관리자가 부여하는 최소 권한의 원칙(PoLP)이란?
PoLP라고도 불리는 관리자가 부여하는 최소 권한의 원칙은 조직의 데이터, 네트워크, 애플리케이션 등 모든 리소스에 대한 액세스를 관리해 사용자에게 꼭 필요한 권한만 부여하는 사이버 보안 전략이자 실천 방식입니다. 최소 권한의 원칙은 휴먼 사용자만이 아니라, 필요한 작업을 수행하기 위해 권한이나 허가를 획득해야 하는 애플리케이션, 시스템, 연결된 기기와 같은 논휴먼 사용자 에도 동일하게 적용됩니다. 이 원칙하에서 사용자에게는 직무 수행에 필요한 최소한의 액세스만 제공됩니다.
최소 권한의 원칙의 몇 가지 예시는 다음과 같습니다.
- 직무상 청구서를 처리해야 하는 직원이 회계 애플리케이션에서 해당 기능에만 접근할 수 있으며 매출채권이나 급여 처리 기능에는 접근할 수 없습니다.
- 영업 담당자에게 고객 데이터베이스 읽기/쓰기 권한은 주어지되 다운로드 및 복사 권한은 주어지지 않습니다.
- 정부 직원이 자신의 보안 허가 수준에서 접근할 수 있는 정보 및 직무와 유관한 정보에만 액세스할 수 있습니다(예: 식품의약국 직원은 국방 관련 정보에 접근할 수 없음).
- 소프트웨어 사용자 인터페이스 디자이너는 소스 코드에 접근할 수 없습니다.
최소 권한의 원칙은 내부 확산(횡적 이동)과 무단 액세스를 제한하고, 공격 표면을 최소화하고, 멀웨어 확산을 줄이는 데 효과적이라는 점에서 가장 효과적인 사이버 보안 방법론으로서 널리 인정받고 있습니다. 이 원칙은 보안의 3요소(기밀성, 무결성, 가용성)를 달성하기 위한 효과적인 전략이자, 제로 트러스트 보안 프레임워크의 기반이기도 합니다.
관리자가 부여하는 최소 권한의 원칙의 작동 방식
관리자가 부여하는 최소 권한의 원칙은 데이터, 네트워크, 애플리케이션 및 기타 리소스에 대한 액세스를 제한하고 모니터링하는 방식으로 작동합니다. 제로 트러스트 보안 환경에서 최소 권한의 원칙은 애플리케이션이 사용하는 IP(인터넷 프로토콜) 주소, 프로토콜, 포트(동적 포트를 사용하는 통신 및 협업 애플리케이션의 경우)에 관계없이 휴먼 및 논휴먼 사용자에게 부여된 구체적 액세스를 식별할 수 있게 해줍니다.
관리자가 부여하는 최소 권한의 원칙의 핵심 요소
최소 권한의 원칙은 사용자 아이덴티티 인증, 기기 보안 태세, 사용자와 애플리케이션 분할이라는 3가지 핵심 요소를 바탕으로 권한을 제어합니다.
사용자 아이덴티티 인증
최소 권한의 원칙을 실행하려면 먼저 휴먼 및 논휴먼 사용자의 아이덴티티를 검증해야 합니다.
기기 보안 태세
최소 권한의 원칙을 효과적으로 적용하려면 사용 패턴을 모니터링하여 침해된 휴먼 및 논휴먼 사용자를 찾아내고 차단해야 합니다.
사용자와 애플리케이션 세분화
최소 권한의 원칙은 제로 트러스트 네트워크 액세스 솔루션을 사용해 네트워크를 세분화하고 필요에 따라 액세스를 제한하여 무단 횡적 이동을 방지합니다.
관리자가 부여하는 최소 권한의 원칙 계정 유형
최소 권한의 원칙을 구현하려면 사용자 요구에 맞춰 서로 다른 권한 수준의 계정을 사용해야 합니다. 이러한 계정의 몇 가지 예시는 다음과 같습니다.
일반 계정
일반 계정은 크게 두 가지 유형으로 나뉩니다.
- 최소 권한 사용자 계정(LPU): 직무 수행에 필요한 최소한의 액세스만을 사용자에게 부여합니다. 이 수준의 계정은 대부분의 사용자에게 할당할 수 있습니다.
- 게스트 사용자 계정: 최소한의 액세스가 필요한 외부 사용자(외부 파트너사, 도급업체, 임시 근로자 등)에게 주어집니다. 일반적으로 LPU보다 권한이 더 적으며, 최소 권한의 원칙에 따라 액세스 권한이 더 이상 필요하지 않을 경우 즉시 비활성화해야 합니다.
특수 권한이 있는 계정
슈퍼 사용자 또는 관리자 계정이라고 불리는 특수 권한이 있는 계정은 최고 수준의 액세스 권한을 갖습니다.
주로 사용되는 특수 권한이 있는 계정은 다음과 같습니다.
- 애플리케이션 계정: 애플리케이션이 다른 애플리케이션에 액세스를 제공하거나, 데이터베이스에 액세스하거나, 일괄 작업이나 스크립트를 실행할 때 사용합니다.
- 도메인 관리자 계정: 도메인 내의 워크스테이션과 서버 전반에 대한 관리자 액세스 권한을 갖습니다.
- 도메인 서비스 또는 Active Directory 계정: 계정의 비밀번호 변경을 허용하고 리소스 관련 정보를 관리하고 저장할 권한을 갖습니다.
- 비상 계정(브레이크글라스/파이어콜 계정): 비상 상황 발생 시 관리자 액세스 권한을 보유한 일반 사용자가 시스템을 보호할 때 사용합니다.
- 로컬 관리자 계정: 로컬 호스트나 인스턴스에 대해서만 관리자 액세스를 제공합니다.
- 서비스 계정: 특수 권한 로컬 또는 도메인 계정이라고도 불리며, 애플리케이션이나 서비스가 운영체제와 상호작용하는 데 사용됩니다.
최소 권한의 원칙을 따를 경우 일반적으로는 관리자만 특수 권한이 있는 계정에 액세스할 수 있습니다. 이는 관리자가 가장 신뢰받는 주체이며, 업무 수행을 위해 높은 권한이 필요하기 때문입니다. 특수 권한이 있는 계정 보유자는 예컨대 다음과 같은 작업을 수행할 수 있습니다.
- 특수 권한이 있는 계정을 포함하는 타 사용자의 계정을 활성화 또는 비활성화
- 네트워크 설정 조정
- 애플리케이션 설치 및 업데이트
- 사용자 및 시스템 모니터링
- 데이터 삭제
서비스 계정
서비스 계정은 전용 계정이 필요한 논휴먼 사용자에게 할당됩니다. 먼저 최소 권한의 원칙에 따라 액세스 요건이 결정되며, 이후 액세스 수준은 승인된 작업을 실행하는 데 필요한 최소 수준으로 제한됩니다.
공유 계정
일반 계정이라고도 불리는 공유 계정은 특정 그룹에 속한 사용자들이 공유하는 계정입니다. 최소 권한의 원칙에 따르면 개별 사용자는 자신만의 계정을 사용하는 것이 바람직하므로, 이러한 공유 계정은 신중하게 사용해야 합니다.
관리자가 부여하는 최소 권한의 원칙 구현을 위한 3가지 모범 사례
- 모든 특수 권한이 있는 계정의 현황을 파악하고 관리합니다. 여기에는 사용자 및 로컬 계정, 애플리케이션 및 서비스 계정, 데이터베이스 계정, 클라우드 및 소셜 미디어 계정, SSH(보안 셸) 키, 기본 및 하드코딩된 비밀번호, 기타 특수 권한 자격 증명(파트너사나 벤더가 사용하는 자격 증명 등)이 포함됩니다. 또한 플랫폼, 디렉터리, 하드웨어 현황 또한 파악해야 합니다.
- 최종 사용자, 엔드포인트, 계정, 애플리케이션, 서비스, 시스템, 기기에 대해 최소 권한의 원칙을 적용합니다. 구체적인 방법은 다음과 같습니다.
- 포괄적 최소 권한의 원칙을 확립하여 특수 권한 아이덴티티와 계정을 모니터링하고 관리하는 방식 뿐만 아니라 계정(특히 특수 권한이 있는 계정)을 프로비저닝하고 디프로비저닝하는 방식을 통제합니다.
- 비밀번호 공유 금지
- 애플리케이션, 프로세스, 기기, 도구 및 기타 리소스에서 불필요한 권한을 제거
- 업무 분리 정책 실행
- 각 특수 권한이 있는 계정에 주어지는 권한을 필요에 따라 최소화
- 하드코딩된 자격 증명 삭제
- 엔드포인트와 서버에서 관리자 권한 삭제
- 강력한 비밀번호와 다단계 인증을 의무적으로 사용하도록 요구
- 특수 권한이 있는 계정을 제한적으로 부여
- 시스템과 네트워크를 최대한으로 세분화
- 상시적 권한은 필요할 때만 사용
관리자가 부여하는 최소 권한의 원칙이 중요한 이유
관리자가 부여하는 최소 권한의 원칙이 중요한 이유는 점점 확장되는 하이브리드 환경에서 사용성과 보안을 균형 있게 유지하는 한편, 성과를 촉진하고 인적 오류가 미치는 영향을 줄이면서 보안 문제를 해결하기에 적합한 원칙이기 때문입니다.
최소 권한의 원칙을 보안 전략의 기반으로 삼는 조직은 리소스와 데이터에 대한 무단 액세스로 인해 발생하는 피해는 물론, 데이터 유출, 랜섬웨어 공격 및 기타 악의적 행위로 인한 재무 및 평판상의 손실로부터 스스로를 보호할 수 있습니다.
최소 권한의 원칙이 중요한 또 다른 이유는 이 원칙을 통해 기업의 공격 표면을 줄일 수 있기 때문입니다. 이는 위험과 취약성을 최소화할 뿐만 아니라 IT팀과 보안팀의 귀중한 시간과 비용을 절약합니다. 또한 하위 계정을 탈취하여 주요 시스템과 민감한 데이터에 액세스하려고 시도하는 공격자를 차단하기 위해 해소해야 하는 위협 요소를 억제합니다.
아울러 최소 권한의 원칙을 구현하면 엔드포인트에 최소 권한을 적용하여 멀웨어 확산을 막을 수 있습니다. 즉, 멀웨어 공격이 상위 권한을 사용해서 액세스 권한을 확장하고 횡적 이동을 통해 다른 시스템을 감염시킬 수 없게 됩니다.
그뿐만 아니라 승인되지 않은 내부 사용자가 민감한 정보와 시스템에 액세스할 수 없도록 막아 전반적 데이터 보안을 강화하고 규제 컴플라이언스 요건을 충족하며 악의적 내부자 활동을 억제합니다.
관리자가 부여하는 최소 권한의 원칙의 이점
감사 대비
관리자가 부여하는 최소 권한의 원칙을 구현하여 갖춘 모니터링, 로그, 보고 기능을 통해 감사에 필요한 상당수의 정보를 얻을 수 있습니다. 이를 통해 감사 절차를 간소화하고 규제에 따른 보안 요건을 충족할 수 있습니다.
효과적인 데이터 분류
최소 권한의 원칙에 따라 네트워크 관리자는 개별 주체의 액세스 현황을 상시로 파악하고 있어야 하며 그에 따라 네트워크의 보안과 건전성이 향상됩니다.
가시성 향상
최소 권한의 원칙을 구현하려면 사용자의 활동에 대한 가시성을 강화해야 합니다. 이를 통해 사이버 공격과 악의적 내부자 활동을 더욱 적극적으로 탐지하고 억제할 수 있습니다.
데이터 보안 개선
보안 전략에 최소 권한의 원칙을 적용하면 개인이 접근할 수 있는 정보가 직무 수행에 필요한 최소 범위로 제한되므로 데이터 유출로 인해 심각한 문제가 발생하는 것을 막을 수 있습니다. 대다수 사용자에게는 최소한의 데이터만 필요하므로 침해로 인한 피해가 크게 줄어들 수 있는 것입니다.
IT 자산 보호 수준 향상
최소 권한의 원칙을 따르는 보안 체계는 단순히 사이버 범죄자를 차단하는 데 그치지 않습니다. PoLP는 사용자가 직무에 필요한 리소스에만 접근할 수 있게 제한함으로써 인적 오류가 데이터, 시스템, 네트워크, 각종 리소스에 미치는 부정적 영향을 최소화합니다.
공격 표면 최소화
최소 권한의 원칙은 사이버 범죄자의 활동 범위를 사용자가 접근할 수 있는 최소한의 리소스로 제한하여 범죄자가 민감한 데이터에 접근하거나 공격을 실행할 수 있는 경로를 줄임으로써 공격 표면을 최소화합니다.
운영 효율성 및 성과 향상
PoLP는 침해, 멀웨어 확산, 승인되지 않은 애플리케이션으로 인해 발생할 수 있는 시스템 가동 중지 시간을 줄여 운영 효율성과 성과를 향상시킵니다.
멀웨어 확산 억제
최소 권한의 원칙은 연결된 기기들을 공격하는 횡적 이동을 방지하여 네트워크상의 멀웨어 확산을 제한합니다. 또한 사용자가 승인되지 않은 애플리케이션을 설치하지 못하게 하며 권한을 분리합니다.
관리자가 부여하는 최소 권한의 원칙의 구현
조직은 다음과 같은 방법으로 관리자가 부여하는 최소 권한의 원칙을 구현할 수 있습니다.
특수 권한이 있는 계정 감사 실시
최소 권한의 원칙을 구현하려면 네트워크, 시스템, 소프트웨어 애플리케이션, 프로세스, 프로그램의 아이덴티티와 권한을 검토하는 등, 특수 권한이 있는 계정을 정기적으로 점검하는 것이 중요합니다.
불필요한 리소스 액세스 비활성화
최소 권한의 원칙에 따라 보안 프로그램에서 기본 권한을 비활성화한 뒤 실질적으로 필요한 권한만을 복구해야 합니다.
개별 사례에 따라 상위 권한 부여
최소 권한의 원칙을 효과적으로 구현하려면 상황에 따라 사용자에게 상위 권한을 부여해야 하며 액세스를 한시적으로 허용해야 합니다.
미사용 계정 삭제
사용자가 리소스 전체나 일부에 더 이상 액세스할 필요가 없다면 최소 권한의 원칙에 따라 그 권한을 즉시 해제해야 하며, 이를 위한 시스템을 갖춰 권한 사용을 정기적으로 평가해 최적의 액세스 제어를 구현해야 합니다.
엔드포인트 모니터링
엔드포인트 현황을 파악 및 관리할 뿐만 아니라 엔드포인트에서의 모든 활동을 지속적으로 모니터링, 로깅, 감사하여 최소 권한의 원칙을 구현합니다.
정기적 로그 점검
최소 권한의 원칙을 위해서는 권한 사용을 모니터링하고 관련 로그를 남겨야 합니다. 이를 위해서는 로그를 정해진 일정에 따라 정기적으로 점검해야 합니다. 로그를 점검하지 않으면 무단 액세스를 인지하지 못할 수 있습니다.
계정 및 권한 재평가
최소 권한의 원칙을 가장 효과적으로 구현하려면 액세스 권한을 월 단위로, 또는 적어도 분기 단위로 검토해야 합니다. 이 과정에서 찾아낸 과도한 권한은 즉시 회수해야 하며, 휴면 계정 또한 전부 재평가하여 삭제 여부를 판단해야 합니다.
사용자 분리
최소 권한의 원칙을 구현할 때는 사용자들을 역할과 위치에 따라 서로 다른 액세스 수준 및 하위 그룹으로 분류해야 합니다.
사용자 액세스를 최소 권한으로 제한
최소 권한의 원칙을 구현할 때는 기본적으로 최소한의 권한만을 부여해야 합니다. 사용자가 직무를 수행할 수 있도록 그 이상의 권한을 부여했다면 그 권한이 더는 필요하지 않을 경우 즉시 해당 권한을 회수하여 권한이 불필요하게 확장되지 않게 해야 합니다.
한시적 권한 부여
사용자가 작업을 수행하는 데 필요한 시간 동안만 권한을 부여하여 최소 권한의 원칙을 실행하는 것을 말합니다.
알아야 할 필요성의 원칙과 최소 권한의 원칙이란?
‘알아야 할 필요성’과 관리자가 부여하는 ‘최소 권한’을 개념적으로 혼동하는 경우가 종종 있습니다. 이 두 원칙의 가장 큰 차이점은 적용 범위에 있습니다. 간단히 말해서, 알아야 할 필요성 원칙은 사용자가 특정 리소스에 액세스해야 할 정당한 이유가 있는지를 판단하는 것이고, 최소 권한의 원칙은 역할이나 직무에 따라 구체적인 권한을 부여하는 적절한 액세스 제어를 구현하는 것입니다.
최소 권한의 원칙은 기술적 액세스 제어와 사용자가 수행할 수 있는 동작에 초점을 맞춥니다. 예를 들어 특정 폴더에 대한 읽기 액세스 권한을 얻은 사용자는 해당 폴더에서 파일을 읽을 수만 있으며 그 외의 어떤 작업(파일 편집, 출력, 공유 등)도 수행할 수 없습니다.
알아야 할 필요성의 원칙은 어떤 사용자가 파일의 기밀 정보를 확인할 수 있는지에 관한 더욱 포괄적 주제를 다룹니다. 알아야 할 필요성의 원칙을 따를 경우, 최소 권한의 원칙을 따를 때와는 달리 액세스 권한이 꼭 역할이나 직무에 따라 결정되는 것은 아닙니다.
알아야 할 필요성의 원칙을 따르면 액세스 권한은 보안 인가 등을 거치더라도 자동으로 주어지지 않으며 직무 수행에 필요할 때만 주어집니다. 이에 따라 일반적으로는 비즈니스에 필요할 경우 특정 그룹이나 개인이 해당 정보에 접근할 권한을 갖게 되며, 그 필요성은 시스템 소유자, 요청인의 관리자, 프로젝트 지휘자 또는 다른 권한 주체가 판단합니다.
알아야 할 필요성의 원칙과 최소 권한의 원칙의 차이점
최소 권한의 원칙과 알아야 할 필요성의 원칙의 차이점은 다음과 같습니다.
- 액세스 제어— 최소 권한의 원칙은 흔히 역할 기반 액세스 제어를 통해 적용되는 반면, 알아야 할 필요성의 원칙은 주로 강제적 액세스 제어(MAC), 임의적 액세스 제어(DAC)와 같이 더욱 세밀한 액세스 제어를 통해 적용됩니다.
- 사이버 공격 예방—최소 권한의 원칙은 데이터 유출, 랜섬웨어, 멀웨어와 같은 외부 위협에서 비롯된 사이버 공격의 위험을 줄이는 데 핵심적인 역할을 합니다. 알아야 할 필요성의 원칙은 내부자 위협 위험을 줄이는 데 더욱 중점을 둡니다.
- 중점— 알아야 할 필요성의 원칙은 주로 민감한 정보를 보호하는 데 중점을 둡니다. 최소 권한의 원칙은 일반적으로 앱, 엔드포인트, 시스템에서의 권한과 액세스를 제어하는 데 적용됩니다.
알아야 할 필요성의 원칙과 최소 권한의 원칙을 함께 적용한 사례
영업 관리자가 영업 부사장에게 제출할 보고서를 작성하기 위해 고객 데이터에 액세스할 권리를 요청합니다. 영업 관리자는 해당 정보에 접근해야 하는 정당한 이유, 즉 알아야 할 필요성이 있습니다. 이후 최소 권한의 원칙에 따라 영업 관리자가 주어진 액세스 권한을 통해 수행할 수 있는 작업이 결정됩니다. 다시 말해 영업 관리자가 읽기 전용, 복사, 출력, 편집, 공유 등의 작업 중 무엇을 수행할 수 있는지가 정해지는 것입니다.
관리자가 부여하는 최소 권한의 원칙 관련 용어와 개념
권한 크리프
권한 크리프는 시간이 지나면서 사용자에게 추가적인 액세스 권한이 주어지는 현상을 가리킵니다. 주로 사용자가 부서를 옮기거나 새로운 업무를 맡을 때 새로운 액세스 권한은 부여받지만, 더 이상 필요하지 않은 기존 권한은 회수되지 않을 때 발생합니다. 그 결과 실제 필요한 것보다 훨씬 많은 액세스 권한이 누적되거나 더 많은 권한을 가지게 됩니다.
관리자가 부여하는 최소 권한의 원칙을 적용하면 액세스 권한을 정기적으로 검토하고 업데이트하여 권한 크리프를 방지할 수 있습니다.
한시적 권한 부여
한시적 권한 부여란 액세스 권한이 정확히 필요한 시점부터 해당 권한을 부여하고, 관련 작업이 완료됨과 동시에 해당 권한을 회수하는 방침을 말합니다. 이를 통해 권한 수준을 단기적으로만 확대할 수 있습니다.
권한 분리
권한 분리란 시스템 기능을 서로 다른 부분으로 분할하는 것을 말합니다. 이 경우 사용자는 필요에 따라 시스템의 각 부분에 대한 액세스 권한을 얻게 되므로 공격 표면의 면적과 노출도가 줄어듭니다.
권한 상승
권한 상승은 공격자가 상위 권한에 무단으로 접근하는 사이버 공격의 한 유형입니다. 최소 권한의 원칙을 엔드포인트에 적용하면 공격자가 상위 권한을 사용하여 액세스 권한을 확장하고 횡적 이동을 통해 악성 코드를 실행하거나 악의적 활동을 벌일 수 없으므로 권한 상승 공격을 차단할 수 있습니다.
제로 트러스트 보안
제로 트러스트 보안은 보안 경계 내외부에 존재하는 그 어떤 기기, 사용자, 워크로드, 시스템도 기본적으로 신뢰해서는 안 된다는 개념에 기반합니다. 다른 보안 모델에서는 모든 네트워크 내부자는 승인을 획득했고 정당성을 검증받았기 때문에 신뢰할 수 있다고 암묵적으로 가정해 왔습니다. 하지만 제로 트러스트 모델에서는 내외부의 모든 액세스 요청을 평가하고 승인한 뒤 액세스 권한을 부여하게 됩니다.
제로 트러스트 네트워크 액세스(ZTNA)
소프트웨어 정의 경계(SDP)라고도 하는 ZTNA는 중요한 자산이 있는 마이크로세그먼트별로 액세스를 제어합니다. 이후 ZTNA는 최소 권한의 원칙을 적용하여 악의적이거나 허가받지 않은 횡적 이동을 식별하고 차단합니다.
최대의 효과를 창출하는 관리자가 부여하는 최소 권한의 원칙
관리자가 부여하는 최소 권한의 원칙을 효과적으로 구현하고 시행하면 튼튼한 보안을 구축할 수 있으며, 사이버 보안 및 인적 오류와 관련된 보안 통제를 개선하는 동시에 생산성을 높이고 성과를 증대할 수 있습니다.
최소 권한의 원칙을 적용하면 검증된 수많은 이점을 누릴 수 있습니다. 모든 규모와 분야의 조직은 최소 권한 원칙을 보안 전략의 핵심 원칙으로 채택하는 것이 바람직합니다.
관리자가 부여하는 최소 권한의 원칙 FAQ
최소 권한의 원칙이란 무엇인가요?
관리자가 부여하는 최소 권한의 원칙이란 사이버 보안 방법론이자 제로 트러스트 사이버 보안 모델의 기본 원칙입니다. 최소 권한의 원칙은 유럽 연합의 일반데이터보호규정(GDPR), 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA), 사베인스-옥슬리법(SOX), 지불 카드 산업 보안 표준 협의회의 지불 카드 산업 데이터 보안 표준(PCI DSS)을 비롯한 수많은 법률과 표준에서 요구하는 사항입니다.
업무 분리와 최소 권한의 원칙의 차이점은 무엇인가요?
최소 권한의 원칙은 주어진 업무를 수행하는 데 필요한 최소한의 권한만을 사용자에게 제공한다는 방침입니다. 업무 분리에도 이러한 액세스 제한이 존재하지만, 주된 목적은 업무와 액세스를 여러 직원에게 분산시키는 것입니다.
최소 권한의 원칙의 목표는 민감한 데이터가 노출되는 것을 제한하는 것이라면, 업무 분리의 목표는 개인이 피해를 입히거나 범죄를 저지르는 것을 방지하기 위해 액세스를 제한하는 것입니다. 예를 들어 최소 권한의 원칙은 직무상 필요한 사람만 회계 시스템에 접근할 수 있게 합니다. 반면 업무 분리는 한 명의 사용자가 지급 승인과 지급 실행을 모두 할 수 없도록 회계 시스템에 대한 액세스를 제한합니다. 이 경우 한 사람이 지급을 승인하면 다른 사람이 요청을 검토하여 정당성을 확인한 뒤 지급을 실행하게 됩니다.
최소 권한의 원칙을 구현할 때 주로 어떤 어려움이 발생하나요?
최소 권한의 원칙은 효과적이고 중요한 사이버 보안 전략이자 실천 방식이지만 적절하게 구현하지 않거나 부실하게 관리할 경우에는 문제가 발생할 수 있습니다. 최소 권한의 원칙과 관련하여 흔히 발생하는 몇 가지 문제점은 다음과 같습니다.
과소한 액세스
관리자가 액세스 권한을 최적 수준으로 제한하기가 어려울 수 있습니다. 액세스 권한이 너무 제한적이면 직원들이 불만을 느끼고 보안 제어를 우회할 방법을 찾게 됩니다. 또한 이 경우 사용자가 필요한 리소스에 접근하기 위해 더 많은 과정을 거쳐야 하므로 생산성이 저하될 수 있습니다.
과도한 권한
반대로 과도한 권한을 부여하면 민감한 데이터가 노출될 수 있습니다. 액세스의 필요성을 정확히 판단하기 어려울 경우, 관리자는 사용자들의 액세스 요청으로 인한 지원 데스크의 부담을 덜고 사용자 불만을 최소화하기 위해서 일단 액세스를 부여한 뒤 나중에 필요에 따라 회수하는 경우가 많습니다.
그뿐만 아니라 과도한 권한은 단순히 모든 사용자에게 동일한 액세스 권한을 부여할 때도 문제가 됩니다. 이러한 세분화되지 않은 액세스 관리는 외부 위협 뿐만 아니라 내부자 위협에 노출되는 공격 표면을 증가시킵니다.
과도한 간섭과 병목 현상
사용자의 액세스를 제한하면 하위 사용자가 필요한 리소스에 액세스할 때 상위 사용자의 허락을 받아야 하므로 과도한 간섭이 발생하고 그에 따른 불만이 발생할 수 있습니다. 또한 사용자가 업무 수행에 필요한 액세스를 획득하는 데 시간이 걸리므로 병목 현상이 발생할 수 있습니다.
영구적 액세스
액세스 관리 프로세스가 미흡하면 액세스 권한을 적절하게 검토하고 업데이트하지 못할 수 있습니다. 이 경우 사용자에게 한번 부여된 액세스 권한은 영구적으로 유지됩니다. 그 결과 예전에 획득했으나 더 이상 필요하지 않은 액세스가 남아 있어 과다 프로비저닝이 발생합니다. 반대로 더 많은 권한이 필요하게 된 사용자는 과도한 제한으로 인해 문제를 겪을 수 있습니다.
