올해 국정감사에서 언급된 주목할 만한 사실은 디지털 환경의 보안 문제가 지속적으로 심화되고 있다는 것이었다. 지난 보건복지위원회 감사에서는 국민건강보험공단의 해킹 시도(2019년 1781건→2022년 8429건) 증가가 도마에 올랐고 국방위원회에서는 군 대상 해킹 시도(2022년 9021건→2023년 1~9월 1만335건), 기획재정위원회에서는 한국원산지정보원 대상 해킹 시도(2019년 1만8612건→2022년 4만7647건)가 급증한 것으로 나타났다.
이러한 보안 문제 급증은 코로나19 팬데믹 전후로 두드러지게 나타나고 있다. 재택근무 등으로 업무 환경이 급변하며 기업이나 기관 내부가 아닌 외부에서 액세스하는 직원들이 늘어났고, 긱 이코노미, 프리랜서를 비롯해 사람이 아닌 봇에 의한 접속도 증가했다.
문제는 이러한 상황에서 각 아이디가 접속하는 위치와 시간, 액세스 이후 각 아이디가 활용하는 애플리케이션과 데이터를 비롯해 각각에 접근 권한 등이 더해지며 경우에 따라 천문학적인 조합, 즉 경우의 수가 발생한다는 점이다. 전문가에 따르면 현재의 아이덴티티 보안 환경에서 이러한 조합은 최대 2000조개가량 발생이 가능한 수준이다. 이로 인해 최근 보안 업계에서는 ‘요즘 해커는 해킹을 통해 보안을 뚫지 않는다, 아이디로 로그인 해서 공격한다’는 말이 돌 정도다.
기업의 디지털 전환이 불가역적인 대세로 굳어지고 있는 상황에서 이러한 아이텐티티 보안 문제는 우선적으로 해결해야 할 선결 과제로 부상하고 있다.
이에 엔터프라이즈 아이덴티티 보안 전문 기업 세일포인트 테크놀로지는 8일 기업들의 핵심 데이터 관리와 보안을 돕는 세일포인트 데이터 액세스 보안 (SailPoint Data Access Security) 제품 출시와 함께 현재의 아이텐티티 보안 전략에 대해 소개했다.
이날 한국을 방문한 첸위 보이(Chern-Yue Boey) 세일포인트 아시아태평양 지역 총괄 사장은 미디어 브리핑을 통해 세일포인트 데이터 액세스 보안을 소개하며 “여전히 많은 기업들이 데이터를 비정형 파일로 무분별하게 저장해 필요한 데이터가 어디에 있고 누구에게 액세스 권한이 있는지 전혀 파악하지 못하고 있다. 또한 핵심 데이터와 어플리케이션에 대한 액세스 권한 관리가 여러 시스템에 분산되어 관리하기가 매우 어려워졌다”며 “이제는 기업들이 ‘세일포인트 데이터 액세스 보안’과 같이 데이터와 어플리케이션 액세스 관리를 자동화해 통합적으로 관리할 수 있는 솔루션을 도입해야 할 때”라고 강조하며 말을 이어갔다.
제로 트러스트 완성의 조건, 액세스 관리의 모든 사항을 설정해야
“누가 어디에서 액세스 할 수 있는가와 관련된 기술은 간단한 수준으로 시작했습니다. 코로나19 팬데믹을 거치며 사람이 아닌 봇이 접속하는 사례가 발생하고 ‘누가’와 ‘어디서’라는 부분이 복잡해 지고 있다는 점입니다. 또 액세스 역시 단순히 시스템을 넘어 어떤 부분까지 허용될 것이가에 대한 권한의 문제까지 발생하고 있습니다. 즉 이런 모든 사항을 설정해야만 제로 트러스트 기반의 아이덴티티 보안이 제대로 작동할 수 있다는 얘기죠.”
이와 관련 세일포인트 데이터 액세스 보안은 기업들이 각 아이덴티티에게 허용된 데이터에만 액세스 가능하도록 권한을 적시에 제공하는 통합 솔루션을 제공한다. 이는 기업들이 비정형 데이터에 대한 안전한 액세스를 보장하도록 하는 동시에 핵심 데이터와 지식재산에 대한 접근권한을 지능적으로 제어해 데이터 유출 리스크를 줄여준다. 또한 기업이 보유한 데이터와 자료를 자체적으로 분석해 핵심 데이터에 대한 액세스 권한을 안전하게 보호할 수 있도록 지원한다.
이에 더해 잠재적 리스크가 발생할 수 있는 액세스에 대한 모니터링과 거버넌스 제어 및 보고 활동을 모두 중앙에서 통제할 수 있도록 하여 업무 효율성을 개선한다. 기업들은 세일포인트 데이터 액세스 보안을 통해 데이터 친화적인 액세스 모델을 수립하는 데 도움을 받을 수 있으며 아이덴티티의 라이프사이클 관리와 보안 권고를 제공받을 수 있다.
한편 세일포인트는 기업들이 다양한 유형의 아이덴티티 보안 리스크를 사전에 방지하고 사업 역량 강화에만 집중할 수 있도록 아이덴티티 보안 클라우드 제품(SailPoint Identity Security Cloud)에도 새로운 기능을 추가했다.
세일포인트 액티비티 인사이트(SailPoint Activity Insight)는 조직 전반에서 사용되는 어플리케이션의 사용 패턴과 활동 동향을 분석해 각 아이덴티티에 최소한의 액세스 권한만을 제공하며 담당자들이 어플리케이션들의 세부 활동 데이터를 확인해 액세스 결정을 내릴 수 있도록 지원한다. 이를 통해 담당자들은 각 아이덴티티의 활동을 조직 전체와 비교해 사용 패턴을 파악하고 사용되지 않는 라이선스를 제거할 수 있다.
마이세일포인트(MySailPoint) 서비스는 각 기업 고유의 우선순위에 부합하는 데이터와 인사이트를 신속하게 공유할 수 있도록 마련된 웹페이지다. 기업들은 마이세일포인트 홈페이지에 접속한 뒤 대시보드를 조작해 효율적으로 자사의 데이터를 한 번에 분석해 확인할 수 있다.
이와 관련 이날 자리에 함께한 지정권 세일포인트 코리아 지사장은 “점차 기업들이 직면하는 보안 위협이 늘어나며 사업을 유연하게 보호할 수 있는 현대적인 아이덴티티 보안 솔루션의 중요성이 커지고 있다”며 “기업들의 디지털 전환이 가속화되며 단순히 액세스와 거버넌스 측면에서 이 문제에 접근해서는 아이덴티티 보안 체계를 제대로 수립할 수 없다. 앞으로는 핵심 데이터, 리소스, 사업을 통합적으로 관리할 수 있는 아이덴티티 보안 솔루션을 활용해 각 어플리케이션, 시스템, 데이터에 대한 액세스를 관리해야만 리스크를 줄이는 동시에 운영 효율성을 개선할 수 있다”고 밝혔다.
AI 기반 아이덴티티 보안은 이제 필수
첸위 사장은 ”이제는 직원들이 날로 방대해지는 디지털 생태계에서 자료를 다운로드, 수집, 복사, 공유하는 등의 행위가 너무나 당연한 시대가 됐다”며 “그로 인해 발생하는 어마어마한 조합은 인간이 관리할 수 없는 수준이 됐고, 이를 해결할 가장 중요한 기술은 AI에 기반한 아이텐티티 보안”이라고 강조했다.
이는 이날 공개한 ‘세일포인트 아틀라스(SailPoint Atlas)’ 아이덴티티 보안 플랫폼을 통해 적용되고 있다. 세일포인트 아틀라스는 강력한 엔터프라이즈급 아이덴티티 보안 프로그램을 구축, 유지 및 확장하기 위해 필요한 요소들을 제공하는 차세대 멀티 테넌트 SaaS 플랫폼이다. 첸위 사장은 이를 “유니파이드 개념의 통합 솔루션”이라고 강조했다.
“전화기의 진화를 예로 들 수 있습니다. 유선 전화에서 모바일 폰 단계에서는 기존 카메라, 계산기 등의 기능을 핸드폰에 포함시킨 수준이었죠. 이후 애플이 스마트폰을 선보이며 과거 여러 기술을 통합한 수준을 넘어 플랫폼 기반의 통합을 이뤘습니다. 이러한 스마트폰은 페이먼트 기능을 비롯해 예전에 없었던 기술 장착이 가능해지는 기반이 됐고, 나아가 미래에 요구되는 기능이 추가될 수 있게 된 거죠. 즉 세일포인트의 솔루션은 전통적인 프로그램의 결합이 아닌, 경량화를 추구하면서도 플랫폼 개념의 통합된 솔루션이라고 할 수 있습니다.”
첸위 사장의 말처럼 아틀라스 플랫폼은 ‘세일포인트 아이덴티티 보안 클라우드(SailPoint Identity Security Cloud)’를 기반으로 기업 아이덴티티 보안 시스템 운영을 단순화하고 가속화할 수 있는 다양한 서비스를 제공한다. 이를 통해 기업들은 아틀라스의 풍부한 아이덴티티 컨텍스트, 액세스 활동 정보 및 내장된 인공지능(AI) 기술을 통해 글로벌 규모의 아이덴티티 보안 프로그램 실행을 위한 차별화된 인사이트를 얻을 수 있다. 또한 자동화를 위한 워크플로우, 제어 정책, 일관된 API를 통한 원활한 연결구조, 포괄적인 데이터 레이어 등 현대 기업이 데이터와 아이덴티티를 통합적으로 보호할 수 있는 강력한 툴을 제공한다.
세일포인트 아틀라스는 기업들의 아이덴티티 보안 여정을 다양한 측면에서 지원할 수 있다. 먼저, 액세스 자동화 및 관리에 필수적인 모든 아이덴티티 정보와 컨텍스트를 포함한 업계 최고 수준의 데이터 모델을 구축해 신뢰할 수 있는 단일 데이터 소스를 유지한다. 나아가 다양한 머신러닝 모델을 통해 기업들이 아이덴티티 보안을 잘 실천하고 보다 나은 의사 결정을 내릴 수 있도록 돕는다. 단순한 내용부터 복잡한 내용까지 모든 아이덴티티 프로세스는 설정 가능한 Workflow 및 Form 기능을 통해 자동화하여 변경사항 발생 시 수동개입 필요없이 자동으로 처리되도록 한다.
조직 내부 담당자들에 대한 아이덴티티 관련 이해도 향상도 고려됐다. 각 개인에게 맞춰진 행동지향적 인사이트를 통해 관리자와 매니저는 물론 최종 사용자에 이르기까지 가장 중요한 아이덴티티 정보를 쉽게 확인할 수 있다. 게다가 아틀라스는 방대한 어플리케이션과 리소스 커넥터가 있어 모든 액세스와 아이덴티티 관련 정보를 하나의 솔루션으로 관리해 하이브리드 환경에서의 데이터 가시성을 대폭 개선할 수 있다.
이 외에도 기업들이 보안 시스템을 심층적으로 구성하고 확장성이 높은 프레임워크를 통해 보안 생태계 전반에 아이덴티티 보안을 도입해 제로 트러스트를 이행할 수 있도록 한다.
이날 브리핑 말미, 첸위 사장은 “’세일포인트 아틀라스’는 아이덴티티 관련 의사 결정을 혁신적으로 개선해 기업들에게 실질적인 이익을 제공한다”고도 강조했다. 클라우드와 온-프레미스, 사용자 계정 권한 부여 수준, 어플리케이션과 데이터 레이크 등을 가리지 않고 시스템이 어디에 있든 모든 경우를 고려해 아이덴티티, 데이터, 어플리케이션 액세스를 조직 생태계 전반에 걸쳐 통합적으로 관리할 수 있도록 한는 것이다.
지정권 지사장 역시 “아틀라스의 AI 기술에 세일포인트의 우수한 고객 사례들과 강력한 아이덴티티 보안 전문성을 결합해 기업들의 성공적인 아이덴티티 보안 여정을 지원하겠다”는 말로 강한 자신감을 드러냈다.
