정보들 중에는 ‘비밀’로 분류되는 것들이 있다. 이 ‘비밀’들은 각종 IT 솔루션들이나 애플리케이션들이 제대로 기능하기 위해 반드시 필요한데, ‘비밀’이기 때문에 안전하게 지키는 것도 필수적인 일이다. 문제는 이 ‘비밀’이 기업들마다 수만 개에 이른다는 것이다.

[보안뉴스 문정후 기자] 오늘날의 디지털 사업 환경에서 우리는 상업적으로 개발된 기성 애플리케이션이나 회사 내부에서 직접 생산된 애플리케이션들에 대한 의존도를 점점 높이는 중이다. 또한 더 많은 결과물을 더 빨리 시장에 내놓아야 경쟁이 되는 시대이기 때문에 IT 인프라에는 점점 더 많은 자동화 기술이 적용되고 있다. 그러면서 보안은 조금 소홀히 여겨지게 되었다.


조직들마다 다양한 애플리케이션들을 필요로 하고, 그에 따라 애플리케이션들의 기능 또한 다양해지고 있으며, IT 환경들 역시 회사마다 천차만별이다. 하지만 한 가지 공통점이 있는데, 모든 애플리케이션과 스크립트, 자동화 도구들은 어느 정도의 ‘비밀’(예를 들어 높은 권한의 크리덴셜 등)이 있어야 기능이 막강해진다는 것이다. 그래야 필요한 데이터나 기술을 활용할 수 있으니까 말이다.

이 때문에 우리 주변과 우리가 사용하는 인프라 내에는 ‘비밀’에 속하는 데이터의 양이 빠르게 증가하고 있다. 그러면서 위험도도 상상 이상의 속도로 높아지는 중이다. 여기서 ‘비밀’이란 ‘권한이 높은 비인간용 크리덴셜 혹은 열쇠의 역할을 하는 개인 소유의 정보 조각’으로, 각종 도구, 애플리케이션, 컨테이너, 클라우드 환경에 있는 특수하거나 민감한 자원에 접근하도록 허락해 주는 요소를 말한다.

이 ‘비밀’의 예로는 다음과 같은 것들이 있다.
1) 권한이 높은 계정의 크리덴셜
2) 비밀번호
3) 인증서(증명서)
4) SSH 키
5) API 키
6) 암호화 키

매번 시스템이나 엔드포인트, 클라우드 자산에 로그인 할 때마다 우리는 ‘비밀’로 분류되는 정보를 사용한다. 비밀번호를 입력할 때도 있고, 지문이나 얼굴을 인식시킬 때도 있고, 토큰을 활용할 때도 있는데, 이러한 정보 모두 ‘비밀’이다.

이제 ‘비밀’에 대해 명확히 했으니 이 정보들이 하루에 몇 번이나 사용되는지 생각해보자. 그런 후 거기에다가 100을 곱하자. 어마어마한 숫자가 나올 것이다. 그런데 그 숫자조차 대단히 보수적으로 어림잡은 것이다. 여기에다가 모든 애플리케이션, 장비, 봇들도 특정 자원에 접근하려면 ‘비밀’을 활용해야 하니, 이것까지 계산에 넣으면 어떨까? 이걸 한 조직 단위로 본다면 어떨까? 한 기업이 수십만 개의 ‘비밀’ 자산들을 관리해야 한다는 결론에 이를 수 있다. 그리고 이 ‘비밀’의 수는 지금 이 순간에도 빠르게 늘어나고 있다.

모든 기업들, 모든 조직들이 당면한 문제다. 그리고 제대로 해결되고 있지 않은 문제이기도 하다. 보안 담당자들에게 문젯거리들이라면 공격자들에게는 기회가 된다. 즉 수많은 기업들이(아니, 거의 모든 기업들이) 사이버 공격자들에게 셀 수 없는 기회를 제공하고 있다는 뜻이 된다. 그리고 그것이 지금 우리가 하루에도 수십 번 드나드는 사이버 공간의 현실이다.

쌓여만 가는 이 ‘비밀’의 문제를 어떻게 해결해야 할까?
먼저 이 ‘비밀’들이 적게 잡아서 수십 만개라는 건, 엑셀 파일로 관리하는 게 불가능하다는 뜻이 된다. 수동으로 관리할 수 있는 범주를 넘어선 지가 오래다. 혹시 그래도 엑셀이 좋다는 보안 담당자가 있다면, 포기하라. 그냥 그 방법밖에 없다. 다른 방법을 찾는 게 옳다.

우리는 온갖 비밀스런 보화를 금고에 넣어서 보관한다. 디지털 ‘비밀’들도 마찬가지다. 그렇다면 디지털 ‘비밀’들을 보관하는 금고는 어떤 기능을 담당해야 하는 걸까? 간단히 말해 세 가지 조건을 만족시켜야 한다.

1) 딱 필요한 때에만 열려야 한다
2) 딱 한 번만 문을 열어주고는 곧 닫아야 한다
3) 필요하다고 한 그 정보 딱 하나에만 접근하도록 해야 한다

여기에 하나를 더하자면 기존 인프라와의 호환성 역시 좋아야 한다. 그래야 인프라를 처음부터 뜯어내고 새롭게 구축하는 일이 없어지기 때문이다. 그런 과정을 거치면 네트워크에는 여기 저기 구멍이 생길 수밖에 없다. 구축과 통합이 용이한 것이 금고의 중요한 미덕임도 분명하다.

이 금고에는 비밀번호가 걸려 있을 텐데, 조직 차원에서 이 비밀번호를 주기적으로 바꿔주는 것도 반드시 해야만 하는 일이다. 심지어 한 사용자가 금고를 열고 들어가 필요한 일을 완수하고 나갔을 때마다 비밀번호를 바꿔야 한다는 주장도 나오고 있다. 아직까지 이런 고도의 안전 실천사항이 도입되고 있지는 않지만, 최소한 특정 직원이 회사를 나갈 때마다 금고 비밀번호를 바꾸는 건 해주는 것이 좋다.

다음으로 ‘비밀’ 혹은 금고에 접근한 모든 사람과 행위들을 추적할 수 있도록 방법과 장치를 마련하는 것도 반드시 해야 하는 일이다. 어떤 신원과 권한을 가진 사람이 어떤 계정으로 접근해 어떤 목적을 달성했는지 필요할 때 열람하고 파악할 수 있어야 사건 대응이 빨라진다. 또한 악성 행위까지는 아니지만 위험한 행위들을 파악하고 관리할 수도 있게 된다.

결국 ‘비밀’을 관리하는 데 있어서 가장 중요한 질문은 이것이다. “공격자들이 원하는 것은 무엇인가?” 해커의 마음과 시각으로 비밀을 바라보고 지킬 수 있어야 한다는 것이다. 내가 해커라면 우리 회사의 이런 상황을 어떻게 악용할 것인지, 또한 어떤 정보를 훔쳐야 가장 큰 돈을 벌 수 있을 것인지 등을 상상해 공격 경로를 능동적으로 차단해야 한다. 그저 공격이 일어나기를 기다리기만 하는 건 바람직하지 않다.

글 : 아트 포고시안(Art Poghosyan), CEO, Britive
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>