기업 시크릿 관리 설명: 모범 사례, 과제 및 도구 선택

기업 시크릿 관리 설명: 모범 사례, 과제 및 도구 선택

클라우드나 온프레미스 등 위치에 상관없이 최신 애플리케이션 통합으로 인해 디지털 시크릿의 필요성이 가속화되었습니다. 이러한 시크릿은 웹 페이지에서 정보를 전송하거나 API로 안전한 요청을 하거나 클라우드 데이터베이스에 액세스할 때 또는 오늘날 기업이 디지털 전환을 추구하고 자동화를 높이는 동안 직면하는 수 많은 경우에 애플리케이션간 데이터 액세스를 제어합니다.

​

시크릿 관리란 무엇입니까?

​

시크릿 관리는 디지털 인증 자격 증명의 수명 주기를 안전하게 저장, 액세스하고 중앙에서 관리하는 도구 및 방법을 의미합니다. 여기에는 비밀번호, 암호화 키, API, 토큰 및 인증서와 같은 민감한 데이터가 포함됩니다. 이러한 비밀은 조직의 IT 생태계 내의 애플리케이션이나 서비스에 액세스하기 위해 사용자 또는 시스템을 인증합니다.

​

시크릿 관리에서 인간의 역할을 최소화함으로써 조직은 민감한 데이터 및 시스템에 대한 무단 액세스를 방지하는 체계적인 접근 방식을 사용하여 데이터 위반, 신원 도용 및 기타 신원 관련 문제를 방지할 수 있습니다.

​

시크릿 관리의 주요 개념

​

시크릿이란 무엇입니까?

​

시크릿의 가장 간단한 정의는 디지털 인증 자격 증명입니다. 그런 의미에서 가장 잘 알려진 비밀의 예는 비밀번호입니다. 비밀은 도구, 애플리케이션, 컨테이너, DevOps 및 클라우드 네이티브 환경에서 보호된 리소스 또는 민감한 정보를 잠금 해제하는 데 필수적인 개인 정보를 나타냅니다.

​

가장 일반적인 유형의 비밀은 다음과 같습니다.

​

• 권한 있는 계정 자격 증명

• 비밀번호

• TLS/SSL 인증서

• SSH 키

• API 키

• 암호화 키

​

사람과 관련된 비밀번호는 가장 잘 알려진 유형의 비밀이지만, 사람이 아닌 사람의 비밀은 어디에나 존재하며 관리 및 보안이 더 어렵습니다. IoT 장치, 앱, API, 컨테이너 및 마이크로서비스를 포함하여 사람이 아닌 엔터티, 집합적으로 명명된 기계의 확산으로 인해 기계 비밀이 급증하여 손상의 가능성과 영향을 제한하기 위해 자동화된 관리가 필요해졌습니다.

​

추천 대상 – 노변담화: 비밀 관리란 무엇이며 왜 필요한가요?

​

시크릿 관리의 과제

​

부실한 시크릿 관리는 조직을 많은 사이버 위험에 노출시킬 수 있습니다. Verizon 2023년 데이터 유출 조사 보고서에 따르면 도난 또는 훼손된 자격 증명은 공격자가 비즈니스의 가장 중요한 보물인 데이터에 침입할 수 있는 주요 벡터입니다. 자격 증명(개인 데이터와 함께)은 위반 시 더 많이 찾는 자산입니다. 그럴 만한 이유가 있습니다. 그것이 우리 왕국의 열쇠이기 때문입니다.

​

데이터 침해의 74%가 인적 요소와 관련되어 있지만 도난당한 자격 증명은 침입자가 기업 네트워크 내에서 측면으로 이동하여 권한을 상승시키는 데 필요한 두 번째 단계를 제공합니다. 웹 기반 애플리케이션과 관련된 위반의 80% 이상이 도난당한 자격 증명으로 인해 발생할 수 있습니다. Verizon에 따르면 지난 5년 동안 도난당한 자격 증명을 사용하는 것이 침해의 가장 인기 있는 진입점이 되었습니다.

​

열악한 시크릿 관리 문제 중 하나는 조직이 이 프로세스를 성공적으로 구현하는 데 직면하는 어려움입니다. IT 생태계가 복잡해지고 시크릿이 다양하고 많아질수록 비밀을 안전하게 저장, 전송 및 추적하는 것이 더 어려워집니다.

​

시크릿의 무질서

​

위에서 언급한 비밀의 일반적인 용도 외에도 비밀은 컨테이너화된 애플리케이션, RPA(로보틱 프로세스 자동화) 플랫폼, 비즈니스에 중요한 애플리케이션(내부 개발 및 상용 기성 솔루션 모두 포함)에 하드 코딩된 자격 증명으로 내장되기도 합니다( COTS) 및 CI/CD(지속적 통합/지속적 배포) 파이프라인이 있습니다. 이로 인해 시크릿 확산이라고 하는 비밀이 훨씬 더 광범위하게 발생하게 됩니다.

​

포괄적인 가시성 부족

​

비밀의 확산으로 인해 비밀 관리가 더욱 어려워집니다. 특정 기업에서는 SSH 키의 개수만 수백만 개에 달할 수도 있습니다. 관리자, 개발자 및 기타 팀 구성원이 모두 자신의 비밀을 개별적으로 관리하는 분산형 방법에는 이러한 단점이 있습니다. 모든 IT 생태계에 걸쳐 통합된 가시성이 없으면 보안 허점과 감사의 어려움이 존재할 것이 확실합니다.

​

하드코딩된 기본 비밀

​

하드코딩된 기본 자격 증명은 애플리케이션 및 IoT 장치와 함께 자주 배포 및 배포되며 검색 도구와 사전 스타일 또는 추측 공격을 사용하여 쉽게 해독할 수 있습니다. 또한 비밀은 DevOps 기술용 스크립트나 파일에 정기적으로 하드코딩되어 전체 자동화 프로세스의 보안을 위협합니다.

​

DevOps 도구

​

DevOps 환경에서는 비밀 관리 문제가 증폭됩니다. DevOps 팀은 일반적으로 수십 개의 오케스트레이션, 구성 관리, Ansible 또는 Docker와 같은 기타 도구 및 기술을 활용하고 비밀이 작동해야 하는 자동화 및 기타 스크립트를 사용합니다. 이러한 비밀은 모두 자격 증명 순환, 시간/활동 제한 액세스, 감사 등을 포함한 최상의 보안 관행에 따라 관리되어야 합니다.

​

수동 비밀 관리 프로세스

​

수동 프로세스는 번거롭고 오류가 발생하기 쉬운 것으로 알려져 있습니다. 관리가 부실하면 비밀이 비밀로 유지될 가능성이 낮아 위반 가능성이 높아집니다. 일반적으로 수동 비밀 관리 프로세스가 많을수록 보안 허점과 과실이 발생할 가능성이 높아집니다.

​

기업 비밀 관리 솔루션 및 모범 사례의 필요성

​

기업 비밀 관리 도구와 모범 사례는 이러한 문제를 해결하고 중요한 데이터에 대한 무단 액세스를 방지하여 데이터 유출 위험과 민감한 기업 및 개인 데이터의 무단 조작 위험을 줄일 수 있습니다. 이는 직접적인 금전적 손실, 평판 손상, 법적 노출, 규제 위반 벌금 등 조직에 재앙적인 결과를 초래할 수 있습니다.

​

기업은 비밀 관리 솔루션을 사용하여 IT 생태계의 비밀을 중앙에서 관리합니다. 이러한 도구와 확립된 모범 사례는 암호를 스크립트에 하드코딩하고, 기본 암호를 사용하고, 암호를 수동으로 공유하고, 자격 증명을 교체하지 못하는 등 열악한 수동 암호 관리와 관련된 위험을 줄입니다. 비밀 관리 도구는 수동 프로세스를 대체하고 조직 전체의 비밀에 대한 중앙 집중식 가시성, 모니터링 및 관리를 제공합니다.

​

비밀 관리의 기본은 조직 내 모든 유형의 비밀이 어디에 있는지 식별하고 지속적으로 인벤토리를 유지 관리하는 것입니다. 인벤토리를 생성하는 것 외에도 CI/CD 파이프라인, 컨테이너, 임시 환경, IoT 장치, RPA 프로세스 및 내부적으로 개발된 애플리케이션을 보호하는 것과 같은 모든 비밀 관리 사용 사례를 식별하는 것도 마찬가지로 중요합니다.

​

이 포괄적인 인벤토리는 조직이 보안 및 규정 준수 목적으로 비밀을 보다 효과적으로 모니터링하고 감사하는 데 도움이 됩니다. 감사는 프로세스의 특성상 비밀 관리의 필수적인 부분입니다. 최소한 조직은 누가 비밀을 요청했는지, 어떤 시스템과 역할을 위해 비밀을 사용했는지, 언제 비밀이 사용되었는지, 언제 비밀이 만료되었는지 등을 모니터링하고 감사해야 합니다.

​

시크릿 관리 모범 사례

​

다음은 효과적이고 효율적인 비밀 관리 프로세스의 핵심입니다.

​

• 포괄적인 시크릿 인벤토리를 만듭니다. 이것이 비밀 관리의 기초입니다. 모르는 것을 보호할 수는 없습니다. 조직 전체에서 사용되는 모든 비밀을 다루는 데 시간을 투자하십시오.

​

• 포괄적인 비밀 관리 정책을 만듭니다. 정책은 기본 비밀 또는 하드코딩된 비밀의 사용을 금지하면서 비밀의 수명 주기(강도, 만료, 순환, 취소)를 관리하는 엄격한 규칙을 설정해야 합니다.

​

• 자동화, 자동화, 또 자동화하세요. 비밀 관리 프로세스에서 인적 요소를 제거하고 자동화 플랫폼을 활용하여 비밀을 생성, 관리, 배포 및 유지합니다.

​

• 키 관리 솔루션을 사용하여 데이터를 암호화합니다. 저장, 전송 중, 사용 중인 데이터를 암호화하는 키 관리 솔루션은 키를 저장 및 관리하고 데이터를 암호화하거나 복호화해야 할 때 자동으로 제공합니다. 또한 각 데이터 세트나 리소스를 서로 다른 암호화 키로 암호화하여 액세스를 보다 세부적으로 제어할 수 있습니다.

​

• 시크릿을 자주 교체하세요. 잠재적인 손상의 영향을 제한하려면 비밀을 정기적으로 변경해야 합니다. 비밀이 오랫동안 변경되지 않은 상태로 유지되면 더 많은 사용자와 시스템이 해당 비밀에 액세스하게 되고 잠재적으로 보안이 손상될 수 있습니다. 비밀 관리 도구를 사용할 때는 회전 기능을 사용하고 회전을 충분히 높은 빈도로 설정하세요.

​

• 업무를 분리하고 데이터와 비밀을 분리하세요. 두 자산에 영향을 미치는 위반 가능성을 제한하기 위해 업무를 분리하고 비밀을 데이터와 별도로 유지하는 것이 항상 모범 사례입니다.

​

• 권한을 관리합니다. 사용자나 애플리케이션에는 해당 역할을 수행하는 데 필요한 경우에만 권한이 부여된다는 최소 권한의 원칙을 따르는 것이 중요합니다. 액세스가 더 이상 필요하지 않으면 취소해야 합니다. 모니터링 및 책임성을 향상하려면 권한 있는 세션을 주의 깊게 모니터링해야 합니다.

​

• 무단 액세스를 감지합니다. 위반은 시기와 여부의 문제입니다. 무단 액세스를 모니터링하고 식별하기 위한 강력한 프로세스를 갖추고 침해를 완화하고 조직에 미치는 영향을 줄이기 위한 사고 대응 프로세스를 구축하십시오.

​

• 직원을 교육하십시오. 비밀 관리 모범 사례에 대해 모든 부서의 직원을 교육하는 것이 필수적입니다. 이는 비밀 관리 정책과 모범 사례를 시행하고 비용이 많이 드는 실수와 감독의 가능성을 제한하는 가장 좋은 방법입니다.

​

올바른 비밀 관리 도구 선택

​

비밀 관리 솔루션을 선택할 때 다음 작업을 염두에 두어야 합니다.

​

• 시장 조사를 수행하고 오픈 소스 및 상용 솔루션을 포함하여 사용 가능한 비밀 관리 도구 유형을 식별합니다.

​

• 비밀 관리 도구를 선택할 때 조직의 특정 요구 사항과 사용 사례를 고려하십시오. 식별된 도구가 현재 및 미래의 비즈니스 요구 사항을 충족하는지 고려하십시오. 조직이 더 많은 환경과 지역으로 확장됨에 따라 다양한 플러그인을 지원하는 확장 가능한 통합 기능을 솔루션에 포함하는 것이 필수적입니다.

​

• 도구가 제공하는 보안 및 암호화 수준을 평가합니다. 솔루션은 비밀 순환, 적시 액세스, 양자 위협에 대한 적절한 저항을 갖춘 암호화 옵션을 제공합니까?

​

• 조직 환경의 다른 도구 및 시스템과의 통합 용이성을 고려하십시오. 올바른 플랫폼은 플랫폼 간, 환경 간 원활한 워크플로우를 허용해야 합니다. 선택한 솔루션은 완전히 독립적이어야 하며 클라우드 및 레거시 IT 환경에서 작동해야 합니다. 또한 Kubernetes 및 Docker와 같은 가장 일반적인 클라우드 플랫폼과의 통합을 지원해야 합니다.

​

• 도구 공급업체나 커뮤니티에서 제공하는 지원 및 문서 수준을 평가합니다.

​

• 비밀 관리 도구를 선택할 때 비용 및 예산 제약을 고려하십시오. 숨겨진 비용으로 인해 지출이 증가하여 솔루션이 비용 효율적인 옵션이 아닐 수 있습니다.

​

• 비밀 관리 도구 선택에 영향을 미칠 수 있는 규제 또는 규정 준수 요구 사항을 염두에 두십시오.​ 데이터 주권 및 현지화 요구 사항은 선택 사항을 제한할 수 있으므로 관할권별로 규정을 준수하는 솔루션을 찾아야 합니다.

​

• 최종 결정을 내리기 전에 개념 증명이나 도구 시험을 수행하는 것을 고려하십시오. 이는 도구가 약속한 대로 작동하는지 확인하는 데 필수적입니다.

​

TL;DR

​

비밀 관리, 암호화 및 키 관리는 조직이 중요한 데이터 및 시스템에 대한 무단 액세스를 방지하여 데이터 위반, 신원 도용 또는 조작을 방지하는 데 도움이 됩니다. 자격 증명과 비밀은 가장 표적이 되는 자산이자 데이터 유출의 주요 벡터이므로 이러한 보안 솔루션은 새로운 위협으로부터 조직을 보호하는 가장 좋은 방법입니다.

​

그러나 보호가 효과적이고 강력하려면 조직은 새로운 위협을 파악하고 그에 따라 대응을 조정해야 합니다. 여기에는 비밀 및 키 관리도 포함되며, 여기서 민첩성은 포스트퀀텀 암호화 개발에 비추어 핵심 기능입니다.

​

조직은 비밀의 무분별한 확산으로 인한 문제를 최소화하고 비즈니스의 안전을 보장하기 위해 비밀 관리의 우선순위를 정해야 합니다.

​

도움이 필요하신가요? ​CipherTrust Secrets Management 솔루션​을 살펴보거나 사이버 보안 전문가에게 문의하여 조직에 적합한 비밀 관리 전략을 구축하는 데 도움을 받을 수 있습니다.

​

CipherTrust Secrets Management 솔루션 바로가기

​

탈레스 보안 전문가에게 문의하기

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.