사이버아크 "노후화 PKI 시스템 문제...안전한 인증 장애"
아이덴티티 보안 리더기업 사이버아크(CyberArk)는 'PKI 보안 동향: 글로벌 트랜드, 도전과제 및 비즈니스 영향 연구(Trends in PKI Security: A Global Study of Trends, Challenges & Business Impact)'을 발표했다고 22일 밝혔다. 이번 PKI 동향 보고서는 사이버아크가 선도적인 독립 연구 전문업체인 포네몬 연구소(Ponemon Institute)에 의뢰해 진행했다. 세계 약 2천명의 IT 및 보안 전문가의 의견을 바탕으로 공개 키 인프라(Public Key Infrastructure, PKI) 관련 보안 현황을 분석했다. 보고서에 따르면 전세계에서 노후화한 PKI 시스템이 안전한 인증서 관리의 주요 장애물이 되고 있으며, 이로 인해 60%의 기업에서 보안 취약점이 발생하고 있는 것으로 나타났다. 특히 아시아태평양(APAC) 응답자들은 다른 지역보다 PKI가 외부 공격 및 내부자 위협으로부터 보호하는 능력에 대해 상대적으로 높은 신뢰를 나타냈지만, PKI가 컴플라이언스 요건을 충족할 수 있다고 확신하는 응답자는 절반에도 못 미치는 45%에 머물렀다. APAC 기업 절반 이상이 컨피규레이션 오류로 예기치 않은 서비스 중단을 경험했고, 거의 절반은 만료된 인증서로 인해 영향을 받았다. 이는 가시성과 제어가 여전히 중요한 과제로 남아 있다는 것을 보여주는 방증이라고 사이버아크는 진단했다. PKI는 사용자와 디바이스의 아이덴티티를 확인하는 디지털 인증서를 생성하고, 관리하는 시스템이다. 클라우드 네이티브 및 제로 트러스트 환경에서 머신과 워크로드 아이덴티티가 증가함에 따라 현대적인 아이덴티티 요구 사항이 늘어나면서 인증서의 규모와 복잡성이 전례 없이 증가했다. 기존 PKI 시스템과 급증하는 인증서 수요는 숨겨진 비용 증가 요인 이번 보고서에 따르면 PKI는 안전한 디지털 아이덴티티 확인에 여전히 필수적인 요소지만, 단편적인 접근 방식과 수동적인 인력 주도 프로세스를 사용하는 기존 시스템으로는 오늘날의 인증서 요구를 따라잡을 수 없다. 현대적이고 자동화된 접근 방식 없이는 인증서 수요와 조직 역량 간의 격차가 더욱 벌어져 기업은 자원 부족과 운영 비용 증가에 직면하게 될 것이다. -기업의 34%는 안전한 PKI 구축의 가장 큰 장애물로 기존 PKI의 비용과 위험을 꼽았다. APAC에서 안전한 PKI 구축을 가로막는 가장 큰 두 가지 장애물은 모든 내부 인증서를 중앙에서 관리할 수 없다는 점(39%)과 보안, 컴플라이언스 및 감사 실패(38%)다. 이는 전 세계 기업 중 기존 PKI 구축 비용과 위험을 가장 큰 장벽으로 꼽은 수치(34%)와 대조된다. -기업들은 평균 10만 5천 개 이상의 내부 인증서를 관리하지만, PKI 관리를 전담하는 정규직 직원은 3명에 불과했다. 응답자 60%는 인력 및 전문성 부족으로 인해 PKI 관리를 MSSP(Managed Security Service Provider, 관리형 보안 서비스 제공업체)에 아웃소싱하고 있거나 아웃소싱할 계획이라고 밝혔다. 수동 프로세스로 인한 보안 위험 증폭 수동으로 인증서를 추적하고, 갱신하는 프로세스는 비효율적일 뿐 아니라 조직에 잠재적인 위험을 초래해 비용이 많이 소요되는 서비스 중단과 보안 침해를 초래할 수 있다. 하지만, APAC 기업의 거의 3분의 1이 여전히 이 방법을 사용하고 있다. -59%는 외부 인증 기관(Certificate Authority, CA)으로 인한 침해에 대응하지 못했다. -55%는 컨피규레이션 오류로 인해 예기치 않은 서비스 중단을 경험했으며, 49%는 인증서 만료로 인해 서비스 중단을 경험했다. -50%는 사내 전문가 부족으로 인해 실수와 비효율을 경험했다. 사이버아크의 커트 샌드(Kurt Sand) 머신 아이덴티티 부문 보안 총괄은 “머신 아이덴티티의 급속한 증가는 PKI 운영 모델을 완전히 변화시켰다. 증가하는 인증서 관리 복잡성은 기존 시스템, 수동 프로세스 및 리소스 제약으로 인해 더욱 가중되고 있다”라며 “인증서 사용량이 증가하고, 인증서 수명이 계속 단축됨에 따라 관리되지 않는 PKI로 인한 재정적, 운영적 영향은 급격히 증가할 것이다. 이제 조직이 운영 부담을 줄이고, 전반적인 보안 태세를 강화하기 위해 PKI를 자동화와 현대화해 구축해야 할 때다”라고 말했다. 통합 가시성과 자동화로 PKI 효율성 향상 보고서에 따르면 전반적인 규정 준수 및 보안에 대한 신뢰도는 낮은 것으로 나타났다. 자동화 및 통합 가시성에 투자하는 조직은 운영 부담 감소, 서비스 중단 감소, PKI 컴플라이언스 수준 향상을 경험했다. -APAC 기업의 45%는 자사의 PKI가 컴플라이언스 요건을 충족할 수 있다고 확신하고 있으며, 절반 미만(48%)은 사이버 공격이나 내부 위협에 대해 PKI가 효과적이라고 신뢰하고 있다. -APAC 응답자 중 더 많은 비율(52%)이 자사의 PKI 인프라가 디바이스 증가 및 워크로드 수요 증가에 매우 효과적이라고 생각하는 반면, 전 세계 응답자 중에서는 47%만이 동일하게 생각하는 것으로 나타났다. -APAC은 인증서의 수량과 위치를 파악하는 데 있어 가장 효과적인 것으로 나타났다(53%). 또한 APAC 및 EMEA(유럽중동아프리카) 지역(49%)은 인증, 암호화 및 데이터 무결성을 위한 안전한 프레임워크를 보장함으로써 외부 공격 및 내부자 위협으로부터 PKI를 보호하는 데 가장 효과적이라고 응답했다. 포네몬 연구소의 래리 포네몬(Larry Ponemon) 회장이자 설립자는 “PKI는 디지털 커뮤니케이션에서 신뢰, 보안 및 개인정보 보호를 보장하는 데 매우 중요한 역할을 한다. 그러나 연구 결과에서 나타난 것처럼, 기업들은 PKI가 보안 위협으로부터 보호하고, 증가하는 디바이스 및 워크로드 요구에 부응할 수 있는 능력에 대해서는 확신을 갖고 있지 않다”라며 “PKI 효과를 높이기 위해 더 많은 기업들이 운영 부담을 줄이고, 보안 강화를 위해 AI를 도입할 것으로 예상된다”라고 말했다.
