절대 만료되지 않는 Credential: 정문을 지키는 것을 멈추고 이미 안에 있는 것을 제어하라
Source: Dev.to
대부분의 환경에서 특권 액세스는 과다 할당, 장기 유지, 그리고 귀속이 어려움의 경향이 있습니다. 이러한 조합은 단순하지만 심각한 위험을 만들어요: 특권 액세스가 한 번 존재하면, 남용과 침해 모두에 가장 쉬운 경로가 됩니다. 공격자의 관점에서 보면, 가장 어려운 부분인 권한 상승이 이미 해결된 경우가 많습니다.
왜 제로 트러스트만으로는 충분하지 않은가
제로 트러스트는 종종 “절대 신뢰하지 말고, 항상 검증하라”는 식으로 표현됩니다. 실제로는 신원, 디바이스 상태, 그리고 진입점에서의 네트워크 접근에 크게 초점을 맞춥니다.
문제점: 잘 설계된 제로 트러스트 환경에서도 특권 접근은 여전히 지속적이고, 범위가 넓으며, 로그인 이후에는 약하게 모니터링됩니다. 접근은 정문에서 검증되지만 내부에 들어가면 제어되지 않습니다.
강력한 특권 접근 제어가 추가되지 않으면, 제로 트러스트는 초기 검증에만 집중하고 이후 실행은 제한적인 형태가 됩니다.
전환: 정적 접근에서 동적 제어로
Privileged Access Management (PAM)는 모델을 변화시킵니다. 목표는 단순히 자격 증명을 관리하는 것이 아니라 상시 특권을 완전히 제거하는 것입니다.
- Just‑in‑time access – 필요할 때만 부여되고, 작업 범위에 맞게 제한되며, 세션이 종료되면 자동으로 회수됩니다. 남아있는 권한이 없고, 정리 작업이 필요 없습니다.
- Ephemeral credentials – 짧은 수명의 토큰이나 동적으로 생성된 비밀키로, 스스로 무효화됩니다. 가로채더라도 몇 분 안에 쓸모가 없어집니다.
- Session‑level visibility – 접근은 직접 부여되는 것이 아니라 제어 레이어를 통해 중개됩니다. 모든 세션은 모니터링되고 로그에 기록되며, 특정 인물에 귀속됩니다—공유 계정이 아닙니다.
- Policy‑driven decisions – 접근은 상황(누구, 무엇을, 언제, 왜)에 기반합니다. 지속적인 평가가 일회성 승인을 대체합니다.
이것이 Zero Trust가 로그인 단계 이후에도 적용 가능하도록 만드는 핵심 요소입니다.
충분히 이야기되지 않는 아키텍처 현실
현대 시스템에서는 접근이 더 이상 인간 사용자에만 국한되지 않는다. 서비스 계정, CI/CD 파이프라인, 자동화 워크플로, 그리고 머신‑투‑머신 통신이 대부분 기업에서 인간 사용자를 능가하며, 이들은 종종 제한된 가시성으로 지속적인 고권한을 가지고 있다.
실용적인 답변: 모든 접근—인간이든 비인간이든—을 직접 부여하는 것이 아니라 중앙 제어 레이어를 통해 중개되는 것으로 간주하라.
- 정체성은 누가 또는 무엇이 요청하는지를 알려준다.
- 제어 레이어는 접근이 가능한지와 어떻게 이루어지는지, 얼마나 오래 지속되는지, 그리고 어떤 조건에서 이루어지는지를 결정한다.
그 레이어가 없으면 권한 확산은 불가피하다. 언제가 문제가 될 뿐이다.
What This Looks Like in Practice
한 대기업에서는 프로덕션 접근이 공유 자격 증명과 장기 관리자 역할에 크게 의존했습니다. 그 결과는 예측 가능했습니다:
- 누가 무엇에 접근했는지에 대한 가시성이 제한됨.
- 사후에 변경 사항을 추적하기 어려움.
- 절대 만료되지 않는 권한으로 인한 노출 위험 증가.
PAM 기반 모델로 전환한 후:
- 공유 계정이 제거되어 모든 행동이 개인에게 귀속됨.
- 접근이 항상 켜져 있는 것이 아니라 필요에 따라 시간 제한이 적용됨.
- 세션이 모니터링되고 기록되어 감사와 사고 대응이 간소화됨.
- 정적 자격 증명이 금고, 아이덴티티 관리, IGA 도구와의 통합을 통해 동적이고 단기간에 만료되는 자격 증명으로 교체됨.
Outcome:
- 이전에는 몇 주가 걸리던 감사 준비가 간단한 쿼리로 해결됨.
- 접근 관련 사고가 70 % 이상 감소함.
그 수치는 중요합니다. 이는 이론적인 개선이 아니라, 상시 권한을 구조적으로 제거하고 주기적으로 검토하는 것이 아니라면 발생하지 않는 실제 결과입니다.
자격 증명 회전: 비밀번호 기반 및 비밀번호 없는
자동 회전은 어느 모델이든 협상 여지가 없습니다.
비밀번호 기반 시스템
- 서비스 계정, API 키, 공유 비밀, 데이터베이스 비밀번호.
- Action: 자격 증명을 중앙 금고에 보관하고, 정의된 일정에 따라 자동으로 순환시키며, 요청자에게 직접 보이지 않도록 합니다. 수동 회전은 본질적으로 일관성이 없습니다. 이를 플랫폼에 내장하여 누군가가 기억하든 못하든 눈에 보이지 않게 수행되도록 합니다.
비밀번호 없는 환경
- 일시적인 인증서, OIDC 토큰, 클라우드 IAM 바인딩.
- Action: 만료는 회전입니다. 세션이 종료될 때 자격 증명이 자동으로 무효화됩니다. 회전할 지속적인 자격 증명이 없습니다. 플랫폼이 필요에 따라 발급하고 자동으로 정리합니다.
Goal for both: 모든 자격 증명은 목적이 끝나면 사라져야 합니다.
AI가 적합한 영역 — 그리고 적합하지 않은 영역
-
실제로 도움이 되는 경우: 비정상적인 접근 패턴을 감지하고, 과도하거나 사용되지 않은 권한을 드러내며, 고위험 활동을 인간 검토를 위해 우선순위화합니다.
- 예시: 엔지니어가 새벽 2 시에 하나의 데이터베이스에 접근하는 것은 디버깅일 가능성이 높습니다. 같은 엔지니어가 새벽 2 시에 새로운 위치에서 12개의 데이터베이스에 동시에 접근한다면 플래그를 달아야 합니다.
-
핵심 제어를 대체하지 못하는 경우: 접근 정책 정의, 최소 권한 적용, 그리고 자격 증명의 단기 사용 및 폐기를 보장하는 것. AI는 가시성을 향상시킬 수 있지만, 기본적인 제어는 여전히 유지되어야 합니다.
정적 정책의 문제점
인간의 맥락 없이 접근 결정을 내리거나 보안 보장을 시행하는 정책은 한계가 있습니다.
AI는 신호 레이어로서 가장 효과적이며—제어 레이어가 아닙니다.
미래 방향은 요청 시점의 동적 위험 점수화입니다: 일상적인 접근은 마찰 없이 흐르고, 이상 징후가 있는 요청은 단계적 검증이나 일시적 보류를 촉발합니다. 정책은 작년 규칙을 만든 사람의 가정이 아니라 순간의 현실에 맞게 조정되어야 합니다.
대부분의 팀이 과소평가하는 트레이드오프
액세스 제어에서 가장 큰 도전 과제는 기술이 아니라 마찰입니다.
- 보안 액세스가 대안보다 느리거나 복잡하면, 팀은 우회 방법을 찾게 됩니다.
- 자격 증명이 공유됩니다.
- 그림자 액세스 경로가 생겨납니다.
당신이 설계한 보안 모델은 보호하려는 사람들에 의해 조용히 우회됩니다.
목표는 시스템을 잠그는 것이 아니라 보안 액세스를 가장 쉬운 경로로 만드는 것입니다.
- 기존 개발자 워크플로와 통합합니다.
- 액세스를 빠르고 예측 가능하게 유지합니다.
- 엔지니어가 실제로 작업하는 방식을 위해 설계합니다—보안 정책 문서가 가정하는 방식이 아니라.
The Bottom Line
대부분의 보안 전략은 공격자를 차단하는 데 초점을 맞춥니다. 현대 시스템에서는 실제 위험이 이미 내부에 존재하는 것—지속적인 접근, 사용되지 않은 권한, 시스템 간 보이지 않는 경로—에서 비롯되는 경우가 많습니다.
The shift that matters
- From 정적 역할, 장기 인증 정보, 그리고 암묵적 신뢰
- To 시간 제한 접근, 동적 인증 정보, 그리고 지속적인 검증
접근이 통제되고, 관찰 가능하며, 일시적이 되면, 보안은 반응형에서 벗어나 처음부터 시스템 설계의 필수 요소가 됩니다.