크리밋 | 조직 내 비인간 ID 보호를 위한 6가지 필수 실천 방안

아티클

Felipe Araujo

December 5, 2024

4분 읽기

API 키, 비밀번호, 암호화 키와 같은 비밀 정보는 악의적인 행위자의 주요 공격 대상입니다. 이러한 자격 증명을 효과적으로 보호하는 것은 인프라 보안을 유지하는 데 필수적입니다. 아래는 모든 조직에서 이러한 데이터를 안전하게 관리하고 보호하기 위한 6가지 최선의 실천 방안입니다.

1. 보안 환경에서 중앙 집중화된 저장소 사용

자격 증명을 환경 변수에 저장하거나 소스 코드에 하드코딩하는 대신, 민감한 정보를 보호하도록 설계된 중앙 집중화된 Vault에 저장해야 합니다. 이를 통해 일관된 접근 제어, 암호화, 감사 정책을 적용할 수 있습니다.

Tip: 보안 저장소 환경을 강력한 데이터 보안 솔루션과 함께 사용하면 추가적인 보호 계층이 형성되며, 자격 증명이 전체 수명 주기 동안 안전하게 유지됩니다.

2. 강력한 접근 제어 시행

역할 및 실제 필요에 따라 자격 증명에 대한 접근을 제한해야 합니다. 최소 권한 원칙을 따름으로써 사용자, 애플리케이션, 서비스가 업무 수행에 꼭 필요한 최소한의 권한만 가질 수 있도록 해야 합니다.

• 사전 정의된 역할이나 속성을 기반으로 세분화된 권한을 적용하세요.

• 승인된 사용자 또는 시스템만 민감한 자격 증명을 검색할 수 있도록 하세요.

• 중요한 작업(예: 자격 증명 검색 또는 수정)에 대해 **다중 인증(MFA)**을 활성화하세요.

Note: 보안서비스 제공업체는 조직별 운영 환경에 맞춘 고급 접근 제어 프레임워크를 구현하는 데 도움을 줄 수 있습니다.

3. 자격 증명을 정기적으로 회전

장기간 변경되지 않은 자격 증명은 보안 위험을 초래할 수 있습니다. 자격 증명이 유출되면 수동으로 폐기하기 전까지 공격자가 지속적으로 악용할 수 있습니다. 이를 방지하려면:

• 자동화된 방식으로 정기적으로 자격 증명을 회전하세요.

• 유효 기간을 설정하여 특정 기간 이후 자격 증명이 자동으로 만료되도록 하세요.

• 자격 증명을 자동으로 갱신하고 필요한 곳에 새로운 값을 적용하는 도구나 스크립트를 활용하세요.

4. 단기간 사용 또는 동적 자격 증명 활용

단기간 또는 동적으로 생성된 자격 증명은 접근 기간을 제한하여 유출 시 피해를 줄일 수 있습니다. 예를 들어, 애플리케이션이 데이터베이스에 대한 영구적인 비밀번호를 가지는 대신, 작업이 수행되는 동안에만 유효한 임시 자격 증명을 생성하는 방식이 효과적입니다.

이 접근 방식은 작업이 완료된 후 자격 증명이 자동으로 만료되므로 추가적인 악용을 방지할 수 있습니다.

5. 자격 증명을 저장 및 전송 시 암호화

암호화는 무단 접근을 방지하는 가장 강력한 방법 중 하나입니다. 자격 증명을 저장할 때와 네트워크를 통해 전송할 때 모두 강력한 암호화 조치를 적용해야 합니다.

• 저장 시 암호화: AES-256과 같은 강력한 알고리즘을 사용하여 데이터를 보호하세요.

• 전송 시 암호화: TLS와 같은 보안 프로토콜을 활용하여 자격 증명이 네트워크를 통해 이동하는 동안 가로채기 또는 변조를 방지하세요.

Hint: API 보안 플랫폼을 활용하면 서비스 간 통신이 필요한 환경에서도 키와 토큰을 안전하게 관리할 수 있습니다.

6. 지속적인 모니터링 및 감사 수행

자격 증명 접근을 정기적으로 모니터링하고 감사를 수행하면 의심스러운 활동을 탐지하고 보안 정책 준수를 보장할 수 있습니다.

• 접근 로그를 기록하여 누가 언제 자격 증명을 사용했는지 확인하세요.

• 로그 분석을 통해 예상치 못한 위치에서의 접근 시도나 실패한 로그인 횟수를 식별하세요.

• 자동 알림 시스템을 활용하여 무단 접근이 감지될 경우 즉시 대응할 수 있도록 설정하세요.

결론

민감한 자격 증명을 보호하는 것은 조직의 인프라 및 데이터를 안전하게 유지하는 데 필수적입니다.

자격 증명을 보안 환경에서 중앙 집중화하고, 강력한 접근 제어를 적용하며, 정기적으로 회전하고, 단기 사용 또는 동적 자격 증명을 활용하며, 저장 및 전송 시 암호화를 적용하고, 지속적으로 모니터링하고 감사를 수행함으로써 보안 위험을 대폭 줄일 수 있습니다.

이러한 실천 방안을 데이터 보안 솔루션, API 보안 플랫폼, IT 보안 제공업체와 함께 도입하면 조직의 핵심 시스템과 자산을 더욱 안전하게 보호할 수 있습니다.

비인간 ID

비인간 ID을 탐지할 준비가 되셨나요?

Cremit이 어떻게 조직의 개발 보안을 지킬 수 있는지 알아보세요. 데모를 신청하시거나, Cremit과 협력하여 secret 관리 접근 방식을 혁신하는 방법을 확인해 보시기 바랍니다. 지금 바로 시작하십시오.

AI 기반 인사이트를 활용하여 Non-Human Identity 위험을 완벽하게 관리하세요.

기본적인 데이터를 넘어, Non-Human Identity 위험을 선제적으로 완벽하게 관리하고 완화하는 데 필요한 실행 가능한 AI 기반 인사이트를 확보하세요.

시작하기

A dark-themed cybersecurity dashboard from Cremit showing non-human identity (NHI) data analysis. Key metrics include “Detected Secrets” (27 new) and “Found Sensitive Data” (58 new) from Jan 16–24, 2024. Two donut charts break down source types of detected secrets and sensitive data by platform: GitHub (15k), GetResponse (1,352), and Atera (352), totaling 16.9k. The dashboard includes a line graph showing trends in sensitive data over time, and bar charts showing the top 10 reasons for sensitive data detection—most prominently email addresses and various key types (API, RSA, PGP, SSH).

Blog

더 많은 뉴스 및 업데이트 살펴보기

최신 사이버 위협과 주요 업계 보안 트렌드에 대한 최신 정보를 확인하세요.

OWASP NHI5:2025 과도한 권한 분석

OWASP NHI5: NHI 및 AI의 과도한 권한 심층 분석. 원인, 위험, 탐지 방법 및 CIEM, PaC, JIT 액세스와 같은 완화 전략을 알아보세요.