기밀 정보 관리란?

주요 비즈니스 프로세스와 워크플로우를 자동화하기 위해 비인간 ID를 사용하는 조직이 점점 더 많아지고 있습니다. 이러한 ID에는 서비스 계정, 지속적 통합 및 지속적 배포(CI/CD) 파이프라인, 컨테이너, 마이크로서비스 및 오케스트레이션 툴이 포함될 수 있습니다. 또한 인간의 행동을 모방하는 소프트웨어 봇인 로봇 프로세스 자동화(RPA)와 최근에는 AI 에이전트도 포함될 수 있습니다.

인간 사용자와 마찬가지로 비인간 개체도 시스템 및 서비스에 인증하고 조직 리소스에 액세스하기 위해 자격 증명 또는 "비밀"이 필요하며, 이러한 액세스에는 종종 높은 권한이 부여됩니다. 예를 들어 자동화된 백업 프로세스는 기밀 파일을 읽고 시스템 설정을 수정할 수 있습니다.

해커에게 이러한 권한이 있는 비인간 계정은 매우 가치 있는 표적입니다. 이를 통해 위협 행위자는 액세스 권한을 남용하여 데이터를 훔치고 중요한 시스템을 손상시키면서 탐지를 피할 수 있습니다. IBM X-Force Threat Intelligence에 따르면, 유효한 계정을 탈취하는 것은 작년에 X-Force가 대응한 전체 사고 중 32%로 두 번째로 흔한 사이버 공격 벡터입니다.

시크릿 관리 시스템은 이러한 사이버 위협에 대응하는 데 도움을 주며, 조직이 비인간 엔티티가 IT 리소스에 접근할 때 사용하는 시크릿을 생성, 제어 및 보호할 수 있도록 합니다.시크릿 관리 툴을 통해 IT 팀은 비인간 자격 증명을 수명 주기 전반에 걸쳐 보호할 수 있으며, 자동화된 워크플로를 간소화하는 동시에 데이터 침해, 변조, 도난 및 기타 무단 액세스를 방지할 수 있습니다.

시크릿은 인간이 아닌 사용자가 서비스, 데이터베이스, 애플리케이션 또는 기타 IT 리소스와 통신하고 작업을 수행할 수 있도록 허용하는 애플리케이션 또는 서비스에 포함된 디지털 자격 증명입니다. 시크릿은 권한이 있는 사용자만 중요한 데이터 및 시스템에 액세스할 수 있도록 하여 조직이 보안 태세를 강화하는 데 도움이 됩니다.

시크릿의 예는 다음과 같지만 이에 국한되지는 않습니다.

• 서비스 계정 자격 증명: 서비스 계정을 사용하면 앱과 자동화된 워크플로가 운영 체제와 상호 작용할 수 있습니다. 서비스 계정 자격 증명에는 비밀번호, 보안 토큰, Kerberos 티켓 및 기타 시크릿이 포함될 수 있습니다.
  
  
• API 키: API 키를 사용하면 사용자, 앱 및 서비스가 애플리케이션 프로그래밍 인터페이스(API)에 자신을 인증할 수 있습니다.
  
  
• 암호화 키: 암호화 키를 사용하면 사용자가 데이터를 암호화하고 복호화할 수 있습니다.
  
  
• 인증 및 권한 부여 토큰: OAuth 프로토콜에서 사용되는 토큰과 같은 토큰은 사용자의 신원을 확인하고 액세스할 수 있는 특정 리소스를 결정할 수 있는 정보입니다.
  
  
• SSH(보안 셸) 키: SSH 키는 SSH 서버에서 공개 키 암호화를 통해 사용자 또는 디바이스를 식별하는 데 사용됩니다.
  
  

• PKI 인증서 및 개인 키(SSL/TLS/mTLS): 인증 기관에서 발급한 인증서와 이에 대응하는 개인 키는 엔드포인트를 인증하고 상호 TLS(mTLS) 인증을 포함한 암호화된 SSL/TLS 연결을 설정합니다.

• 임의 시크릿: 애플리케이션이나 리소스에 액세스하는 데 사용할 수 있는 모든 유형의 정형 또는 비정형 데이터를 포함한 민감한 데이터입니다.
  
  

• 연결 문자열: 데이터베이스, 파일 또는 스프레드시트를 포함한 데이터 소스에 연결하기 위해 컴퓨터 프로그램이 필요로 하는 지침을 담고 있는 텍스트 문자열입니다.

• 기타 암호화 키: 해시 기반 메시지 인증 코드(HMAC) 키, 코드 서명 키 및 서명 또는 검증에 사용되는 기타 개인 키가 포함될 수 있습니다.

시크릿 관리는 비밀번호, API 키, 토큰과 같은 민감한 자격 증명 및 기타 시크릿을 안전하게 저장, 제어 및 교체할 수 있도록 돕는 중요한 보안 솔루션입니다. 

이는 권한 있는 계정과 사용자를 보호하는 데 중점을 둔 ID 및 액세스 관리(IAM)의 하위 개념인 권한 있는 액세스 관리(PAM)의 네 가지 핵심 기능 중 하나입니다.

PAM의 나머지 세 가지 기능은 다음과 같습니다.

• 권한 계정 및 세션 관리(PASM)는 권한 계정 수명 주기 관리, 비밀번호 관리 및 세션 모니터링을 수행합니다.
  
  
• 권한 상승 및 위임 관리(PEDM)는 권한 액세스 요청을 자동으로 평가하고 승인하거나 거부하는 것을 포함합니다.
  
  
• 클라우드 인프라 권한 관리(CIEM)는 클라우드 컴퓨팅 환경에서 권한과 권리 할당을 관리합니다.

시크릿 관리는 자동화된 지속적 소프트웨어 개발 및 전달을 강조하는 DevOps 방법론에서 중요한 요소입니다.

DevOps 팀은 전체 디지털 에코시스템, 워크플로 및 엔드포인트를 관리하기 위해 여러 구성 관리 또는 오케스트레이션 툴을 사용하는 경우가 많습니다. 이 툴은 시작하기 위해 시크릿에 액세스해야 하는 자동화 및 스크립트를 사용하는 경우가 많습니다. 엔터프라이즈급 시크릿 관리 서비스가 없을 경우 시크릿을 무분별하게 사용하면 시스템 취약성이 증가할 수 있습니다.

많은 조직은 시크릿 관리 기능을 CI/CD 파이프라인에 통합합니다. 이를 통해 개발자, 툴 및 자동화된 프로세스 등 모든 움직이는 부분이 필요할 때 필요한 민감한 시스템에 안전하게 액세스할 수 있습니다.

시크릿 관리는 DevOps 수명 주기 전반에 걸쳐 보안을 지속적으로 통합하고 자동화하는 DevOps 방법론의 발전된 형태인 DevSecOps의 핵심 구성 요소로 간주됩니다.

시크릿 관리 프로세스는 일반적으로 시크릿 관리 툴에 의존합니다. 이러한 툴은 온프레미스 또는 클라우드 서비스 형태로 배포될 수 있으며, 시크릿의 생성, 사용, 교체 및 보호를 중앙 집중화하고 자동화하며 간소화하는 데 도움을 줍니다.

상용 및 오픈소스 시크릿 관리 솔루션이 모두 제공됩니다. 오픈소스 옵션으로는 Infisical이 있으며, 상용 옵션으로는 CyberArk Conjur(오픈소스 에디션도 제공)과 HashiCorp Vault(IBM 계열사 HashiCorp 제공)가 있습니다.

시크릿 관리 도구의 몇 가지 일반적인 능력은 다음과 같습니다.

• 중앙 집중식 및 표준화된 시크릿 관리
• 동적 시크릿 생성 및 자동화된 시크릿 순환
• 액세스 제어
• 활동 모니터링 및 감사

조직은 엔터프라이즈급 시크릿 관리 서비스를 통해 단일 창에서 여러 유형의 시크릿을 관리할 수 있습니다.

시크릿 관리 솔루션은 개별 사용자가 소규모 사일로에서 시크릿을 관리하도록 하는 대신 "시크릿 보관소"라고 하는 안전한 중앙 위치에 시크릿을 저장할 수 있습니다.

권한 있는 사용자가 중요한 시스템에 액세스해야 하는 경우 자격 증명 모음에서 해당 시크릿을 가져올 수 있습니다. 시크릿 관리 툴은 요청을 자동으로 검증하고 승인하며 워크플로 인증에 필요한 시크릿을 제공하는 것을 포함합니다.

표준화는 시크릿의 무분별한 확장을 방지하는 데 도움이 될 수 있습니다. 시크릿의 무분별한 확장은 비밀이 조직 전체의 다양한 위치에 저장되는 경우로, 종종 애플리케이션에 하드 코딩되거나 공유 문서의 일반 텍스트로 저장됩니다. 시크릿의 무분별한 확장은 악의적인 행위자로부터 비밀을 보호하고 비밀이 어떻게 사용되는지 추적하기 어렵게 만듭니다.  

시크릿 관리자에서 생성된 시크릿은 정적이거나 동적일 수 있습니다. 정적 시크릿은 일반적으로 수동으로 변경되거나 미리 결정된 만료 날짜에 도달할 때까지 오랫동안 유효한 상태로 유지되는 시크릿입니다.

반면, 동적 시크릿은 Secrets Manager가 필요할 때 온디맨드로 생성됩니다. 동적 시크릿은 상당히 빨리 만료됩니다. 심지어 일회용일 수도 있습니다.

동적 시크릿의 활용 사례로는 데이터베이스나 AWS 또는 Microsoft Azure와 같은 클라우드 환경과 같은 기밀 리소스를 보호하기 위해 해당 리소스가 읽히거나 접근될 때마다 API 키를 동적으로 생성하는 방법이 있습니다. 이렇게 하면 악의적인 공격자가 API 키를 도용하여 재사용할 수 없도록 할 수 있습니다.

많은 시크릿 관리자는 시크릿 순환, 즉 시크릿을 정기적으로 변경하는 작업을 자동화할 수도 있습니다. 시크릿 교체는 애플리케이션을 재배포하거나 중단할 필요 없이 일정 또는 온디맨드 방식으로 자동화할 수 있습니다. TTL(Time-to-Live) 또는 임대 기간을 정의하여 시크릿이 존재하는 시간을 단축할 수 있습니다.

특정 단체나 그룹에만 시크릿을 부여하여 액세스를 체계적으로 관리하고 강화할 수 있습니다. 시크릿에 대한 액세스는 대개 최소 권한 원칙을 사용하여 부여됩니다. 즉, 각 프로세스에는 작업을 수행하는 데 필요한 가장 제한적인 권한 집합만 부여됩니다. 사용자는 권한이 부여된 작업을 수행하는 데 필요한 시크릿에만 액세스할 수 있습니다.

제로 트러스트 아키텍처는 "절대 신뢰하지 말고 항상 검증하라"는 원칙에 따라 시크릿 관리 시스템에 대한 접근을 관리하는 데 자주 사용됩니다. 이를 통해 네트워크 내부에서 발생한 요청이라 하더라도 모든 시크릿 요청이 인증되고 권한이 부여되도록 보장할 수 있습니다.

많은 시크릿 관리 툴은 사용자와 애플리케이션이 시크릿과 상호작용하고 사용하는 방식을 추적하여 시크릿이 수명 주기 전반에 걸쳐 적절하게 처리되고 있는지 확인할 수 있습니다. 이를 통해 조직은 시크릿 관리자에 대한 인증 및 권한 부여를 포함한 시크릿 접근 이벤트를 거의 실시간으로 모니터링할 수 있습니다.

시크릿 관리 툴은 시크릿을 조회하거나 사용하는 무단 시도를 신속하게 차단하고 필요 시 액세스를 해지할 수 있습니다. 이를 통해 해커, 내부자 위협 및 기타 악의적인 행위자가 피해를 발생시키기 전에 더 빠르게 대응할 수 있습니다.

강력한 시크릿 자동화 툴은 사용자 인증 및 시크릿 접근 이벤트를 추적하는 상세한 감사 로그를 유지합니다.

조직이 동적 시크릿 자동화 툴을 사용하기 시작하면 시크릿 모니터링을 훨씬 더 쉽게 수행할 수 있습니다. 이러한 상세한 감사 추적은 시크릿의 승인된 사용을 검증하거나 잠재적 위협을 탐지하고 추적하는 데 도움을 줍니다.

많은 조직은 시크릿 관리 솔루션을 사용하는 것 외에도 시크릿 관리 프로세스에서 일반적인 핵심 관행을 따르고 있습니다. 이러한 관행에는 다음이 포함됩니다.

• 시크릿은 적절한 환경(예: 개발, 테스트 및 운영 환경) 내에서 생성, 저장 및 액세스됩니다. 일부 조직에서는 각 환경마다 다른 시크릿 관리 툴을 사용합니다. 하나의 중앙 솔루션을 사용하여 각 환경의 시크릿을 전용 세그먼트에 격리하는 기업도 있습니다. 시크릿은 절대 외부로 유출되지 않으며 엄격한 액세스 제어 조치를 통해 안전하게 보호됩니다.
  
  
• 시크릿에 대한 사용자 액세스는 모든 사용자가 책임을 수행하는 데 필요한 최소 수준에서 부여됩니다. 의도적이든 아니든 과도한 권한 부여는 데이터 유출로 이어질 수 있습니다.
  
  
• 시크릿은 시스템 요구 사항에 따라 정기적으로 교체됩니다.
  
  
• 사용자는 소스 코드, 구성 파일 또는 문서에 시크릿을 저장하지 않습니다.
  
  
• 모든 민감한 데이터를 암호화하도록 요구하여 보안 정책을 강화할 수 있습니다. 암호화 키는 키 관리 서비스(KMS)를 사용하여 보호할 수 있습니다.
  
  
• 조직은 시크릿을 지속적으로 모니터링하며 감사 로그를 통해 누가 시크릿을 요청했는지, 어떤 시스템을 위한 요청이었는지, 요청이 성공했는지 여부, 언제 발급되거나 조회되었는지, 언제 만료되었는지, 그리고 시크릿이 언제 업데이트되었는지 여부를 추적합니다. 이상 징후는 즉시 조사해야 합니다. 

에코시스템이 더욱 복잡해짐에 따라 시크릿 관리를 효과적으로 제어하기가 점점 더 어려워지고 있습니다. 일반적인 시크릿 관리 문제는 다음과 같습니다.

관리자, 개발자 및 사용자가 시크릿을 별도로 관리하는 분산형 에코시스템은 보안 격차와 시크릿 사용이 제대로 모니터링되거나 감사되지 않을 수 있으므로 위험을 초래할 수 있습니다.

중앙 집중식 시크릿 관리 솔루션은 조직에 시크릿에 대한 더 많은 가시성과 제어를 제공할 수 있습니다.

비밀번호나 기타 시크릿이 소스 코드나 스크립트에 일반 텍스트로 포함되어 있으면 공격자가 이를 쉽게 발견하고 민감한 정보에 액세스하는 데 사용할 수 있습니다.

하드코딩된 시크릿은 CI/CD 툴체인, 코드 저장소, 사물 인터넷(IoT) 장치, Kubernetes와 같은 컨테이너 오케스트레이션 플랫폼, 애플리케이션 서버, 취약점 스캐너 및 로보틱 프로세스 자동화(RPA) 플랫폼 등 다양한 곳에 존재할 수 있습니다.

시크릿의 정기적인 교체는 도난 및 남용을 방지하는 데 도움이 될 수 있지만 시크릿 관리 시스템 없이는 교체가 일관되지 않거나 비효율적일 수 있습니다. 시크릿이 너무 오랫동안 변경되지 않으면 해커가 시행착오를 통해 추측하거나 무차별 대입 공격을 통해 잠금을 해제할 수 있습니다.

시크릿을 오래 사용할수록 더 많은 사용자가 액세스할 수 있고 유출 가능성이 커집니다.

IT 시스템이 성장함에 따라 시크릿이 시스템의 여러 사일로화된 부분에 분산되어 시크릿이 확산될 수 있습니다. 조직이 여러 클라우드 제공업체가 제공하는 퍼블릭 클라우드와 프라이빗 클라우드 환경을 혼합하는 하이브리드 멀티클라우드 에코시스템에서는 시크릿 확산이 특히 우려될 수 있습니다.

조직은 모든 클라우드 네이티브 애플리케이션, 컨테이너, 마이크로서비스 및 기타 IT 리소스에 걸쳐 수천, 수백만 개의 시크릿을 보유하고 있을 수 있습니다. 이러한 확산으로 인해 보안에 대한 부담이 엄청나게 커지고 잠재적인 공격 표면이 확대됩니다.

서비스 전반에 걸쳐 가시성이 제한될 수 있으며, 수동으로 또는 서로 다른 시스템에서 추적할 경우 시크릿 관리가 빠르게 다루기 어려워질 수 있습니다. 중앙 집중식 시크릿 관리 서비스가 없으면 적절한 시크릿 위생을 시행하는 것이 더 어렵거나 불가능할 수 있습니다.

조직에 시크릿 관리 시스템이 없는 경우 이메일이나 문자 등을 통해 시크릿을 수동으로 공유할 수 있으며, 위협 행위자가 이를 가로챌 수 있습니다.