![[ET단상] 상시 권한 부여가 보안 위험이 되는 이유](https://img.etnews.com/news/article/2025/12/10/news-p.v1.20251210.15593fc7e9fc4bdf94c2b0a4d34d1193_P3.jpg)
국내 많은 기업은 기존 정보기술(IT) 환경을 정리하고 기술 부채를 줄이기 위한 노력을 기울이고 있다. 그러나 어떤 면에서 많은 기업이 훨씬 더 심각한 결과를 초래하는 다른 유형의 부채를 축적해 왔고, 이는 오늘날 사이버 공격으로 나타나고 있다.
계정 및 자격 증명 침해는 중요 인프라 운영자가 경험하는 상위 사이버 보안 사고 유형 중 하나다. 기업의 주요 위험은 침해된 계정 및 자격 증명이 위협 행위자에 의해 어떻게 악용되는 지다. 자격 증명을 통해 특정 시스템에 즉시 접근할 수 있지만, 단일 진입점을 통해 환경의 다른 곳으로 이동할 수 있다는 문제가 있다. 오늘날 조직 내 모든 로그인 계정은 어느 정도 권한을 가지고 있다. 위협 행위자들은 항상 권한을 이용해 공격을 확대하고 접근 범위를 확대하는 동시에 합법적인 트래픽으로 위장하는 데 적극적이었다. 최근에는 거의 매일 같이 국내 기업에서 탈취된 로그인 계정 정보가 다크웹에서 거래되고 있다는 기사를 보게 된다. 이는 많은 조직이 계정 및 자격 증명 침해에 충분히 대응할 준비가 돼 있지 않다는 것을 말해준다. 바로 이런 이유로 권한 있는 자격 증명은 오늘날 거의 모든 사이버 보안 침해에 연루돼 있으며, 지금 당장 해결해야 할 숨겨진 형태의 보안 부채가 되고 있다. 그래서 최근 더욱 주목을 받고 있는 권한 유형 중 하나는 상시 권한이다.
상시 권한은 상황에 관계없이 무기한으로 활성화되는 사용자 권한을 의미한다. 상시 권한을 가진 사용자는 해당 시점에 권한 있는 접근이 필요한지 여부와 관계없이, 또는 언제든지 접근 권한을 지속적으로 보유한다. 상시 권한을 가진 계정은 계속 접근 권한을 가지므로 지속적인 사이버 위협이 될 수 있다. 권한이 있는 사용자 아이디나 계정이 침해되는 경우, 공격자는 이러한 권한에 접근할 수 있다. 또 확인되지 않은 권한을 가진 계정이 많을수록, 접근 권한이 있는 기간이 길수록 네트워크에 존재하는 공격 방향도 많아진다. 이와 함께 멀티 클라우드 확산은 권한 문제를 더욱 어렵게 할 수 있다. 오늘날 클라우드 환경 확장으로 인해 상시 사용 권한과 슈퍼 관리자 권한 확산이 기하급수적으로 심화되고 있다. 조직이 클라우드로 전환함에 따라, 단순히 업무 처리를 위해 많은 새로운 역할과 특권이 부여됐지만, 그 후 무기한으로 방치되는 경우도 있을 수 있기 때문이다.
한 연구에 따르면, 클라우드 ID 50%는 모든 권한과 리소스에 액세스할 수 있는 사용자 또는 슈퍼 관리자인 반면에 클라우드 ID 60%는 비활성 상태이며 지난 90일 동안 부여된 권한을 전혀 사용하지 않은 것으로 나타났다. 궁극적으로, 사용되지 않은 권한은 조직에 아무런 가치를 제공하지 않으며, 단지 위험을 초래할 뿐이다. 그렇기 때문에 상시 사용 권한을 제거하는 것은 더 이상 미룰 수 없는 IT인프라 및 보안 운영상 원칙이다.
이상적인 보안 상태는 모든 상시 사용 권한을 제거하는 것이다. 이를 위해 강조되는 보안 전략이 제로 스탠딩 권한(ZSP:Zero Standing Privilege)과 적시 접근(JIT:Just-In-Time) 기반의 권한 접근 관리(PAM:Priviledg Access Management)다. 적시 접근 기반의 권한 접근 관리는 권한, 워크플로 및 적절한 접근 정책을 갖춘 권한 계정에 대해 실시간으로 요청하고 승인해 사용하게 하는 전략이다. 기업은 이 전략을 통해 불필요한 상시 권한으로 노출될 수 있는 취약점으로부터 권한 계정을 보호하는데, 적시접근 제어가 행동 및 상황적 매개변수에 대해 시간 기반 제한을 적용하기 때문이다. 권한은 정당한 목적을 위해 필요한 바로 그 순간에 존재해야 하며, 목적이 실행되거나 접근 컨텍스트가 변경되거나 미리 정의된 시간이 경과하면 즉시 만료돼야 한다. 적시 접근을 적용하면 권한이 활성화되어 있는 시간이 필요한 기간만으로 단축될 수 있다.
반면에 상시 권한은 무기한으로 제공되어 남용될 위험이 있다. 적시 접근 제어가 클라우드 인프라 권한 관리(CIEM:Cloud Infrastructure Entitlement Management) 및 ID 위협 탐지 및 대응(ITDR:Identity Threat Detection and Response)과 같은 다른 ID 관리 체계와 결합하게 되면, 조직은 먼저 불필요한 기존 권한을 제거해 공격 범위를 줄이고, 그 후 다른 권한 경로나 활성 위협을 확인하기 위해 전체 환경을 모니터링할 수 있다. 적시 접근 제어, 클라우드 인프라 권한 관리, ID 위협 탐지 및 대응을 결합함으로써 자격 증명 도용, 데이터 유출, 권한 남용 위험에 대한 노출을 대폭 최소화해야 한다.
양희정 BeyondTrust 한국 비즈니스 총괄·공학박사 jyang@beyondtrust.com