[Daily IT News] 개인정보(Identity), Web3.0 보안

웹 3.0 이라는 키워드를 시장에서 많이 이야기 하고 있는데요, 서비스 측면에서 많이 언급하고 있지만 보안 요소도 잊지 말아야 할 것 같습니다. 블록체인 기술을 기반으로 탈중앙화를 구현하는 웹3.0에 대해서 끊임없이 살펴 봐야 할 것 같습니다. 

금일(2022.12.05 월) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(SE) Identity	2023년, 아이덴티티 보안에 주목하라	아이덴티티 기반 사이버 공격과 액세스 탈취로 인한 보안 사고는 연일 발생하고 있다. IDSA(Identity Defined Security Alliance)에 따르면 2021년 조직의 84%가 아이덴티티 관련 침해를 경험했고 78%가 직접적으로 비즈니스에 영향을 받았다고 한다. 아이덴티티 기반 사이버 공격이 보안 문제의 주요 원인인 이유는 무엇일까. 가장 중요한 이유는 아이덴티티 규모가 이미 인간 통제의 수준을 넘어섰기 때문이다. 이미 직원 하나가 평균 30개 이상의 계정을 갖고 있는데 머신 아이덴티티가 소유한 계정 수는 직원이 소유한 계정 수의 45배 수준이다. 세일포인트가 연구한 결과에 따르면 머신 아이덴티티는 일반 기업 전체 아이덴티티 가운데 43%로, 고객(31%)나 직원(16%)보다 많은 수준이다. 앞으로 3~5년 동안 아이덴티티 전체 숫자는 더욱 증가할 것으로 예상된다. 기업은 정교해지고 끊임없이 변화하고 있는 보안 위협에서 아이덴티티와 함께 아이덴티티에 발급된 계정을 적절히 관리할 수 있어야 한다. 기업 보안 차원에서 내년에 반드시 주목해야 할 트렌드는 다음과 같다. 첫째 아이덴티티 기반 사이버 공격은 계속 보안 문제의 주요 원인이 될 것이다. 아이덴티티 자격 위반이나 잘못된 사용은 2017년 37%에서 2021년 48%로 증가했다. 역사상 가장 큰 사이버 공격으로 기록된 지난해 미국 콜로니얼 파이프라인 사건처럼 피해는 더욱 커지고 있다. 클라우드 기반 앱 및 서비스가 늘며 임직원이 IT 승인 없이 시스템, 디바이스, 소프트웨어, 앱 등을 사용하는 섀도 IT가 기하급수적으로 증가했다. 편의성은 향상되겠지만 IT 부서가 파악하지 못해 관리가 되지 않는 엔드포인트에는 보안을 보장할 수 없다는 맹점도 있다. 보안 관리자는 관리되지 않는 앱과 디바이스의 가시성이 필요하며, 효과적 보안 전략의 출발점으로 포괄적인 아이덴티티 보안을 보장해야 한다. 둘째 '절대 신뢰하지 말고 항상 검증하는' 원칙에 기반한 '제로 트러스트' 보안 환경은 아이덴티티 보안에서 시작된다. 효과적인 제로 트러스트 프레임워크는 아이덴티티 수명 주기를 자동화하고, 무결성을 관리할 수 있어야 한다. 싱글 사인온이나 다단계인증(MFA)은 기본적인 인증 방법으로, 여기에만 의존하면 안 된다. 강력한 제로 트러스트는 사용자와 아이덴티티를 지속적으로 모니터링할 수 있어야 한다. 인공지능(AI), 머신러닝(ML)과 같은 고급 기술을 기반으로 엄격한 거버넌스를 적용할 수 있어야 한다. 다음으로는 사람만이 아니라 아이덴티티 자체에 주목해야 한다. 조직이 머신 아이덴티티에 대한 액세스 제어나 지속적인 검증을 하지 않는 경우가 많아 머신 아이덴티티는 사이버 공격자에게 종종 좋은 디지털 공격 경로를 제공하게 된다. 2025년까지 연결된 디바이스는 250억개에 이를 것으로 예상된다. 현재 조직의 50%는 머신 아이덴티티 보호에 어려움을 겪고 있다는 조사 결과가 있다. IT 인프라 전반에 걸친 효과적인 중앙 집중식 아이덴티티 보안 전략이 필요하다. 넷째 클라우드 복잡성으로 클라우드에서 아이덴티티 보안 수요가 증가할 것이다. 팬데믹으로 하이브리드 클라우드의 채택이 가속화되면서 38%는 2023년에 클라우드로 심각한 사이버 공격이 있을 것으로 예상하고 있다. 솔라윈즈(SolarWinds) 사고를 보면 싱글사인온이 적용된 수천의 정부 및 기업 고객의 클라우드 기반 마이크로소프트 365 계정이 백도어로 뚫린 사건이다. 아이덴티티 거버넌스를 효과적으로 배포하고 확장하려면 서비스형클라우드(SaaS) 플랫폼을 고려해야 한다. SaaS 모델은 유연성, 향상된 보안 및 자동화로 조직을 지원하는 동시에 임직원의 업무 중단을 줄이고 비용을 절감하며 짧은 시간에 아이덴티티 거버넌스를 적용할 수 있도록 설계됐다. 더욱 중요한 것은 클라우드 기반의 SaaS 아이덴티티 플랫폼으로 비즈니스를 신속하게 혁신, 오늘날의 빠르게 진화하는 고객 요구사항을 충족할 수 있다. 마지막으로 AI, ML 같은 스마트한 방식을 고민해야 한다. 조직이 명확한 아이덴티티 보안 제어로 각 액세스 포인트를 강화하지 않고 기술 리소스 액세스를 제공하는 것은 매우 위험한 일이다. AI, ML 기반 아이덴티티 보안은 아이덴티티에 대한 360도 가시성을 제공한다. 신뢰할 수 있는 데이터 인텔리전스를 활용해 모든 사용자 액세스를 사전에 검색, 관리·제어할 수 있다. 비정상적인 아이덴티티 및 고위험 액세스 권한의 검색과 변경을 자동화해서 비용을 절감하고, 전반적인 사용자 생산성도 높일 수 있다. 세일포인트가 올해 진행한 리서치에 따르면 많은 기업이 전반적으로 아이덴티티 보안 성숙도가 낮은 것으로 평가되고 있다. 사이버 공격이 비즈니스 중단, 기업 명성과 재정적 손실을 유발할 수 있다는 점을 고려, 아이덴티티 보안은 내년에도 네트워크 방어의 최선전이 돼야 할 것이다.

 

● 보안뉴스

구분	헤드라인	설명
(SV) Web3.0	웹3.0 시대의 보안, 소유자 '나' 아니면 아무것도 '아닌것'	웹 3.0, 사용자 권리 강화한 ‘리드, 라이트, 오더십’의 시대 웹 1.0은 세상에 처음 인터넷이 서비스됐던 1995년에서 2005년까지의 시기로 그 당시에는 인터넷에 정보를 올리면 html을 통해 기본적인 정보를 읽어오는 일방향 서비스였다. 웹 2.0 시대는 양방향 소통의 인터넷이 활성화된 현재로, 페이스북, 구글, 아마존 등 여러 기업처럼 사용자도 인터넷에 ‘참여’하는 시대다. 웹 2.0 시대는 ‘플랫폼 기업’이 등장하고, 이들이 영역을 확장해 독점적 지위까지 갖게 됐다. 플랫폼 참여자들은 서비스를 편하게 사용할 수 있지만 플랫폼을 통해 생성되는 이득이나 데이터는 플랫폼 기업이 소유하게 된다. 네이버도 커뮤니티 활동, 블로그 등에 올린 자료는 결국 네이버의 소유가 된다. 플랫폼 참여자들은 인터넷상에서 나의 데이터에 대한 소유권 등을 요구하기 시작했고, 이것이 웹 3.0의 시작이 됐다. 웹 1.0은 ‘리드(Read)’, 웹 2.0은 ‘리드와 라이트(Read & Write)’였다면, 웹 3.0은 ‘리드, 라이트, 오너십(Read, Write, Ownership)’이라고도 말한다. 한국블록체인학회 박수용 회장은 “웹 3.0은 인터넷상에서 참여자의 자율적인 움직임으로, 자신의 데이터, 특정 행위를 만들어낸 사람의 소유권을 인정하고 그에게 돌려주자는 개념”이라며 “현재 우리는 웹 3.0 시대의 시작점에 있다”고 말했다. 그는 “웹 2.0은 내가 한 행위임에도 서비스 프로바이더가 자신들의 영역이라고 선 긋기에 바쁘고, 소비자로서는 더 속박한다고 느낀다”며 “참여자의 소유를 인정하는 분위기로 변화되면서 웹 3.0 서비스로 나타나고 있다”고 말했다. ‘참여’와 ‘보상’ 중심 탈독점화 표방, 웹 3.0 박수용 회장은 웹 3.0 기업은 참여자들이 생성한 창작물의 소유를 인정하고 공유하는 것을 목적으로 한다며, 대표적인 기업으로 브레이브(Brave), 스팀잇(steemit), 아마존 웹 서비스 등이 있다고 설명했다. 브레이브 웹브라우저는 추적을 막는 광고 차단기가 브라우저 안에 내장됐지만, 사용자가 광고를 시청하면 보상으로 BAT(Basic Attention Token)를 발행하고, 블록체인 미디어 플랫폼 스팀잇은 사용자가 글을 올리고 호응이 있으면 스팀(steem) 코인이 나온다. 탈중앙화 블록체인 프로젝트 파일코인(Filecoin)은 참여자가 PC 여유공간을 클라우드로 내줄 때 보상이 있다. “웹 3.0은 지금까지 프로바이더가 일방적으로 제공하고 사용자는 받기만 하던 플랫폼 중심에서 ‘참여’와 ‘보상’으로 인터넷의 개념이 바뀌는 것입니다. ‘참여’와 ‘보상’을 내포한 웹 3.0의 시대에서는 블록체인 기술이 가장 좋은 툴이자 가장 보안성이 뛰어난 기술일 것입니다.” 박 회장의 설명이다. 웹 3.0 보안의 핵심, ‘월렛’과 ‘영지식 증명’ 박수용 회장은 “웹 3.0에서 가장 중요한 것은 보상을 받고, 나의 다양한 기록을 담아두는 공간으로 월렛, 디지털 지갑이 사용된다는 점”이라며 “지금은 암호화폐에서만 월렛을 사용하지만, 미래에는 모든 인터넷 유저가 지갑을 소유하고, 월렛의 관리가 보안의 핵심 이슈가 될 것”이라고 말했다. 그는 이어 “현재는 해킹을 당하면 개인정보만 빼앗겼지만, 웹 3.0 시대에서 사이버보안 위협이 생기면 개인정보와 함께 자산까지 빼앗겨 더 큰 문제가 불거질 것”이라고 우려했다. 개개인이 월렛을 소유하게 되면 재화 이동에 필요한 지갑 사용을 위한 신원인증도 중요한 이슈가 될 것으로 보인다. 거래상에서 신원 및 소유자 확인이 필요하기 때문이다. 디지털 지갑이 국내에서만 서비스된다면, 주민등록번호를 활용하면 되지만, 세계로 무대를 넓힌다면 신원인증이 문제가 될 수 있다. 이때 분산신원증명(Decentralized ID, DID)을 사용하거나 메타마스크(오픈소스 이더리움 지갑)로 처음에 서비스 신청 시 15개 남짓의 단어를 제시하고, 비밀번호 분실 시 그 단어를 매치해 본인을 확인한다. DID와 메타마스크 모두 신원확인에 중앙기관의 개입이나 신원인증을 하는 사람이 누구인지 알 필요가 없으며, 해당 지갑이 특정 사람과 제대로 연결됐는지만 확인하면 된다. 신원인증 방식이 변화되면, 개개인의 보안 책임은 더욱 커질 것으로 보인다. 박 회장은 “또 하나의 중요한 개념은 영지식 증명(Zero knowledge Proofs, JKPs)인데, 이는 ‘어떤 문장이 참이면, 확인자는 해당 문장의 참 이외에는 아무것도 알 수 없어야 한다’는 논리로 주민등록번호를 대신해 필요한 문을 열기 위해 올바른 키의 소유만 확인하는 것”이라고 말했다. 이는 비밀유지의 목적성을 유지하면서 암호화폐에서 사용자와 거래정보의 익명성만 제공하는 방식과 유사하다. 웹 3.0 시대에서는 이러한 ‘영지식 증명’을 기반으로 한 블록체인 기술이 중요한 부분을 차지할 것이라는 얘기다. 이를 기반으로 한 보안 솔루션도 출시됐지만 아직은 기술적인 보완이 필요하다고 박 회장은 지적한다. 웹 3.0 시대, 정부 대응 미흡...개개인의 보안 소양 중요 우리나라는 아직 웹 3.0 기반의 서비스는 나오지 않았지만, 게임 분야에서는 위메이드가 웹 3.0 블록체인을 기반으로 한 P2E(Play to Earn) 게임을 준비하고 있다. 주변국 중에 일본과 중국은 정부 차원에서 웹 3.0의 중요성을 강조하고 있다. 이에 우리나라도 과기정통부를 중심으로 인력 양성, 생태계 조성, 시범사업 개발 등에 적극 나서야 한다고 박 회장은 당부했다. 최근 한국은행에서 CBDC(중앙은행 디지털화폐) 발행도 언급한 만큼 CBDC로의 보상도 하나의 방법이 될 수 있다고 덧붙였다. 웹 3.0은 거스를 수 없는 시대의 흐름이다. 박수용 회장은 여기에 대응하기 위해서는 첫째로 보안기업을 비롯한 일반 기업도 웹 3.0의 콘셉트에 기반한 인터넷 서비스의 변화에 대해 깊은 고민을 해야 한다고 말했다. 두 번째는 기존의 플랫폼적인 사고방식에서 벗어나 ‘웹 3.0’에 걸맞은 사고와 함께 이를 기반으로 한 새로운 서비스를 기획할 때가 됐다고 설명했다. 마지막으로 웹 3.0 시대에는 개인의 책임과 권리가 더욱 중요해지기 때문에 사용자 누구나 인터넷을 제대로 이해하고 안전하게 사용할 수 있도록 보안에 대한 기본적인 소양을 쌓을 수 있는 교육을 국가 차원에서 마련해야 한다고 강조했다.

---

금일 주목할 기사는 Identity관련 기사입니다.

기술진화를 통한 다양한 서비스 등장은 개인들의 정보를 요구하게 되는데요, 그에 대한 개인정보의 보호는 무엇보다 중요하지 않는가 생각됩니다. 이런 개인정보보호에 다양한 기술을 적용한 보안과 정책적인 측면등 여러가지를 혼합적으로 고래해야 할 것 같습니다. 보안은 아무리 강조해도 중요한 부분 중 하나 인 것 같습니다.