재택근무 보안 기술, VPN→VDI→2FA→IAM→PAM으로 진화
최근엔 기존 IAM‧PAM 기술 보완한 차세대 PAM도 등장
가상 프라이빗 네트워크(VPN)나 가상데스크톱(VDI), 혹은 접근통제 기술(IAM) 등 재택근무의 보안 문제를 해결하고 외부 침입을 방지하기 위한 기술도 날로 발달하고 있다.
그러나 이들 기술은 각기 취약점을 갖고 있어 안심할 수만은 없다는 지적이 끊이지 않고 있다. 그런 가운데 최근엔 VPN, VDI, 계정 관리 중심의 IAM은 물론 기존의 특권 접근 관리(PAM)를 뛰어넘는 ‘차세대 PAM’이 현존하는 보안 수단 중 가장 뛰어난 방어기술로 평가되고 있어 주목된다.
VPN 등도 취약하기 마찬가지
재택근무는 조직 구성원들이 일단 중앙이나 본사의 통제를 벗어난 공간에서 일한다는 점에서 원천적인 보안의 우려가 뒤따른다. 이에 많은 기업이나 기관, 조직들은 철저한 보안을 기하기 위해 노력하고 있다.
VPN이나 2요소 인증(2FA) 등은 그중 가장 첨단의 방어막으로 인정되고 있다. 그러나 VPN 역시 사용자 아닌 제3자가 사용자의 컴퓨터를 활용해 프라이빗 네트워크로 기업 시스템에 액세스할 경우엔 속수무책이다. VPN로 연결한 인물이 사용자가 맞는지도 알 수 없고, 어떤 데이터에 액세스했는지 등을 추적할 수 없다.
가장 안전하다고 알려진 사용자 인증 기술인 2FA도 취약점을 안고 있긴 마찬가지다. 사용자가 2가지 요소에 의해 일단 인증을 받아 연결해두면, 그 후에는 따로 인증이나 비밀번호 입력이 필요없다.
그냥 자유롭게 세션에 접속한채로 아무 시스템에 무작위로 접근할 수 있다. 그야말로 빈집털이에게 열쇠를 맡긴 셈이다. 이에 사용자 장본인이 맞는지, 또 사용자가 분명한 인물이 그에게 접근이 허용된 앱만 이용하는지 등을 확인하고 관리하는 계정중심의 접근통제가 필요하다는 목소리가 높았다.
그래서 아예 사용자가 맞다 하더라도 그가 시스템에서 할 수 있는 것과 없는 것, 즉 권한을 명확히 제한한 PAM이 재택근무 환경에 적합한 보안 솔루션으로 각광받아 왔다.
계정 권한 제어에서 나아간 특권사용자계정 관리
PAM은 기존 IAM처럼 단순히 계정의 권한을 제어하는데 그치지 않는다. 비밀번호 생성 및 주기적 변경, 통제된 권한 승격과 위임, 세션 설정, 활동 모니터링 등 계정의 탈취와 남용을 방지하는 모든 기능이 포함된다.
특권계정 사용자가 특정 시스템에서 어떤 작업을 했는지를 기록하는 기능도 있다. 각종 재무 정보, 지적 재산과 같은 데이터에 접근하거나 특권 사용자 계정을 중앙에서 통제, 관리하는 솔루션이다.
그러나 이에 대해서도 전문가들은 문제를 제기했다. 즉 PAM 솔루션은 강력한 물리적 통제를 가정하고 설계되었다는 점이 오히려 걸림돌이 되고 있다. 즉 중앙이나 본사가 특권 사용자 계정을 직접 통제하거나 계정 남용과 탈취 등을 감시하는 등의 물리적 통제가 없는 재택근무 환경에는 적합하지 않다는 지적이다.
그래서 등장한 개념이 ‘차세대 PAM’이다. 이는 아예 집에 있는 직원이나 조직 구성원, 즉 사용자를 지속적으로 인증하고 첨단의 위협 분석을 함으로써 기존 PAM의 한계를 넘어 허용하지 않은 사용자의 시스템 접근과 계정 남용을 차단하는 기술이다.
침입자들, 프록시 게이트웨이도 피해서 접속
기존의 PAM은 사용자가 아닌, 시스템을 드나드는 프로토콜을 통제하는데 중점을 두고 있다. 그러나 솔루션이 지원하지 않는 프로토콜을 통한 접근은 통제 밖에 놓이게 된다는 점이 큰 문제다. 보안을 위한 중개자 역할을 하는 프록시 게이트웨이를 통하지 않는 서버 간 연결이나 콘솔과 웹에 직접 접속할 경우도 손을 쓸 수 없게 된다. 그러나 ‘차세대 PAM’은 계정을 중심으로 ‘모든 접속’에 대해 승인 기록을 남기도록 한다는 점에서 이와 다르다.
특히 ‘지속적인 사용자 인증’이 ‘차세대 PAM’의 큰 무기다. 이는 쉽게 말해 사용자의 평소 습관이나 지속적인 버릇, 태도 등을 기억했다가 대조하는 기능이다. 흔히 재택근무 환경에서는 공격자가 사용자 계정을 탈취해 실제 사용자로 위장하고 시스템에 침투하기 쉽다.
그래서 시스템 접근 승인 단계만이 아니라 시스템을 사용하는 내내 접속자가 실제 사용자가 맞는지를 예의주시한다. 예를 들어 ‘차세대 PAM’은 사용자의 평소 행위나 습관을 분석해 그가 사용자가 맞는지를 감별한다.
마우스를 클릭하는 속도나 간격, 리듬, 키보드를 치는 방식 등도 실제 사용자가 맞는지를 비교, 감별하는 기준이 된다. 이를 위해 사용자의 행위를 모두 데이터화해 머신러닝으로 학습시킨 다음 사용자의 행위나 사소한 버릇이 평소와 다를 경우 이를 비정상의 접속으로 분류하는 것이 ‘차세대 PAM’의 특징이다.
그러나 세상에 완전무결함이란 없듯이, ‘차세대 PAM’ 자체도 보안이 중요하다. 만약 ‘차세대 PAM’에 장애가 발생하면 모든 시스템 자체가 마비되거나 기업 활동에 큰 지장을 초래한다. 많은 전문가들은 “이는 또 하나의 숙제이며, 그런 비상 상황에 대처할 방안을 마련해둬야 할 것”이라고 우려하기도 한다.