PKI 배포 및 관리를 위해 극복해야 할 과제
미니애폴리스, 미네소타--(뉴스와이어)--글로벌 정보보안 기업 엔트러스트(Entrust)가 ‘2021 글로벌 PKI 및 IoT 동향 보고서’를 29일 발표했다.
이 보고서에 따르면 업무 형태 변화로 기업의 공개키 기반 구조(PKI)와 디지털 인증서 사용률은 사상 최고치를 기록했지만, PKI 관리 역량은 여전히 부족한 것으로 나타났다. 또 불분명한 책임 소재, 리소스 및 인적 기술 부족이 PKI 배포·관리에서 먼저 해결돼야 할 과제로 꼽혔다.
이번 보고서는 한국을 포함 전 세계 17개 국가와 2500여명의 IT 보안 전문가 대상 설문 결과를 바탕으로 발간됐다. 엔트러스트 후원으로 시장 조사 기관 포네몬 인스티튜트(Ponemon Institute)가 조사 및 연구를 진행했다.
PKI는 △클라우드 △모바일 기기 △본인 인증 △사물인터넷(IoT) 등 주요 디지털 이니셔티브에 강력한 보안을 제공하며, IT 인프라 핵심으로 자리 잡았다. 글로벌 팬데믹 상황에서 PKI는 업무 형태 변화에 맞춘 기술 기반으로 디지털 전환에 결정적 역할을 하고 있다.
◇IoT·클라우드가 PKI 기반 애플리케이션 확산 기여
PKI를 사용한 애플리케이션 증가에 가장 큰 영향을 끼친 트렌드는 IoT로 나타났다. 전체 응답자의 47%가 IoT를 선택했으며, 클라우드 서비스(44%), 모바일 (40%)이 뒤를 이었다. 한국 IT 보안 전문가들은 클라우드 서비스(45%), IoT(43%), 모바일 애플리케이션(41%) 순으로 중요도를 꼽았다.
PKI 배포 및 관리를 어렵게 하는 요인으로 응답자의 71%는 불분명한 책임 소재를 꼽았다. 이는 5년간 크게 달라지지 않은 사항으로, 명확한 오너십 이슈는 PKI 관리를 먼저 해결해야 할 사안이다. 충분치 않은 리소스와 인적 기술은 각각 51%, 46%를 기록했다. 애플리케이션에서 PKI 활용의 중대 과제로는 기존 PKI가 신규 애플리케이션을 지원하지 못하는 점(55%)과 인적 기술 부족(46%)이 꼽혔다. 특히 한국은 인적 기술 부족이 69%로 높게 나타났다.
가장 큰 변화와 불확실성에 당면한 분야로 IoT와 새로운 개념의 애플리케이션이 두드러졌다. 이는 전체 설문 응답자 가운데 41%가 선택했고, 외부 의무 규정 및 표준(37%), PKI 기술 변화(27%)가 뒤를 이었다.
래리 포네몬(Larry Ponemon) 포네몬 인스티튜트 창립자는 “몇 년간 PKI 도입은 기하급수적으로 늘어왔으며, 그만큼 다양한 당면 과제도 생겨나고 있다”며 "재택근무, 클라우드, IoT로 업무 환경이 더 분산된 상황에서 기업들은 가시성·자동화·중앙화한 제어 역량을 확보해야 한다”고 말했다.
◇머신 ID 증가
PKI는 일반 사용자용 웹사이트·서비스의 TLS/SSL 인증에 가장 많이 사용됐다(81%). 프라이빗 네트워크 및 VPN 애플리케이션은 2020년 대비 60% 늘어나 두 번째로 많이 사용됐으며(67%), 이메일 보안이 지난해 51%에서 올해 55%로 상승했다. 지난해는 퍼블릭 클라우드 애플리케이션과 기업 사용자 인증이 2, 3위를 차지했다. 올해 순위 바뀜은 재택근무 확산과 분산된 IT 업무 환경에서의 보안을 위해 주력 분야가 변했음을 뜻한다.
인증 기관이 발급하는 평균 인증 건수도 2020년 5만6192건에서 올해는 5만8639건으로 4.3% 늘었다. 특히 머신 ID(디바이스 및 워크플로)는 2019년 대비 50%나 신장했다. 머신 ID 증가는 IoT, 클라우드 서비스, 신규 애플리케이션 사용량 증대에 따른 것으로 머신 ID가 현재 인간 ID 개수를 추월했다.
인증서 수가 증가할수록 관리는 더 중요해진다. 하지만 응답자 가운데 20%는 수작업 형태의 인증서 폐지 목록을 사용한다고 답했으며, 32%는 인증서 폐지 기법이 없다고 밝혔다. 기업들은 여전히 외부 공격에 취약하고, 핵심 시스템 정지로 업무 차질과 비용 발생의 위험을 안고 있다.
존 메츠거(John Metzger) 엔트러스트 제품 마케팅 및 디지털 보안 담당 부사장은 “최근 원격·하이브리드 근무 인력에 대한 보안 강화와 IoT 및 클라우드 서비스의 꾸준한 성장으로 PKI 수요는 계속 늘고 있다“며 ”그러나 PKI 배포 및 관리에 필요한 역량과 자원은 부족해 기업들은 전략을 마련해야 한다. 이를 위해 기술 역량은 물론 다양한 경험과 전문성을 갖춘 파트너가 필요할 것”이라고 밝혔다.
2021 글로벌 PKI 및 IoT 동향 보고서 전문은 엔트러스트 공식 웹사이트에서 무료로 다운로드할 수 있다.