ID 보안이란 무엇인가요?

조직들이 클라우드 서비스를 채택하고 원격 근무를 지원하며 다양한 엔드포인트와 애플리케이션을 관리함에 따라 네트워크 경계는 더욱 모호해지고 경계 기반 방어의 효과는 점점 떨어지고 있습니다. 그래서 디지털 ID(시스템에서 사용자, 기기, 애플리케이션을 나타내는 고유한 프로필)가 데이터 보안 유지에 매우 중요해졌습니다.

IBM® 데이터 유출 비용(CODB) 보고서에 따르면 도난 또는 자격 증명 유출은 데이터 유출의 10%를 차지하는 흔한 공격 벡터입니다. 해커는 사용자의 자격 증명을 손에 넣어서 유효한 계정을 장악하고 권한을 남용합니다. 

ID 보안을 하면 권한이 있는 사용자만 특정 리소스에 액세스할 수 있도록 제한하는 동시에 ID와 자격 증명 기반 공격의 위험을 최소화할 수 있습니다.

조직은 효과적인 ID 보안을 통해 취약성을 줄이고 운영 효율성을 개선하며 피싱 공격과 데이터 유출 같은 사이버 위협으로부터 스스로를 보호할 수 있습니다.

지금까지 조직은 방화벽, VPN (가상 사설망), 바이러스 백신 소프트웨어 같은 도구로 보호되는 보안 네트워크 경계를 설정하여 시스템과 데이터를 보호해왔습니다. 이러한 '디지털 담장'은, 기업 네트워크 내부의 온프레미스는 모두 신뢰할 수 있고 바깥 세상의 모든 것은 차단해야 한다고 가정합니다.

하지만 디지털 혁신으로 그 명쾌한 경계가 사라졌습니다. 조직이 원격 근무,하이브리드 및 멀티클라우드 환경, 타사 서비스형 소프트웨어(SaaS) 툴을 채택함에 따라 경계 기반 보안을 하기에는 기업 네트워크가 지나치게 분산되었습니다.

보안 전략도 네트워크 자산 보안에서 액세스 보안으로 전환되면서 디지털 ID가 사이버 보안의 중심이 되었습니다. 이제 '당신은 어느 네트워크에 있는가'가 아니라 '당신은 누구이고 여기에 액세스해야 하는가'를 질문합니다.

위협 행위자도 이 변화를 받아들였습니다. 그래서 방화벽을 뚫는 대신 피싱, 자격 증명 도용, 세션 탈취를 통해 사용자를 가장하고 권한을 상승시키는 방식으로 ID를 직접 공략하기 시작했습니다. IBM® X-Force Threat Intelligence Index에 따르면 유효한 사용자 계정을 탈취하는 것은 해커가 기업 네트워크에 침입하는 가장 일반적인 방법으로, 사이버 공격의 30%를 차지합니다.

이러한 환경에서 ID 보안은 디지털 ID와 관련 액세스 권한을 도난, 오남용으로부터 보호하는 데 중점을 둔 별도의 사이버 보안 분야로 부상했습니다. 

ID 보안은 사용자 ID를 관리하고 시스템 및 데이터에 대한 액세스를 제어하기 위한 보안 프레임워크, 즉 ID 및 액세스 관리(IAM)를 기반으로 구축며 디지털 ID 보안에 특히 중점을 둔 보호, 탐지, 대응 기능을 제공합니다.

즉, ID 보안은 IAM을 대체하는 것이 아니라 지속적인 모니터링, 상황별 액세스 제어, 의심스러운 활동에 대한 대응 자동화 등의 기능으로 IAM을 확장합니다. IAM에서 액세스 권한 부여 대상을 결정하면 ID 보안이 액세스를 안전하게 유지하는 데 도움이 됩니다.

ID 보안과 IAM을 함께 사용하면 최신 ID 보안 솔루션의 기반이 형성되어 조직이 디지털 ID를 보호하고, 사용자 권한을 관리하고, ID 기반 사이버 위협으로부터 방어하는 데 도움이 됩니다.

ID 보안은 독자적인 도구와 관행 들을 통합하여 수명 주기 전체에 걸쳐 디지털 ID를 보호하기 위한 조화로운 프로그램으로 만드는 분야입니다. 이 종합적인 보안 프레임워크를 통해 조직은 강력한 데이터 보호 상태를 유지하는 동시에 액세스 관리를 간소화할 수 있습니다.

ID 보안의 주요 구성 요소는 다음과 같습니다.

• 디지털 ID
• 인증 메커니즘
• 액세스 제어
• ID 거버넌스 및 관리(IGA)
• ID 위협 탐지 및 대응(ITDR)

디지털 ID는 ID 보안의 초석으로서 기업 시스템에서 사용자, 디바이스, 앱을 대표합니다.

ID 보안은 이러한 디지털 개체에 대한 무단 액세스를 방지합니다. 이를 통해 악의적인 행위자가 권한을 남용하여 데이터를 훔치거나, 자산을 손상시키거나, 그 밖의 피해를 입힐 수 없게 합니다. 

일반적인 ID 유형은 다음과 같습니다.

• 사용자 ID: 이름, 역할, 부서 및 액세스 권한과 같은 속성을 포함하는 인간 사용자의 디지털 표현입니다.

• 머신 ID: 애플리케이션, 서비스, IoT 기기 등의 개체에 연결된 ID입니다.

• 서비스 계정: 애플리케이션이 다른 시스템 및 서비스와 상호 작용하는 데 사용되는 특수 용도 계정입니다. 예를 들어 재해 복구 솔루션은 서비스 계정을 사용하여 매일 밤 데이터베이스에서 백업을 가져올 수 있습니다.   

조직이 클라우드 서비스 채택을 늘리고 자동화 노력을 강화함에 따라 많은 네트워크에서 시스템 ID와 서비스 계정의 수가 사용자 계정보다 많아졌습니다. 한 추정에 따르면 일반적인 기업의 비인간 ID와 인간 ID 비율은 10:1 입니다.¹ 생성형 AI와 AI 에이전트의 성장은 이 추세를 가속화할 수 있습니다. 

ID 보안은 확장되는 ID 환경 전반에 걸쳐 가시성과 제어를 유지하여 권한이 있는 사용자의 보안 액세스를 촉진하는 동시에 조직의 공격 표면을 줄이는 데 도움이 됩니다.

인증은 사용자가 본인이 맞다는 것을 확인하는 작업으로, ID 보안의 중요한 첫 체크포인트입니다. 사용자 계정과 중요한 데이터에 대한 무단 액세스 위험을 줄이려면 강력한 인증이 필수입니다.

주요 인증 방법은 다음과 같습니다.

• 다단계 인증(MFA): 사용자는 두 가지 이상의 인증 요소를 제시해서 신원을 인증합니다. 그래서 해커가 계정에 로그인하기 위해 여러 요소를 훔치거나 조작해야 하므로 사용자를 사칭하기가 더 어려워집니다.

• 생체 인증: 지문이나 얼굴 인식 같은 고유한 신체적 특징을 사용하여 사용자를 확인합니다. 생체 인식 정보는 비밀번호보다 훔치기 어렵습니다. 

• 비밀번호 없는 인증: 암호화 키 또는 생체 인식처럼 좀 더 안전한 요소를 사용함으로써 기존 비밀번호의 취약성을 제거합니다.

• 싱글사인온(SSO): 사용자가 인증 한 번으로 여러 애플리케이션에 액세스할 수 있습니다. SSO는 사용자 경험을 개선할 뿐만 아니라 비밀번호를 입력하는 피로를 줄이고, 취약하거나 재사용되는 비밀번호의 위험을 낮추고, 액세스 제어 시행을 중앙 집중화하여 ID 보안을 지원합니다. 

• 적응형 인증: 위치, 장치 보안 상태, 사용자 행동 패턴과 같은 상황별 위험 요소를 기반으로 인증 요건을 동적으로 조정합니다. 예를 들어 항상 동일한 장치에서 로그인하는 사용자는 암호만 입력하면 될 수 있습니다. 하지만 이 사용자가 새 기기에서 로그인을 할 땐 비밀번호와 지문 스캔을 모두 입력해서 신원을 증명해야 할 수 있습니다.

액세스 제어는 인증된 사용자가 액세스할 수 있는 항목과 시스템에서 수행할 수 있는 작업을 결정합니다.

ID 보안 프레임워크는 최소 권한의 원칙에 따라 강력한 액세스 정책을 지향합니다. 그래서 사용자에게 오직 본인의 직무를 수행하는 데 필요한 액세스 권한만을 제공합니다.

일반적인 액세스 제어 접근 방식은 다음과 같습니다. 

• 역할 기반 액세스 제어(RBAC): 조직 내 직무에 따라 사용자에게 권한을 할당합니다. 예를 들어 재무 담당자에게는 구매 권한을, 인사 담당자에게는 인사 파일 조회 권한을 부여합니다.

• 속성 기반 액세스 제어(ABAC): 사용자, 리소스, 작업, 환경의 속성을 기반으로 액세스 권한을 할당합니다. 예를 들어 최고재무책임자(사용자)가 결제 시스템(리소스)에 액세스하여 지불(작업)을 결재하고자 하려고 할 때, 이 요소들을 종합적으로 분석해서 해당 활동을 승인합니다.  

• 정책 기반 액세스 제어(PBAC): 컨텍스트를 통합할 수 있는 중앙 집중식 동적 정책을 기반으로 사용자 액세스 결정을 적용합니다. 예를 들어 회사의 엔드포인트 보호 표준에 부합하고 지정된 지리적 영역에 있는 사용자에게만 고객 데이터베이스 액세스를 허락합니다. 

• 적시 프로비저닝(JIT): 사용자가 상승된 권한을 필요로 하는 경우에만 제한된 시간 동안 이를 부여하여, 권한을 상시 부여할 때 발생할 수 있는 위험을 제거합니다. 예를 들어 사용자가 프로덕션 서버에서 예정된 유지 관리를 수행해야 하는 경우, JIT 프로비저닝을 통해 임시 관리자 액세스 권한을 부여하고 유지 관리 시간이 끝나면 이 권한을 해제합니다.

• 권한 있는 액세스 관리(PAM): PAM 도구는 특히 권한 있는 계정(예: 관리자 계정)과 권한 있는 활동(예: 민감한 데이터 작업)을 보호하는 데 중점을 둡니다. 일반적으로 자격 증명 보관, 세션 모니터링, 적시 액세스 프로비저닝, 자격 증명 자동 교체 기능이 제공됩니다.

IGA는 디지털 ID에 적절한 액세스 수준을 부여하고 해당 액세스에 대한 내부 및 규제 요건 충족 여부를 추적하도록 지원합니다. 

IAM 솔루션은 시스템 및 데이터에 액세스하는 사용자를 제어하는 반면, IGA는 해당 액세스가 적절하고 정당하며 적극적으로 모니터링되는지에 중점을 둡니다. IGA는 ID 수명 주기와 액세스 권한을 관리하고, 액세스 관련 위험을 줄이고, 보안 정책을 시행하기 위한 운영 프레임워크를 제공합니다.

IGA는 건강 보험 양도 및 책임에 관한 법률(HIPAA), Sarbanes-Oxley(SOX), 일반 데이터 보호 규정(GDPR)과 같은 규제 표준 준수에도 중요한 역할을 합니다. 조직이 민감한 시스템과 데이터에 대한 액세스가 올바르게 할당되고 있고, 정기적으로 검토되고 있음을 증명하는 데 보탬이 되는 것과 더불어 감사 추적을 생성해서 내부 검토와 외부 감사를 뒷받침합니다.

IGA의 주요 기능:

• 디지털 ID 프로비저닝 및 프로비저닝 해제: ID 수명 주기 전반에 걸쳐 액세스 권한을 관리하여 온보딩을 간소화하고 오프보딩 위험을 줄입니다. 예를 들어 직원의 직무가 변경되었을 때 IGA 도구는 오래된 권한을 자동으로 취소하거나 업데이트된 책임에 따라 새 권한을 할당할 수 있습니다. 

• 액세스 권한 검토: 과도하거나 부적절한 액세스 수준을 파악해서 해결할 수 있도록 사용자 권한을 정기적으로 감사합니다. 정기적으로 감사를 실시하면 조직이 최소 권한 원칙을 준수하고 권한 오용 위험을 줄이는 데 도움이 됩니다. 

• 보안 정책 시행 및 보고: 업무 분리(SoD)와 최소 권한 등의 보안 정책을 일관되게 적용하고 위반 사항을 파악합니다. 예를 들어 사용자가 지불 시스템과 승인 시스템에 모두 액세스하려고 시도하여 SoD 규칙을 위반하는 경우, ID 거버넌스 도구가 해당 거래에 대해 경고하거나 이를 차단할 수 있습니다.  

ITDR은 ID 인프라를 보호하고 ID 기반 공격을 해결하는 기능을 통해 ID 보안을 강화합니다. 표준 ID 보안 솔루션을 통해 항상 제공되는 것은 아니지만, 점점 늘어나는 ID 기반 공격의 위협에 대응해 조직들이 강력한 보안 조치를 모색함에 따라 ITDR이 점점 일반화되고 있습니다.

ITDR의 주요 기능:

• 지속적인 모니터링: 인증 시도, 액세스 요청, 권한 상승 등의 ID 활동을 실시간으로 감시하여 의심스러운 활동을 탐지합니다. 예를 들어 새로운 위치에서 로그인하거나 평소 사용하지 않는 민감한 정보에 액세스하려고 하는 사용자에 대해 경고합니다.

• 행동 분석: 정상적인 사용자 행동의 기준을 설정하고, 해커가 정상 계정을 해킹하는 등 보안 위협의 가능성이 있는 편차에 대해 경고하는 고급 알고리즘입니다.선

• 자동 대응: 위협이 감지되면 즉시 조치를 취하여 잠재적 피해를 최소화하는 적응형 보안 제어 기능입니다. 예를 들어 사용자가 자격 증명을 오용한 징후가 보이면 해당 사용자의 세션을 취소하고, 재인증을 강제로 요구하거나, 민감한 데이터에 대한 액세스를 일시적으로 차단할 수 있습니다.
  

핵심 IAM 제어 강화를 통해 ID 보안이 제공하는 주요 이점:

• 보안 태세 강화

• 규정 준수

• 운영 효율성

ID 보안은 계정 탈취, 자격 증명 도난, 무단 액세스, 그 밖의 ID 기반 공격 가능성과 영향을 줄이는 데 도움이 될 수 있습니다.

ID 보안 툴은 조직이 관련 규칙을 유지하고 준수하는 데 도움이 될 수 있습니다.

ID 보안 시스템은 평상시의 조직 운영을 간소화하는 데 도움이 될 수 있습니다.

인공지능(AI)의 발전은 ID 보안에 위협이자 기회로 작용하고 있습니다.

위협이 되는 이유는 공격자가 생성형 AI를 활용해서 ID 기반 공격을 더 빨리, 더 많이 할 수 있기 때문입니다. X-Force Threat Intelligence Index에 따르면, 해커들이 생성형 AI를 사용하여 딥페이크 음성과 영상을 만들고, 설득력 있는 피싱 이메일을 만들고, 악성 코드까지 작성하는 것이 목격되었습니다.

기회의 측면에서는 AI 기반 ID 위협 탐지 및 방지 툴이 점점 보편화되고 있어서, 조직이 공격을 더 신속하게 탐지하고 차단할 수 있습니다. 예를 들어 ITDR 솔루션은 머신 러닝을 사용하여 정상적인 사용자 행동에 대한 기준 모델을 만들고, 이를 바탕으로 위협으로 간주될 만한 의심스러운 편차를 식별할 수 있습니다.