별도 인증 없이 업무 흐름 유지, 세션 전반서 지속 검증해 보안성-편의성 챙겨
“GS, SK그룹 등 검증 진행..인증 공백 막는 보안 강화 수단으로 기대”

[보안뉴스 조재호 기자] 피앤피시큐어(대표 박천오)는 무자각 지속 인증 기술로 제로트러스트 보안 모델을 강화하고 있다고 20일 밝혔다. 최근 발표된 제로트러스트 가이드라인 2.0에서 정부는 지속 검증을 필수 원칙으로 규정하며 업계 전반에 새로운 기준을 제시했다.

피앤피시큐어의 ‘무자각 지속 인증’(ICA·Implicit Continuous Authentication) 기술은 비전 AI 기반 안면 벡터 분석을 적용, 인증 과정에서 사용자 개입 없이도 업무 전 과정에서 실시간으로 신원을 검증한다. 이를 통해 내외부 위협에 선제적으로 대응하면서 보안성과 업무 효율성을 동시에 확보할 수 있다.

제로트러스트 보안은 ‘절대 신뢰하지 말고, 항상 검증하라’는 원칙을 내세우지만, 현실 인증 체계는 이를 충분히 구현하기 어렵다. 최초 인증 후 사용자 신원을 지속 검증하는 기능이 미흡해, 자리를 비우거나 해커가 시스템을 장악한 상태에서 세션이 악용되거나 불법 접근이 발생할 수 있기 때문이다. 이 때문에 정부는 제로트러스트 가이드라인 2.0에서 접근 권한 승인 시점과 함께 지속적 신원 검증을 필수 원칙으로 규정했다.

지속 검증이 중요한 이유 중 하나로는 횡적 이동(Lateral Movement)이 꼽힌다. 외부 공격자가 시스템에 침투한 뒤 권한을 확장해 여러 시스템으로 이동해 추가 공격을 진행하는 방식이다. 기존 보안 시스템은 최초 인증 이후 세션 내 사용자를 지속해 검증하는 수단이 부족하다. 이에 따라 단말이 장악된 상황에서 추가 피해를 차단하기 어려워 공격이 네트워크 전반으로 퍼진다.

또 기존 방식은 사용자 개입이 필수적이어서 인증 절차가 번거롭고 반복돼 업무 흐름을 방해하고 생산성을 떨어뜨린다. 인증에 실패하면 재인증 과정이 추가되면서 사용자 피로감을 높인다. 이 때문에 일부 사용자는 보안 기능을 비활성화하거나 우회하는 등 위험 행동을 취할 수 있고, 장기적 보안 정책 준수에 대한 저항으로 이어질 가능성도 높다.

피앤피시큐어의 ICA는 비전 AI 기반으로 사용자가 업무 화면을 바라보는 것만으로도 실시간 인증을 수행한다. 이 기술은 DB·시스템 접근 제어솔루션에 적용돼 세션 전반에서 지속적으로 신원을 검증한다. 지속 검증을 통해 인증 공백을 원천 차단하며, 단말이 장악된 상황에서도 명령어 단위 재인증을 걸쳐 인가자 검증에 실패하면 즉시 세션을 종료한다. 별도 인증 행위가 필요 없어 업무 흐름을 방해하지 않으면서도 실시간 차단이 가능하다.

피앤피시큐어 관계자는 “현재 무자각 지속 인증 기술을 GS와 SK그룹 계열사 등 주요 기업에 도입해 실제 보안 환경에서 검증을 진행하고 있다” 며 “현재 고객사가 기술 유효성과 보안 강화 효과를 평가하는 단계에 있으며, 인증 공백 해결과 보안 체계 강화를 위한 핵심 수단으로 기대를 모으고 있다”고 밝혔다.

향후 피앤피시큐어는 무자각 지속 인증 기술 고도화에 박차를 가하며, 제로트러스트 보안 체계 확산을 선도할 계획이다. 금융권을 포함해 다양한 산업 분야 확장과 함께, 기업 보안 리스크를 최소화하면서도 업무 효율성을 유지할 수 있도록 지원한다는 방침이다. 이를 바탕으로 지속 가능한 보안 환경을 제공한다는 전략이다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>