정보유출 사고의 많은 경우가 퇴사자·휴면 계정을 이용한다. 퇴사하거나 임시직원의 계약만료로 사용이 끝난 계정, 특정 프로젝트가 완료된 후 삭제되지 않은 계정 등이 관리되지 않고 남아서 외부의 불법적인 접근을 허락하게 된다. 특히 여러 클라우드 서비스를 업무에서 사용하는 경우가 늘어나면서 클라우드 환경까지 통합지원하는 차세대 IAM이 필요한 시점이 됐다. 업무 특성에 따라 다른 접근통제 정책도 제안된다. 차세대 IAM의 특징과 이상적인 구축 방법을 제안한다.<편집자>

프로세스·솔루션·사람 조화돼야 IAM 성공

IAM은 장애가 발생하고 비즈니스 중단의 위협이 있는 시스템이 아니기 때문에 한 번 구축하면 잘 교체하지 않는다. 그러나 방대한 규모의 계정을 관리하고 자주 변동이 일어나는 대규모 기업에서 주로 도입하기 때문에 사업의 규모는 매우 큰 편이다.

국내에서 IAM은 2010년을 전후로 그룹사를 중심으로 활발하게 구축되기 시작했으며, 컴플라이언스 이슈가 있는 금융기관에서도 IAM 구축 수요가 급증했다. 유연한 커스터마이징을 장점으로 하는 토종 IAM 기업과 고객사 IT 환경을 가장 잘 아는 SI 기업들이 당시 시장에서 경쟁우위를 가졌으며, 글로벌 레퍼런스를 가진 외산 솔루션은 국내 글로벌 기업에 공급되면서 선전했다.

대규모 조직들이 IAM을 구축한 이후 대규모 사업이 없어 최근 몇 년간 시장의 침체를 겪어왔다. 그러나 당시 구축한 시스템의 업그레이드 시점이 다가오고 있으며, 클라우드·BYOD 등 유연한 업무환경에 맞는 차세대 IAM을 요구하는 수요가 서서히 늘어나고 있어 시장이 다시 성장할 가능성이 높다고 기대된다.

특히 초기 SI성으로 구축한 기업들이 이 방식의 문제에 대해 경험한 만큼, 이제는 ‘커스터마이징’보다 자동화된 관리와 운영에 초점을 맞춰 도입할 것으로 예상하고 있으며, 단일 플랫폼에서 계정관리, 인증, 접근제어가 이뤄질 수 있는 통합 솔루션이 채택될 것으로 기대된다.

하봉문 CA 전무는 “IAM은 구축 기업의 프로세스가 체계적으로 정립된 상태에서 구축돼야 하며, 코어엔진의 성능과 안정성, 자동화, 유연성이 보장돼야 하고 사람의 업무 특성과 환경에 맞춰 구동돼야 한다”고 설명했다.

하 전무는 메인프레임부터 계정관리를 제공해 온 CA가 IAM 시장에서 가장 깊이 있는 노하우와 전문성을 가졌다고 강조했다. 유수의 글로벌 기업과 국내 대기업군에 가장 많은 레퍼런스를 확보하고 있으며, 전체 제품의 클라우드·가상화 지원으로 비즈니스 유연성을 높일 수 있도록 지원한다.

CA IAM 솔루션은 계정관리 솔루션 ‘아이덴티티 매니저’, ‘싱글사인온(SSO)’, 최고권한관리자 계정관리 솔루션 ‘프리빌리지드 아이덴티티 매니저(PIM)’ 등으로 구성돼 있으며, 콘텐츠와 컨텍스트 인식 기반 DLP 기능을 통합해 내부보안을 강화할 수 있다.

CA 총판인 엔시큐어는 CA IAM를 엔진을 국내 고객에게 맞춤형으로 설계한 IAM 제품 ‘엔진IM(eNgen IM)’을 소개한다. 엔진IM은 IAM 통합포털과 사용자·관리자 화면을 제공해 사용과 운영을 편리하게 했으며, OS, 시스템, 네트워크 등 다양한 접근제어 시스템을 단일 관점에서 관리할 수 있도록 했다.

김대근 엔시큐어 부장은 “최근 공공·금융기관을 중심으로 차세대 IAM 수요가 늘고 있다. 특히 제 2 금융권에서는 3~4년 전 도입한 IAM의 운영에 한계를 느껴 차세대 사업을 계획하고 있으며, CA엔진을 기반으로 한 ‘엔진IM’에 높은 관심을 보인다”며 “엔진IM은 유연성, 확장성이 높고 관리와 운영이 편리해 호평을 받고 있다”고 말했다.

올해 금융권 IAM 수요 늘 것으로 기대

차세대 IAM 수요가 SI성 개발이나 커스터마이징보다 패키지 솔루션으로 자동화된 관리를 지원하는 방향으로 선회하자 외산 솔루션 기업들이 빠르게 이 시장의 요구에 응답하기 시작했다.

외산 솔루션은 커스터마이징과 가격이라는 한계에 부딪혀 큰 성과를 내지 못하고 있었다. 그러나 최근 해외진출과 클라우드 확장을 고려하는 기업들이 IT 시스템의 ‘표준화’와 ‘자동화’로 무게중심을 옮기고 있어 외산 솔루션도 국내에서 좋은 기회를 가질 수 있을 것으로 기대하고 있다. 또한 금융감독기관이 휴면계정관리 등에 대한 감사를 강화하고 있어 금융권의 IAM의 수요가 늘어날 것으로 기대하고 있다.

글로벌 IAM 솔루션들은 성능이나 기능, 제품 구성 등에서는 큰 차이를 보이지는 않는다. IAM 제품군은 계정관리(IM) 솔루션과 접근제어 및 SSO, 최고권한관리자 계정, 감사/거버넌스 등의 제품군으로 이뤄지며, 프레임워크 기반 제품 구성으로 확장성과 유연성을 높였다. FDS 기술을 적용해 이상행위를 차단하고, DLP 솔루션과 연계해 내부정보 유출을 방지한다. 멀티팩터인증을 적용해 강력한 본인인증을 거치도록 하며 모바일과 클라우드 지원 기능도 추가하고, SaaS 방식의 IAM도 내놓고 있다.

오라클은 IAM 제품군에 포함된 SAP ERP를 위한 계정관리 제품을 전략제품으로 소개한다. SAP ERP에 오라클 계정관리를 통합해 ERP 라이선스를 관리하도록 한 것이다. 계정별로 과금되는 ERP 라이선스가 불필요하게 낭비되지 않도록 해 비용을 절감할 수 있도록 한다. 또한 오라클은 자사고객의 보안 취약점을 진단하는 SRA 서비스를 무료로 제공해 보안취약점이 있는지 점검하고 개선방안을 안내한다.

강승우 한국오라클 상무는 “SRA는 고객의 IT시스템과 업무 환경을 종합적으로 컨설팅해 미처 파악하지 못한 보안 취약점을 찾아주며, 보안정책을 재점검하고 비용합리적으로 보안 시스템을 구축할 수 있도록 지원한다”고 설명했다.

IBM은 IAM 제품군 중 SSO 기능을 제공하는 ‘SAM’이 경쟁사 대비 특장점이 있다고 강조한다. SAM은 시큐어 게이트웨이 기반의 접근통제를 제공하며, 전용 어플라이언스로 제공해 관리와 배포를 편하게 한다.

박형근 한국IBM 실장은 “최근 경쟁사들도 이 방식의 SSO를 내놓았지만, 소프트웨어 방식으로 관리가 불편하고 안정성이 떨어진다. IBM은 1997년부터 게이트웨이 방식의 SSO를 통해 에이전트 없이, 운영체제나 디바이스 종속되지 않고 표준화된 인터페이스로 모든 단말과 사용자 인증을 편리하게 지원할 수 있다”고 설명했다.

한편 IAM의 계정권한관리 솔루션 ‘ISIM’은 서버, DB 애플리케이션을 통합관리 할 수 있으며, 계정의 라이프사이클 가시성과 인텔리전스를 확보해 계정이 생성되는 시점부터 폐기까지 관리하고 사용자의 이상행위를 탐지한다.