계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

IAM(Identity Access Management) 보안이란?

IAM(ID 및 액세스 관리)은 디지털 ID를 소유한 사용자와 엔터티에게 네트워크, 데이터베이스 등의 기업 리소스에 액세스할 수 있는 적절한 수준의 권한을 제공하는 방식입니다. IAM 시스템을 통해 사용자 역할 및 액세스 권한을 정의하고 관리할 수 있습니다.

IAM 솔루션의 용도

IT 관리자는 IAM 솔루션을 통해 사용자의 디지털 ID와 관련 액세스 권한을 효율적이며 안전하게 관리할 수 있습니다. 즉, 관리자는 IAM 기능을 활용하여 사용자 역할을 설정/수정하고, 사용자 활동을 추적/보고할 수 있으며 기업/규제 준수 정책을 적용해 데이터 보안과 프라이버시를 보호할 수 있습니다.

IAM 솔루션에는 NAC(Network Access Control) 솔루션을 비롯한 여러 프로세스와 도구 집합이 포함될 수 있습니다. IT 관리자는 NAC 솔루션을 사용하여 정책 라이프사이클 관리, 게스트 네트워킹 액세스, 보안 태세 확인 등의 기능을 통해 네트워크 액세스를 제어합니다. IAM 솔루션은 클라우드 서비스로 제공할 수도 있고 온프레미스에 구축할 수도 있습니다. 그리고 온프레미스와 클라우드 둘 다에서 실행되는 하이브리드 솔루션일 수도 있습니다. 대다수 기업은 더 쉽게 구현/업데이트/관리할 수 있는 IAM용 클라우드 기반 애플리케이션을 선택합니다.

디지털 ID란?

ID 및 액세스 관리에서 사용되는 중앙 정보 소스인 디지털 ID는 온라인이나 엔터프라이즈 네트워크의 리소스 액세스 권한을 받으려는 사용자에게 필요한 인증서를 지칭합니다. IAM 솔루션은 이러한 인증서(인증 단계)가 애플리케이션 액세스 권한을 요청하는 사용자나 엔터티와 일치하는지를 대개 레이어 7 레벨에서 확인합니다. 이러한 인증 단계를 통해 사용자의 신원을 확인할 수 있습니다.

일반적으로 사용되는 인증 단계

IAM용으로 가장 많이 사용되는 세 가지 인증 단계는 암호 등 사용자가 알고 있는 정보, 스마트폰 등 사용자가 소유하고 있는 사물, 그리고 지문 등 사용자의 고유한 신체적 특성입니다. 일반적으로는 사용자가 이러한 인증 단계 조합을 입력하면 인증자 애플리케이션이 사용자의 신원을 확인하여 해당 사용자에게 보기/사용 권한이 있는 보호된 리소스 액세스 권한을 부여합니다.

대다수 기업은 MFA(다단계 인증)의 기본적인 형태인 2FA(이중 인증)를 사용합니다. 2FA 프로세스에서는 사용자가 사용자 이름과 암호를 입력한 다음 2FA 애플리케이션에서 생성된 코드를 입력하거나, 스마트폰 등의 디바이스로 전송된 알림에 응답해야 합니다.

IAM의 이점

IT 보안 개선

IAM 시스템을 사용하는 기업은 전사적으로 동일한 보안 정책을 적용할 수 있습니다. 그리고 NAC 솔루션 등의 도구를 사용하면 각 리소스에 액세스할 수 있는 사용자와 리소스 액세스 가능 시기를 제한할 수 있습니다. 따라서 권한이 없는 대상자가 민감한 데이터를 보거나 실수로/의도적으로 오용할 가능성을 크게 줄일 수 있습니다.

또한 SSO(Single Sign-On), MFA 등의 IAM 방법을 사용하면 사용자 인증서의 손상이나 남용 위험도 줄일 수 있습니다. 사용자가 여러 암호를 생성하여 추적할 필요가 없기 때문입니다. 그리고 본인 확인 질문, 일회용 암호, 지문 등의 신체 부위와 같이 본인임을 입증하는 '증거'를 제시하여 권한을 부여받은 사용자만 보호된 리소스에 액세스할 수 있으므로 악의적인 사용자가 중요 리소스 액세스 권한을 확보할 가능성도 낮아집니다.


더욱 효율적인 규정 준수

IAM 시스템을 사용하는 조직은 데이터 보안 및 프라이버시와 관련된 대다수 규정 준수 의무 요구 사항을 충족할 수 있습니다. 예를 들어 IAM을 사용하면 HIPAA(Health Insurance Portability and Accountability Act)를 더욱 쉽게 준수할 수 있습니다. HIPAA는 보호 대상 건강 정보를 취급하는 조직이 건강 관련 데이터를 대상으로 보안 전자 액세스 방식을 구현해야 함을 규정하는 법률입니다.

기업에서는 SSO, MFA, RBAC(역할 기반 액세스 제어), "최소 권한"(소프트웨어 애플리케이션 등의 엔터티와 사용자에게 작업을 수행하는 데 필요한 최소한의 액세스 권한만 제공하는 방식) 등의 IAM 방법을 사용해 HIPAA 요건을 충족할 수 있습니다.

SOX(Sarbanes-Oxley Act)를 준수해야 하는 금융 서비스 기관에서도 IAM은 매우 유용합니다. SOX 404조에 따라 기업은 재무 보고서를 준비하고 해당 보고서의 금융 데이터 무결성을 보호하기 위해 적절한 내부 통제 방식을 구현/테스트하고 문서로 작성해야 합니다. IAM 도구와 시스템을 사용하는 기업은 SoD(직무 분리) 정책 적용 등의 다양한 방식을 통해 SOX 요구 사항을 준수할 수 있습니다.


직원 생산성 개선

SSO, MFA, RBAC 등의 보안 조치를 활용하는 기업은 보안을 강화하는 동시에 작업자의 생산성을 저해하는 장애 요인을 해소할 수 있습니다. 직원은 업무 위치에 관계없이 업무를 수행하는 데 필요한 리소스에 빠르게 액세스할 수 있습니다. 또한 IAM 사용 시에는 철저한 보안이 유지되는 환경에서 직원들이 더욱 안심하고 업무를 처리할 수 있습니다.

자동 사용자 프로비저닝을 지원하는 IAM 시스템을 사용하는 경우에는 직원들이 필요할 때 쉽게 다양한 리소스 액세스 권한을 요청하여 권한을 부여받을 수 있습니다. 따라서 IT 부서의 부담을 줄이는 동시에 IT 문제로 인해 직원 생산성이 정체되는 현상을 방지할 수 있습니다.


IT 비용 절감

IAM 솔루션은 ID, 인증, 권한 부여 관리와 관련된 대다수 작업을 자동화/표준화할 수 있습니다. 그러므로 IT 관리자는 사업 과정에서 더 중요한 작업에 주력할 수 있습니다. 또한 현재 대다수 IAM 서비스는 클라우드를 기반으로 제공되므로 IAM용 온프레미스 인프라 구매/구현/유지 보수 작업을 크게 줄이거나 전혀 수행하지 않아도 됩니다.

IAM 기능

자산 액세스 허용/차단

IAM 시스템은 보호 대상 데이터와 애플리케이션에 대한 액세스를 허용하거나 차단할 수 있습니다. 정교한 IAM 솔루션을 사용하는 기업은 권한을 더욱 세부적으로 제어할 수 있습니다. 예를 들어 특정 사용자가 서비스에 액세스할 수 있는 시간과 위치 관련 조건을 설정할 수 있습니다.


플랫폼 액세스 제한

조직에서는 IAM 솔루션을 사용해 제품과 서비스 개발/준비/테스트에 사용되는 플랫폼에 액세스할 수 있는 사용자를 제한할 수 있습니다.


민감한 데이터 전송 차단

대다수 기업은 데이터 보안을 강화하기 위해 IAM을 사용합니다. 즉, 데이터를 생성/변경/삭제/전송할 수 있는 사용자와 관련하여 엄격한 권한을 설정합니다. 예를 들어 RBAC를 적용하면 임시직 직원이 회사 시스템 외부에서 데이터를 보내고 받지 못하도록 할 수 있습니다.


보고 기능 제공

조직은 IAM 시스템에서 제공하는 보고서를 통해 데이터 보안 및 프라이버스 관련 규정을 준수함을 증명할 수 있습니다. 기업은 이러한 보고서의 인사이트를 참조하여 보안 프로세스를 개선하고 위험을 줄일 수 있습니다. 또한 작업자가 업무를 가장 생산적으로 처리하려면 필요한 리소스를 더욱 명확하게 파악할 수 있습니다.

IAM 도구 및 방법

다단계 인증

MFA 사용 시 사용자는 여러 인증 단계에서 정보를 제공하여 신원을 확인해야 합니다. 기업에서는 사용자 이름과 암호 외에 보통 TOTP(시간 제한식 일회용 암호) 방법을 사용합니다. 이 경우 사용자는 SMS, 전화 통화, 이메일 등을 통해 전송된 임시 암호를 입력해야 합니다. 그리고 사용자가 지문, 얼굴 스캔 등 신원을 증명하는 생체 인식 인증 정보(신체적 특성)를 제공해야 하는 MFA 시스템도 있습니다.


SSO(Single Sign-On)

SSO는 기업에서 사용자 신원을 확인하기 위해 흔히 사용되는 식별 시스템입니다. SSO를 사용하는 경우 권한이 부여된 사용자는 인증서 집합 하나(사용자 이름 및 암호)를 사용해 여러 SaaS 애플리케이션과 웹 사이트에 안전하게 로그인할 수 있습니다. 즉, SSO는 자동화된 MFA 버전이라 할 수 있습니다. SSO 시스템에서는 MFA로 사용자를 인증한 다음 소프트웨어 토큰을 사용해 여러 애플리케이션과 인증 정보를 공유합니다. 외부 웹 사이트와 플랫폼 등의 지정된 자산이나 위치 액세스를 차단할 때도 SSO를 사용할 수 있습니다.

IAM에서 SSO를 사용하는 경우 최종 사용자가 로그인 프로세스를 더욱 원활하게 진행할 수 있을 뿐 아니라, IT 관리자도 권한 설정/사용자 액세스 규제/사용자 프로비저닝 및 프로비저닝 해제를 쉽게 처리할 수 있습니다.


연합

연합을 사용하는 경우 암호 없이도 SSO를 진행할 수 있습니다. 연합 서버는 SAML(Security Assertion Markup Language) 또는 WS-Federation과 같은 표준 ID 프로토콜을 사용해 신뢰 관계를 설정한 애플리케이션이나 시스템에 토큰(ID 데이터)을 제공합니다. 이 신뢰 관계로 인해 사용자는 다시 인증할 필요 없이 연결된 도메인 간을 자유롭게 이동할 수 있습니다.


RBAC 및 제로 트러스트 

대다수 대기업은 RBAC를 사용합니다. RBAC란 직원의 조직 내 역할과 담당 업무에 따라 네트워크, 민감한 데이터, 중요 애플리케이션 액세스를 제한하는 방법입니다. RBAC는 액세스 거버넌스라고도 합니다. RBAC에서는 최종 사용자, 관리자, 타사 계약업체 등의 역할을 정의할 수 있습니다. 역할은 사용자의 권한, 위치, 담당 업무, 업무 역량 등을 기준으로 정의할 수 있습니다. 여러 역할을 마케팅, 영업 등의 그룹에 추가할 수도 있습니다. 그러면 조직 내에서 담당 업무가 비슷하며 자주 협업을 하는 사용자들이 같은 자산에 액세스할 수 있습니다.

RBAC의 일환으로 제로 트러스트 보안 프레임워크(작업용 자산 액세스를 요청하는 모든 사용자를 대상으로 엄격한 액세스 제어를 지속적으로 적용하는 프레임워크)를 적용하는 기업은 무단 액세스를 더욱 철저하게 방지할 수 있으며, 보안 침해를 억제하고 공격자의 네트워크 전체 측면 이동 위험도 줄일 수 있습니다.

IAM 구현

현재 및 향후의 IAM 관련 요구 고려

기업 리소스에 대한 사용자 액세스 관리용 기본 기능을 포함하는 IAM 솔루션은 즉시 쉽게 설정할 수 있습니다. 하지만 복잡한 대기업의 경우에는 고급 솔루션을 사용하거나 여러 시스템/도구를 함께 사용해야 할 수 있습니다.

IAM 시스템에 투자하기 전에 현재 업무상의 요구와 향후 예상되는 요구를 철저하게 고려해야 합니다. IT 인프라의 요구는 물론 솔루션 자체의 기능도 고려해 보아야 합니다. 이때 확인해야 하는 두 가지 중요 사항은 솔루션을 쉽게 유지 보수할 수 있을지 여부와 기업에서 애플리케이션/사용자를 계속 추가함에 따라 변화하는 요구를 충족하도록 솔루션을 확장할 수 있을지 여부입니다.


호환성 및 규정 준수 확인

IAM 솔루션에 투자를 하기 전에 솔루션이 현재 운영 체제, 타사 애플리케이션 및 웹 서버와 호환되는지 확인해야 합니다. 놓치는 부분이 없도록 IAM과 통합해야 하는 모든 애플리케이션의 목록을 작성할 수도 있습니다.

그리고 구현하려는 IAM 시스템이 적용 가능한 지역/국가의 규제 관련 요구 사항을 준수하는지도 확인합니다. IAM 솔루션을 통해 규정을 더 쉽게 준수할 수 있어야 하며, 기업의 위험 발생 가능성이 높아져서는 안 됩니다.


변경 관리

새로운 사용자 인증/권한 부여 방식으로 전환하려면 변경 관리를 수행해야 할 수 있습니다. 그러므로 전체 조직에서 새 IAM 솔루션을 구현하기 전에 경리부 등의 기업 내 특정 부서에서 솔루션을 먼저 구현해 보는 것이 좋을 수도 있습니다.

IAM은 회사 IT 리소스에 액세스해야 하는 모든 사람과 사물에 적용된다는 점을 기억해야 합니다. 새 IAM 도구와 프로세스 도입률을 높일려면 먼저 모든 이해관계자의 승인을 받아야 합니다.


주요 메트릭 설정 및 추적

IAM 솔루션을 구현한 후에는 솔루션의 효율성을 추적하여 투자한 시스템이 기대한 수준을 충족하는 성능을 제공하는지를 확인할 수 있습니다. 시스템을 가동한 후 신규 사용자 프로비저닝에 걸리는 시간, 암호 재설정 횟수, SoD 위반 가능성 횟수 등을 추적하여 정기적으로 보고하는 것이 좋습니다.


엔드포인트 또는 디바이스 고려

프라이빗 IT 인프라가 포함된 복잡한 네트워크나 IoT(Internet of Things) 및 OT(운영 기술) 환경에서는 IT 자산에 대한 사용자 액세스를 관리하는 데 IAM 시스템만 사용하면 보안상 위험해집니다. 즉, 기업이 봇넷 공격의 위험에 노출될 수 있습니다.

NAC 솔루션을 사용하면 이러한 환경에서 보안을 강화할 수 있습니다. 예를 들어 이 솔루션은 디바이스 카테고리용으로 정의된 프로파일링 및 액세스 정책을 적용할 수 있습니다. 또한 별도의 관리자 확인 없이도 규정 미준수 컴퓨터를 차단/격리/복구하는 보안 정책을 적용하여 네트워크 위협을 완화할 수 있습니다.