지난 블로그에서는 “클라우드 보안에 대한 Microsoft의 철학과 전략”이란 제목으로 마이크로소프트의 보안 철학과 전략을 간단히 살펴보았습니다. 읽어보신 분들은 왜, 마이크로소프트가 보안 사고 없이 글로벌 서비스를 하고 있는지 이해가 되었을 겁니다.
관련 블로그 링크: https://blog.naver.com/gowit_sps/221358733620
오늘은 첫 번째 세부 항목으로 Microsoft 사용자 인증 및 접근 통제에 대해 공유하겠습니다.
해킹을 시도하는 공격자가 가장 먼저 시도하는 대상 목표는 사용자 계정인 경우가 대부분입니다. 기업이 중요시하고 다양한 방어책을 만들어 놓은 IT 시스템을 공격하기 보다는 상대적으로 보안에 덜 민감하고 빈틈도 많이 생기는 기업의 내부 사용자 계정을 해킹의 희생물로 삼게 됩니다. 전문 기관들의 분석에 의하면 사이버 공격의 약 81%는 사용자의 계정 (자격증명)을 훔치는 방법으로 진행된다고 합니다. 그럼 사용자들의 일반적인 계정 관리 형태를 살펴보겠습니다.
기업 사용자의 73%는 같은 패스워드를 여러 개 서비스나 시스템에 중복해서 사용하고 있다고 합니다. 사용자가 10개 정도의 IT 시스템, 외부 앱 및 서비스를 사용한다고 가정하면, 사용자 계정이 하나만 노출되어도 나머지 9개의 보안 체계는 바로 무너지게 되죠. 일종의 해킹 도미노 현상이 발생하게 됩니다.
그리고 임직원의 80%는 회사가 승인하지 앱을 사내에서 사용하고 있는 것으로 조사되었습니다. 이런 앱 및 서비스가 기업 보안의 구멍이 될 가능성은 아주 높죠. 이러한 사실에 비춰볼 때 기업이 사용자에 대한 보안 체계를 우선순위는 높아야 하는 이유는 명확한 것이죠.
마이크로소프트는 사용자 인증 방법을 간소화하면서 동시에 보안성은 극대화할 수 있는 길을 추구해 오고 있습니다. 얼뜻 보면 모순되는 일을 쫓고 있다는 생각도 들 수 있습니다. 하지만, 이 두 항목은 함께 갈 수 있다는 것을 우리가 이미 사용하고 있는 기술들을 통해 확인할 수 있습니다.
먼저 사용자들이 매일 아침에 만나게 되는 윈도우 운영체제부터 보안이 시작됩니다. 먼저 윈도우 10부터 살펴보죠. 윈도우 10에는 다단계 인증 (Multi-Factors Authentication) 서비스인 마이크로소프트 패스포트가 포함되어 있는데, 이 서비스는 윈도우 OS에 등록된 장치 그리고 Windows Hello(생체 인식) 또는 PIN (Personal Information Number)으로 구성된 강력한 2단계 인증으로 암호를 대체하고 있습니다. 이 과정에서 보안성은 강화하면서 편리성은 극대화 되었죠.
간단한 사례로 알아보겠습니다. 윈도우 10 OS에 적용된 윈도우 헬로(Windows Hello)는 사용자 얼굴을 인식해서 인증 절차를 진행하는 기능입니다. 사용자가 아침에 출근해서 노트북 뚜껑을 열면 상단 카메라가 사용자 얼굴을 인식하고 윈도우에 저장된 기존 이미지와 정확히 비교해서 인증을 합니다. 카메라가 없는 데스크탑 컴퓨터라면 숫자 6개로 구성된 PIN 기능을 이용해 1~2초만에 인증 절차를 마무리할 수 있습니다.
마이크로소프트 패스포트를 이용하는 사용자는 Microsoft 계정, 액티브 디렉토리 계정, Microsoft Azure AD(Active Directory) 계정 그리고 FIDO(Fast ID Online) 인증을 지원하는 다른 서비스를 인증할 수 있습니다. 마이크로소프트 패스포트 등록 중 처음 2단계 인증 후 패스포트가 사용자 장치에 설치되고 사용자는 윈도우 헬로우 또는 PIN 등록 작업을 진행하게 됩니다. 이후에는 얼굴을 컴퓨터 카메라에 갖다 대거나 6자리 입력하면 로그인 작업 끝이죠!.
그리고 시스템의 가장 중요한 부분들을 가상화시키고 분리 운영함으로써 보안 공격 가능성을 원천 차단하는 “가상화 기반 보안(Virtualization Based Security)”기술을 이용하는 Credential Guard를 적용해 윈도우 인증에 영향을 받게 되는 하위 시스템과 사용자들의 자격 증명 정보를 보호합니다. 마이크로소프트는 다음 3가지 기준으로 사용자 계정의 인증 및 접근 통제를 실행합니다.
이런 환경이 구성되면 사용자는 딱 하나의 사용자 계정 (ID)만을 이용할 수 있게 때문에 사용자 계정 정보의 노출 가능성이 크게 줄어들면서 보안성은 향상됩니다. 그 이후에는 보안 시스템이 사용자의 위험 요소들을 판단하고 그 기준으로 시스템 접근을 허용하는 기술(위험 조건부 액세스) 이 적용되기 때문에 온-프레미스 및 클라우드에서 운영되는 기업 정보 및 서비스의 보안 수준을 한 층 더 강화할 수 있습니다.
“위험 조건부 액세스”는 사용자의 사용 위치, 사용하는 디바이스 정보 및 사용 현황 등을 모두 고려해 보안 위험도를 평가하는 차세대 기술입니다. 이 기술을 사용하여 기업 시스템 및 정보 자산에 접근할 수 있는 가장 초기 시점부터 보안을 적용할 수 있게 되는 장점을 가집니다.
조직 구성원 한 사람이 여러 개의 ID와 암호를 사용함으로써 IT 관리와 운영 부담이 증가하고 보안 위험성도 확대되는 문제를 해결하는 출발점은 하나의 ID로 통합하고 인증해 운영할 수 있는 체계를 구축하는 것이죠. 마이크로소프트는 많은 문제점과 보안 위험성을 가진 암호 중심의 보안 의존도를 낮추고 보안성과 호환성이 뛰어난 차세대 인증 기술 FIDO(Fast IDentity Online) 협회에 주도적으로 참여하고 있는데요, 사용자 지문, 얼굴 인식 같은 생체 정보 기반 인증 기술과 서비스를 개발 및 공유하는 방식으로 보안 기술의 표준화를 이끌어 가고 있습니다.
아마 여러분이 지금 이 블로그를 읽는데 사용하는 컴퓨터 OS도 윈도우일 가능성이 높다고 생각합니다. 가장 오래 그리고 가장 많은 상황에서 작동하는 사용자 인증 및 접근 제어를 고민하고 개발해 온 회사는 당연히 마이크로소프트가 아닐까 합니다.
클라우드 도입 및 서비스 지원 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.