정보유출 사고의 많은 경우가 퇴사자·휴면 계정을 이용한다. 퇴사하거나 임시직원의 계약만료로 사용이 끝난 계정, 특정 프로젝트가 완료된 후 삭제되지 않은 계정 등이 관리되지 않고 남아서 외부의 불법적인 접근을 허락하게 된다. 특히 여러 클라우드 서비스를 업무에서 사용하는 경우가 늘어나면서 클라우드 환경까지 통합지원하는 차세대 IAM이 필요한 시점이 됐다. 업무 특성에 따라 다른 접근통제 정책도 제안된다. 차세대 IAM의 특징과 이상적인 구축 방법을 제안한다.<편집자>
정보유출 사고 중 퇴사자 계정을 통해 발생하는 사고가 많다. 퇴사한 직원의 계정이 즉시 삭제되지 않고 시스템에 남아있을 경우 퇴사자 혹은 퇴사자의 계정을 입수한 공격자가 시스템에 접근할 수 있다. 최근에는 업무용으로 퍼블릭 클라우드 서비스를 사용하는 비중이 높아지면서 클라우드 계정을 관리하지 못해 정보가 유출될 위험도 함께 높아지고 있다.
IT 조직에서 관리하지 못하는 섀도우 클라우드는 정보유출 사고의 최대 위험지대로 꼽힌다. 현업 부서에서 마음대로 퍼블릭 클라우드를 구입해 사용하면서 관리를 제대로 하지 못하고 외부인에게 데이터가 유출되도록 방치하는 경우가 많다.
블루코트가 1월 발표한 ‘2015년도 4분기 섀도우 데이터 리포트’에 따르면 클라우드 애플리케이션에 보관된 문서 중 26%는 공개적으로 공유되고 있다는 사실을 기업에서 인지하지 못하고 있으며, 이 중 10%에는 민감한 데이터가 포함돼 있는 것으로 나타났다.
클라우드에 저장되는 정보도 기업/기관의 정보이기 때문에 온프레미스 시스템과 동일한 보안정책이 적용돼야 한다. 그러나 많은 기업/기관들이 업무 편의를 위해 클라우드를 사용하면서 클라우드 데이터 관리를 소홀히한다.
하봉문 한국CA테크놀로지스 전무는 “보안 사고는 결국 사람의 문제다. 온프레미스든 프라이빗/퍼블릭 클라우드든 권한 있는 사람이 권한 내에서만 정보를 이용하도록 시스템을 만들어야 섀도우 데이터의 문제를 해결할 수 있다”며 “전사 거버넌스 관점에서 통합계정접근관리(IAM)가 필요한 이유”라고 말했다.
IAM은 계정관리(IM)와 접근관리(AM)를 통합한 시스템으로, 임직원 각자에게 부여된 권한 내에서 시스템에 접근해 허락된 업무만을 수행하도록 한다. IAM과 이상행위탐지시스템이 결합되면, 허락된 권한 내에서도 오남용으로 인한 보안사고를 탐지할 수 있다.
IAM이 구축되지 않으면 개별 IT 시스템마다 계정관리와 인증을 수행해야 하며, 임직원의 입·퇴사, 보직변경, 승진 및 인사이동 등의 변동이 있을 때 마다 개별 계정의 관리와 시스템 접근권한 관리 변경을 수작업으로 진행해야 한다. IAM은 단일 포인트에서 계정관리와 인증, 권한관리를 진행하며, 전사 업무 시스템에 정책을 적용할 수 있어 관리 업무가 크게 줄어든다. 더불어 감사·컴플라이언스 요건을 만족시킬 수도 있다.
강승우 한국오라클 상무는 “성공적인 IAM을 위해서는 시스템, 사람, 통제관리가 상호융합돼야 한다”며 “전사 시스템에 분산된 계정관리를 하나의 시스템으로 통합하고, 사용자를 계층변로 분류해 일관된 관리 프로세스를 적용하며, 보안 위험을 최소화한 운영통제 방안을 마련해야 한다”고 설명했다.
SI 개발 방식 IAM, 장기적 운영 어려워
수많은 업무 시스템에 대한 일괄적인 계정권한 관리 시스템을 운영하기 위해서는 IAM 전문 패키지 솔루션을 이용하는 것이 바람직하지만, 우리나라에서는 SI 사업으로 개발한 사례가 절대다수를 이룬다. IAM은 업무 프로세스의 일환으로 구축돼야 하며, 기업/기관마다, 업무 부서마다 다른 프로세스를 따르기 때문에 이에 맞춘 IAM이 필요하다는 판단 때문이다. 특히 인사시스템과 연동돼야 하기 때문에 각 기업/기관이 갖고 있는 인사시스템에 맞춰 개발하는 것이 적합하다고 판단했다.
그러나 SI로 구축한 IAM은 장기간 운영이 어렵다. 비즈니스 환경이 변하는데 따라 업무 조직과 프로세스도 변하게 돼 있는데, 그 때 마다 IAM 시스템을 다시 개발해야 하는 문제가 있다. IAM이 주로 대기업에 구축됐으며, 그룹사 IT 운영을 담당하는 SI 기업이 IAM 개발과 운영을 맡고 있지만, 조직의 변경이 생길 때 마다 IAM을 수시로 변경하는 것은 쉽지 않은 일이다.
패키지 소프트웨어를 도입한 경우라 해도 지나친 커스터마이징으로 SI 개발과 마찬가지의 문제를 겪는 기업들도 상당하다. 초기 IAM은 기업/기관마다 요구가 달랐기 때문에 패키지 솔루션을 선택한 후에도 실제 구축 과정에서는 SI 사업과 다를 바 없을 만큼 제품의 많은 부분을 수정했다. 이로 인해 주요 업데이트의 자동배포가 불가능하고 유지보수 인력이 많이 들게 된다는 문제가 있었다.
이러한 방식으로 IAM을 구축한 기업들은 수년간 IAM 사용과 운영에 불편을 느끼다가 사용연한이 다 됐을 때 차세대 시스템을 들이게 되는데, 또 다시 자사에 최적화된 IAM을 고집하면 예산낭비와 업무 비효율을 초래하게 된다.
이 방식은 컴플라이언스에도 위배될 소지가 있다. 금융감독원 감사에서 항상 지적사항으로 나오는 것이 휴면계정인데, 대규모 조직의 경우 하루에도 수백건씩 일어나는 입·퇴사, 보직·업무 변경을 관리조직이 수작업으로 관리하지 못한다. 임직원이 사용하는 디바이스와 브라우저 환경도 수시로 바뀌기 때문에 해당 사용자 본인이 인증된 단말로 인증을 받고 접근하는지 통제하는 것도 어려운 일이다.
박형근 한국IBM 실장은 “광범위한 커스터마이징을 통해 IAM 벤더는 여러 상황별 IAM 구축 방법 노하우를 축적하고 자사 제품을 발전시킬 수 있다는 장점이 있다. 그러나 국내에서는 초기 사업을 저가로 수주하는데다가, 지속적인 유지보수 인력을 투입할 때 충분한 비용을 받지 못해 수익성이 악화될 수 밖에 없다”고 설명했다.
