핵심 POINT
최근 대형 개인정보 유출 사고는 정교한 외부 해킹뿐만 아니라, 방치된 계정과 인증키, 접근 권한 등 ‘정상 권한’이 악용되며 발생한 사례가 늘고 있습니다.
퇴사자나 협력사로부터 권한이 제때 회수되지 않거나, 인증 수단이 외부에 노출되는 경우, 또는 업무 범위를 초과한 권한이 부여된 경우 대규모 정보보안 사고로 이어질 수 있습니다.
SK쉴더스는 AI 기반 보안관제 플랫폼 시큐디움(Secudium)과 전문 CERT 조직을 기반으로, 정상 계정을 악용한 이상행위와 내부자 위협에 대응하는 보안 체계를 지원합니다.
이미지 출처 : Magnific
최근 개인정보 유출 사고의 주요 원인 중 하나로 계정 및 권한 관리의 허점이 주목받고 있습니다. 흔히 개인정보 유출 사고라고 하면 해커의 정교한 취약점 공격을 떠올리기 쉽지만, 실제로 정보보안 사고는 방치된 계정, 노출된 인증키, 과도하게 부여된 권한처럼 내부 접근 통제의 빈틈에서 시작되는 경우도 적지 않습니다.
예를 들어, 퇴사자 계정이 비활성화되지 않은 채 남아 있거나, 개발 과정에서 사용한 인증키가 안전하게 폐기되지 않은 경우가 있습니다. 또한 외부 협력사 계정이 계약 종료 이후에도 유지되면서 보안 위험이 발생하기도 합니다. 공격자는 복잡한 보안 체계를 강제로 뚫지 않더라도, 이런 ‘열린 문’처럼 남아 있는 정상 권한을 이용해 내부 시스템에 접근할 수 있습니다.
내부자 위협은 현직 임직원뿐 아니라 퇴사자, 인사이동자, 협력사 및 외부 위탁 인력 등 기업 시스템에 정상적으로 접근할 수 있는 권한을 가진 모든 사용자를 포함합니다.
오늘은 정상 계정과 권한이 어떻게 개인정보 유출로 이어질 수 있는지 살펴보고, 기업이 점검해야 할 계정 및 권한 관리 방법을 알아보겠습니다.
■ ‘정상 계정’ 기반 사고가 더 위험한 이유는
이미지 출처 : Magnific
정상 계정과 인증키를 이용한 공격이 특히 위험한 이유는, 시스템 입장에서 이를 ‘정상 접근’으로 인식하기 때문입니다. 이 경우 개인정보 유출 사고가 발생하더라도 이상 행위로 인식되지 않아 탐지와 대응이 지연될 수 있습니다. 정해진 권한을 가진 계정이 데이터를 조회하거나 다운로드하는 행위는 평시와 구분하기 어렵기 때문에, 보안 솔루션이 곧바로 차단하지 못하고 이상 징후가 뒤늦게 발견되는 경우가 많습니다.
이처럼 신원·접근관리의 취약점을 노린 ‘아이덴티티 공격’은 이미 사이버 위협의 주류로 자리 잡았습니다. 시스코의 위협 인텔리전스 조직 ‘탈로스(Talos)’에 따르면, 2024년에 발생한 사이버 공격 가운데 계정·자격증명 등 아이덴티티(Identity)를 노린 공격이 약 60%에 달했습니다. 탈로스는 많은 보안 사고가 제로데이 취약점이나 정교한 맞춤형 악성코드가 아니라, 탈취한 계정으로 로그인해 시스템에 침투하는 방식으로 발생했다고 설명했습니다.
기업이 네트워크와 엔드포인트 보안을 강화하더라도, 유효한 계정 하나가 탈취되면 공격자는 정상 사용자처럼 내부 시스템에 접근할 수 있습니다. 따라서 개인정보 보호를 위해서는 외부 방어 체계뿐 아니라, 누가 어떤 권한으로 접근하는지 관리하고, 이상 행위를 지속적으로 탐지하는 체계를 함께 갖추는 것이 중요합니다.
■ 방치된 권한은 어떻게 개인정보 유출로 이어질까?
이미지 출처 : Magnific
휴면 계정이나 외부에 노출된 액세스 키 등 방치된 권한은 외부 침입 흔적 없이 내부 시스템에 접근할 수 있는 통로가 됩니다. 이러한 권한 관리 부실은 고객 정보나 기업의 중요 데이터가 외부로 유출되는 개인정보 유출 사고 등으로 이어질 수 있습니다. 기업 자산을 위협하는 대표적인 권한 악용 유형을 다음과 같이 정리했습니다.
1. 휴면 계정을 악용한 침투
퇴사 처리가 완료되었음에도 삭제되지 않은 계정이나 장기간 접속 이력이 없는 휴면 계정은 공격자들의 주요 타깃이 될 수 있습니다. 방치된 계정은 여전히 정상적인 권한을 보유하고 있어, 탈취되더라도 기존 보안 시스템의 탐지를 피하기 쉽습니다.
2. 외부 인력을 경유한 우회 공격
기업 내부의 보안은 철저히 통제하면서도, 프로젝트 단위로 투입되는 외부 위탁 인력의 계정 관리는 상대적으로 느슨한 경우가 있습니다. 공격자는 협력사 계정을 먼저 탈취한 뒤, 이를 발판 삼아 원청 기업의 핵심 시스템으로 침투할 수 있습니다.
3. 클라우드·SaaS 액세스 키 노출
클라우드 환경에서는 관리자 아이디 대신 API나 액세스 키가 주요 인증 수단으로 사용됩니다. 개발 편의를 위해 소스코드에 키를 하드코딩하거나 깃허브 등 외부 저장소에 실수로 노출할 경우, 공격자는 해당 키에 부여된 권한 범위 내에서 주요 리소스에 접근하거나 데이터를 조회할 수 있습니다. 특히 관리자 수준의 권한이 부여된 인증키가 노출될 경우, 대규모 데이터 유출이나 서비스 장애로 이어질 수 있습니다.
4. 과잉 부여된 권한
특정 직무나 계정에 업무 수행 범위를 초과하는 광범위한 권한이 열려 있을 경우, 단 하나의 계정 탈취만으로도 피해가 커질 수 있습니다. 공격자는 탈취한 일반 계정으로 내부 네트워크를 탐색하며 보안 취약점을 찾아내고, 결국 더 높은 수준의 관리자 권한까지 확보할 수 있습니다. 이 과정에서 고객 개인정보나 핵심 데이터가 유출될 위험이 커집니다.
■ 권한 악용 사고, 어떻게 막아야 할까?
방치된 권한을 효과적으로 통제하기 위해서는 일회성 조치가 아닌 지속적으로 운영되는 계정 및 권한 관리 체계를 구축하는 것이 중요합니다. 정보보호 실무 환경에서 우선적으로 적용해야 할 4가지 원칙은 다음과 같습니다.
1. 최소 권한 원칙 적용
모든 권한 관리의 출발점은 ‘꼭 필요한 만큼만’ 부여하는 것입니다. 업무 수행에 반드시 필요한 범위로 권한을 한정하고, 직무나 역할이 바뀌면 그에 맞춰 권한도 즉시 조정해야 합니다. 특히 시스템 전반에 영향을 미치는 관리자 권한은 소수에게만 제한적으로 부여하고, 별도의 승인 절차와 모니터링 아래에서 운영해야 합니다.
2. 정기적인 권한 검토
한 번 부여한 권한을 그대로 방치하지 않으려면 주기적인 점검이 필수입니다. 분기 또는 반기 단위로 계정과 권한 현황을 전수 점검해 더 이상 쓰이지 않는 권한을 정리하고, 과도하게 부여된 권한은 정리해야 합니다. 특히 인사 이동, 퇴사, 계약 종료 시점에는 수작업에 의존하지 말고, 인사 시스템과 권한 관리 절차를 연동해 권한이 즉시 자동으로 회수되도록 만드는 것이 효과적입니다.
3. 인증키·토큰의 정기 교체와 유효기간 단축
계정뿐 아니라 인증키와 토큰도 엄격하게 관리해야 합니다. 키와 토큰은 유효기간을 짧게 설정하고 정기적으로 교체해, 외부에 노출되더라도 악용될 수 있는 시간을 최소화해야 합니다. 또한 키를 소스코드에 적어두는 하드코딩 방식은 지양하고, 별도의 안전한 키 관리 시스템에서 보관하는 것이 바람직합니다.
4. 계정 활동 상시 모니터링
정상 계정을 이용한 공격은 사전 차단이 어려운 만큼, 사후 탐지 역량이 피해 규모를 좌우합니다. 따라서 계정의 접근과 활동 로그를 상시 수집·분석하는 체계를 갖춰야 합니다. 평소와 다른 시간대의 접속, 비정상적인 위치에서의 로그인, 대량 데이터 조회나 다운로드 같은 이상 행위를 빠르게 포착하고 즉시 대응할 수 있어야 합니다.
■ 계정 관리만으로 충분할까? 지속적인 모니터링이 필요한 이유
계정 및 권한 관리는 개인정보 유출을 예방하기 위한 가장 기본적인 정보보안 활동입니다. 하지만 모든 계정을 정리하고 최소 권한 원칙을 적용하더라도 위험이 완전히 사라지는 것은 아닙니다. 공격자는 탈취한 정상 계정을 이용해 로그인하거나, 내부 사용자의 권한을 악용하는 방식으로 보안 통제를 우회할 수 있기 때문입니다.
특히 정상 계정을 이용한 공격은 시스템 입장에서 정상적인 업무 행위와 구분하기 어려운 경우가 많습니다. 평소와 다른 시간대의 로그인, 비정상적인 위치에서의 접속, 대량의 개인정보 조회 및 다운로드와 같은 이상 징후를 얼마나 빠르게 탐지하고 대응하느냐가 피해 규모를 좌우하게 됩니다.
이 때문에 최근에는 계정 및 권한 관리 체계와 함께 이상 행위를 탐지하는 보안관제 체계의 중요성이 더욱 커지고 있습니다.
이미지 출처 : Magnific
SK쉴더스의 AI 기반 보안관제 플랫폼 시큐디움(Secudium)은 24시간 365일 기업을 향한 사이버 위협을 탐지하고 대응할 수 있도록 지원합니다. 축적된 로그와 이벤트 데이터를 기반으로 위협 패턴을 분석하고, 최신 위협 정보(CTI)를 활용해 새로운 공격 징후를 식별합니다. 특히 정상 계정을 악용한 이상 접근이나 권한 오남용 행위처럼 탐지가 어려운 위협까지 모니터링하여 침해 가능성을 조기에 파악할 수 있도록 지원합니다. 또한 침해사고 발생 시에는 SK쉴더스 CERT 전문 조직이 사고 원인 분석부터 대응 및 후속 조치까지 연계해 피해 확산을 최소화할 수 있도록 지원합니다.
개인정보 유출 사고를 예방하기 위해서는 계정 및 권한 관리 체계 구축과 함께 지속적인 모니터링 및 대응 체계를 갖추는 것이 중요합니다. 보안 운영 고도화를 고민하고 있다면 SK쉴더스의 전문 보안 서비스를 통해 보다 체계적인 대응 환경을 구축해보시기 바랍니다.
■ 자주 묻는 질문 (FAQ)
Q. 정상 계정을 이용한 공격이 일반 해킹보다 위험한 이유는 무엇인가요?
A. 정상 권한을 가진 계정의 접근은 시스템이 정상 행위로 인식하기 때문에 보안 솔루션이 곧바로 차단하기 어렵습니다. 이로 인해 이상 징후가 늦게 발견되고, 그사이 대량의 데이터가 유출될 수 있어 피해 규모가 커질 수 있습니다.
Q. 퇴사자 계정은 언제, 어떻게 회수해야 하나요?
A. 정보보호를 위해 퇴사 처리와 동시에 계정, 토큰, 인증키가 즉시 비활성화되도록 인사 시스템과 권한 회수 절차를 연동하는 것이 가장 안전합니다. 수작업에 의존하면 누락이 발생할 수 있으므로, 자동화된 절차를 갖추는 것이 좋습니다.
Q. 인증키는 얼마나 자주 교체해야 하나요?
A. 정해진 절대 기준은 없지만, 유효기간을 짧게 설정하고 정기적으로 교체하는 것이 원칙입니다. 키를 소스코드에 직접 저장하지 않고 별도의 안전한 저장소에서 관리하며, 사용 이력을 모니터링하는 것이 중요합니다.
Q. 전담 정보보안 인력이 없는 중소기업도 계정·권한 관리를 체계적으로 할 수 있나요?
A. 가능합니다. 자체 보안 인력이 부족한 기업은 구독형 보안 서비스나 원격 보안관제 서비스를 활용해 필요한 보안 기능을 선택적으로 도입하고, 전문가의 지원을 받을 수 있습니다.
