2024년 10월 제17차 정보통신전략위원회에서 심의·의결한 '4차 클라우드컴퓨팅 기본계획(2025~2027년)'에 따르면 공공 부문 기관 평가에 클라우드 도입을 포함하고, 정보시스템의 신규·재구축시 기획단계부터 민간 클라우드와 서비스형 소프트웨어(SaaS) 이용을 우선 검토할 예정이라고 한다.
이렇게 된다면 2027년에는 국내 클라우드 10조원 시장 실현을 기대할 수 있을 것이다.
국내 모든 기관들이 다양한 클라우드 서비스 도입을 본격화함에 따라 각 조직에서 관리해야 할 역할과 권한이 압도적으로 증가하고 있다. 이런 상황에서 수동 프로세스와 사용자 지정 스크립트 그리고 오래된 솔루션에 의존한다면 지속적으로 많은 아이덴티티와 권한 문제가 발생할 수 있다.
특히 클라우드 환경에서 주로 사용해온 역할에 기반한 접근 제어(RBAC:Role-Based Access Control)는 일시적이고 시간에 민감한 접근 권한을 관리하는 데에 한계가 있다. 민감한 자원에 대한 접근 권한은 실제로는 1~2% 시간 동안만 필요하지만 24시간 연중무휴로 액세스할 수 있는 경우에 보안 위험이 커지게 된다. 불필요하게 제공된 접근 권한은 종종 보안 공격의 주요 경로가 된다.
이러한 위협에 대응하기 위해서는 임시 접근 권한을 부여하고 이를 회수하는 프로세스가 자동화되고 불필요한 상시권한을 제거함으로써 보안 위험을 줄여야 한다. 관리자는 특정 기간 동안만 사용자에게 접근 권한을 제공할 수 있어야 하고, 이 기간이 지나면 자동으로 접근 권한이 취소되는 프로세스가 마련돼야 하는 것이다.
클라우드 자원에 대한 접근 권한을 관리하는 동적인 방법이 제공된다면 어떻게 업무에서 활용할 수 있을까.
각 사용자는 필요할 때마다 관련 자원에 대한 접근을 셀프 서비스로 요청할 수 있을 것이다. 이러한 요청이 사전에 정의된 보안 요건을 충족한다면 각 사용자는 지정된 접근 수준에 따라 자동으로 승인을 받을 수 있게 된다. 그 다음 사용자에게 시간 제한 접근 권한이 부여되고 시간이 지나면 승인됐던 접근 권한을 다시 자동으로 취소돼야 한다.
또 클라우드 기반 관리자는 사용자 계정, 가상머신, 쿠버네티스, 클라우드 스토리지, 네트워크 보안을 포함해 클라우드 시스템을 관리하기 위해 필요한 인원에게 임시 관리자 역할을 할당할 수 있다. 필요할 때만 관련 담당자에게 시간이 제한된 접근 권한을 부여하고 작업이 완료되면 권한을 회수함으로써, 상시 관리자 권한으로 인해 클라우드 상의 자원이 위협에 노출되는 것을 방지할 수 있다.
또 자동화된 접근 권한 승인 및 프로비저닝으로 인적 오류 위험을 방지함으로써 시간을 절약하고 업무 운영 효율성을 개선할 수 있는 것이다. 이를 위해 최소 권한 제어를 지원하고 동적으로 적절한 권한을 적시에 부여한 다음 작업이 완료되는 즉시 회수하는 시스템이 필요하다. 자동화된 클라우드 아이덴티티에 대한 권한 관리가 가능할 때 그동안 수동으로 이뤄졌던 권한 부여와 회수로 인한 업무 상 병목 현상이 없어질 수 있다.
수많은 사전 구축된 클라우드 통합과 모든 권한에 대한 중앙 집중식 모니터링을 통해 감사를 간소화하고 진짜 필요할 때에만 접근 권한을 사용할 수 있도록 보장함으로써 클라우드 환경에 대한 아이덴티티 및 접근 권한의 보안 수준을 높이고 업무 효율성을 향상할 수 있는 것이다.
양희정 BeyondTrust 한국 비즈니스 총괄·공학박사 jyang@beyondtrust.com
