넷앤드 키관리 솔루션 ‘SecureKey’, 사용성 높이고 보안성은 강화했다

[인터뷰] 넷앤드 전재민 솔루션사업본부 사업개발팀 부장
클라우드 보안과 제로트러스트 보안을 위한 SSH CA 키관리 솔루션

[보안뉴스 원병철 기자] 지난 4월 발생한 SK텔레콤 해킹 사건에서 서버의 아이디와 비밀번호 등 계정 정보를 평문으로 저장한 것이 민관합동조사단의 조사 결과에서 밝혀지면서 키관리에 대한 관심이 높아지고 있다. 특히 지난 6월 통합 접근제어 및 계정관리(IAM) 솔루션 전문기업 넷앤드가 출시한 SSH CA 키관리 솔루션 ‘SecureKey’가 주목받고 있어, 개발을 진두지휘한 전재민 넷앤드 솔루션사업본부 사업개발팀 부장을 만나 이야기를 들어봤다.

▲전재민 넷앤드 솔루션사업본부 사업개발팀 부장[자료: 넷앤드]

SSH CA(Certified Authority) 서명 기술 적용한 키 관리 솔루션 ‘SecureKey’
넷앤드의 SecureKey는 SSH CA(Certified Authority) 서명 기술을 적용한 키 관리 솔루션이다. 패스워드리스의 차세대 인증 방식으로, 제로트러스트 보안 원칙에 따라 CA를 통해 서명된 SSH CA 키로 서버와 시스템에 대한 인증을 강화한다. 특히 중앙에서 SSH CA 키를 일괄 관리함으로써 더욱 안전하고 효율적인 사용자 인증과 접근 통제를 구현하는 것이 핵심이라 할 수 있다.

전재민 부장은 “키는 시스템에 대한 접근을 인증해주기 때문에 보안성이 높아야 하지만, 그만큼 사용성은 떨어지게 된다”라면서, “특히 기업의 규모가 커질수록 사용하는 키의 숫자도 커지고, 지속적으로 관리해야 하기 때문에 SecureKey와 같은 키관리 솔루션이 필수”라고 강조했다.

특히 기존 주요 인증 방식들은 보안성과 효율성 측면에서 명확한 한계를 지닌다는 것이 전 부장의 설명이다. 전통적인 패스워드 인증은 구조적으로 취약하기 때문에, 가짜 로그인 유도 ‘피싱’, 유출된 정보 대입 ‘크리덴셜 스터핑’, 키보드 입력 수집 ‘키로깅’, 흔한 단어 추측 ‘딕셔너리 공격’ 등 다양한 방식으로 쉽게 탈취될 수 있다는 것. 업계에서는 이 때문에 ‘보안의 가장 취약한 고리’로 지적받는다.

“클라우드 환경에서 주목받던 SSH 공개키 인증 역시 패스워드보다 보안성은 높으나, 서버별 개별 키 등록 및 관리의 번거로움이 컸습니다. 특히 서버가 수시로 생성/삭제되는 클라우드 환경에서는 키 관리 복잡성으로 인한 보안 및 운영 리스크가 심화될 수밖에 없었으며, 키 유출 시 즉각적인 통제가 어렵다는 문제도 있었습니다.”

그래서 다양한 ‘패스워드리스’ 방식이 각광받고 있으며, 넷앤드 SecureKey는 SSH CA 키관리 솔루션으로서, 이러한 한계를 보완하며 CA 서명 기술을 통해 극대화된 보안성과 운영 효율성을 제공한다는 것이 전 부장의 설명이다. SecureKey는 수동적인 키 관리가 아닌 CA가 서명한 짧은 유효기간의 키를 발급해, 키 유출 위험을 최소화하고 자동화된 관리를 통해 운영 복잡성을 획기적으로 줄이는 진정한 ‘패스워드리스’ 환경을 구현한다는 것이다.

SecureKey, 보안의 가장 취약한 고리의 해결사
SecureKey의 핵심은 중앙 집중화된 관리와 강력한 신뢰 체계에 있다. 기존 SSH 키 방식은 서버마다 키를 수동 등록하고 관리해야 했지만, SecureKey는 CA를 통해 서명된 SSH CA 키를 중앙에서 일괄 자동화 관리한다. 서버별로 키를 등록하거나 교체할 필요 없이 키 발급, 만료, 권한 변경 등을 효율적으로 처리할 수 있다. 특히, 매번 변경되는 사용자 키를 신뢰하는 대신, 엄격하게 서명되어 관리되는 SSH CA 키만을 신뢰하도록 함으로써 클라우드와 같이 동적으로 변화하는 환경에서도 키의 재배포 없이 안전한 접근 통제를 가능하게 한다.

또한, CA에서 서명되지 않은 키는 무효화되도록 설계되어 개인 키가 유출되더라도 인증에 사용될 수 없으며, 서명된 키에도 유효기간을 설정해 일정 시간이 지나면 자동으로 키가 만료되므로 유출된 키의 무단 사용 가능성을 원천적으로 차단할 수 있다.

전 부장은 SecureKey 도입으로 얻을 수 있는 이점을 두 개 꼽았다.

“첫 번째는 클라우드 환경에서 문제가 되는 키 관리 번거로움을 해소하고, 컴플라이언스를 손쉽게 준수할 수 있다는 점입니다. 수많은 서버 접근을 위해 서명된 SSH CA 키를 중앙에서 효율적으로 관리함으로써 운영 부담을 줄이고, 전자금융감독규정, ISMS-P 등에서 요구하고 있는 키 관련 감사 및 규제 준수 요건을 충족하기 쉽습니다. 두 번째는, 제로트러스트 아키텍처 구현을 위한 기반을 지원한다는 점입니다. 제로트러스트는 이제 선택이 아닌 필수가 되고 있지만, 실제 구현에는 많은 기술적 난관이 따릅니다. SecureKey는 그중에서도 가장 중요한 ‘인증 및 접근’ 영역의 허들을 낮춰, 기업들이 더욱 쉽고 효율적으로 제로트러스트 보안 모델을 구축할 수 있도록 지원합니다. ‘누구도 신뢰하지 않는다’라는 원칙에 따라, SecureKey는 서명된 키에만 접근 권한을 부여하고, 역할 기반 정책(RBAC)과 연계해 사용자가 어떤 서버에 접근 가능한지를 중앙에서 통제함으로써 제로트러스트 구현에 핵심적인 역할을 합니다.”

SecureKey는 시스템 접근제어 솔루션과 함께 사용했을 때 효과가 극대화된다. 역할 기반 접근제어(RBAC)와 접근제어 솔루션의 정책 기반 인증을 통해 사용자가 어떤 서버에 접근할 수 있는지를 중앙에서 매우 세밀하게 제어할 수 있기 때문이다. 이를 통해 불필요한 접근을 차단하고, 최소 권한 원칙을 효과적으로 적용합니다. 또한, SSH CA 사용과 관련된 모든 활동에 대한 정확한 로깅 및 감사 기능을 제공해, 보안사고 발생 시 신속한 원인 분석과 대응이 가능하며, 이는 제로트러스트의 핵심 원칙 중 하나인 행위 추적(Auditability) 에도 부합한다는 설명이다.

특히 넷앤드의 HIWARE 시스템 접근제어(HIWARE PSM)를 이미 도입한 고객이라면 더욱 큰 시너지 효과를 누릴 수 있다. SecureKey는 기존 HIWARE 운영 환경에 변화 없이 손쉽게 추가 설치해 SSH CA 기반 인증 체계를 확장할 수 있다. HIWARE의 사용자와 관리 대상 자원 정보를 그대로 연계해 계정 정책에 따라 SSH CA 인증 정책이 자동 적용되고, 별도의 CLI 명령어 입력 없이도 HIWARE 내에서 서명된 SSH CA 키 자동 발급 및 인증 기능을 제공해 관리 효율성과 사용 편의성을 극대화할 수 있기 때문이다. 이를 통해 더욱 견고한 보안 체계와 강력한 통합 인증 시스템으로 제로트러스트 기반 IAM을 실현할 수 있다고 전 부장은 강조했다.

전재민 부장은 “SecureKey는 키 교체나 권한 관리의 어려움을 자주 겪는 대규모 서버 운영 환경은 물론, 클라우드 인프라와 같은 복잡하고 동적인 IT 환경에 특히 적합하다”라면서, “특히, 공공, 금융, 의료기관 등 높은 수준의 컴플라이언스가 요구되는 분야에서 매우 효과적으로 활용될 수 있다”라고 설명했다. 아울러 “클라우드 전환은 이제 거스를 수 없는 흐름이 되었지만, 클라우드의 유연성 뒤에는 복잡한 보안 과제들이 숨어 있다”라면서, “SecureKey는 단순히 키 관리의 불편함을 해소하는 것을 넘어, 근본적인 보안 강화와 운영 효율성 증대라는 두 마리 토끼를 잡을 수 있는 솔루션”이라고 덧붙였다.

빠르게 변화하는 IT 인프라 환경에서 SecureKey가 기업의 접근제어 체계를 한층 강화하고, 제로트러스트 보안 체계를 시작하는 데 도움을 줄 것으로 기대된다.

[원병철 기자(boanone@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다