기밀 정보 관리란?

오늘날 조직은 로보틱 프로세스 자동화(RPA), 최근에는 AI 에이전트 및 AI 어시스턴트와 같은 툴을 사용하여 많은 주요 비즈니스 프로세스 및 워크플로를 자동화합니다. 인간 사용자와 마찬가지로 이러한 비인간 개체도 조직의 리소스에 액세스하려면 흔히 '시크릿'이라고 부르는 자격 증명이 필요합니다.

비인간 사용자는 작업을 완료하기 위해 높은 수준의 권한이 필요한 경우가 많습니다. 예를 들어 자동화된 백업 프로세스는 기밀 파일 및 시스템 설정에 액세스할 수 있습니다.

이러한 권한 있는 비인간 계정들은 해커들에게 가치 있는 대상으로, 해커들은 액세스 권한을 남용하여 탐지를 피하면서 데이터를 훔치고 중요한 시스템을 손상시킬 수 있습니다. 실제로 IBM X-Force Threat Intelligence Index에 따르면 유효한 계정을 탈취하는 것은 오늘날 가장 일반적인 사이버 공격 벡터라고 합니다. 이러한 공격은 X-Force가 최근에 대응한 전체 인시던트의 30%를 차지합니다.

조직은 시크릿 관리 시스템 및 프로세스를 통해 인간이 아닌 주체가 IT 리소스에 액세스하는 데 사용하는 시크릿을 생성, 제어 및 보호할 수 있습니다. 조직에서는 시크릿 관리 툴을 사용하여 엔드투엔드 라이프사이클 전반에 걸쳐 비인간 자격 증명을 관리하고 보호함으로써 자동화된 워크플로를 간소화하고 데이터 침해, 변조, 도난 및 기타 무단 액세스를 방지할 수 있습니다.

시크릿은 인간이 아닌 사용자가 서비스, 데이터베이스, 애플리케이션 또는 기타 IT 리소스와 통신하고 작업을 수행할 수 있도록 허용하는 애플리케이션 또는 서비스에 포함된 디지털 자격 증명입니다. 시크릿은 권한이 있는 사용자만 중요한 데이터 및 시스템에 액세스할 수 있도록 하여 조직이 보안 태세를 강화하는 데 도움이 됩니다.

시크릿의 예는 다음과 같지만 이에 국한되지는 않습니다.

• 서비스 계정 자격 증명: 서비스 계정을 사용하면 앱과 자동화된 워크플로가 운영 체제와 상호 작용할 수 있습니다. 서비스 계정 자격 증명에는 비밀번호, 보안 토큰, Kerberos 티켓 및 기타 시크릿이 포함될 수 있습니다.
  
  
• API 키: API 키를 사용하면 사용자, 앱 및 서비스가 애플리케이션 프로그래밍 인터페이스(API)에 자신을 인증할 수 있습니다.
  
  
• 암호화 키: 암호화 키를 사용하면 사용자가 데이터를 암호화하고 복호화할 수 있습니다.
  
  
• 인증 및 권한 부여 토큰: OAuth 프로토콜에서 사용되는 토큰과 같은 토큰은 사용자의 신원을 확인하고 액세스할 수 있는 특정 리소스를 결정할 수 있는 정보입니다.
  
  
• SSH(보안 셸) 키: SSH 키는 SSH 서버에서 공개 키 암호화를 통해 사용자 또는 디바이스를 식별하는 데 사용됩니다.
  
  
• SSL/TLS 인증서: SSL/TLS(보안 소켓 계층/전송 계층 보안) 프로토콜을 사용하여 서버와 클라이언트 간의 개인 통신을 설정하는 데 사용할 수 있는 디지털 인증서입니다.
  
  
• 임의 시크릿: 애플리케이션이나 리소스에 액세스하는 데 사용할 수 있는 모든 유형의 정형 또는 비정형 데이터를 포함한 민감한 데이터입니다.
  
  
• 기타 개인 키: 여기에는 공개 키 인프라(PKI) 인증서, 해시 기반 메시지 인증 코드(HMAC) 키 및 서명 키가 포함될 수 있습니다.

엔터프라이즈급 시크릿 관리 도구는 조직이 개인 식별 정보(PII) 등의 민감한 데이터 및 시스템에 대한 무단 액세스와 오용을 탐지, 방지하고 해결하는 데 도움이 됩니다. 조직은 데이터 침해 및 데이터 도난의 위험을 줄여 귀중한 데이터의 손실, 잠재적인 벌금 및 평판 손상을 방지할 수 있습니다.

시크릿 관리는 권한 있는 계정과 사용자를 보호하는 데 중점을 둔 ID 및 액세스 관리(IAM)의 하위 집합인 권한 있는 액세스 관리(PAM) 의 핵심 요소 중 하나입니다.

PAM의 다른 3가지 핵심 요소는 다음과 같습니다.

• 계정 라이프사이클 관리, 비밀번호 관리 및 세션 모니터링을 처리하는 권한 있는 계정 및 세션 관리(PASM)
  
  
• 권한 상승 및 위임 관리(PEDM)는 권한 있는 액세스 요청을 자동으로 평가, 승인 및 거부하는 기능을 포함합니다. 
  
  
• 클라우드 인프라 권한 관리(CIEM)는 클라우드 컴퓨팅 환경에서 IAM 프로세스를 감독합니다.

시크릿 관리는 자동화되고 지속적인 소프트웨어 제공을 강조하는 DevOps 방법론에서 중요합니다.

DevOps 팀은 전체 디지털 에코시스템, 워크플로 및 엔드포인트를 관리하기 위해 여러 구성 또는 오케스트레이션 툴을 사용하는 경우가 많습니다. 이 툴은 시작하기 위해 시크릿에 액세스해야 하는 자동화 및 스크립트를 사용하는 경우가 많습니다. 엔터프라이즈급 시크릿 관리 서비스가 없을 경우 시크릿을 무분별하게 사용하면 시스템 취약성이 증가할 수 있습니다.

많은 조직에서 지속적 통합 및 지속적 배포 파이프라인 또는 CI/CD 파이프라인에 시크릿 관리 기능을 통합하고 있습니다. 이를 통해 개발자, 툴 및 자동화된 프로세스 등 모든 움직이는 부분이 필요할 때 필요한 민감한 시스템에 안전하게 액세스할 수 있습니다.

시크릿 관리는 DevOps 수명 주기 전반에 걸쳐 보안을 지속적으로 통합하고 자동화하는 DevOps 방법론의 발전된 형태인 DevSecOps의 핵심 구성 요소로 간주됩니다.

시크릿 관리 프로세스는 일반적으로 시크릿 관리 툴을 사용합니다. 온프레미스 또는 클라우드 제공 서비스로 배포할 수 있는 이러한 툴은 시크릿의 생성, 사용, 순환 및 보호를 중앙 집중화, 자동화 및 간소화하는 데 도움이 될 수 있습니다.

시크릿 관리 도구의 몇 가지 일반적인 능력은 다음과 같습니다.

• 중앙 집중식 및 표준화된 시크릿 관리
• 동적 시크릿 생성 및 자동화된 시크릿 순환
• 액세스 제어
• 활동 모니터링 및 감사

조직은 엔터프라이즈급 시크릿 관리 서비스를 통해 단일 창에서 여러 유형의 시크릿을 관리할 수 있습니다.

시크릿 관리 솔루션은 개별 사용자가 소규모 사일로에서 시크릿을 관리하도록 하는 대신 "시크릿 보관소"라고 하는 안전한 중앙 위치에 시크릿을 저장할 수 있습니다.

권한 있는 사용자가 중요한 시스템에 액세스해야 하는 경우 자격 증명 모음에서 해당 시크릿을 가져올 수 있습니다. 시크릿 관리 도구는 사용자에게 워크플로를 수행하는 데 필요한 권한을 자동으로 확인, 승인 및 부여할 수 있습니다.

표준화는 시크릿의 무분별한 확장을 방지하는 데 도움이 될 수 있습니다. 시크릿의 무분별한 확장은 비밀이 조직 전체의 다양한 위치에 저장되는 경우로, 종종 애플리케이션에 하드 코딩되거나 공유 문서의 일반 텍스트로 저장됩니다. 시크릿의 무분별한 확장은 악의적인 행위자로부터 비밀을 보호하고 비밀이 어떻게 사용되는지 추적하기 어렵게 만듭니다.  

시크릿 관리자에서 생성된 시크릿은 정적이거나 동적일 수 있습니다. 정적 시크릿은 일반적으로 수동으로 변경되거나 미리 결정된 만료 날짜에 도달할 때까지 오랫동안 유효한 상태로 유지되는 시크릿입니다.

반면, 동적 시크릿은 Secrets Manager가 필요할 때 온디맨드로 생성됩니다. 동적 시크릿은 상당히 빨리 만료됩니다. 심지어 일회용일 수도 있습니다.

동적 시크릿의 사용 사례는 리소스를 읽거나 액세스할 때마다 API 키를 동적으로 생성하여 기밀 리소스를 보호하는 것입니다. 이렇게 하면 악의적인 공격자가 API 키를 도용하여 재사용할 수 없도록 할 수 있습니다.

많은 시크릿 관리자는 시크릿 순환, 즉 시크릿을 정기적으로 변경하는 작업을 자동화할 수도 있습니다. 시크릿 교체는 애플리케이션을 재배포하거나 중단할 필요 없이 일정 또는 온디맨드 방식으로 자동화할 수 있습니다. TTL(Time-to-Live) 또는 임대 기간을 정의하여 시크릿이 존재하는 시간을 단축할 수 있습니다.

특정 단체나 그룹에만 시크릿을 부여하여 액세스를 체계적으로 관리하고 강화할 수 있습니다. 시크릿에 대한 액세스는 대개 최소 권한 원칙을 사용하여 부여됩니다. 즉, 각 프로세스에는 작업을 수행하는 데 필요한 가장 제한적인 권한 집합만 부여됩니다. 사용자는 권한이 부여된 작업을 수행하는 데 필요한 시크릿에만 액세스할 수 있습니다.

많은 Secrets Manager는 사용자와 애플리케이션이 어떻게 시크릿과 상호 작용하고 시크릿을 사용하는지 추적하여 시크릿이 수명 주기 동안 적절하게 처리되고 있는지 확인할 수 있습니다. 이를 통해 조직은 인증 및 권한 부여에 대한 실시간, 종단 간 모니터링을 수행할 수 있습니다.

Secrets Manager는 시크릿을 보거나 사용하려는 무단 시도를 신속하게 식별하고 액세스를 차단하여 해커, 내부자 위협 및 기타 악의적인 행위자를 차단할 수 있습니다. 

많은 조직은 시크릿 관리 솔루션을 사용하는 것 외에도 시크릿 관리 프로세스에서 일반적인 핵심 관행을 따르고 있습니다. 이러한 관행에는 다음이 포함됩니다.

• 시크릿은 개발, 테스트, 프로덕션 환경 등 서비스가 배포되는 환경에서 생성되고 저장됩니다. 일부 조직에서는 각 환경마다 다른 시크릿 관리 툴을 사용합니다. 하나의 중앙 솔루션을 사용하여 각 환경의 시크릿을 전용 세그먼트에 격리하는 기업도 있습니다. 시크릿은 절대 외부로 유출되지 않으며 엄격한 액세스 제어 조치를 통해 안전하게 보호됩니다.
  
  
• 시크릿에 대한 사용자 액세스는 모든 사용자가 책임을 수행하는 데 필요한 최소 수준에서 부여됩니다. 의도적이든 아니든 과도한 권한 부여는 데이터 유출로 이어질 수 있습니다.
  
  
• 시크릿은 시스템 요구 사항에 따라 정기적으로 교체됩니다.
  
  
• 사용자는 소스 코드, 구성 파일 또는 문서에 시크릿을 저장하지 않습니다.
  
  
• 모든 민감한 데이터를 암호화하도록 요구하여 보안 정책을 강화할 수 있습니다. 암호화 키는 키 관리 서비스(KMS)를 사용하여 보호할 수 있습니다.
  
  
• 조직은 누가 시크릿을 요청했는지, 어떤 시스템에서 시크릿을 요청했는지, 요청이 성공했는지 여부, 시크릿이 사용된 시기, 만료된 시기, 시크릿이 업데이트된 시기 및 여부 등 모든 요청을 추적하는 감사 로그를 통해 시크릿을 지속적으로 모니터링합니다. 이상 징후는 즉시 조사됩니다. 

에코시스템이 더욱 복잡해짐에 따라 시크릿 관리를 효과적으로 제어하기가 점점 더 어려워지고 있습니다. 일반적인 시크릿 관리 문제는 다음과 같습니다.

관리자, 개발자 및 사용자가 시크릿을 별도로 관리하는 분산형 에코시스템은 보안 격차와 시크릿 사용이 제대로 모니터링되거나 감사되지 않을 수 있으므로 위험을 초래할 수 있습니다.

중앙 집중식 시크릿 관리 솔루션은 조직에 시크릿에 대한 더 많은 가시성과 제어를 제공할 수 있습니다.

비밀번호나 기타 시크릿이 소스 코드나 스크립트에 일반 텍스트로 포함되어 있으면 공격자가 이를 쉽게 발견하고 민감한 정보에 액세스하는 데 사용할 수 있습니다.

하드코딩된 시크릿은 CI/CD 툴체인, 사물인터넷(IoT) 디바이스, Kubernetes와 같은 컨테이너 오케스트레이션 플랫폼 , 애플리케이션 서버, 취약성 스캐너 및 로보틱 프로세스 자동화(RPA) 플랫폼을 포함한 여러 위치에 나타날 수 있습니다.

시크릿의 정기적인 교체는 도난 및 남용을 방지하는 데 도움이 될 수 있지만 시크릿 관리 시스템 없이는 교체가 일관되지 않거나 비효율적일 수 있습니다. 시크릿이 너무 오랫동안 변경되지 않으면 해커가 시행착오를 통해 추측하거나 무차별 대입 공격을 통해 잠금을 해제할 수 있습니다.

시크릿을 오래 사용할수록 더 많은 사용자가 액세스할 수 있고 유출 가능성이 커집니다.

IT 시스템이 성장함에 따라 시크릿이 시스템의 여러 사일로화된 부분에 분산되어 시크릿이 확산될 수 있습니다. 조직이 여러 클라우드 제공업체가 제공하는 퍼블릭 클라우드와 프라이빗 클라우드 환경을 혼합하는 하이브리드 멀티클라우드 에코시스템에서는 시크릿 확산이 특히 우려될 수 있습니다.

조직은 모든 클라우드 네이티브 애플리케이션, 컨테이너, 마이크로서비스 및 기타 IT 리소스에 걸쳐 수천, 수백만 개의 시크릿을 보유하고 있을 수 있습니다. 이러한 확산으로 인해 보안에 대한 부담이 엄청나게 커지고 잠재적인 공격 표면이 확대됩니다.

서비스 전반에 걸쳐 가시성이 제한될 수 있으며, 수동으로 또는 서로 다른 시스템에서 추적할 경우 시크릿 관리가 빠르게 다루기 어려워질 수 있습니다. 중앙 집중식 시크릿 관리 서비스가 없으면 적절한 시크릿 위생을 시행하는 것이 더 어렵거나 불가능할 수 있습니다.

조직에 시크릿 관리 시스템이 없는 경우 이메일이나 문자 등을 통해 시크릿을 수동으로 공유할 수 있으며, 위협 행위자가 이를 가로챌 수 있습니다.