Security Lifecycle Management란 무엇인가요?

일반적인 기업 네트워크에는 인간 사용자(개발자 및 기타 이해 관계자)부터 비인간 개체(AI 에이전트, 장치, 워크로드 및 서비스 등)에 이르기까지 수천 개, 많게는 수만 개의 개체가 존재합니다. 이 인구는 역동적입니다. 인간 사용자는 자주 참여하고, 떠나고, 역할을 변경합니다. 인프라가 프로비저닝, 확장 및 폐기됨에 따라 새로운 비인간 ID가 지속적으로 등장합니다. 특히 클라우드 네이티브 및 DevOps 환경에서는 CI/CD 파이프라인과 자동화된 워크플로가 단기 서비스와 워크로드를 일상적으로 생성하기 때문입니다.

각 ID는 잠재적인 취약점입니다. 사용자는 고의 또는 부주의로 권한을 오용하여 내부자 위협이 될 수 있습니다. 위협 행위자는 훔친 자격 증명과 무차별 대입 공격을 사용하여 민감한 데이터 및 시스템에 무단으로 액세스하여 인간 및 비인간 ID를 장악할 수 있습니다.

실제로 해커가 유효한 계정 자격 증명을 악용하여 네트워크에 침입하는 신원 기반 공격은 가장 흔한 사이버 공격 수법 중 하나입니다. 이러한 공격은 IBM® X-Force Threat Intelligence Index에 기록된 데이터 침해 사고의 30%를 차지합니다.

보안 라이프사이클 관리는 이러한 신원 정보와 그에 연결된 권한 및 자격 증명을 단일 플랫폼이나 밀접하게 통합된 툴로 중앙 집중화하여 관리함으로써, 신원 공격 표면을 줄이고 보안 공백을 메우는 것을 목표로 합니다. 보안 라이프사이클 관리는 자격 증명 생성 및 교체, 계정 프로비저닝 및 디프로비저닝, 보안 정책 집행과 같은 핵심 사이버 보안 기능을 자동화합니다. 이를 통해 비즈니스에 필수적인 워크플로를 방해하지 않으면서도 액세스 제어와 비밀 정보 관리를 강화합니다.

Security Lifecycle Management는 플랫폼 또는 통합 도구 세트를 사용하여 주요 사이버 보안 기능, 특히 계정 보안, 자격 증명 관리 및 사용자 액세스 권한과 관련된 기능을 중앙에서 감독하고 자동화합니다.

보안 라이프사이클 관리의 핵심 기능에는 신원 관리, 비밀 정보 관리 및 보안 네트워킹이 포함됩니다.

Security Lifecycle Management는 인간과 비인간 ID 모두에 대한 ID 및 액세스 관리(IAM) 워크플로를 자동화할 수 있습니다.

• 신규 사용자 및 엔티티 온보딩(계정 생성 및 권한 할당 포함).
  
  
• 시간 경과로 인해 역할이 변경됨에 따라 사용자 및 단체의 권한을 조정합니다.
  
  
• 역할 기반 액세스 제어(RBAC), 지속적인 인증 및 권한 부여, 적시 권한 등의 조치를 통해 보안 정책을 시행합니다.
  
  
• 세션 녹화를 통해 사용자 활동을 지속적으로 모니터링합니다.
  
  
• 사용자가 이탈하거나 서비스가 폐기될 때 ID를 프로비저닝 해제합니다.

Security Lifecycle Management는 ID 뿐만 아니라 해당 ID와 연결된 자격 증명을 보호하는 데도 도움이 됩니다. 이 시스템은 다음과 같은 중요한 자격 증명 관리 및 비밀 관리 기능을 자동화할 수 있습니다.

• 인증서, API 키, 비밀번호 및 토큰을 포함한 새로운 인간 및 비인간 ID에 대한 자격 증명을 생성합니다.
  
  
• 자격 증명을 정기적으로 교체합니다.
  
  
• 민감한 정보 및 시스템에 대한 높은 수준의 액세스 권한을 부여하는 관리자 계정이나 서비스 계정의 자격 증명과 같은 고가치 자격 증명을 자격 증명 보관소(vault)에 저장합니다. 이러한 보관소는 다시 암호화와 다요소 인증(MFA) 같은 강력한 인증 조치로 보호되며, 이를 통해 필요한 경우에만 권한이 있는 사용자만이 자격 증명에 액세스할 수 있도록 보장합니다.
  
  
• 영구 자격 증명을 임시 또는 JIT(Just-In-Time) 자격 증명으로 교체합니다.
  
  
• 코드, 리포지토리, 협업 플랫폼, 개발자 도구 또는 기타 위치에 저장된 노출된 비밀을 자동으로 스캔하고 수정합니다.

일부 보안 라이프사이클 관리는 사용자가 자격 증명을 직접 처리할 필요가 없는 인증 프로세스인 자격 증명 주입 기능도 지원합니다. 대신, 자격 증명은 사용자를 대신하여 보안 보관소로부터 적절한 서비스로 직접 전달되며, 이를 통해 정보 노출이나 탈취의 위험을 줄입니다.

Security Lifecycle Management는 ID 및 자격 증명의 보호를 기반으로 하여 ID 간, 특히 서비스 간 안전한 연결 및 통신을 촉진하는 데도 도움이 됩니다.

Security Lifecycle Management 도구는 종종 다음과 같은 기능을 제공합니다.

• 서비스 신원에 대한 중앙 집중화된 진실 공급원 역할을 하며, 서비스의 상태 및 기타 속성에 대한 실시간 정보와 함께 서비스 검색 및 추적을 가능하게 합니다.
  
  
• 서비스 간 암호화, 지속적인 인증 및 속성 기반 권한 부여를 포함한 ID 기반 연결. 모든 액세스 요청을 심사하며 서비스에는 네트워크 위치가 아닌 속성을 기반으로 액세스 권한이 부여됩니다.
  
  
• 서비스 메시, 로드 밸런서, 방화벽, 게이트웨이와 같은 보안 네트워크 인프라의 자동 프로비저닝. 서비스가 생성, 확장 또는 폐기될 때 보안 통신이 자동으로 설정, 업데이트 및 해제됩니다.

Security Lifecycle Management는 일반적으로 ID, 자격 증명, 서비스 및 소프트웨어 인프라에 중점을 두지만 때로는 디바이스 관리 기능을 포함할 수도 있습니다. 예를 들어 워크스테이션 및 모바일 장치에 대한 자동 패치, 하드웨어 인증서 관리, 카메라 및 물리적 액세스 제어와 같은 온프레미스 보안 시스템에 대한 지속적인 모니터링 및 문제 해결 등이 있습니다.

보안 라이프사이클 관리는 핵심적인 IAM과 비밀 정보 관리 기능을 중앙 집중화하고 자동화함으로써, 보안 팀이 인간 사용자뿐만 아니라 비인간 신원에 대해서도 더 높은 가시성과 통제력을 확보할 수 있도록 돕습니다. 중앙 집중화와 자동화는 활동 모니터링, 액세스 제어 및 보안 정책 집행을 효율화하는 데 도움을 주며, 이를 통해 신원 기반 공격을 비롯한 기타 보안 인시던트와 사이버 위협의 위험을 줄여 줍니다.

복잡한 IT 시스템에서는 인간과 비인간 ID가 온프레미스, 원격 및 클라우드 인프라에 존재할 수 있으며 이러한 인프라 간에서 이동할 수 있습니다. 이러한 네트워크의 분산된 특성으로 인해 보안 팀이 각 ID가 수행하는 작업을 추적하기가 어렵습니다. 또한 DevOps 파이프라인에서 리소스는 동적이고 일시적인 경우가 많습니다. 새로운 비인간 ID가 시스템에 유입되어 보안 정보에 액세스하고, 보안 팀이 이러한 존재를 인지하기도 전에 모두 사라질 수 있습니다. 그 결과 정책 집행에 어려움을 겪고 보안 위험이 증가합니다.

안전한 관리 체계와 중앙 집중식 감독이 부재할 경우, 개별 사용자들은 보안 위생을 위한 모범 사례를 따르지 않을 수 있습니다. 사용자들은 보안이 취약한 비밀번호를 설정하고, 이를 여러 곳에 재사용할 수도 있습니다. 또한 MFA 활성화를 소홀히 할 수도 있습니다. DevOps 파이프라인은 관리되지 않는 비밀 정보가 저장소, 코드, 데이터베이스 등 곳곳으로 퍼져나가는 시크릿 스프롤(secret sprawl) 현상에 매우 취약한 것으로 잘 알려져 있으며, 이로 인해 잠재적인 위협에 노출될 수 있습니다.

중앙 집중식 관리 없이 앱, 특히 인증 및 권한 부여 기능이 기존 IAM 시스템과 통합되지 않는 앱을 에코시스템으로 가져오는 앱 스프롤도 문제를 야기합니다. 별도의 앱에 별도의 ID 디렉터리, 권한 설정 및 자격증명이 있는 경우 권한 감사 및 프로비저닝 해제와 같은 중요한 보안 활동이 너무 쉽게 빠져나갈 수 있습니다.

보안 라이프사이클 관리는 관리를 중앙 집중화하고 핵심 프로세스를 자동화함으로써, 취약한 신원, 액세스, 자격 증명 제어로 인해 발생하는 보안 위협을 최소화하는 데 도움을 줍니다.

인간 사용자와 비인간 신원을 포함한 모든 신원을 하나의 시스템에서 관리하면, 보안 팀이 더욱 일관된 액세스 정책을 설정하는 데 도움이 됩니다. 자동화된 프로비저닝 및 디프로비저닝은 이러한 정책들이 시기적절하고 표준화된 방식으로 적용되도록 보장할 수 있습니다.

자동화된 자격 증명 관리는 자격 증명이 적절하게 사용, 보호 및 순환되도록 하는 데 도움이 되며, 자격 증명 탐지 툴은 관리되지 않고 보호되지 않은 자격 증명을 찾아 수정하는 데 도움이 될 수 있습니다.

세션 녹화를 통해 보안 팀은 사용자의 모든 활동을 추적할 수 있어 정책 집행과 사고 대응을 모두 간소화할 수 있습니다. 보안 침해가 발생하면, 조사관들은 녹음을 통해 해커들이 침해된 계정을 어떻게 처리했는지 확인할 수 있습니다.

마지막으로, 서비스 간 연결을 보호하면 공급망에서 가장 심각한 취약점 중 하나인 시스템 구성 요소 간의 연결을 해결하는 데 도움이 됩니다.

IBM의 유명한 엔지니어이자 마스터 발명가인 Jeff Crume은 Security Intelligence 팟캐스트 에서 다음과 같이 말했습니다.

"가장 큰 취약점 중 일부는 서로 다른 두 사물 사이의 연결 지점, 즉 인터페이스가 있는 곳에서 발생합니다. 저와 여러분의 구성 요소가 완벽하더라도, 인터페이스는 그렇지 않을 수 있습니다. 그리고 나쁜 사람들은 취약점이 있는 곳이라면 어디든 파고들 것입니다."

요약하자면, 보안 라이프사이클 관리에 대한 포괄적인 접근 방식은 조직 전체 에코시스템에 걸쳐 인간 및 비인간 신원, 자격 증명, 권한에 대한 단일 기록 시스템을 제공하며, 이를 통해 제로 트러스트와 최소 권한 원칙 구현을 뒷받침합니다.

또한, 보안 라이프사이클 관리 도구와 관행이 DevOps 파이프라인의 신속하고 혁신적인 활동을 뒷받침하기 위해 존재한다는 점을 유념하는 것이 중요합니다. 실제로, 이러한 툴과 관행은 자격 증명 관리 업무를 개발자의 손에서 완전히 떼어냄으로써 이러한 프로세스를 최적화하는 데 도움을 줄 수 있습니다. 비밀 정보를 자동으로 생성, 저장, 교체 및 보호함으로써, 보안 라이프사이클 관리는 업무를 방해하지 않으면서도 IT 에코시스템의 안전을 확보할 수 있습니다.