IAM(Identity Access Management) 보안이란?

IAM 시스템을 사용하는 기업은 전사적으로 동일한 보안 정책을 적용할 수 있습니다. 그리고 NAC 솔루션 등의 도구를 사용하면 각 리소스에 액세스할 수 있는 사용자와 리소스 액세스 가능 시기를 제한할 수 있습니다. 따라서 권한이 없는 대상자가 민감한 데이터를 보거나 실수로/의도적으로 오용할 가능성을 크게 줄일 수 있습니다.

또한 SSO(Single Sign-On), MFA 등의 IAM 방법을 사용하면 사용자 인증서의 손상이나 남용 위험도 줄일 수 있습니다. 사용자가 여러 암호를 생성하여 추적할 필요가 없기 때문입니다. 그리고 본인 확인 질문, 일회용 암호, 지문 등의 신체 부위와 같이 본인임을 입증하는 '증거'를 제시하여 권한을 부여받은 사용자만 보호된 리소스에 액세스할 수 있으므로 악의적인 사용자가 중요 리소스 액세스 권한을 확보할 가능성도 낮아집니다.

IAM 시스템을 사용하는 조직은 데이터 보안 및 프라이버시와 관련된 대다수 규정 준수 의무 요구 사항을 충족할 수 있습니다. 예를 들어 IAM을 사용하면 HIPAA(Health Insurance Portability and Accountability Act)를 더욱 쉽게 준수할 수 있습니다. HIPAA는 보호 대상 건강 정보를 취급하는 조직이 건강 관련 데이터를 대상으로 보안 전자 액세스 방식을 구현해야 함을 규정하는 법률입니다.

기업에서는 SSO, MFA, RBAC(역할 기반 액세스 제어), "최소 권한"(소프트웨어 애플리케이션 등의 엔터티와 사용자에게 작업을 수행하는 데 필요한 최소한의 액세스 권한만 제공하는 방식) 등의 IAM 방법을 사용해 HIPAA 요건을 충족할 수 있습니다.

SOX(Sarbanes-Oxley Act)를 준수해야 하는 금융 서비스 기관에서도 IAM은 매우 유용합니다. SOX 404조에 따라 기업은 재무 보고서를 준비하고 해당 보고서의 금융 데이터 무결성을 보호하기 위해 적절한 내부 통제 방식을 구현/테스트하고 문서로 작성해야 합니다. IAM 도구와 시스템을 사용하는 기업은 SoD(직무 분리) 정책 적용 등의 다양한 방식을 통해 SOX 요구 사항을 준수할 수 있습니다.

SSO, MFA, RBAC 등의 보안 조치를 활용하는 기업은 보안을 강화하는 동시에 작업자의 생산성을 저해하는 장애 요인을 해소할 수 있습니다. 직원은 업무 위치에 관계없이 업무를 수행하는 데 필요한 리소스에 빠르게 액세스할 수 있습니다. 또한 IAM 사용 시에는 철저한 보안이 유지되는 환경에서 직원들이 더욱 안심하고 업무를 처리할 수 있습니다.

자동 사용자 프로비저닝을 지원하는 IAM 시스템을 사용하는 경우에는 직원들이 필요할 때 쉽게 다양한 리소스 액세스 권한을 요청하여 권한을 부여받을 수 있습니다. 따라서 IT 부서의 부담을 줄이는 동시에 IT 문제로 인해 직원 생산성이 정체되는 현상을 방지할 수 있습니다.

IAM 솔루션은 ID, 인증, 권한 부여 관리와 관련된 대다수 작업을 자동화/표준화할 수 있습니다. 그러므로 IT 관리자는 사업 과정에서 더 중요한 작업에 주력할 수 있습니다. 또한 현재 대다수 IAM 서비스는 클라우드를 기반으로 제공되므로 IAM용 온프레미스 인프라 구매/구현/유지 보수 작업을 크게 줄이거나 전혀 수행하지 않아도 됩니다.

MFA 사용 시 사용자는 여러 인증 단계에서 정보를 제공하여 신원을 확인해야 합니다. 기업에서는 사용자 이름과 암호 외에 보통 TOTP(시간 제한식 일회용 암호) 방법을 사용합니다. 이 경우 사용자는 SMS, 전화 통화, 이메일 등을 통해 전송된 임시 암호를 입력해야 합니다. 그리고 사용자가 지문, 얼굴 스캔 등 신원을 증명하는 생체 인식 인증 정보(신체적 특성)를 제공해야 하는 MFA 시스템도 있습니다.

SSO는 기업에서 사용자 신원을 확인하기 위해 흔히 사용되는 식별 시스템입니다. SSO를 사용하는 경우 권한이 부여된 사용자는 인증서 집합 하나(사용자 이름 및 암호)를 사용해 여러 SaaS 애플리케이션과 웹 사이트에 안전하게 로그인할 수 있습니다. 즉, SSO는 자동화된 MFA 버전이라 할 수 있습니다. SSO 시스템에서는 MFA로 사용자를 인증한 다음 소프트웨어 토큰을 사용해 여러 애플리케이션과 인증 정보를 공유합니다. 외부 웹 사이트와 플랫폼 등의 지정된 자산이나 위치 액세스를 차단할 때도 SSO를 사용할 수 있습니다.

IAM에서 SSO를 사용하는 경우 최종 사용자가 로그인 프로세스를 더욱 원활하게 진행할 수 있을 뿐 아니라, IT 관리자도 권한 설정/사용자 액세스 규제/사용자 프로비저닝 및 프로비저닝 해제를 쉽게 처리할 수 있습니다.

연합을 사용하는 경우 암호 없이도 SSO를 진행할 수 있습니다. 연합 서버는 SAML(Security Assertion Markup Language) 또는 WS-Federation과 같은 표준 ID 프로토콜을 사용해 신뢰 관계를 설정한 애플리케이션이나 시스템에 토큰(ID 데이터)을 제공합니다. 이 신뢰 관계로 인해 사용자는 다시 인증할 필요 없이 연결된 도메인 간을 자유롭게 이동할 수 있습니다.

대다수 대기업은 RBAC를 사용합니다. RBAC란 직원의 조직 내 역할과 담당 업무에 따라 네트워크, 민감한 데이터, 중요 애플리케이션 액세스를 제한하는 방법입니다. RBAC는 액세스 거버넌스라고도 합니다. RBAC에서는 최종 사용자, 관리자, 타사 계약업체 등의 역할을 정의할 수 있습니다. 역할은 사용자의 권한, 위치, 담당 업무, 업무 역량 등을 기준으로 정의할 수 있습니다. 여러 역할을 마케팅, 영업 등의 그룹에 추가할 수도 있습니다. 그러면 조직 내에서 담당 업무가 비슷하며 자주 협업을 하는 사용자들이 같은 자산에 액세스할 수 있습니다.

RBAC의 일환으로 제로 트러스트 보안 프레임워크(작업용 자산 액세스를 요청하는 모든 사용자를 대상으로 엄격한 액세스 제어를 지속적으로 적용하는 프레임워크)를 적용하는 기업은 무단 액세스를 더욱 철저하게 방지할 수 있으며, 보안 침해를 억제하고 공격자의 네트워크 전체 측면 이동 위험도 줄일 수 있습니다.