‘최소한의 권한의 법칙’은 보안 담당자치고 싫어하는 사람이 없다고 한다. 그런데 이 법칙에는 또 다른 특징이 있다. 보안 담당자치고 이 법칙이 제대로 지켜지는 것을 한 번도 본 사람이 없다는 것이다. 어쩌면 그래서 싫어하지 않는 것일 수도 있다. 뭘 봤어야 싫어하지.

[보안뉴스 문정후 기자] 기업 창립을 위해 온갖 아이디어를 짜내고 있을 때였다. 그 과정에서 필자는 수많은 CISO들 및 CIO들과 인터뷰를 진행했다. 어떤 배경을 가지고 있든, 어떤 회사에서 경력을 쌓았든, 모든 사람들이 한결같이 하는 말이 하나 있었다. 회사의 가장 중요한 정보에 접근할 수 있는 사람이 누구인지 파악할 수 없었다는 것이다. 왜? 사장부터 말단 사원까지 모두가 그 정보에 접근할 수 있는 상태였기 때문이다. 필요한 권한만을 최소한의 사람들에게 허용해야 한다는 보안의 기본 원칙은 현실에는 존재하지 않는 것처럼 보였다.


‘최소한의 권한의 법칙(least privilege)’은 보안 아키텍처에 적용되어야 하는 개념 중 하나로 정보 보안 업계에 널리 받아들여지고 있다. 사용자들 각자의 역할과 책임에 따라 최소한의 권한만을 허용한다는 게 바로 이 ‘최소한의 권한의 법칙’이다. 각자가 맡은 업무만 차질없이 볼 수 있도록, 필요한 시스템과 데이터에만 접근하도록 하는 건데, 이게 말처럼 간단하지가 않다. 왜냐하면 일단 데이터라는 게 수많은 클라우드 플랫폼과 SaaS 앱들과 인트라넷에 연결된 여러 시스템들에 골고루 퍼져 있기 때문이다.

그러다 보니 현대의 모든 장비들은 거의 대부분 ‘데이터 과잉’이라는 질병을 앓고 있다. 그러면서 자연히 그 데이터를 다룰 수 있는 권한까지 주어지게 되는데, 충분한 시간이 지나면 모두가 공평하게 가장 높은 권한을 갖게 되는 상태가 된다.

KPMG가 연구한 바에 따르면 미국의 기업 약 62%가 2021년 한 해 동안에만 적어도 한 건 이상의 사이버 침해 사고를 겪었다고 한다. 대부분 “직원 한 명만 피싱 공격에 당해도 피해가 커진다”는 현상을 경험했다고 한다. 만약 속아넘어간 직원 한 명이 최소한의 권한만을 가지고 있었다면 어땠을까? 피해가 대폭 줄어들었을 것이다. 하지만 그런 상황은 이상론에 불과한 듯하다. 왜 ‘최소한의 권리의 법칙’이 현장에서는 잘 지켜지지 않을까? 원인은 가시성, 확장성, 계량적 분석 세 가지다.

가장 근본적인 것, 가시성
일단 뭐라도 조치를 취하려면 볼 수 있어야 한다. 보이지 않는 것을 상상만으로 정확하게 다룰 수는 없다. 이미 어느 기업이나 ‘과도한 권한’이 ‘모든 사람들에게’ 주어져 있는 상황이다. 그러므로 그 권한의 상황을 다 파악할 수도 없고 관리할 수도 없다. 누가 실질적으로 중앙 관리자 계정 접근 권한을 가지고 있는지 다 알아내기 힘들다는 것이다. 공식적으로 집계되는 것과 실제 현황은 상당히 다르다. 심지어 처리 안 된 퇴사자들의 계정과 권한까지 포함시킨다면 이야기는 더욱 복잡해진다.

상황이 이러니 현재의 권한 관련 상황을 정확히 이해할 수도 없고, 따라서 새롭게 시작한다는 것도 어려운 일이 된다. 새로운 계정과 권한 체제를 도입한다고 하더라도, 기존의 잘못된 것들을 전수 알아내 제거하는 것부터 해야 하기 때문이다. 이 과정 없이 덧씌워지는 새로운 체제는 그저 가시성 확보를 더욱 어렵게 만드는 장애 요인만 될 뿐이다.

확장성
기업들 중 직원용 계정만 수천 개인 곳이 적지 않다. 게다가 서비스 계정이나 봇 등 인간이 아닌 것들이 사용하는 계정들까지도 수천 개 더해야 하는 상황인 곳도 많다. 심지어 클라우드 서비스, SaaS 앱, 회사 자체 개발 앱, SQL 서버와 같은 데이터 시스템 등까지 수없이 갖춰진 상태로 운영되는 게 보통이다. 그런데 이 사람들과 시스템들은 한 번 정해진 권한을 가지고 수명이 다할 때까지 만족할 수 없다. 사업 진행 상황에 따라 처리해야 하는 데이터가 달라지고, 그러면 그 때 그 때 권한도 달라져야 한다. 즉, 확장성을 고려한다면 권한을 유연하게 관리한다는 게 불가능에 가까울 정도로 어려운 이야기가 된다.

그렇기 때문에 기업들 대부분 모두에게 높은 권한을 주는 것으로 결론을 맺는다. 아니면 부서나 직위 등 특정 기준으로 사용자들과 시스템들을 그룹으로 묶은 후 통째로 권한을 관리한다. 이렇게 하면 어느 정도 권한을 관리하면서 확장성 문제를 해결할 수는 있지만 가시성을 악화시킨다. 결국 특정 데이터에 접근하는 건 한 개인일 텐데, 그룹으로 묶이면 마치 그 그룹 안에 있는 모든 사람들이 한꺼번에 그런 것처럼 보이기 때문이다. 그러니 누가 어떤 권한을 가지고 접근했는지 알아낼 수 없게 된다.

계량적 분석
실제로 권한을 다루어야 하는 보안 담당자들이라면, 권한에 대해 이야기 할 때, 특히 권한의 가시성이나 확장성 문제를 이야기 할 때 뭔가 가슴 속에 찝찝한 것이 생기는 것을 느꼈을 것이다. 하지만 그 찝찝함이 무엇인지 표현을 하기는 어려웠을 것이다. 필자는 그것이 ‘측량 방법’이라고 감히 추측해 본다. 우리에게는 ‘권한’이라는 것을 정량적으로 계량할 방법이 없다. 현재 우리 회사의 권한이 얼마나 어떻게 마구 주어지고 있는지, 어떻게 측량할 것인가? 어떤 수치를 넘어가야 권한이 과잉인 것이고, 어떤 수치 안에 있어야 괜찮은 것인가?

그러니 CISO와 그 팀원들은 권한과 관련된 현황을 개선하기 위해 제일 먼저 대시보드부터 만들어야 한다. 최소한의 권한만이 모두에게 적용되도록 하기 위해 어떤 것을 측정하고 모니터링하고, 어떤 수치 이하로 유지시킬 것인지 스스로 발명해야 한다는 뜻이다. 그저 너무나 높은 권한을 가진 계정들의 수만 센다고 해서 최소한의 권한의 법칙이 잘 지켜지고 있는지 아닌지 확인할 수 없고, 확인이 된다 해도 그 다음 스텝을 밟기가 어려워진다. 측량하고, 정량화 할 방법이 없으니 구체적인 변화가 일어나지 않는 것이다.

앞으로 나아갈 방향
이제 최소한의 권한의 법칙을 수동적으로 적용하기는 어려운 시대가 됐다. 직원이 아주 적은 회사라면 모르겠지만, 그게 아니라면 이미 기업에서 사용되고 있는 각종 서비스와 파트너사 직원들, 회사 내에서 축적되고 처리되는 데이터의 순수 양 때문에라도 안 된다. 새로운 기술, 새로운 사고 방식, 새로운 처리 기술이 필요하다. 필자는 개인적으로 자동화 기술이 정말로 접목되어야 할 곳은 바로 이 권한 관리 부분이 아닐까 한다. 어쩌면 여태까지 현실에서 한 번도 이뤄내지 못한 최소한의 권한의 법칙이 드디어 자동화 덕분에 실현될 수 있을 지도 모르겠다.

글 : 타룬 타쿠르(Tarun Thakur), CEO, Veza
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>