자료실

PAM 구현의 3가지 이점과 구현 속도를 높이는 6단계


기업이 사용하는 모든 시스템에는 직원 이메일부터 민감한 데이터베이스, 개인 식별 정보(Personally Identifiable Information, PII) 등에 접근할 수 있는 특권 계정이 있습니다. 기업이 어떤 위험에 직면하든 그 위험에서 특권 계정으로 위협 벡터를 연결할 수 있습니다. 


데이터 침해의 70%는 특권 악용과 관련됩니다. 따라서 기업에는 ID와 특권 액세스를 보호하기 위한 효율적인 접근 방법이 필요합니다. 특권 계정은 더 높은 위험을 내포하므로 최대한 신속하게 특권 계정에 대한 통제력을 확보하는 것이 중요합니다. 


여기서는 속도가 핵심입니다. 특권 액세스 관리(Privileged Access Management, PAM) 구현 프로세스의 속도를 높이면 여러 가지 큰 이점을 누릴 수 있습니다. 기업에서 PAM을 도입하려는 가장 일반적인 이유는 무엇이고, 여기에 따르는 과제는 무엇일까요? 



1. 감사 지적 사항 해결 

보안 감사자는 특권 계정이 어떻게 관리되는지 검토하고 빈틈을 찾습니다. 또한 갈수록 엄격해지는 사이버 보험에서는 PAM 솔루션을 보험 요건으로 두고 있습니다. 


기업은 실제 문제가 발생하기 전까지는 ‘PAM 통제력 부족’을 문제로 인식하지 못합니다. 가령 관리자 그룹이 민감한 데이터베이스에 대한 일련의 루트 계정 집합을 공유하면서도 별다른 문제를 겪지 않는다면, 해당 기업에서는 책임 추적성(accountability) 부족 문제가 주목받지 않을 것입니다. 


그러나 감사자는 이런 빈틈을 찾고 수정해야 할 점으로 지적합니다. 규정의 요구사항에 따라 미준수에 따른 벌금이 부과될 수도 있습니다. PAM을 통해 빈틈을 빨리 메울수록 기업이 벌금 또는 기타 처벌을 받을 가능성은 낮아지고 규정 준수를 향한 속도를 높일 수 있습니다. 



2. 개인 책임 추적성 및 가시성 확보 

대부분 기업은 누구에게 특권 액세스가 필요한지에 관해 전체적인 그림을 그리지 않습니다. 하지만 민감 데이터와 관련해서는 특권 액세스가 필요한 사용자에 대한 가시성과 책임 추적성이 매우 중요합니다. 


IT팀이 누가 무엇에 액세스하는지에 대한 가시성과 책임 추적성을 확보하고 있으면 이상 현상과 악의적 행위를 더욱 빠르게 인지하고 조치를 취할 수 있습니다. 일부 PAM 솔루션은 이상 현상이 감지될 때 이런 조치를 자동으로 수행합니다. 


개선된 가시성과 책임 추적성을 갖추면 보안팀은 유기된 계정을 정리하고 정적이거나 과도한 특권을 가진 개인을 제거하여 보안을 강화할 수 있습니다. 



3. 생산성을 저해하지 않으면서 보안 강화 

감사 또는 규정 준수로 인해 빠르게 PAM 솔루션을 구현해야 하는 기업은 일반적으로 높은 비용이 따르고 많은 시간이 들고 비즈니스 이니셔티브에 부정적인 영향을 미칠까 우려합니다. 보안 지출은 비즈니스 운영과 관련한 투자가 아닌 비용으로 간주되는 경우가 많습니다. 그러나 PAM 구현 효과를 보기 위해 다른 부분을 반드시 타협해야 하는 것은 아닙니다. 


차세대 PAM(또는 원클릭 액세스) 솔루션은 기업이 구현한 후 일상적인 운영에 지장을 초래하지 않으면서 가시성과 책임 추적성을 달성할 수 있도록 해줍니다. 


가령 ‘PAM 구현’이라는 단기 계획과 ‘데이터를 세밀하게 분석한 후 가드레일을 구축한다’는 장기 계획을 수립한 기업이라면 원클릭 액세스 기능을 갖춘 원 아이덴티티 세이프가드(One Identity Safeguard)를 사용할 수 있습니다. 특정 기준을 충족하는 사용자는 PAM 보안 솔루션에 액세스하지 않고도 임시로 승격된 권한(특권 세션)을 얻을 수 있습니다. 


이런 기능은 ID 관리 시스템을 보유한 기업의 PAM 구현 속도를 더욱 높입니다. ID 관리 시스템과 통합된 마칠 없는 PAM 솔루션은 적시(Just-In-Time, JIT) 액세스 사용례를 신속하게 구현합니다. 


PAM 솔루션은 계정에 특권을 부여하고 필요에 따라 사용자를 이 계정에 할당합니다. 즉, 승격된 액세스 권한이 필요한 사용자는 승격된 특권이 있는 계정에 할당되고 요청 시에만 해당 계정에 승격된 특권이 부여됩니다. 사용자가 계정으로 수행하는 작업을 마치면 승격된 특권은 계정에서 제거되고 계정이 비활성화되며, 계정에 대한 사용자의 액세스 권한은 사라집니다. 


PAM이 처음 구현될 때는 사용자 행동 데이터가 수집됩니다. 기업은 이런 데이터를 저장해 기준을 만들 수 있으며, 특권 계정에서의 사용자 활동 분석에 활용할 수도 있습니다(예를 들어, 일련의 보안 작업에 연결된 사용자 행동 분석). 이후 더 많은 가드레일로 계정에 대한 보호 조치를 강화할 수 있습니다. 


기업은 마찰 없는 PAM 구현을 통해 ROI를 높이고 프로젝트 비용을 줄이며, 특권 사용자의 생산성에 미치는 영향을 최소화할 수 있습니다. 



PAM 구현 속도를 높이는 6단계 

지금까지 기업이 PAM을 구현하고자 하는 일반적인 이유와 과제를 살펴봤습니다. 그러나 빠르고 원활한 구현은 기업의 준비에 따라 좌우됩니다. 구현 속도는 솔루션 업체의 영향도 받긴 하지만, 기업 내부적으로 PAM 구축 속도를 높일 수 있는 단계가 있습니다. 


Step 1. PAM 위협 벡터 분석 

기업이 PAM 솔루션 도입을 준비하기 위해 할 수 있는 최선의 일은 위험도가 높은 계정을 분석하고 인벤토리화하는 것입니다. 이를 추진할 때는 다음과 같은 질문을 해야 합니다. 


  • 위험이 가장 큰 프로세스와 표면은 무엇인가? 

  • 위험에 따라 어떻게 순위를 매길 수 있는가? 

  • 어떤 프로세스가 어느 계정에 연결되며, 이런 프로세스가 의존하는 계정은 무엇인가? 


기업이 일반적으로 특권 계정으로 간주하는 것 이상을 생각하십시오. 예를 들어, 침해된 소셜 미디어 계정으로 인한 주가 폭락 시나리오에서는 IT팀이 소유한 계정이라고 해서 항상 위험도가 높은 것은 아닙니다. 


분석 작업의 유용함을 과소평가하지 마십시오. 모든 특권 계정을 파악하고 우선순위를 정리하면 기업은 잠재적인 위험과 취약점을 인식하고 어느 계정을 먼저 특권 관리 대상으로 설정해야 하는지에 대한 로드맵을 마련할 수 있습니다. 


Step 2. 사용자 및 이해관계자와 접촉 

PAM은 IT 또는 보안팀만의 이니셔티브가 아닙니다. 애플리케이션 소유자, 프로세스 소유자와 같은 개인 역시 PAM 구현에 관여해야 합니다. 변경 관리와 경영진 후원도 성공적인 PAM 프로젝트 구현과 지속적인 유지에 있어 핵심 요소입니다. 


Step 3. 우선순위가 가장 높은 사용례를 목록으로 작성 

특권 계정을 분류하고 우선순위를 부여하는 어려운 작업이 완료됐다면 그 다음 단계는 우선순위가 높은 PAM 사용례를 정리하는 것입니다. 


세부 워크플로우는 기업마다 다르겠지만, 중요한 것은 솔루션을 최종 결정하기 전에 해당 업체가 기업의 사용례를 지원할 수 있는지 확인하는 것입니다. 우선순위가 높은 사용례의 요구사항을 염두에 두면서 우선순위가 낮은 사용례로 확장해야 하는 경우도 고려하십시오. 


PAM 구현 속도는 우선순위가 높은 사용례를 분류해 우선순위를 부여하고 솔루션 업체와 즉시 공유할 수 있는지에 따라 결정될 것입니다. 


Step 4. 잠재적 파트너 또는 솔루션 업체와 협력 

인프라에 솔루션을 추가한다고 해서 모든 문제가 마법처럼 해결되지는 않습니다. 새로운 솔루션이 쉽게 통합되지 않는다면 기존의 여러 솔루션에 걸쳐 새로운 기능을 적용하는 작업도 어렵습니다. 


기업에 가치를 더하는 서비스 중 통합할 수 있는 부분이 있는지 검토하십시오. 가령 사용자 ID 관리, 다중 인증(Multi-factor Authentication), 액세스 관리 기능을 제공하는 업체가 모두 다른 경우에는 이들 3가지 기술과 새로운 솔루션을 개별적으로 통합하고 3곳의 업체에 비용을 지불하고 3가지 개별 리소스를 관리해야 합니다. 하지만 이런 기능을 모두 제공하는 하나의 PAM 솔루션을 통해 운영 오버헤드를 없애고 소유권 비용을 낮추고 여러 서비스에 걸친 통합 문제를 최소화할 수 있습니다. 


Step 5. 기존 솔루션을 대체할 때는 새로운 시각으로 공격 표면 바라보기 

PAM 솔루션을 아예 갖추지 않은 기업보다는 현재 사용 중인 PAM 솔루션을 다른 것으로 대체하려고 하는 기업이 훨씬 많습니다. 기존 PAM 솔루션이 감당할 수 없을 정도로 기업의 규모가 성장했다면 최대한 신속하게 기능 부족 문제를 해결해야 합니다. 


PAM 프로세스를 1:1로 전면 교체하려고 하지 말고 PAM 접근 방식을 새롭게 검토해 보십시오. 단절된 사고방식에 갇히거나 기존 PAM 솔루션의 프로세스에 집착하지 마십시오. 현재 사용 중인 기술에 초점을 맞추지 말고 해결하고자 하는 비즈니스 문제를 생각하는 것이 중요합니다. 


Step 6. 베스트 프랙티스 설정 

많은 PAM 사용례가 활성 보안 프로세스로 전환되는 추세입니다. 이런 상황에서 PAM 워크플로우를 원활하게 확장하려면 베스트 프랙티스를 공식화하고 구현해야 합니다. 유기된 계정 제거, 각 ID에 필요한 액세스 권한 파악, 적시의 권한 승격, 임무의 분리, MFA 사용, PAM 프로세스 문서화 및 주기적인 검토는 기업의 민감한 계정과 애플리케이션을 보호하는 베스트 프랙티스의 일부에 불과합니다. 


감사, 사이버 보험 요구사항 충족, 사이버 공격 위험 상승 등 도입하려는 이유가 무엇이든 민감 데이터와 ID, 애플리케이션을 신속하고 효율적으로 보호하는 것은 매우 중요합니다. 숙련된 통합 ID 보안 솔루션 제공업체와 협력하면서 신속한 PAM 구현 프로세스를 준비하기 위한 6단계에 따른다면 기업은 내외부 위협에 훨씬 효과적으로 방어할 수 있습니다. 


계정 및 권한 관리에 어려움을 겪고 계시거나 도움이 되는 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어 코리아로 문의주시기 바랍니다.




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB