권웅원 최고정보보호책임자
‘제로 트러스트 보안 모델’ 강조
"제로 트러스트 보안 모델은 인공지능(AI) 트랜스포메이션이 진행되는 현시점에 필요한 체계다."
삼성생명 권웅원 최고정보보호책임자(CISO·상무·사진)는 지난 24일 서울 서초구 삼성생명 사옥에서 본지와 가진 인터뷰에서 "내년은 AI 트랜스포메이션 원년으로, 이제는 네트워크 구간별로 정보보호 시스템으로 방어하던 '경계 보안 모델'에서 '제로 트러스트 보안 모델'로 시선 변화가 필요한 시점"이라며 이같이 강조했다.
제로 트러스트 보안 모델은 모든 정보자산에 접근하는 주체를 신뢰하지 않고 지속적으로 신원과 자격을 확인하고 최소 권한을 부여해 이를 모니터링하는 것이 핵심이다. 삼성생명은 지난 2016년부터 통합인증시스템을 구축할 때 제로 트러스트 개념의 '상황인지 기반'을 국내 최초로 구축해 지난 2021년 내부 서버와 데이터베이스 보호를 위해 특권계정관리시스템(PAM)을 고도화했다. 권웅원 상무는 지난 9일 열린 '금융정보 보호 컨퍼런스 2023'에서 진화된 시스템 접권권한 관리체계(PAM)를 통한 사이버 위협 대응을 우수사례로 발표했다.
최근 해커들은 시스템 관리자와 같은 '특권 계정'을 통해 기업에 침투해 중요한 데이터를 탈취하려고 끊임없이 시도하고 있다. 이 같은 특권 계정을 보호하고 효과적으로 관리하는 것이 특권계정관리시스템인 PAM의 주요 목표이자 해커 위협으로부터 기업을 보호하는 핵심 도구다.
삼성생명은 PAM에서 한발 더 나아가 '진화된 PAM(enhanced PAM)'을 이번 사례발표를 통해 정의했다. 설사 해커가 내부망에 침입하더라도 타 시스템으로 '전이되지 않는 것'이 중요하다. 진화된 PAM은 바로 개별 시스템에 적용된 다양한 PAM 요소를 통합해 다른 시스템으로 전이 공격을 최소화하기 위한 전략으로 △비밀번호와 암호화키 등 보호 △시스템의 특권계정을 획득하더라도 사전에 검증된 명령어만 수행하는 이른바 '화이트 리스트' 기반의 명령어 통제 △무분별한 시스템 간 원격 접속을 최소화하기 위한 통제 체계 등 세 가지로 구성됐다.
권 상무는 "PAM은 지속적으로 발전해 AI와 머신러닝 등을 활용한 자동화와 예측 분석과 같은 혁신 기술이 통합될 것"이라면서 "PAM을 구현하고 효과적으로 관리하면 기업은 사이버 위협에 대한 강력한 방어라인을 구축할 수 있다"고 강조했다. 이와 관련, 삼성생명은 진화된 PAM을 더 발전해 AI 기반 분석을 통해 사용자별 권한 적합도를 제시하는 시스템을 선보일 예정이다.
삼성생명은 또 최근 금융당국의 혁신금융서비스로 'SaaS를 기반으로 한 협업시스템'이 지정돼 내부 검증을 진행하고 있다. 이와 관련 정보 보호 부서에서도 내부망에서 SaaS 사용 시 발생할 수 있는 보안 위협을 기술적, 관리적으로 심도 있게 검토하고 있다. 권 상무는 "SaaS 사용과 관련한 정보보보 정책을 수립, 실행하고 보안사고 대응 시 위험 행위로 판단되는 공격에 대해 실시간 탐지와 차단이 가능한 모니터링 체계를 구축할 것"이라고 말했다.
gogosing@fnnews.com 박소현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지