사이버아크 “아태지역 PKI 운영 가시성 부족·컴플라이언스 실패 늘어”

사이버아크(CyberArk)는 아시아태평양(APAC) 지역 기업들의 공개 키 인프라(PKI, Public Key Infrastructure) 운영이 디지털 아이덴티티 정보를 위험에 빠뜨려, 가시성과 컴플라이언스 실패 사례가 늘고 있다는 내용의 보고서 ‘PKI 보안 동향: 글로벌 트렌드, 도전과제 및 비즈니스 영향 연구’를 22일 발표했다.

이번 보고서는 사이버아크가 포네몬 연구소에 의뢰해 진행했다. 전 세계 약 2000명의 정보기술(IT)·보안 전문가 의견을 바탕으로 PKI 관련 보안 현황을 분석했다고 사이버아크는 밝혔다. 보고서에 따르면 노후화한 PKI 시스템이 안전한 인증서 관리의 주요 장애물로 작용하고 있으며, 그 결과 60%의 기업에서 보안 취약점이 발생하는 것으로 나타났다.

사이버아크는 APAC 조사 결과가 보안 효율성과 컴플라이언스 준비 상태 사이 격차가 커지고 있음을 보여준다고 설명했다. APAC 응답자들은 PKI가 외부 공격과 내부자 위협으로부터 보호하는 능력에 대해 다른 지역보다 상대적으로 높은 신뢰를 보였지만, PKI가 컴플라이언스 요건을 충족할 수 있다고 확신한 비율은 45%에 그쳤다. APAC 기업의 절반 이상은 설정(컨피규레이션) 오류로 예기치 않은 서비스 중단을 경험했으며, 거의 절반은 만료된 인증서로 영향을 받았다고 보고서는 지적했다.

PKI는 사용자와 디바이스의 아이덴티티를 확인하는 디지털 인증서를 생성하고 관리하는 체계다. 사이버아크는 클라우드 네이티브와 제로 트러스트 환경에서 머신과 워크로드 아이덴티티가 늘면서 인증서 규모와 복잡성이 급증했다고 설명했다. 머신 아이덴티티는 서버, 가상머신, 컨테이너 같은 비인간 주체가 시스템에 접속할 때 쓰는 ‘기계의 신원’이다. 워크로드 아이덴티티는 클라우드에서 돌아가는 애플리케이션 작업 단위가 서로를 확인하는 신원 정보다.

보고서는 기존 PKI 시스템과 수동 프로세스가 비용과 위험을 키운다고 봤다. 전 세계 기업에서 ‘기존 PKI의 비용과 위험’을 안전한 PKI 구축의 가장 큰 장애물로 꼽은 비율은 34%였다. 반면 APAC에서는 안전한 PKI 구축을 가로막는 장애 요인으로 ‘모든 내부 인증서를 중앙에서 관리할 수 없다’가 39%, ‘보안·컴플라이언스·감사 실패’가 38%로 제시됐다.

또 기업들은 평균 10만5000개 이상의 내부 인증서를 관리하지만, PKI 관리를 전담하는 정규직 인력은 3명에 불과하다고 보고서는 밝혔다. 응답자의 60%는 인력과 전문성 부족을 이유로 관리형 보안 서비스 제공업체(MSSP)에 PKI 관리를 아웃소싱하고 있거나 아웃소싱할 계획이라고 답했다.

수동 운영이 서비스 중단과 보안 위험을 키운다는 분석도 담겼다. APAC 기업의 거의 3분의 1은 인증서를 수동으로 추적하고 갱신하는 방식을 여전히 사용하고 있다고 사이버아크는 전했다. APAC 응답 기준으로 55%는 설정 오류로 예상치 못한 서비스 중단을 경험했고, 49%는 인증서 만료로 서비스가 중단된 경험이 있다고 답했다. 50%는 사내 전문가 부족으로 실수와 비효율을 겪었다고 응답했다. 또 59%는 외부 인증 기관(CA, Certificate Authority)으로 인한 침해에 대응하지 못했다고 보고서는 밝혔다.

커트 샌드 사이버아크 머신 아이덴티티 부문 보안 총괄은 “머신 아이덴티티의 증가는 PKI 운영 모델을 완전히 변화시켰다”며 “인증서 사용량 증가와 수명 단축 흐름 속에서 운영 부담을 줄이고 보안 태세를 강화하려면 PKI 자동화와 현대화가 필요하다”고 말했다.

보고서는 통합 가시성과 자동화에 투자한 조직이 운영 부담과 서비스 중단을 줄이고, PKI 컴플라이언스 수준을 높였다고 분석했다. APAC에서는 45%가 자사 PKI가 컴플라이언스 요건을 충족할 수 있다고 확신했고, 48%는 사이버 공격이나 내부 위협에 대해 PKI가 효과적이라고 신뢰한다고 답했다. 또한 APAC 응답자 52%는 자사 PKI 인프라가 디바이스 증가와 워크로드 수요 증가에 ‘매우 효과적’이라고 평가했다. 전 세계 응답자 기준 같은 항목은 47%로 나타났다고 보고서는 밝혔다.

래리 포네몬 포네몬 연구소 회장 겸 설립자는 “PKI는 디지털 커뮤니케이션에서 신뢰와 보안, 개인정보 보호를 보장하는 핵심”이라며 “운영 부담을 낮추고 보안을 강화하기 위해 더 많은 기업이 인공지능(AI) 도입을 검토할 것으로 예상된다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.