IAM(Identity and Access Management)이란 무엇인가?
IAM(Identity and Access Management)은 기업에서 오직 적합한 사람과 디바이스만 필요할 때 원하는 애플리케이션과 리소스 및 시스템에 액세스할 수 있도록 허용하는 프레임워크입니다.
기업에서 각 사용자의 아이덴티티와 액세스 수준을 상시에 확인할 수 있는 여러 가지 정책과 서비스 및 기술 역시 IAM에 포함됩니다. 이러한 확인은 단일 제품을 통해서 실행되거나, 혹은 관리자가 개인의 액세스 권한을 제어하고 모니터링할 수 있게 해주는 여러 분산 프로세스와 프로그램 및 클라우드 서비스를 통해 실행하기도 합니다.
기업이 액세스를 효과적으로 관리하려면 먼저 사용자에 대한 신뢰 여부를 인증한 후 필요한 액세스 수준에 따라 권한을 인증해야 합니다.
인증 및 권한 인증의 정의
인증이란 사용자의 신원이 정확한지 확인하는 프로세스를 말합니다. 사용자의 아이덴티티를 확인할 때는 다음과 같은 인증 요소가 가장 많이 사용됩니다.
- 알고 있는 정보: 오직 사용자만 기억할 수 있는 지식 요소(로그인 자격 증명, PIN 코드, 어머니의 결혼 전 성 등)
- 가지고 있는 정보: 오직 사용자만 가지고 있는 소유 요소(확인용 모바일 앱의 코드, 보안 토큰 등)
- 신체적인 정보: 오직 사용자만 제공할 수 있는 생체 요소(지문, 망막 스캔, 음성 인식 등)
권한 인증이란 사용자에게 특정 기능이나 리소스에 액세스할 수 있는 권한을 부여하는 프로세스를 말합니다. 예를 들어 사용자에게 서버에서 파일을 다운로드하도록 허용하거나, 회사 애플리케이션에 대한 관리자 액세스 권한을 부여하는 것이 인증에 해당합니다. 사용자가 자신에게 부여되는 권한에 따라 추가 리소스에 대한 액세스 권한을 인증 받으려면 먼저 자신의 아이덴티티를 인증해야 합니다.
IAM 세분화
IAM 시스템은 일반적으로 범위가 넓기 때문에 다양한 애플리케이션과 디바이스, 위치 및 사용자를 대상으로 기업 데이터 및 리소스에 대한 액세스를 제어할 수 있습니다. 또한 사용자 로그인을 수집하여 기록하거나, 모든 사용자 아이덴티티를 관리하거나, 액세스 권한 할당, 부여 및 제거 프로세스를 감독할 수도 있습니다.
IAM은 대부분의 기업 환경과 네트워크 및 역할에 적용되며, 여러 위치에 걸쳐 조직 내 모든 직급의 사용자를 포괄할 수 있습니다. 그 밖에 내부 네트워크 또는 클라우드 기반 서비스에 액세스할 수 있는 권한을 부여하는 데 사용되며, 멀티 클라우드나 하이브리드 아키텍처를 구축하는 기업에게는 비교적 복잡한 프로세스이기도 합니다.
기업이 IAM의 이러한 복잡성을 해결하려면 아이덴티티 공급업체와 협력하여 디지털 아이덴티티를 관리하고 안전한 로그인 프로세스를 제공해야 합니다.
일반적인 IAM 사용자
IAM(Identity and Access Management) 시스템은 기업 환경 전반에 걸쳐 모든 유형의 사용자를 아우릅니다. 사용자는 다음과 같습니다.
- 직원: 기업에 직속된 직원들은 애플리케이션, 기업 네트워크 또는 서버에 대한 액세스를 요청할 때 인증이 필요합니다. 직원의 액세스 수준은 일반적으로 자신의 업무와 부서에 따라 결정됩니다.
- 계약자: 기업과 단기간 동안, 혹은 단발성 프로젝트로 협력하는 개인들은 특정 애플리케이션이나 리소스에 대한 액세스 권한을 부여받을 수 있습니다. 이러한 사용자는 일반적으로 정규직 직원에 비해 액세스가 더 많이 제한되며, 계약이나 프로젝트가 종료되는 즉시 액세스 권한을 취소해야 합니다.
- 고객: 기업은 CIAM(customer identity and access management)을 통해 고객의 아이덴티티와 프로필을 관리하면서 고객이 원하는 애플리케이션과 서비스에 연결할 수 있습니다. 따라서 적합한 CIAM을 사용하면 모든 채널에서 원활하고 안전한 고객 경험이 보장됩니다.
- 파트너: 다수의 파트너가 참여하는 프로젝트가 능률적으로 진행되려면 파트너의 사용자들에게 필요한 애플리케이션 또는 리소스에 대한 액세스 권한을 부여할 수 있어야 합니다.
CIAM에 대한 자세한 내용은 이 동영상에서 확인하세요.
IAM에 포함 리소스
IAM 솔루션은 중요한 비즈니스 데이터가 저장된 리소스를 포함해 사용자가 액세스해야 하는 리소스를 모니터링합니다. 하지만 기업 데이터와 사용자 아이덴티티를 보호하는 동시에 다음과 같은 리소스에 대한 무단 액세스까지 차단해야만 효과적인 IAM 솔루션이라고 할 수 있습니다.
- 애플리케이션: 기업은 사용자가 모든 비즈니스 애플리케이션에 로그인할 때 IAM을 통해 사용자의 아이덴티티를 안전하게 보호할 수 있습니다.
- API: 기업은 IAM 툴에서 API 액세스 관리를 통해 최신 모바일 애플리케이션과 웹 애플리케이션을 안전하게 보호할 수 있습니다. 그러면 손쉽게 액세스 정책을 구성하여 내부/외부 사용자에게 API 리소스에 대한 권한을 인증할 수 있습니다.
- 클라우드 서비스: 클라우드 기반의 IAM 솔루션은 클라우드에 상주하는 애플리케이션과 서비스 및 인프라에 대한 액세스를 보호하도록 설계되었습니다. 예를 들어 인증 및 권한 인증 계층을 추가하여 데이터 스토리지 툴이나 협업 툴과 같은 클라우드 서비스를 안전하게 보호할 수 있습니다.
- 기업 데이터: IAM 툴의 주요 기능은 기업의 데이터를 보호하는 것입니다. 여기에는 모든 사용자의 로그인 자격 증명과 개인 정보를 비롯해 중요한 기업 데이터가 포함됩니다.
- 멀티 클라우드 또는 하이브리드 아키텍처: 멀티 클라우드 또는 하이브리드 아키텍처를 운영하는 기업은 자사의 클라우드 리소스와 온프레미스 리소스를 보호하기 위해 별도의 IAM 벤더를 이용하는 경우가 많습니다. 단일 IAM 솔루션을 이용해 중앙에서 관리하면 유연성이 높아지므로, 클라우드 벤더를 변경하거나 온프레미스 솔루션에서 완전히 탈피하더라도 액세스 및 아이덴티티 요건을 계속해서 자유롭게 관리할 수 있습니다.
- 서버: 기업은 아이덴티티 및 액세스 제어 기능을 확장하여 서버와 인프라를 보호함으로써 기초부터 보안을 다질 수 있습니다.
현재 사용되고 있는 IAM 툴과 프로세스
IAM 시스템은 사용자를 프로비저닝 또는 디프로비저닝하거나, 점차 늘어나는 액세스 권한을 관리 및 모니터링하거나, 권한 축적 및 무단 액세스를 방지하는 등 다양한 작업을 간소화할 수 있는 여러 가지 툴과 프로세스로 구성되어 있습니다. 대표적으로 사용되는 IAM 툴은 다음과 같습니다.
- SSO(Single Sign-On): SSO 솔루션은 사용자가 각 앱 또는 리소스마다 일일이 로그인할 필요 없이 한 개의 자격 증명 세트를 사용해 조직의 인프라에서 자신을 안전하게 인증할 수 있게 해주는 툴입니다. 따라서 다수의 비밀번호를 기억할 필요가 없기 때문에 자격 증명이 분실되거나 도난될 위험이 줄어듭니다.
- 다중 요소 인증(MFA): MFA는 기업이 사용자의 신원을 자신 있게 확인할 수 있게 해주는 툴입니다. 사용자는 일반적으로 지식, 소유 및 생체인식 요소로 구성되는 다수의 인증 요소를 제공해야 합니다.
- 라이프사이클 관리(LCM): LCM은 기업이 직원, 계약자, 고객, 파트너 등 점차 늘어나는 사용자들을 더욱 쉽게 관리할 수 있게 해주는 툴입니다. 이 툴을 사용하면 수동 프로비저닝에서 벗어나 컨텍스트에 따른 자동 정책 기반 접근법으로 누가 어떤 시스템과 파일에 액세스하는지를 중앙에서 확인할 수 있습니다. 또한 IT 부서와 HR 부서가 엄청난 시간을 절감하는 동시에 직원들은 효과적인 업무 처리에 필요한 툴과 애플리케이션에 액세스할 수 있습니다.
- 사용자 및 디바이스 디렉터리에 대한 중앙 관리: 사용자와 디바이스를 모든 애플리케이션에 연결되는 단일 중앙 디렉터리로 통합하면 온프레미스 및 클라우드 리소스에서 수많은 사용자 비밀번호와 다수의 인증 정책을 관리해야 하는 복잡성이 사라집니다. 또한 다양한 비밀번호 정책을 통합하여 새로운 아이덴티티 공격 위험을 완화하고 사용자와 비밀번호를 안전하게 보호하며 비밀번호 관리를 제어합니다. 이를 통해 기업은 앱을 더욱 빠르게 실행하는 동시에 IT 비용을 줄이고 보안을 강화하며 사용자 수요를 충족할 수 있습니다.
- 액세스 게이트웨이: 기업은 Okta의 Access Gateway 등을 사용하여 SSO나 MFA와 같은 최신 보안 툴을 온프레미스 인프라에 적용할 수 있습니다. 이렇게 하면 운영 방식을 변경하지 않고도 클라우드 기반 보안을 온프레미스 앱까지 확장할 수 있습니다. 예를 들어 OAG는 엔드 유저가 손쉽게 앱에 액세스할 수 있는 방법을 제공하는 동시에, 온프레미스 리소스와 클라우드 리소스에서 비밀번호 및 인증 정책을 별도로 관리해야 하는 복잡성을 줄여주는 효과가 있습니다.
- 서버용 IAM: IAM을 인프라까지 확장하면 중앙에서 액세스 제어를 관리하여 온프레미스, 하이브리드 및 클라우드 인프라에 대한 원활한 액세스를 제공하는 동시에 자격 증명 도난 및 계정 탈취의 위험을 줄일 수 있습니다. Okta의 ASA(Advanced Server Access)와 같은 툴은 고정 키가 불필요할 뿐만 아니라 디바이스, 세션, 사용자 정보 컨텍스트 등의 사용자 로그인 요청마다 액세스 결정을 세분화할 수 있습니다.
성공적인 IAM 전략을 위한 필수 요소
Forrester의 2019 IAM 리서치 결과에 따르면 기업은 비즈니스 민첩성, 사용자 경험 또는 컴플라이언스 요건에 영향을 미치지 않고 중요한 애플리케이션과 데이터에 대한 사용자 액세스를 관리할 수 있어야 합니다. 여기에는 수동 IAM 프로세스에서 탈피하여 IDaaS를 사용해 궁극적인 ROI를 실현하거나, 성장에 최적화된 비즈니스 사례를 구축하여 임원진의 지원을 얻는 일 등이 포함됩니다.
이러한 목표에 도달하려면 다음과 같은 성공적인 IAM 전략이 필요합니다.
- 인공 지능, 행동 분석, 생체인식의 역할을 고려하여 기업이 오늘날의 보안 환경 요건을 더욱 효과적으로 충족할 수 있도록 지원해야 합니다.
- 클라우드나 사물 인터넷과 같은 최신 환경에서 리소스 액세스를 더욱 엄격히 제어하여 데이터 침해 및 유출을 방지해야 합니다.
- 시간과 장소, 그리고 앱, 네트워크 및 시스템에 액세스할 때 사용하는 디바이스에 관계없이 사용자 아이덴티티를 안전하게 보호하는 등 컴플라이언스와 생산성 및 보안을 유지해야 합니다. 이는 원격 근무 정책과 다이나믹한 인력 정책을 할당하는 기업이나 디지털 트랜스포메이션을 시작하려는 기업에게 매우 중요합니다.
기업이 IAM 솔루션의 툴과 프로세스를 구현하면 명확하고 포괄적인 액세스 및 감사 정책을 정의할 수 있습니다. 또한 이러한 구조가 확립되면 내/외부 데이터 도난 및 사이버 공격의 위험이 줄어들어 점차 엄격해지는 데이터 규정을 준수하는 데도 효과적입니다.
IAM 과제
IAM도 잘못 구현했을 경우에는 해결 과제가 발생합니다. 기업은 불완전한 프로비저닝이나 취약한 자동화 프로세스와 같은 문제로 인해 자사의 IAM 솔루션에 보안 허점이나 취약점이 없는지 확인해야 합니다.
- 무분별하게 늘어나는 인력, 지나치게 많은 관리자 계정, 다수의 비활성 사용자로 인해 어려움을 겪는 기업의 입장에서는 사용자 프로비저닝 및 프로비저닝과 이들의 액세스 권한이 어려운 과제가 될 수 있습니다. 이러한 이유로, 액세스 수준을 긴밀하게 모니터링하여 비활성 사용자를 즉시 제거하려면 라이프사이클 관리가 반드시 필요합니다.
- 비밀번호에만 의존할 경우 사용자가 취약한 비밀번호를 반복해서 사용하거나 자신의 로그인 자격 증명을 효과적으로 보호하지 못해 위험이 커질 수 있습니다.
- 생체인식은 근본적으로 안전하기는 하지만 데이터 도용을 통해 도난 당했을 때에는 문제가 될 수 있습니다. 따라서 기업은 파일에 어떤 생체인식 데이터가 저장되어 있는지 알아야 할 뿐만 아니라 보유 하고 있는 생체인식 데이터와 저장 방식 및 위치, 그리고 더 이상 필요 없는 데이터를 삭제하는 방법까지 모두 알고 있어야 합니다.
오늘날 기업들은 자사 사용자의 요건에 부합하는 동시에 어떤 환경에서든지 애플리케이션과 리소스를 보호할 수 있는 보안 솔루션을 구현하려고 합니다. IAM 시스템은 기업이 적합한 사람에게 원하는 데이터와 시스템에 적시에 액세스할 수 있도록 권한을 부여하게 해주는 프레임워크입니다.
Okta의 IAM 비즈니스 사례 백서를 통해 기업이 성공적인 IAM 전략을 구축하는 데 Okta가 어떤 이점이 있는지 살펴보고 팬데믹 이후 세상의 IAM 전략에 관한 웨비나를 시청하세요.