요약
As the IT perimeter becomes less definable, non-human identities (NHIs) offer a promising attack vector for cybercriminals and have played a role in several recent high-profile breaches.
지난번 새로운 네트워크 경계에 대해 이야기했을 때, 네트워크 제어에 대한 과도한 집중과 같이 제로 트러스트가 지원을 상실하는 몇 가지 이유를 공유했습니다. 제로 트러스트 보안 모델은 조직이 실제로 구현을 시도할 때까지 유망해 보입니다.
아이덴티티 액세스 관리(IAM)는 특히 IAM이 조직의 데이터 보안 프로필, 운영 및 IT 프로세스에 적응할 수 있기 때문에 제로 트러스트를 구현하는 보다 직관적이고 사용자 친화적인 방법을 약속했습니다. 간단히 말해, 2025년에도 아이덴티티는 여전히 새로운(한국) 경계입니다. 그러나 올해에는 할로윈과 같은 방식으로 ‘아이덴티티’가 훨씬 더 광범위하게 정의되었습니다. 이러한 ID 좀비(예: 미사용 또는 잊어버린 사용자 계정), “무해한” 또는 데이터를 훔치는 비사람을 호출하세요.
비인적 정체성이 배가되고 있습니다
인간의 신원만 관리하는 데 중점을 두는 신원 및 보안 전술은 비-인간의 신원(NHI)의 형태로 점점 더 많은 수의 잠재적 공격 벡터를 놓칠 것입니다. NHI에는 API 키, 자동화된 워크플로우 에이전트, 쿠키, AI 어시스턴트 및 잘못 구성된 머신 ID가 포함됩니다. NHI는 종종 합법적이며, 그 중 다수가 존재합니다. 평균적인 기업에서 인간의 정체성보다 100~1배 더 높은 것으로 추정되며, 이는 시간이 지나면서만 더 완화되는 지표입니다.
사이버 범죄자들은 NHI를 유망한 공격 경로로 식별했습니다. NHI는 종종 코드 수준에서 존재하기 때문에 쉽게 놓칠 수 있습니다. 명확한 소유권이 부족할 수 있습니다. 개발자는 개발 프로세스의 속도를 높이기 위해 이러한 엔터티에 자격증명을 자유롭게 할당할 수 있습니다. 그리고 최악의 경우, 수명주기를 관리하지 않는 경우가 많습니다. 즉, 사용한 후에도 오래 지속됩니다.
침해된 NHI는 최근 주요 사례에서 중요한 역할을 했습니다.
- 침해된 API 키와 관련된 미국 재무부의 침해
- 도요타는 GitHub에 비밀 키를 노출시켜 데이터 침해를 당했습니다.
- 뉴욕 타임즈는 GitHub 토큰을 공개하여 5,600개의 코드 저장소가 온라인으로 유출되는 결과를 가져왔습니다.
이러한 침해를 방지하는 솔루션은 다음과 같습니다. 모든 비인적 자격 증명, 키, 토큰 및 ID를 인간의 ID에 적용되는 것과 동일한 기술, 프로세스 및 엄격성으로 관리합니다.
‘무사’ ID가 위협인 이유
또한 위에서 논의한 NHI, 즉 제로 스탠딩 권한 모델을 관리하는 데 유용할 수 있는 ID 액세스 관리 부문에 대한 새로운 집중이 있습니다. 많은 ID 보안 시스템이 액세스 권한을 부여하기 위해 잘 설계되었지만, 이를 종료하기 위해 잘 설계되지 않은 경우가 많습니다. 가장 분명한 예로는 조직의 다른 부서로 이직하거나, 더 이상 사용되지 않지만 기존(삶과 죽음 사이의 경계)으로 이동하는 수개월 또는 수년 분량의 자격 증명을 남길 가능성이 있는 직원이 있습니다.
이 개념을 기반으로 한 최소 1개의 스타트업이 최근 “제로 스탠딩 권한”이라는 개념에 대한 뉴스를 제공했습니다. 이 기술은 OpenID Foundation이 채택하고 업계 전반에서 지원되는 널리 사용되는 표준인 지속적인 액세스 평가 프로토콜(CAEP)을 기반으로 합니다. CAEP는 위치, 사용 중인 애플리케이션, 사용 중인 디바이스, 생체 키 및 세부적인 행동 패턴과 같이 사용자가 지속적으로 전송하는 실시간 상황 정보를 사용하여 사용자 또는 상담원 ID를 확인합니다. 목표는 다양한 컨텍스트로 지원되는 동적 인증으로, 변화하는 매개변수와 워크플로우에 대응하고 조직 내 어디에나 배포할 수 있습니다.
해커들이 잊어버린 정체성을 좋아하는 이유
또한 2025년에는 사이버 범죄 생태계가 얼마나 진화해 왔는가에 주목해야 합니다. 퓨어스토리지는 랜섬웨어, 스캠을 설정하는 데 사용되는 데이터를 제공하는 데이터 브로커, 그리고 보안이 나쁘거나 취약한 스토리지 플랫폼 또는 애플리케이션에서 데이터를 훔치는 해커의 위협에 대해 잘 알고 있습니다.
하지만 이러한 계층 아래에는 인포스텔러 멀웨어를 사용하여 사용 중인 데이터를 유출하는 플레이어가 있습니다. 이 악성코드는 온라인 광고, 이메일 첨부 파일, 메시징 앱, 소셜 미디어 메시지 또는 악성 검색 결과에 숨겨질 수 있습니다. 은밀하게 활성화되면, 인포스텔러 악성코드는 스크린 캡처, 필드 콘텐츠, 클립보드 텍스트를 수집하게 됩니다. 악의적인 행위자가 나중에 호스트 장치와 네트워크 트래픽에서 판매할 수 있는 모든 것을 말합니다. 유출된 데이터의 양에 자격증명이 숨겨져 있는 경우, 에코시스템의 다른 플레이어가 데이터를 데이터 브로커에게 전달하기 전에 핵을 분석하고 자격증명을 찾습니다. 대부분의 인포스텔러 멀웨어는 기회주의적 캠페인의 일부로 대규모로 배포되지만, 특정 기업이나 개인을 대상으로 할 수도 있습니다.
이는 정의 가능한 IT 경계가 지속적으로 녹아들고 있음을 보여주는 최신 데이터 포인트에 불과합니다. 이는 모든 종류의 ID를 수명 주기로 관리해야 함을 의미합니다. 점점 더 정교해지는 범죄 경제의 위협을 방어하기 위해, IAM은 범죄자들을 퇴치하고 다양한 활용 사례에 적응하기 위해 신원을 확인하는 방식에 훨씬 더 뉘어져야 합니다.
퓨어스토리지퓨어1(Pure1)의 새로운 퓨어스토리지 ID 및 액세스 관리 포털에 대해 자세히 알아보세요.
Stay ahead of Evolving Threats
Discover the biggest InfoSec challenges CISOs are facing and what they’re doing to overcome them.
