ko

2025 보안사고 리뷰 [2편] MFA도 부족했다 : 탈취 계정의 작업을 끊는 지속 인증(ICA)

PNPSECURE

12 min read
2025 보안사고 리뷰 [2편] MFA도 부족했다 : 탈취 계정의 작업을 끊는 지속 인증(ICA)

보안 사고의 시작점은 점점 더 단순해지고 있습니다.

취약점이든 피싱이든, 결국 공격자가 노리는 건 시스템에 들어갈 수 있는 계정입니다. 하나의 계정만 확보하면 공격자는 방화벽을 뚫지 않아도 되고, 악성 트래픽을 만들지 않아도 됩니다. 정상 사용자처럼 들어가서 정상 업무처럼 보이게 움직이면 되기 때문입니다.

2025년 보안사고를 다시 보면, 공통적으로 이런 질문을 남깁니다.

  • 왜 침투 이후, 로그인 상태에서의 행동을 끊지 못했나?

이 글은 인증의 빈틈을 분석하고, 피앤피시큐어가 제안하는 해법 ICA(Implicit Continuous Authentication)가 왜 현시대에 현실적인 방어선이 되는지 살펴봅니다.

사고의 시작점은 왜 계정인가? 왜 계정에 대한 공격이 반복되는가?

공격자는 시스템 자체보다 사람과 계정을 더 쉽게, 더 자주 노리고 접근합니다. 이유는 간단합니다.

  • 사용자는 피싱 메시지에 속을 수 있고
  • 사칭, 의도적 접근과 같은 사회공학에 흔들릴 수 있고
  • 비밀번호를 재사용할 수 있고
  • MFA가 있어도 다단계 인증 피로로 인한 실수를 유도할 수 있습니다.

무엇보다 계정 기반 공격의 강점은 성공했을 때 발각될 위험이 적다는 점입니다.

정상 ID로 정상 경로를 통해 들어오면, 대부분의 보안 체계는 그 행동을 정상으로 분류합니다. 공격자는 악성코드를 퍼뜨거나 고위 권한을 탈취하기 전에 정상 사용자처럼 행동할 수 있는 권한을 얻으려 합니다.

이처럼 공격의 초점은 바뀌었습니다.

네트워크 바깥에서 안으로 들어오는 공격만 대비하던 시대에서, 정상 계정으로 안에서 벌어지는 행위도 모니터링 해야하는 시대로 넘어왔습니다.

기존 인증의 빈틈 : 로그인 성공 이후 사라지는 통제

대부분 조직의 인증 체계는 아래와 같은 구조입니다.

  • 로그인 시점 : 강력한 인증 (비밀번호 + MFA 등)
  • 로그인 이후 : 세션 유지, 업무 수행 기본 신뢰

이 구조는 사용자가 로그인 이후 바뀌지 않을 것이라는 가정 위에 서 있습니다.

하지만 공격자는 그 가정을 깨는 방식으로 움직입니다.

  • 탈취한 계정으로 로그인 성공
  • 연결된 세션 하이재킹
  • 권한 상승, 혹은 고위 권한 계정 추가 탈취
  • 내부 자산 탐색 및 수집
  • 확산, 실행 단계로 이동

이때 조직이 놓치기 쉬운 구간이 바로 로그인 이후의 인증 공백입니다.

로그인 상태는 정상인데, 이후 행동을 모두 신뢰한다면 공격자는 정상 사용자라는 가면을 쓰고 계속 시스템을 자유롭게 누비게 됩니다.

여기서 중요한 결론은 하나입니다.

  • 인증은 접근 허용 뿐만 아니라 업무 수행 과정 전체에 걸친 통제여야 한다.

얼굴 기반 지속 인증 : 보안성과 편의성을 동시에 실현하는 ICA

그렇다면 로그인 이후를 어떻게 효과적으로 통제할 수 있을까요?

피앤피시큐어는 그 해법으로 ICA(Implicit Continuous Authentication, 무자각 지속 인증)를 제안합니다.

ICA는 인증을 한 번의 이벤트로 보지 않고, 지속되는 프로세스로 접근합니다. 사용자가 시스템을 사용하는 과정 전체에서 신원을 지속적으로 검증해, 계정이 탈취됐을 때 공격자가 정상 사용자처럼 작업을 지속할 수 없도록 하는 방식입니다.

특히 피앤피시큐어의 ICA는 얼굴 정보를 통해 사람 기반 인증 방식을 구현합니다. 단순히 얼굴로 로그인 하는 것을 넘어서, ‘그 사람’이 맞는지를 지속적으로 확인함으로써 원격 조작 등을 통한 공격 행위가 어려운 구조를 만드는 것입니다.

이 방식이 의미있는 이유는 명확합니다.

  • 계정 정보, OTP는 탈취될 수 있지만 사람은 대체할 수 없다.
  • 인증의 기준을 계정에서 사람으로 옮기면 공격자가 기대하는 지속적인 작업이 불안정해진다.

운영 관점에서의 장점도 있습니다. 얼굴 기반의 지속 인증은 비밀번호 입력, OTP 확인, 반복적인 추가 인증 같은 사용자 부담을 늘리지 않고 사용자 인지 최소화를 전제로 설계할 수 있습니다. 즉 보안 강도를 높이면서도 매번 인증 행위를 요구하는 방식보다 업무 흐름을 덜 끊는 방향으로 접근할 수 있습니다.

정리하면 ICA는 편의를 포기하고 보안을 선택하는 방식이 아닌, 로그인 이후 보안 공백을 제거하면서도 보안성과 편의성을 동시에 확보하는 방식입니다.

효과가 드러나는 순간 : 탈취 계정의 작업을 끊는다

ICA의 효과는 로그인 차단에서 끝나지 않습니다. 더 중요한 지점은 로그인 이후의 행동입니다. 공격자는 로그인에 성공한 순간 공격을 끝내지 않습니다. 그 이후 오래 머물고, 더 많은 것을 탐색하고, 권한을 키우고, 결국 확산과 실행 단계로 넘어갑니다.

ICA는 연결의 지속성을 흔듭니다.

  • 공격자가 탈취 계정으로 세션을 유지하려 할 때> 카메라를 통해 안면 정보를 지속적으로 제시하지 못 해 안정적으로 세션을 유지할 수 없습니다.
  • 권한이 큰 작업을 수행하려 할 때> 누가 지금 작업하고 있는지 인증이 진행되고 권한 사용이 차단됩니다.

즉, 공격자가 가장 원하는 것은 조용하게, 오래, 많이 움직일 수 있는 환경인데 ICA는 그 전제를 깨뜨립니다.

공격자의 입장에서 계정만 확보하면 충분했던 환경에서, 이제는 계정을 확보해도 사람 기반 인증을 통과하지 못해 다음 단계로 넘어가기 어렵습니다.

침해를 방어하는 것도 중요하지만, 침해가 된 상황에서 공격자가 권한은 키우고 확산으로 넘어가지 못하도록 하면 피해 규모와 반경이 급격히 감소합니다.

ICA가 바꾸는 5가지 지표 : 보안, 운영, 사용자 경험 동시 개선

앞서 ICA가 탈취된 계정을 통한 작업 지속을 어렵게 만든다는 것을 살펴보았습니다. 그렇다면 조직의 관점에서 실제로 무엇이 달라질까요?

ICA의 도입 효과는 아래 5가지 지표로 정리할 수 있습니다.

① 공격자 체류 시간 감소 : 조용히 오래 머무는 공격이 어려워진다

계정 탈취형 공격은 한 번 들어오는 것보다, 오래 머물며 탐색·수집·권한상승을 반복하는 과정에서 피해가 커집니다. ICA는 로그인 이후 안면 정보를 기반으로 사용자를 지속 인증하기 때문에, 공격자가 정상 사용자처럼 세션을 유지하며 작업을 누적하기가 어렵습니다. 

결과적으로 공격자의 체류 시간이 줄어들고, 피해가 발생하기 전 차단할 수 있는 기회가 보장됩니다.

② 권한 남용 시도 차단 : 정상 계정 악용의 결정적 행위를 막는다

실제 사고의 분기점은 대개 권한이 필요한 작업에서 발생합니다.

관리자 기능 접근, 설정 변경, 중요 자산 조회 및 반출, 권한 부여 같은 작업은 공격자가 전사적으로 피해를 확산하기 위해 반드시 통과해야 하는 구간입니다. ICA는 계정이 아닌 계정을 사용하고 있는 사람을 계속 확인하는 구조로, 탈취 계정이 이러한 고위험 작업을 연속적으로 성공할 수 없습니다.

권한 남용이 차단되면, 그 다음 단계인 확산과 실행으로 넘어갈 방법 또한 제한됩니다.

③ 추가 인증 요구 감소 : 보안 강화 =/= 업무 불편 증가

많은 조직이 보안을 강화하려고 하면 인증을 더 자주 진행하는 방식으로 흘러갑니다. 문제는 이 방식이 사용자의 업무를 끊고, 현장의 불만과 예외, 우회 상황을 만들어 결국 통제력을 약화시킬 수 있다는 점입니다.

ICA는 얼굴 기반의 지속 검증을 통해 반복 행위 중심의 강제적인 재인증과는 다른 접근 방식을 제공합니다. 보안 강도를 높이면서도, 업무 흐름을 보장하는 인증 구조를 설계할 수 있습니다.

④ 예외 상황도 통제 가능한 운영 : 사전 정책 처리 + 로그 기반 감사

인증을 강화하면 현장에서 반드시 예외 처리가 필요한 상황이 생깁니다. 중요한 건 그 예외를 개별적으로 처리하기 보다, 허용 조건·범위·승인 흐름을 사전 정책으로 정의해 통제 가능한 범위에서 관리하는 것입니다. 

ICA는 이와 같이 사전 정책으로 예외 상황을 관리할 수 있습니다. 또한, 정책 적용 이력과 사용자의 상황을 로그로 남길 수 있기 때문에 사후에 왜 허용했는지, 어떤 근거로 처리되었는지 설명이 가능합니다. 운영 마찰을 줄이면서도 감사·소명이 가능한 통제 체계를 갖추게 됩니다.

⑤ 사고 대응 속도 개선 : 조사·보고·의사결정 가속화

사고가 발생했을 때 가장 중요한 것은 누가, 언제, 무엇을 했는가를 빠르게 재구성해 차단과 격리로 이어지는 의사결정을 내리는 것입니다.

ICA는 로그인 이벤트만 남기는 것을 넘어, 사용 과정에서 지속적인 검증 흐름이 남아있어 정상 사용자가 부재한 상황, 안면이 불일치 하는 상황 등의 구간을 중심으로 의심 행위를 빠르게 좁힐 수 있습니다.

대응 판단 시간이 줄어들면, 피해 반경 또한 줄어듭니다.

정리하자면, ICA는 단순히 인증 수단을 하나 추가하는 것이 아닙니다.

공격자의 체류 시간을 줄이고, 권한 남용을 차단하며, 보안 강화와 사용자 편의성을 함께 실현할 수 있는 선택지입니다.

마무리 & 다음 편 예고

현실적으로 계정 기반 통제를 강화해도 침해 가능성을 완전히 0으로 만들 수는 없습니다.

여기서, 우리는 다시 아래의 질문으로 돌아갑니다.

“뚫렸을 때, 전사로 번지지 않게 만들 수 있는가?”

다음 편에서는 ICA가 사람 기반 인증을 실현하는 동안, 침해가 전사 피해로 커지는 핵심 구간인 이동, 그리고 실행을 어떻게 차단하는지 살펴봅니다.

Server Agent 기반 마이크로 세그멘테이션으로 서버 간 횡적 이동을 차단하고,

Gateway 단 정책 집행으로 악성코드의 실행을 막아,

침해 범위을 국소화하는 방어선을 소개하겠습니다.