[Security] Basic Concepts of Cybersecurity(3) - IAM

🔒 사이버 보안 기초 수업 정리

IAM 개요

---

📚IAM(Identity & Access Management): 디지털 신원 관리 프레임워크, “누가 누구인지 확인하고, 그 사람이 무엇을 할 수 있는지 관리하는 시스템”

🎯 IAM의 목적 (Purpose)

• 안전한 접근 권한 부여 및 취소 - 올바른 사람에게만 권한을 주고, 필요 없을 때는 빼앗기
• 민감한 정보 보호 - 중요한 데이터가 무단 접근되지 않도록 보호

• 규정 준수 보장 - 법적, 제도적 요구사항을 만족시키기

• 중요성: 오늘날의 하이브리드 및 클라우드 환경에서 신원이 “새로운 경계선”이 되어 강력한 IAM 전략이 필수적

AAA 프레임워크

---

📚 AAA Framework: IAM의 핵심을 구성하는 세 가지 요소 - Authentication(인증), Authorization(인가), Accounting(감사)

🔐 1. Authentication (인증)

---

📚Authentication (인증): 시스템이나 리소스에 접근하려는 사용자 또는 디바이스의 신원을 확인하는 과정

🔑 Password-based Authentication (패스워드 기반 인증)

알려진 취약점에도 불구하고 가장 일반적인 신원 확인 형태

패스워드 요구사항:

• 최소 길이 (일반적으로 8-12자)
• 복잡성 규칙 (대문자, 소문자, 숫자, 특수문자)
• 정기적인 업데이트 정책

일반적인 취약점:

• 사전 공격, 무차별 대입 공격
• 패스워드 재사용
• 자격증명을 대상으로 한 소셜 엔지니어링 공격

보안 강화 방법:

• 패스워드 해싱, 솔팅
• 실패한 시도 후 계정 잠금
• 패스워드 강도 측정기

😀 Biometric Authentication (생체 인증)

물리적 특징:

• 지문, 얼굴 인식, 홍채(iris) 스캔
• 쉽게 위조되거나 공유될 수 없는 고유한 생물학적 식별자 제공

행동적 특징:

• 음성 패턴, 타이핑 리듬(속도) 분석
• 사용자 행동 패턴을 모니터링하여 지속적인 인증 제공

고려사항:

• 높은 보안성을 제공하지만 개인정보 보호 규정에 따른 특별한 보호 필요

구현:

• 금융 기관이나 정부 시설 등 고위험 환경에서 다른 인증 요소와 함께 사용 (MFA)

🔗 Single Sign-On (SSO)

📚Single Sign-On (SSO): 하나의 패스워드로 모든 작업 사이트에 접근할 수 있게 하는 시스템 (Master Key)

주요 구성요소:

• 중앙 패스워드 매니저
• 이 매니저를 신뢰하는 연결된 앱
• 로그인했음을 증명하는 안전한 디지털 패스

작동 방식:

• 다른 앱들이 안전하게 서로 통신하고 사용자 신원을 확인하는 표준 보안 방법 사용

장점:

• 사용자가 기억해야 할 패스워드 수 감소
• IT 팀의 패스워드 재설정 시간 단축
• 하나의 강력한 패스워드로 보안 향상
• 업무 효율성 증대

주의사항:

• 사용자가 로그인 상태를 유지하는 시간과 여러 작업 사이트 연결 시 로그인 정보 보안에 대한 신중한 계획 필요
  • 한 곳이 털리면 다른 곳도 털리기 때문!

🔒 2. Authorization (인가)

📚Authorization (인가): 사용자 역할, 속성 또는 사전 정의된 규칙을 바탕으로 접근 권한을 결정하고 부여하는 과정

• 인가(Authorization) = 인증(Authentication) + 권한부여

접근 제어 모델

• RBAC (Role-Based Access Control): 직무/역할 기반 접근 제어
• ABAC (Attribute-Based Access Control): 속성(시간, 위치, 등급 등) 기반 접근 제어

📊 3. Accounting (감사)

📚Accounting (감사): 감사, 규정 준수, 보안 분석을 위해 사용자 활동을 추적(tracking)하고 기록(logging)하는 과정

사용 도구

• SIEM 시스템 (Security Information and Event Management)
• 로그 관리 도구
• 네트워크 트래픽 분석

Multi-Factor Authentication (MFA)

---

📚 MFA(Multi-Factor Authentication): 접근 제어를 강화하기 위해 여러 인증 요소를 결합하는 중요한 보안 계층

🎯 MFA 요소의 유형

1. Something You Know (알고 있는 것): 지식 기반 인증
   • 패스워드, PIN, 보안 질문
2. Something You Have (가지고 있는 것): 소유 기반 인증
   • 스마트폰, 하드웨어 토큰, 보안 키
3. Something You Are (자신인 것): 생체 기반 인증
   • 지문 스캔, 얼굴 인식, 홍채 스캔과 같은 생체인식

Adaptive Authentication (적응형 인증)

---

📚Adaptive Authentication (적응형 인증): 위험을 기반으로 한 스마트 보안 시스템

❌실시간으로 분석되는 위험 요소:

• 📍 로그인 위치: 로그인하는 위치 (특히 ‘새로운 국가’에서 접근하는 경우)
• 💻 디바이스 보안: 디바이스의 안전성 (바이러스 및 업데이트 확인)
• 🕐 접속 시간: 로그인 시도 시간 (비정상적인 시간대인 경우)

• ⌨️사용 패턴: 디바이스 사용 방식 (타이핑 및 마우스 움직임)

• 고위험 상황 대응 조치
  • 추가 본인 확인 요구
  • 지문이나 얼굴 스캔 요구
  • 휴대폰으로 코드 전송

IAM 모범 사례

---

🏛️ 1. 중앙집중식 거버넌스(Centralized Governance)

효과적인 IAM 관리 보장:

• 표준화된 접근 요청 워크플로우
• 자동화된 정책 위반 모니터링
• 통합된 역할 및 권한 관리

✅특징: 보안과 운영 효율성의 균형을 맞추는 프레임워크

🔐 2. 최소 권한 원칙 (Principle of Least Privilege, PoLP)

📚PoLP: 사용자 접근을 직무 수행에 필수적인 것으로만 제한하는 원칙

구현 방법:

• 정기적인 접근 감사
• 시간 제한 상승 권한
• 기본 거부 정책

효과: 보안 위험을 최소화하고 규정 준수 보장

😀 3. 자동화된 사용자 계정 관리

: 사람의 입사/퇴사/이동을 자동으로 감지해서 계정을 관리하는 시스템

1. 설정 (Setup)
   • 사람들이 입사하거나 퇴사할 때 사용자 계정을 자동으로 관리
2. 새 계정 (New Accounts)
   • 계정을 생성하고 접근 권한을 자동으로 설정
3. 계정 제거 (Account Removal)
   • 직원이 퇴사하거나 역할이 변경될 때 신속하게 접근 권한 제거
4. 주요 장점 (Key Benefits)
   • 더 빠른 작업 수행, 실수 감소, 규칙 준수 향상

실제 사례

---

💰 Case 1: 금융 기관 침해 예방

---

상황: 주요 금융 기관이 고객 계정에 대한 무단 접근(피싱 공격)을 방지하기 위해 MFA를 구현

결과:

• 정교한 피싱 공격을 효과적으로 차단
• 민감한 금융 데이터를 보호하고 중대한 데이터 침해를 예방

☁️ Case 2: 클라우드 환경에서의 IAM

---

AWS

• Amazon Web Services(AWS)는 포괄적인 IAM 서비스를 제공
• 사용자가 AWS 리소스에 대한 접근을 제어하고 사용자 신원을 안전하게 관리할 수 있게 지원

Azure

• Azure Active Directory(Azure AD)는 클라우드 기반 신원 및 접근 관리 솔루션을 제공
• Azure 리소스를 위한 단일 로그온 및 MFA와 같은 기능 제공