정보유출 사고의 많은 경우가 퇴사자·휴면 계정을 이용한다. 퇴사하거나 임시직원의 계약만료로 사용이 끝난 계정, 특정 프로젝트가 완료된 후 삭제되지 않은 계정 등이 관리되지 않고 남아서 외부의 불법적인 접근을 허락하게 된다. 특히 여러 클라우드 서비스를 업무에서 사용하는 경우가 늘어나면서 클라우드 환경까지 통합지원하는 차세대 IAM이 필요한 시점이 됐다. 업무 특성에 따라 다른 접근통제 정책도 제안된다. 차세대 IAM의 특징과 이상적인 구축 방법을 제안한다.<편집자>
국내환경 최적화된 토종 IAM이 시장 선점
외산 솔루션이 차세대 IAM 시장의 우위를 선점하기 위해 노력하고 있지만, 아직 국내 IAM은 고객의 요구를 유연하게 받아들일 수 있는 토종 솔루션이 높은 점유율을 확보하고 있다. 토종 IAM 솔루션은 애플리케이션과 서버·네트워크 시스템, DB 시스템 접근제어로 나뉘어 발전하고 있으며, 최근 DB 접근제어와 서버·네트워크 접근제어는 통합되는 추세에 있다.
애플리케이션 접근제어 분야에서는 넷츠가 업계 선두를 달리고 있다. 넷츠의 ‘아이덴티티 매니저(IM)’는 ID 라이프사이클 관리 프로세스를 자동화하고, 정규직·계약직·외주인력 사용자 계정과 속성, 권한을 통합관리 할 수 있다. 국내 대기업을 중심으로 IAM을 구축한 경험을 바탕으로 솔루션을 개발하고 있으며, 고객의 요구에 유연하게 대응할 수 있다는 장점을 갖는다.
시스템 접근제어를 중심으로 발전해 온 넷앤드휴먼인터페이스는 주력 제품인 ‘하이웨어(HI-WARE)’ 제품군에 통합계정관리와 접근통제 기능을 확장하고 있다. 시스템 접근통제 ‘HI-TAM’ DB 접근통제 ‘HI-DBAM’ 시스템 계정관리 ‘HI-TIM’ DB 계정관리 솔루션 ‘HI-DBIM’ 등 독립적인 제품으로 구성돼 있으며, 단일 플랫폼에서 구동 가능해 고객이 필요한 구성으로 선택하고 확장할 수 있다.
넷앤드휴먼인터페이스는 해외시장 개척을 위해 미국 샌프란시스코에 연구소를 설립해 북미 시장 공략을 위한 기술개발을 진행하고 있으며, 동남아시아에서는 주요 통신사와 국책은행 등 다수 고객을 이미 확보했다.
올해 말 ‘하이웨어 6.0’ 메이저 업그레이드를 발표할 예정이며, IAM 전반의 기능과 안정성을 높여 통합 IAM 플랫폼으로 제공할 계획이다. 내년 상반기 클라우드 지원이 가능한 신제품 발표도 예정하고 있다.
신호철 대표는 “넷앤드휴먼인터페이스는 국내 대규모 글로벌 기업에 수년간 제품을 공급하고 꾸준히 고도화해왔으며, 커스터마이징 없이 자동화된 관리가 가능하도록 지속적으로 제품을 업그레이드해왔다”며 “이러한 장점을 인정받아 국내에서 호평을 받고 해외에서도 빠르게 성과를 내고 있다”고 말했다.
애플리케이션 계정관리는 잦은 보직변경으로 관리의 복잡성이 높은 편이지만, 시스템 계정은 자주 변경되지 않기 때문에 전사 관점의 IAM이 아니라 계정 비밀번호 관리를 강화하는 것 만으로도 접근통제 효과를 볼 수 있다.
네트워크 및 보안장비, DB 서버 시스템은 시스템 자체에 접속하는 관리자 계정은 거의 바뀌지 않는다. 수천대에 이르는 장비마다 개별 콘솔을 갖거나 웹페이지를 통해 계정을 관리해야 하기 때문에 관리자의 업무가 폭증하게 된다.
시큐어가드테크놀로지는 비밀번호 관리 솔루션 ‘APPM’으로 시스템 접근을 통제할 수 있다고 강조한다. APPM은 시스템 관리계정의 비밀번호를 관리하며, 관리자들은 비밀번호 없이 접속할 수 있다. OTP, 생체인증 등 강력인증 솔루션과 접목해 접속통제를 강화할 수 있으며, 별도 개발이나 커스터마이징 없이 계정통제가 가능하다.
방학재 시큐어가드테크놀로지 대표는 “IAM은 전사적인 관점에서 모든 업무 애플리케이션과 시스템에 단일한 계정권한 통제를 구축하는 사업으로, 사업 규모가 크고 복잡하며 사업기간이 길고 많은 비용이 소요된다”며 “시스템에 대한 접근제어는 계정을 변경하지 않고 비밀번호 관리 시스템으로 효과적인 보안 정책 수립이 가능하다”고 말했다.
비즈니스 복잡성 높아지면서 IAM 필수
IAM을 구축할 때 기업들이 가장 많은 혼란을 겪게 되는 것이 IAM 관리 통제 조직을 어디로 할 것이냐의 문제이다. 이상적으로는 인사DB와 긴밀하게 연동되기 때문에 인사부에서 통제하는 것이 맞지만, 업무 시스템에 대한 접근을 제어하기 때문에 IT 관리조직에서도 통제해야 하며, 이상접근과 정보유출 방지를 위해 보안팀에서도 관여해야 한다.
하봉문 CA 전무는 “누가 통제권한을 갖는지는 기업 문화와 환경, 비즈니스 특성에 따라 달라지기 때문에 기업에서 컨설팅을 통해 정책을 잘 만드는 것이 우선이다. 다만 유의해야 하는 점은 IAM 정책 수립할 때 예외상황을 지나치게 많이 만들어서는 안된다는 것이다. 예외가 많아지면 관리가 어려워지고 보안홀이 생기게 되고 보안정책을 무력화하는 우회공격이 발생할 수 있다”고 조언했다.
IAM을 대규모 엔터프라이즈에서만 이용한다는 인식도 팽배해있지만, 중소·중견기업에서도 IAM은 반드시 필요하다. 모바일워크, 분산된 지점을 운영하는 환경, 외부영업인력이 많거나 입사·퇴사·보직변경이 자주 일어나는 환경이라면 소규모 기업에서도 IAM을 준비해야 한다. SaaS로 제공되는 IAM 모델도 다양하게 있으며, 이보다 비용 효율적으로 구축할 수 있는 비밀번호 관리 시스템도 제안되고 있어 비즈니스 환경과 보안위협 수준에 따라 적절한 솔루션을 도입할 필요가 있다.
손장군 엔시큐어 이사는 “관리자가 엑셀로 관리할 수 있는 범위를 넘어서는 조직이라면 IAM 도입을 검토해야 한다. 특히 클라우드 확장으로 비즈니스 복잡성이 높아지면 반드시 체계화된 IAM을 이용해 업무 유연성을 보장해야 한다”며 “또한 향후 확장과 민첩한 변경 등을 고려해 IAM 정책을 세우고 시스템을 구축해야 한다”고 설명했다.
