TECH

[PNP뉴스레터] 제로 트러스트 보안, 무자각 지속 인증으로 실현하세요

PNPSECURE

7 min read
[PNP뉴스레터] 제로 트러스트 보안, 무자각 지속 인증으로 실현하세요

Why Zero Trust ?

디지털 전환 시대를 거치며 클라우드, 하이브리드 클라우드, 멀티 클라우드 등 기업의 주요 자산의 저장소와 접근 경로는 계속해서 다양해지고 있습니다. 다양한 접근 방식의 취약성을 이용해 계정 탈취를 통한 사이버 공격은 고도화되고 있으며 단 하나의 계정 정보의 유출로 인해 전체 시스템이 위협받을 수도 있는 상황입니다.

이러한 위협을 방지하기 위한 차세대 보안 패러다임으로 ‘제로 트러스트’ 모델이 주목받고 있습니다. 국내에서는 최근 제로 트러스트 가이드라인 2.0을 발표하고 관련 실증 사업이 진행되는 등 정부 차원에서의 제로 트러스트 보안 모델 확산 노력이 이뤄지고 있습니다.

제로 트러스트 보안 모델이란 무엇일까요?

What is Zero Trust ?

제로 트러스트 ‘절대 신뢰하지 말고, 항상 검증하라’는 원칙을 기반으로 하는 보안 모델입니다. 기존 보안 방식과 달리 네트워크 접근 시점뿐만 아니라, 네트워크 내부의 각 리소스에 대한 접근이 시도될 때마다 사용자를 매번 검증하는 것이 필수입니다.

네트워크 내부에 들어온 사용자라고 하더라도 계정 정보 공유나 세션 탈취 등의 보안 위협이 발생했을 가능성이 있음을 가정하고 업무를 수행하는 시점에 본인 여부를 재차 확인하는 것입니다. 해당 결과에 따라 시스템에 대한 접근 및 리소스 활용 권한을 부여함으로써 보안 공백을 최소화합니다.

기업 네트워크에 대한 접근 방식과 근무 환경이 다양해짐에 따라 계정에 대한 공격 방식 또한 고도화되고 있으며, 하나의 계정 정보를 통해 다른 업무 시스템의 접속 정보까지 유추할 수 있어 전체 조직이 위협에 노출되기 쉬운 상황입니다. 제로 트러스트 보안 모델은 지속적인 검증을 통해 이러한 위협에 효과적으로 대응할 수 있는 방식으로 주목받고 있습니다.

국내 제로 트러스트 가이드라인 2.0에서는 보안 모델의 최적화 요소로 '접근 권한 승인 때뿐만 아니라 지속적인 신원 검증'을 명시하고 있어 관련 솔루션에 대한 기업의 관심이 높아지고 있습니다.

지속적인 검증은 어떻게 실현할 수 있을까요?

Zero Trust and Continuous Authentication

지속적인 검증의 실현에 있어 ID/PW나 OTP와 같은 기존의 인증 방식은 보안성과 편의성 모두의 측면에서 한계를 지니고 있으며 이에 새로운 인증 방식의 필요성이 대두되고 있습니다.

ID/PW나 OTP와 같은 기존의 인증 방식은 최초 로그인 시점에만 사용자를 검증합니다. 로그인 이후 사용자가 자리를 비운 상태에서 제3자가 업무 기기를 조작한다거나, 연결된 세션을 해커가 가로채는 등 계정을 사용하는 사람이 타인으로 바뀌었을 가능성을 확인하거나 통제할 수 없습니다.

그뿐만 아니라 기존의 인증 방식은 계정 정보를 다른 사람과 공유하기 쉽고 탈취에도 취약해 최초 1회의 검증 시점에도 로그인을 시도하는 사용자를 완전히 신뢰할 수 없다는 한계를 지니고 있습니다.

이 외에도 기존의 인증 방식을 통해 사용자를 리소스 접근 시점이나, 명령어 수행 시점마다 반복적으로 검증할 경우 사용자는 수차례 패스워드를 입력하는 등 업무 생산성을 저해하는 등 불편함을 초래할 수 있습니다.

이에 기업들은 보안성과 편의성을 모두 충족하는 새로운 인증 방식을 필요로 하고 있습니다.

P-ICA

PNPSECURE Implicit Continuous Authentication

P-ICA는 피앤피시큐어의 독자적인 '무자각 지속 인증' 기술을 활용한 차세대 인증 방식으로

보안성과 편의성을 모두 만족해 제로 트러스트 보안 모델을 실현하는 최적의 방식입니다.

무자각 지속 인증

Implicit Continuous Authentication

P-ICA는 사용자의 인증 수단으로 안면 벡터 정보를 활용합니다.

기존의 ID/PW나 모바일 OTP와 달리 사용자는 별도의 행위 없이도

업무 화면을 바라보는 것만으로 본인의 신원을 인증할 수 있습니다.

이는 지속적인 검증 과정에서도 업무의 연속성을 보장합니다.

또한, 사용자의 고유한 안면 정보는 다양한 인증 방식 중

탈취나 위변조의 위협으로부터 가장 안전해 높은 보안성을 유지합니다.

무자각​ 지속 인증

Implicit Continuous Authentication

P-ICA는 최초 접속 시점뿐만 아니라 특정 업무 리소스 접근 시점마다,

주요한 명령어를 수행하는 시점마다 사용자의 신원을 재확인합니다.

검증 결과에 따라 접근 및 업무 수행 가능 여부를 결정합니다.

이는 사용자 및 업무 리소스별로 세부적인 접근 및 권한 정책을 설정하고

철저하게 준수할 수 있도록 지원함으로써 보안 위협을 차단합니다.

반복적인 인증에도 사용자의 개입이 불필요해 사용자 편의성을 보장합니다.

DBSAFER X P-ICA

P-ICA는 국내 최고 통합 접근제어 솔루션 DBSAFER와의 원활한 연동을 지원합니다.

DBSAFER에 무자각 지속 인증 기술을 도입해 PC Assist 로그인뿐만 아니라

서버/네트워크 및 DBMS 장비에 접속해 주요 명령어를 수행하는 시점마다

사용자를 주기적으로 검증하고 해당 결과에 따라 권한 부여 여부를 결정합니다.

기업·기관은 DBSAFER와 P-ICA를 함께 활용함으로써

내외부 사용자의 계정 도용이나 탈취 등으로 인한 보안 위협으로부터 자유로워질 수 있습니다.

P-ICA and Zero Trust

변화하는 IT 환경에서 P-ICA는 강력한 제로 트러스트 보안 모델을 실현하는 핵심 인증 기술입니다.

기존 인증 방식의 보안 취약성과 반복된 인증으로 인한 편의성 저하 문제를 해결한 P-ICA를 통해 보다 안전하고 사용자 친화적인 지속 인증 체계를 마련함으로써 제로 트러스트 보안 모델을 도입하세요.