어느 회사나 새 인력을 고용하고, 이들에게 책상과 몇 가지 패스워드를 준다. 그리고 이들을 승진시키고, 전임시키며, 몇 년이 지나면 안녕을 고한다. 기업 사용자 관리(EUA; Enterprise User Administration) 소프트웨어는 이 모든 것을 보다 짧은 시간에, 보다 적은 경비로, 그리고 수동 시스템에서 가능했던 것보다 훨씬 더 강력한 보안 상태에서 할 수 있게 해준다.

직원의 액세스 권한과 자원을 준비 및 취소(provisioning/revoking)하는 일은 누구에게나 고통스러운 과정일 수 있다. 사실, 직원 정보를 적절히 관리하는 문제는 IT, 인사부 및 설비 관리부서의 직원들이 함께 공유하는 몇 되지 않는 두통거리 중 하나일 것이다.

부서간 충돌과 제대로 정의되지 않은 준비 프로세스는 처음부터 문제를 일으킬 수 있다. 그리고, 이러한 어려움들은 신규 고용의 생산성을 떨어뜨리고, 직원이 조직을 떠날 때 보안 구멍을 남기며, 새 직무로의 직원 이동을 지연시킨다.

직원 프로비저닝, 혹은 EUA(Enterprise User Administration) 솔루션들은 조직 시스템에서의 액세스 권한 관리를 위한 자동화되고 집중화된 하나의 방안이다.

EUA 솔루션들은 또한 지속성을 가져다준다. 디렉토리, 데이터베이스, 서버, 레거시 애플리케이션 및 신원확인 관리 애플리케이션들로의 직원 액세스 관리를 집중화함으로써, 이런 제품들은 조직내에서 직원이 직무를 바꿀 때 당신이 액세스 권한과 자원을 마이그레이팅 시킬 수 있게 해주며, 직원이 떠날 때 그의 권한을 취소시킬 수 있게 해준다. 집중화된 감사는 누가, 언제, 누구에 의해 허가되었는지에 대한 뷰를 제공하며, 워크플로우 능력은 보안 정책이 준수될 수 있게 보장해 준다.

마지막으로, 직원 프로비저닝 솔루션은 직원의 생산성과 기업 보안, 그리고 워크플로우 자동화를 통해 간접적이긴 하지만 금전적 이점을 가져다 준다.

하루 일과 출발에서…

신규 고용을 위해서는 책상, 컴퓨터, 전화기 등과 같은 기본적인 사무용 장비들뿐만 아니라, 일에 관련된 시스템과 애플리케이션으로의 액세스도 필요하다. 만약 모든 것이 구비돼 있지 않다면, 새 직원은 즉시 조직의 생산적 일원이 될 수 없을 것이다. 그리고, 동료들은 새로운 동료를 위한 정확한 액세스를 셋업하는 데 시간을 낭비해야 할 것이다. 당신에게는 한 번의 버튼 클릭을 통해서 ‘제로 데이 스타트(Zero-Day Start)’ 프로세스(하루 안에 완료되는 준비 작업)를 만들어낼 수 있는 능력이 필요하다.

직원의 직무가 옮겨질 때도 유사한 프로세스가 필요하다. 기존의 권한을 변경하고, 새 그룹으로 마이그레이션하는 데는 수행과 검증의 시간이 필요하다. 하지만 직원은 액세스를 갖고 있기 때문에, 마이그레이션을 수행하는 것을 서두르지 않는 경우가 많다. 이러한 프로세스의 자동화는 가능한 한 빠른 시간에 정확한 준비작업이 마무리되도록 보장해준다.

하루 일과 마무리까지…

직원이 떠날 때는, 이들의 액세스 권한도 일부 혹은 전체 시스템에서 제거돼야 한다. 만약 원래 권한이 충분한 근거 자료가 없이 허가되었다면, 권한 취소에는 시간이 걸릴 것이다. 일부 시스템들은 그냥 간과되어 사용되지 않고 관리되지 않는 사용자 ID와 패스워드를 애플리케이션에 남김으로써, 보안 구멍을 열어두는 결과를 낳기도 한다.

EUA 솔루션은 발급된 모든 사용자 ID와 패스워드를 시스템에서 자동으로 제거함으로써, 규정된 비즈니스 프로세스를 따라간다. 이것은 취소 프로세스가 시작되기 이전에 시스템이 동기화되었을 경우, 시스템 외부에서 허가되는 액세스에 대해서도 이루어진다. 이것은 종종 제로 데이 스탑(Zero-Day Stop)으로 불리는데, 그 이유는 이것이 조직을 떠나는 직원이 사용했던 모든 자원과 계정을 거의 즉시 삭제해 주기 때문이다.

EUA 솔루션의 감사 및 보고 기능들은 액세스 레벨이 언제 어떤 시스템에 허가되었는지를 문서화해준다. 이러한 기록들은 보안 정책 리뷰용의 정보와, 시스템에서의 역할별로 필요한 액세스에 대한 보다 나은 이해를 가져다준다. 예를 들어, 만약 관리자에게 문서화된 시스템 세트 이상으로 액세스가 주어진다면, EUA 솔루션의 감사 및 보고 툴에서는 이 패턴을 보여주고 보안 정책을 조정할 것을 제안함으로써 향후 시간을 절약할 수 있게 도와줄 것이다. 만약 직원들이 보안 정책을 침해하는 액세스를 허가받고 있다면, 소프트웨어는 이런 일이 왜 발생하는지를 파악하고, 기업 보안 정책을 상기시켜줄 필요가 있는 사람이 누군지 가려내 줄 것이다.

법규 준수를 위하여

직원들에게 필요로 하는 액세스를 제공하지 못하는 것보다 재정적으로 더 큰 고통을 줄 수 있는 것은 없다. HIPAA(Helth Insurance Portability and Accountability Act)나 GLB 규정(Graham-Leach-Bliley Act: 금융 서비스, 뱅킹, 보안 기관 및 보험 회사들뿐만 아니라 신용 활동을 유지하는 타이틀 회사와 소매상들을 대상으로 함)을 준수해야 하는 조직과 근로자들은 이를 준수하지 못했을 경우 최고 25만달러의 벌금과 10년 수감형이 주어질 수 있다.

직원들의 건강 관련 기록으로의 액세스를 규정하는 HIPAA는 단순히 제약 및 의료 사업자들 이상에까지 영향을 미친다. 원래 50명 이상 직원의 의료 계획을 위해 돈을 지불하고 있는 회사라면 어디든 이 규정을 따라야 한다. HIPAA가 요구하는 다른 것들 중에서는 사용자가 바이오메트릭, 토큰, 혹은 사용자 ID와 패스워드 조합으로 고유하게 신원확인을 받아야 한다는 것도 있다. 이 법안에서는 또한 회사에서 온라인, 오프라인뿐만 아니라 전자적 전송방안으로 환자 의료정보로의 액세스에 관련된 기록 및 감사 활동을 할 것을 요구하고 있다.

한편, GLB에서는 금융 기관들이 다른 회사와 조직 내에서 모두 소비자의 개인 정보를 공유할 수 있는 능력을 제한하고 있다. EUA 제품들은 감사 기능을 제공하고, 중요한 고객 데이터로의 직원 액세스를 통제함으로써 이러한 조건을 충족시킬 수 있게 도와준다. 예를 들어, 대출 처리 부서에 있는 은행 직원은 대출 신청자의 데이터는 볼 수 있지만, 신용카드 신청자들에 대한 정보는 구할 수 없다. 이러한 권한을 정확히 설정하는 것은 법안을 준수하는 데나 대중의 신뢰를 유지하는 데 있어 모두 매우 중요하다.

보안 침해 뒤에 따라오는 대중의 부정적 인식과 소비자의 신뢰 상실을 생각해 보라. 많은 대규모 감사 기관들(KPMG 등)에서는 공개 회사에서 정보 보안 감사를 전달할 것을 필요로 하며, 그렇지 않을 경우 자신들의 SEC 문서에 오점을 남기게 될 위험이 있다. 법적으로 정해진 벌금은 없지만, 주주들은 그런 것들을 보고 싶어하지 않을 것이다.

액세스 및 자원 할당의 집중화된 관리를 제공함으로써, 회사들은 엄격한 보안 정책이 준수되도록 보장하고, 액세스가 정상적 프로세서 밖에서 허가될 때를 식별할 수 있게 된다. 이것은 프로비저닝 제품들의 기본이며, 보안 정책에 침해가 될지도 모르는 불필요한 액세스를 직원들이 허가받는 가능성을 줄여줄 수 있다.