비직원 관리 기능도 마련했습니다. 이는 아틀라스 플랫폼에서 구동됩니다. 통합 데이터 모델을 바탕으로 고객이 아이덴티티를 실시간으로 보호할 수 있습니다.
세일포인트는 항상 고객과 함게 해왔으며 믿을 수 있는 솔루션을 제공해왔습니다.
아이덴티티 보안이란 (이윤혁 세일포인트 차장)
기업에서 아이덴티티란 무엇일까요? 첫번째, 임직원이나 계약직, 협력사, 관계사, 외주업체 모두가 하나의 아이덴티티가 될 수 있습니다. 업무의 자동화를 위한 봇, 서비스 계정, 워크로드 등도 하나의 머신 아이덴티티로 분류할 수 있습니다. 기업 내의 아이덴티티는 다양한 시스템으로부터 확인이 돼야 합니다.
세일 포인트는 개별 시스템에 존재하는 계정과 권한을 식별하고 수집하기 위해 다수의 커넥터를 제공하고 있습니다. 수집된 정보들은 누가 어느 시스템에 어떤 권한을 보유하고 있는지 파악할 수 있도록 합니다. 이렇게 해야 계정과 권한의 현재 상태를 확인하고 이를 조정할 수 있는 아이덴티티 보안의 기반을 형성하게 되는 겁니다.
이것만으로 아이덴티티 보안을 완전히 구현했다고 말하긴 어렵습니다. 세일포인트는 완전한 아이덴티티 보안을 위해 아이덴티티 관련 거버넌스를 갖추고, 라이프 사이클 이벤트가 발생했을 때 이와 관련된 감사 정보를 확인하고 저장합니다.
아이덴티티 보안에 대한 세일 포인트의 차별성은 다음과 같습니다.
첫 번째 인텔리전스입니다. 세일포인트는 모든 아이덴티티의 정보를 지속적으로 학습합니다. 동일 속성을 가지고 있는 아이덴티티를 분석해 유사 속성 그룹을 도출하고 유사성의 범위에서 벗어나는 아이덴티티 정보를 함께 제공합니다. 이런 정보를 기반으로 담당자는 쉽고 빠르게 아이덴티티 보안을 적용할 수 있습니다.
두 번째로 오토메이션입니다. 세일포인트는 고객 내부 프로세스에 맞춘 워크플로우를 통해 아이덴티티 관리 그리고 프로세스를 자동화하고 간소화합니다.
마지막으로 통합입니다. 세일 포인트는 클라우드 온프레이미지를 구분하지 않고 고객사에서 사용되는 모든 시스템과 통합하게 됩니다. 단순히 연결 연동하는 것이 아니라 계정, 권한, 행위 정보와 같은 정보들을 수집하게 됩니다. 다른 보안 솔루션과도 연동하여 실시간 아이덴티티 보안 체계를 구성할 수 있도록 지원합니다.
패러다임을 바꾸는 AI 기반 아이덴티티 보안 (김시윤 세일포인트 상무)
세일 포인트는 2017년에 업계 최초로 AI를 아이덴티티 보안에 적용하였습니다. 권한 리뷰 시 승인 및 거부를 위한 추천을 처음 제공했습니다. 제러트러스 보안의 최소 권한 원칙을 구축하는 첫 번째 프로세스였습니다. 2020년에는 롤 마이닝 기능과 자동으로 롤을 추천하고 업데이트하는 롤 인사이트 기능을 제공했습니다. 2021년에는 이상 권한 보유자를 식별하는 기능을 도입했습니다. 이는 이상 권한을 회수함으로써 제로트로스의 최소 권한 원칙에 다가가는 혁신적인 AI 기능입니다. 2022년에는 공통 권한 생성이나 2023년 롤 디스커버리 기능이 도입됐습니다.
2024년에는 생성 AI를 통해 자동으로 권한 설명을 생성하는 애플리케이션 온보딩 시 소스의 계정과 권한을 분석하여 온보딩을 쉽게 하는 기능을 출시했습니다. 자연어 검색을 더 쉽게 만들어 달라는 고객의 요청에 의해 진행되고 있으며 곧 지원될 예정입니다.
세일포인트 AI는 마케팅을 위한 메시지가 아닌 사람이 더 이상 하기 어려운 일들을 지원하는 실제 사용 가능한 기능입니다.
권한 리뷰의 중요성은 누구나 인식하고 있지만 검토자의 결정은 매우 어렵습니다. 검토자가 실제로 검토하지 않고 일괄 승인하는 경우도 많습니다.
세일포인트 AI는 조직 내의 모든 권한을 분석하고 각 직원의 부서, 직급, 근무 지역 등을 학습하여 불필요한 권한을 가진 아이덴티티를 식별합니다. 권한 검토자가 정확하고 신속한 승인 또는 거절을 할 수 있도록 추천 기능을 제공하고, 최적화된 롤을 생성하도록 추천합니다.
세일포인트의 AI 기반 솔루션은 권한 리뷰의 혁신을 이끌어 기업이 디지털 환경에서 안전하고 신뢰할 수 있는 아이덴티티 보안을 유지하도록 돕습니다.
세일포인트는 롤 기반 접근 방식을 통해 복잡한 권한 구조를 단순화하고 일관성 있게 관리할 수 있도록 지원하고 있습니다. 롤은 만 명의 사용자, 1000개의 애플리케이션, 애플리케이션별 100개의 권한의 조합만으로도 수십억 개의 조합이 생성되기 때문에 이를 사람의 힘으로 효율적으로 관리하기는 매우 어렵습니다. 세일포인트는 이러한 문제를 해결하기 위해 AI 기반의 자동화된 롤 관리 기능을 제공합니다.
세일포인트의 AI는 최소 권한을 유지 및 최적의 롤을 관리해 아이덴티티 보안을 강화하고 효율성을 높이며 컴플라이언스를 준수할 수 있도록 지원합니다.
아이덴티티, 거버넌스 너머의 보안 (김환일 부장)
세일포인트는 아이덴티티 시큐리티 클라우드를 제공하고 있습니다. 이 솔루션은 직원뿐만 아니라 협력업체 및 모든 아이덴티티를 가진 사용자의 정보를 한 곳에서 한눈에 관리할 수 있게 일원화하여 통합 데이터 모델을 구축합니다. 이 데이터 모델은 인공지능을 바탕으로 구성되며 위험 조합에 대한 인사이트를 제공하고 통제할 수 있는 힘을 제공합니다. 아이덴티티 관리의 복잡한 구성을 로코드, 로코드 기반의 워크플로우로 사용자 정의하여 구성할 수 있게 하여 보다 쉽고 유연하게 프로세스화할 수 있도록 하였습니다.
아이덴티티 운영팀의 업무 범위 확장을 위해 아이덴티티 시큐리티 클라우드에서는 제공하는 모든 데이터를 통합하여 이 모델을 바탕으로 모든 접근 유형에 대해 이해할 수 있도록 데이터를 구축합니다. 또한 보다 쉽고 빠른 확장을 위해 100개가 넘는 OOTB(Out Of The Box) 커넥터와 AI 기반의 애플리케이션 온보딩 기능을 제공하고 있습니다.
아이덴티티 시큐리티 클라우드 기술이 어떻게 고객분들의 비즈니스에 변화를 가져오는지 몇 가지 사례와 함께 소개해 드리도록 하겠습니다.
첫 번째 사례는 애플리케이션 온보딩 관련 사례입니다. 고객의 이야기를 들어보면 애플리케이션을 연결하는 데 수년이 걸리고 수십억을 사용해야 한다고 합니다. 실제로 이렇게 하는 것은 불가능에 가깝습니다. 세일포인트의 AI 애플리케이션 온보딩은 이러한 문제를 해결합니다.
두 번째 사례는 최소 권한 모델 구축입니다. 권한 관리를 위해서 고객들은 더 이상 컨설턴트를 고용해서 오랜 시간 동안 스프레드시트를 검토하지 않고도 세일포인트의 아이덴티티 시큐리티 클라우드를 통해서 매월 주기적으로 권한 모델을 검토하여 누가 무엇에 접근했는지 빠르게 파악하고 수정할 수 있습니다.
마지막으로 보안운영센터와의 통합입니다. 일부 고객들은 이 아이덴티티 시큐리티 클라우드를 통해 아이덴티티 관리와 SOC를 통합하고 있습니다.
제로트러스트에서의 IAM(Identity and Access Management) 방향성 (이성호 PwC컨설팅 전무)
아마 제로트러스트 많이 얘기를 들으셨을 겁니다. 기존의 전통적인 보안 모델은 회사의 어떤 네트워크를 통과한 이후에 어떤 사람이라든지 기기를 이미 신뢰하고 제한 없이 우리의 어떤 정보 자산의 접근을 허용했던 방식이라면, 제로트러스트는 내부에 들어오더라도 신뢰하지 않고 지속적인 상황에 대한 검증을 통해서 권한에 따라서 접근을 허용하고 차단하는 그런 체계로 변화가 되고 있습니다.
이 사람의 위치가 사내인지 재택인지 확인하고, 또는 이 사용자가 내부 임직원인지, 협력사인지, 고객인지를 살펴보고, 또 이 사용자가 접근 사용하는 이 기기가 모바일인지 노트북인지 IoT 기기인지를 전반적인 상황들을 검증해서 그에 따른 상황에 따른 권한들을 체크한다고 볼 수 있습니다.
이 부분을 5가지 컨셉으로 말씀을 드리면 먼저 상황 검증 전에 신뢰를 하지 않고 항상 인증한다는 콘셉트가 가장 첫 번째 사상입니다.
두 번째는 최소한의 권한만을 부여한다는 부분입니다. 세 번째로는 모든 트래픽들을 기록하고 검사하는 개념입니다. 맥락을 지속적으로 확인하기 위한 어떤 인프라 체계가 필요하다고 볼 수 있습니다.
네 번째로는 데이터 자체의 보안성 검증 부분이 있습니다. 우리가 최종적으로 확인하고자 하는 자산은 데이터이기 때문에, 이 데이터를 어떻게 권한을 통해서 보호할지에 대해서 집중을 해야 되는 부분이 중요하다고 볼 수가 있습니다.
마지막으로 저위험에 대한 높은 접근성 제공입니다. 보안으로 인해 업무적인 불편함이 생기면 안 되기 때문에 위험도가 낮을 경우에는 굉장히 편하고 빠르게 접근할 수 있도록 해야 합니다.
접근 권한은 굉장히 중요한 화두이고 접근 권한 미비로 인한 다양한 국내 사고 사례가 있을 수가 있습니다.
첫 번째로는 임직원이 중요한 핵심 기술 정보에 대해서 권한이 없는 사람이 비인가로 접근하고 유출하는 이런 사례들이 있을 수가 있고요. 두 번째로는 해커들이 퇴직 또 휴직 계정을 활용해서 중요한 정보에 접근하거나 유출할 수가 있게 됩니다. 파트너사들이 본인 외에 추가적인 많은 권한들을 갖고 있다 보니 영업비밀 또는 개인정보들을 유출하는 사례들도 접근 권한에 대한 문제로 발생한 사고 사례이고요. 특정 담당자가 뭔가 과도한 시스템 권한을 갖고 있다 보니 이런 시스템들을 여러 개 활용함으로써 본인이 어떤 특정한 어떤 부정비리를 실제 발생하는 케이스도 있습니다. 업무 담당자들이 본인의 어떤 권한을 많이 활용해서 악의적으로 시스템의 특정 파일을 다 지움으로써 업무가 마비되는 이런 사항들도 이런 접근 권한 미비로 인해 발생한 사고 케이스고요. 계정/권한 관리가 미비하면 외부감사 팀이 재무 데이터 등을 신뢰하지 않을 수도 있습니다.
이 계정관리라는 게 단편적인 권한 관리가 아니고 전사 접근 통제 권한이 통합된다고 볼 수 있을 PWC에서는 IM 체계를 컨설팅하고 구축하면서 수백여 개의 어떤 시스템들을 연계를 한 경험을 갖고 있고요. 이를 통해서 검증된 툴 템플릿, 제공가능한 DB를 가지고 회사의 상황 요구사항에 맞게 IM 제공이 가능합니다.
