‘非인간 ID’인 ‘머신 ID’에 해커들 ‘눈독’

[애플경제 이지향 기자] 사용자의 ID, 즉 ‘인간 ID’가 아닌 ‘非인간 ID’의 보안은 상대적으로 더 취약하다. 이는 각종 기기(디바이스) ID와 워크로드 ID를 망라한 것이어서 ‘머신 ID’ 개념으로 인식되고 있다. 실제로 날이 갈수록 보안업계나 전문가들은 ‘머신 ID’의 보안에 특히 신경을 곤두세우고 있다.

그 중 워크로드 ID는 일종의 소프트웨어 워크로드를 말한다. 디바이스 ID는 데스크톱 컴퓨터, 모바일, IoT 센서 및 IoT 관리 디바이스 등의 ID다. 이들 머신 ID는 사내 직원들이나 외부 고객, 거래처 등을 아우른 인간 ID보다 보안이 상대적으로 허술하다.

머신ID, 생성과 철회 시기도 추적 어려워

해커들은 최근 디바이스 계정이나 액세스를 의한 토큰 등 머신 ID에 새삼 눈을 돌리고 있디. 그럴 수 밖에 없는 것이 이는 인간 ID, 즉 ‘휴먼 사용자’들의 ID에 비해 한결 뚫고 들어가기가 쉽기 때문이다.

인간 사용자들은 흔히 각종 리소스에 액세스하는 데 사용되는 단일 ID가 있다. 그러나 ‘인간’과는 달리, 소프트웨어 워크로드는 여러 자격 증명을 처리, 다양한 리소스에 액세스할 수 있도록 한다. 해당 자격 증명은 또한 특별히 안전하게 저장되어야 한다. 이런 워크로드 ID는 생성되는 시기나 철회 시기를 추적하기도 어렵다. 그래서 “기업들로선 워크로드 ID를 보호하는게 쉽지 않아서, 늘 애플리케이션이나 시스템이 취약할 수 밖에 없다”는 지적이다.

미국의 사이버보안업체인 베나피(Venafi)가 최근 클라우드 네이티브 보안 상태에 대한 ‘머신 ID’의 영향을 분석한 결과도 이를 실감하게 한다. 조사 대상 기업의 90% 가까운 숫자가 작년에 클라우드 네이티브 환경과 관련된 보안 사고를 겪은 것으로 나타났다. 그 결과, 절반 이상이 애플리케이션 출시를 지연하거나 제품 공급을 미뤄야 했다. 아예 애플리케이션 서비스가 중단된 경우도 많았다. 또한 공격자가 데이터, 네트워크 및 시스템에 무단으로 액세스할 수 있게 된 사례도 이어졌다.

비단 이런 조사 결과가 아니더라도 산업계 현장에선 머신ID 보안의 중요성을 절감하는 분위기다. 대부분의 보안 전문가들은 특히 액세스 토큰과 서비스 계정과 같은 머신 ID가 해커들의 주요 공격 목표가 되고 있다는 얘기다.

더 심각한 것은 사이버 범죄자들이 다양한 방식으로 AI를 배포, 무단 액세스를 얻고 서비스 계정을 사용해 머신 ID를 점점 더 광범위하게 악용하고 있다는 점이다. 머신 ID가 늘어날수록, 다양해지면서 속도가 빨라질수록 이들로선 더욱 범죄의 기회가 많아지는 셈이다.

‘머신ID’, 기하급수로 늘어나는 것도 문제

서비스 계정과 함께 쓰는 엑세스 토큰은 머신ID의 가장 큰 취약점이다. 이 외에도 인증서와 같은 다른 머신 ID와 관련된 사고를 경험한 사례도 늘어나고 있다. 이는 “클라우드 네이티브 환경의 복잡성이 커져 액세스와 인증을 뒷받침하는 머신 ID를 관리하고 보호하기가 더 어려워졌기 때문”이라는 보안업계의 설명이다.

특히 ‘인간’이 머신 ID 보안에서 가장 약한 고리라는 데 전문가들은 동의하고 있다. 또한 “워크로드 수준에서 머신 ID를 보호하지 못하면 다른 모든 보안이 쓸모없게 된다”고 경고하기도 한다. 이들 전문가들은 클라우드 네이티브와 데이터 센터 환경 간에 보안 액세스를 제공하는 것을 ‘통제할 수 없는 악몽’라고 설명했다. 그로 인해 대규모로 비밀을 관리하고 보호하는 데 어려움을 겪을 수 밖에 없다는 우려다.

또 다른 문제는 여러 서비스 계정을 사용할수록 복잡성이 크게 증가하는 현실이다. 앞서 베나피는 “그런 이유로 공격자들은 클라우드 네이티브 기술에서 머신 ID를 마치 ‘곳간 열쇠’러 여기며, 공격에 집중하고 있는 상태”라며 특히 “좀더 확실한 해결책은 보안 팀이 앞장서서 머신 ID 보안을 인간 ID와 동일한 수준으로 끌어올려야 할 것”이라고 밝혔다.

AI 포이즈닝도 새로운 소프트웨어 공급망 위험 요인으로 주목된다. AI 포이즈닝은 AI 데이터 입력 및 출력을 악의적인 목적으로 조작하는 기술이다. 문자 그대로 ‘AI 오염’이라고 할 수 있다. 그래서 “개별 모델의 고유한 신원을 기반으로 훈련, 배포, 실행하는 AI의 ‘킬 스위치’가 그 어느 때보다 중요하다”고 했다.