자산의 소유자를 식별하고 안전하게 보호하는 작업은 쉽지 않다. 다중 인증 외에도 조건부 접근과 권한 있는 접근은 기업의 보안 수준을 한층 강화하는 데 도움이 된다. 그러나 인공지능 기술을 도입하면 복잡성이 급격히 증가하는 문제가 발생한다.
딜로이트 미국 사이버 디지털 아이덴티티 및 사이버 인공지능 블루프린트 리더 나레시 퍼사드는 “인공지능 기술 활용은 정책 관리, 규정 준수 관리, 보안이 모든 애플리케이션과 모든 시스템에 걸쳐 적용되기 때문에 기업에 매우 큰 도전 과제가 되고 있다”라고 말했다.
딜로이트의 산업·금융 고객은 컨설팅사의 아이덴티티 제품을 통해 시간을 절감하고 있다. 최근 딜로이트는 대형 산업 고객과 협력하면서 기존 시스템에서 계정 소유권이 명확하지 않은 사례를 확인했다. 엔드포인트 이벤트가 발생했을 때, 공격 대상 계정의 소유자가 누구인지, 여러 이름으로 존재하는 계정인지 추적하기 어려운 상황이었다.
퍼사드는 “아이덴티티 관리 시스템을 통해 해당 계정의 명명된 사용자와 연결할 수 있고, 동시에 해당 계정이 권한 접근 관리 시스템에서 아이덴티티로 보관돼 있는지도 확인할 수 있다”라고 설명했다.
이 시스템은 사용자와 연관된 다른 모든 계정도 식별해 침해 흔적이 있는지 함께 점검한다. 퍼사드는 이를 블라스트 반경이라고 표현했다.
퍼사드는 “권한 계정이 침해되면 해당 계정을 이용해 다른 계정의 비밀번호를 재설정할 수도 있다”며 “블라스트 반경을 즉시 파악하고 적절한 대응을 결정해 경보에 반영하면 보안 운영 센터의 애널리스트는 이전보다 훨씬 더 나은 텔레메트리를 확보하게 된다”라고 말했다.
해당 시스템은 수작업으로 처리해야 했을 퍼즐 조각들을 연결하는 데 기여했다. 문제를 식별한 보안 애널리스트는 아이덴티티 시스템 관리자에게 연락해야 했는데, 이는 아무리 효율적인 기업이라도 비효율적인 절차였다. 연락 지점을 식별하고 커뮤니케이션을 자동화하면서 대응 속도와 효율성이 크게 개선됐다.
사고와 관련된 데이터를 마이터 어택 프레임워크에 매핑하는 데도 많은 시간이 소요된다. 업계 분석에 따르면 최대 30분이 걸릴 수 있다. 퍼사드는 “인공지능을 적용하면 이 시간을 70~80%까지 대폭 줄일 수 있다”라고 말했다.
퍼사드는 딜로이트 솔루션이 문서화 과정을 단순화했다고 설명했다. 관련 계정 중 보관되지 않은 계정을 식별하고, 권한 계정을 보다 면밀히 검토할 수 있는 대시보드를 제공했다. 보관되지 않은 계정은 신속히 보관 처리할 수 있었고, 권한 계정의 취약점도 정확히 찾아 해결할 수 있었다. 이로 인해 고객의 보안 운영 방식은 과거보다 훨씬 정밀해졌다.
딜로이트는 유사한 가시성 문제를 겪고 있던 금융 서비스 고객과도 협력했다.
퍼사드는 “많은 기업이 어떤 자산을 보유하고 있는지, 그리고 해당 자산에 어떤 통제가 적용되는지에 대한 전체 그림을 파악하는 데 어려움을 겪고 있다”라고 말했다. EHgks 딜로이트의 아이덴티티 솔루션이 사용자를 실제로 사용하는 자산과 연결하는 데 도움을 줬다고 설명했다. 자산을 발견하면서 각 자산에 적용되는 보안 통제를 보다 정교하게 조정할 수 있었다.
퍼사드는 “금융 데이터와 기타 민감한 정보를 처리하는 시스템이라면 아이덴티티 측면에서 적절한 통제를 반드시 적용해야 한다”며 “자산 발견과 아이덴티티 발견을 연계하고, 이를 IT 자산 관리 시스템의 통제와 정렬함으로써 두 요소를 하나로 결합할 수 있었다”라고 말했다.
그 결과 사용자는 애플리케이션을 보다 빠르게 통합할 수 있었다.
아펙스애널리틱스의 아이덴티티 보안 관리 방식
공급망 관리 플랫폼 기업 아펙스애널리틱스(Apexanalytics)의 CIO 비샬 그로버는 “아이덴티티 보호는 디지털 자산을 보호하는 데 있어 모든 기업에 필수적인 핵심 통제 요소”라며 “제약과 비즈니스 요구사항 간의 균형을 유지하는 것이 중요하다”라고 말했다.
아펙스애널리틱스는 마이크로소프트 제품을 10년 이상 사용해 왔으며, 디펜더를 포함한 보안 기능을 점진적으로 확대해 왔다. 그로버는 “처음에는 주로 백신 용도로 사용했지만, 이후 고급 위협 보호, 아이덴티티 보호를 추가하면서 더 많은 통제와 검증을 적용해 전체 보안 태세를 강화했다”라고 설명했다.
이 회사는 국제적 사업 확장에 따라 증가하는 아이덴티티 위험에 특히 주목하고 있다. 2016년 홍콩, 2024년 사우디아라비아에 사무소를 개설하면서, 사무소 간 협업과 직원 이동이 늘어났기 때문이다. 이 과정에서 시스템 접근이 합법적인지 검증하는 절차가 중요해졌다.
보안팀은 애저 액티브 디렉터리를 활용해 직원이 합리적으로 접근할 수 있는 지리적 경계를 검증하고 있다. 예를 들어, 미국에 기반을 두고 거의 이동하지 않는 직원이 갑작스럽게 먼 지역에서 로그인하려 할 경우 즉시 위험 신호가 발생한다. 해당 위치에 실제로 존재한다는 사실을 확인할 수 없다면 자격 증명이 침해됐을 가능성이 높다.
그로버는 “사용자 관점에서는 근무지 외 지역으로 이동할 경우 IT 및 보안팀에 구체적인 위치를 사전에 공유해야 한다”라고 말했다. 이런 정책은 사용자 행동과 회사 정책의 합리적인 조정을 요구하지만, 그 효과는 크다.
그로버는 “더 넓은 위험 관리 관점에서 볼 때 이러한 접근 방식은 회사의 보안 모델에서 핵심적인 역할을 한다”라고 평가했다. 직원 위치를 추적하고 이에 따라 위험을 부여하는 기능은 국제적 확장을 추진하는 기업의 위험 모니터링 수준을 크게 끌어올렸다. 예를 들어, 한 직원이 특정 위치에서 시스템에 접속한 뒤, 물리적으로 이동이 불가능한 시간 내에 다른 먼 지역에서 다시 접속하면 경보가 발생한다.
보안 애널리스트는 소프트웨어를 활용해 위험한 로그인 시도도 탐지한다. 블랙리스트에 등록된 아이피 주소에서 로그인이 발생하면 즉시 경보가 울린다.
또한 사용자 행동을 모니터링하는 조건부 접근 정책에 대한 의존도도 높아지고 있다. 사용자가 특정 애플리케이션에서 평소와 다른 행동 패턴을 보이면 해당 활동은 표시돼 조사 대상이 된다.
아펙스애널리틱스는 최소 분기별로 정책을 재검토해 변화하는 비즈니스 전략과의 정합성을 유지하고 있다. 그로버는 애저의 역량에 대해 신뢰를 보이면서도, 새롭게 등장할 수 있는 잠재적 취약점에 대해서는 지속적으로 경계를 유지하고 있다고 밝혔다.
dl-itworldkorea@foundryco.com
No Author editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.