시스템·서버·DBMS 통합한 U-IAM 시장 열린다
상태바
시스템·서버·DBMS 통합한 U-IAM 시장 열린다
  • 데이터넷
  • 승인 2020.08.16 19:11
  • 댓글 0
이 기사를 공유합니다

데이터 경제 시대, 더 높아진 개인정보 유출 위험 낮추기 위해 통합 플랫폼 필수
복잡한 클라우드·비대면 환경 지원 위해 자동화된 계정·접근제어 전략 시급

[데이터넷] 데이터 경제 시대가 활짝 열리면서 데이터 활용도가 높아지고 이에 따른 데이터 유출 위험도 높아질 것이라는 우려의 목소리가 높다. 또한 비대면 환경 확산으로 원격·이동사용자의 중요정보·개인정보 접근 빈도가 늘어나고 이로 인한 보안 위협도 증가하고 있다. 이를 해결하기 위해 제안되는 보안 기술로 통합계정접근관리(IAM) 시스템이 있지만, 클라우드와 분산·비대면 환경으로 대표되는 디지털 트랜스포메이션 시대를 보호하지 못한다. 멀티 클라우드를 구현하는 모든 환경에서 요구되는 계정과 접근관리 요소를 모두 만족하는 진정한 통합 플랫폼이 필요하며, 'U-IAM'이라는 새로운 개념이 등장하게 됐다.

박천오 피앤피시큐어 대표이사 copark@pnpsecure.com
박천오 피앤피시큐어 대표이사 copark@pnpsecure.com

데이터 경제 시대가 활짝 열리면서 새로운 환경을 지원할 수 있는 보안 시스템을 구축하기 위한 고민이 시작됐다. 특히 데이터 경제를 이끄는 중요 규제인 데이터 3법에는 비식별 처리된 개인정보를 활용할 수 있도록 해 새로운 서비스와 부가가치를 창출할 수 있게 했다. 비식별처리된 민감정보로 인한 위협이 증가할 수 있다는 우려의 목소리가 높다.

이에 대비하기 위해 기업은 컴플라이언스팀을 구성해 법령과 기타 사회 윤리적 요구사항까지 고려해 내규를 정비하고 있다. 더불어 조직·시스템·서비스를 보안적 측면에서 관리 감독함으로써 기업의 리스크를 줄이는 방안을 적극 모색 중이다.

이와 관련해 컴플라이언스 준수를 위해 국내외 보안 시장에서 가장 주목 받고 있는 제품으로는 통합 접근제어 솔루션이 있다. 통합 접근제어 솔루션은 신원 및 액세스 관리의 역할을 수행하는 솔루션으로서 시장에서는 보통 IAM(Identity and Access Management)으로 불린다. IAM은 서버 계정에 대한 관리, 그리고 사용자의 서버 접속과 권한을 통제하고, 응용프로그램에 대한 식별 및 인증 기능 등까지 수행해 주는 보안 솔루션으로서, 최근까지 기업과 기관에서 데이터와 계정에 대한 보안 도구로 활용되고 있었다.

온프레미스 환경과는 달리 클라우드 환경에서는 구조적 특성상 데이터가 분산 저장되고 있기 때문에 사용자의 식별 및 인증, 그리고 프로세스의 통제가 더 어렵게 됐고, 이를 효율적으로 관리할 수 있는 체계도 더욱 절실해 졌다. 현재 IAM으로는 시장의 환경과 요구사항을 충족하기 어려우며, 통합 계정 및 접근 제어 솔루션(U-IAM)으로 진화해야 할 필요성이 있다.

DBMS 지원 제한된 IAM

IAM은 계정 정보 관리와 업무에 따른 권한제어를 위해 등장했다. 시스템 접근제어와 서버보안(SecureOS) 기능을 제공하는 접근제어(AM)와 계정관리(ID)는 접근제어와 계정 관리를 각각 따로 수행한다. IAM은 식별된 사용자가 권한을 가진 IT 자원에 접근할 수 있도록 하나의 솔루션으로 통제하는 사전 조치 역할을 수행한다.

AM과 IM이 결합된 IAM은 시스템 계정과 권한 관리에 집중돼 있으며, 인프라 구성의 주요 자원인 데이터베이스 계정과 권한 지원에는 제한이 있다. IAM은 인증된 사용자만 시스템 접근이 가능하며, 신원이 확인되지 않은 사용자는 시스템 접근이 불가하다. 접근권한을 가진 사용자는 필요 데이터에 대해 권한을 부여 받아 사용할 수 있게 되며, 인증된 사용자, 즉 사용자 계정은 주기적으로 동기화를 수행해 내부 보안 규칙을 준수할 수 있도록 스케줄링을 적용한다.

IAM은 조직이 필요로 하는 정책에 따라 자동으로 사용자 계정의 접근 권한을 관리할 수 있는 기능을 포함하고 있어 유연한 관리가 가능하다. 다만 관리 범위가 시스템(OS, 네트워크)으로 한정돼 있기 때문에 시스템 외 DBMS 등 다른 부분은 통제 하지 못한다. 예를 들어 기업 및 기관에서 사용하는 주요 서비스인 데이터베이스의 계정 및 접근 권한은 IAM을 통해 통제 및 관리가 불가해 관리를 위해서는 별도 솔루션을 운영해야 한다.

<그림 1> IAM 동작 및 지원 범위

IAM 제어 받지 않고 DB 접근하는 사용자

정보 시스템에서 데이터베이스와 시스템은 유기적으로 결합돼 있기 때문에 위협 요인을 함께 확인하고 접근과 권한을 통합해 통제해야 한다. 데이터베이스 접근 권한을 가진 사용자는 IAM의 제어를 받지 않고 시스템 파일에 접근할 수 있으며 이는 보안 사고를 유발할 수 있다.

서로 다른 목적을 가진 시스템 간의 접근은 각 운영 환경에 영향을 줄 수 있다. 이해를 돕기 위해 <그림 2>에서 접근 프로세스를 상세히 표기했다. 데이터베이스를 통해 시스템에 접근 가능한 경우 시스템에 영향(ex. PL/SQL, xp_cmdshell 등)을 줄 수 있으며, 반대로 시스템을 통해 데이터베이스에 접근 가능한 경우 데이터베이스에 영향(ex. SQLPLUS, 쿼리 분석기 등)을 줄 수 있는 명령을 실행할 수 있다. 각 시스템에서 정책을 수립해 안전하게 운영하는 방안을 모색할 수 있으나 이를 구현 하기란 쉽지 않다.

<그림 2> DB/시스템 접근 프로세스

시스템의 접근 권한과 계정을 IAM으로 관리하고, 데이터베이스는 별도 솔루션으로 관리하는 방안을 선택할 수 있다. 하지만 통합 접근제어 솔루션을 도입하려는 담당자라면 비용 또는 보안 인력 관리 또는 부재로 발생할 수 있는 기술지원 이슈(Ex. 유지보수 엔지니어 관리) 등 현실적인 문제가 있음을 인지하고 있을 것이다. 또한 기능적인 면에서 각각의 솔루션 관리가 필요하기 때문에 중복된 정책 수립, 분리된 인증 수단 등의 문제도 발생할 수 있다.

DB, 시스템 접근제어 솔루션을 각각 개별로 운영 시 발생할 수 있는 문제는 다음과 같다.

  • 분리할 필요가 없는 DB 사용자와 OS 사용자를 강제로 분리해 동일한 사용자에게 두 번의 인증과 각각의 보안정책을 설정
    - 물리적으로 두 가지 보안시스템을 운영해야 해 보안정책 설정 복잡도, 장애 가능성, 도입과 운영 비용 증가
    - DB 접근을 차단하기 위해 DB 접근제어와 시스템 접근제어 시스템에서 각각 보안정책 설정 필요. DB서버는 DB와 OS를 동시에 보호해야 하므로 DB,시스템접근제어를 동시에 적용해야 함.
    - 시스템 접근을 차단하기 위해 시스템 접근제어 보안정책 설정
  • 개별 에이전트 사용에 따른 리소스 증가
    - 2팩터 인증을 DB, 시스템 접근제어 별도 사용해 효율성 저하
    - DB 접근 시 DB 접근제어 에이전트 사용
    - 시스템 접근 시 시스템 접근제어 에이전트 사용
  • 동일한 사용자의 감사로그가 각각의 솔루션에 저장돼 로그 조회 불편
    - DBMS로 접속해서 OS 작업을 하면 OS 작업이지만 DB 접근제어 솔루션에 로그가 저장됨
    - OS로 접속해서 DB 작업을 하면 DB 작업 로그임에도 시스템 접근제어 솔루션에 로그가 저장됨
  • 보안 솔루션 별 제한된 통제범위
    - OS에서 DB 명령어 실행 시 이에 대한 통제 부재

 

새로운 패러다임, U-IAM으로의 통합

U-IAM은 온프레미스와 클라우드 환경 등 환경에 제약없이 시스템, 네트워크, 데이터베이스에 대한 계정 관리 및 권한 통제를 수행할 수 있는 솔루션이다. 기존 IAM의 인증과 권한 관리 기능을 지원할 뿐만 아니라 데이터베이스에 대한 접근 인증 워크플로우의 통합, 보고 및 감사 기능을 갖추고 있다.

무엇보다 중요한 것은 상호 보안과 인증을 제공한다는 점이다. IAM의 권한, 계정 관리 등의 기능에 더해 U-IAM은 그 범위를 데이터베이스 영역까지 확장했다. 시스템과 데이터베이스는 분리해 관리할 수 없기 때문에 서로 유기적인 보안 조치가 필요하다. U-IAM에서는 기존 IAM에서 부족했던 부분인 데이터베이스 보안을 강화하기 위해 접근제어, 계정 관리 등의 기능을 제공한다.

U-IAM은 기존 IAM이 제공했던 인증, 인가, 관리, 프로비저닝 요소를 포함하고 있으며, 데이터 보존 요소를 추가로 포함됐다. 데이터 아카이빙을 통해 각 시스템 별 데이터 액세스에 대한 유지 및 보존을 가능하게 한다.

기존 IAM에 비해 U-IAM은 진정한 통합으로 볼 수 있다. IAM이 시스템 계정 및 접근 관리에 국한 됐다면, U-IAM은 차세대 보안 솔루션으로써 시스템, 네트워크, 데이터베이스에 대한 통합 계정 관리 및 접근 제어를 지원한다. 이에 각기 다른 솔루션을 도입해 운영해야 하는 문제를 U-IAM 솔루션 구축을 통해 해소할 수 있다.

구체적인 U-IAM의 구성요소는 다음과 같다.

  • 인증(Authentication)
    - 통합 인증(SSO), PKI, 생체인식 등
    - ID 정책 + 패스워드 정책, 인증방법, 중앙관리
  • 인가(Authorization)
    - 기업 차원 접근권한 관리, RBAC 기반 접근권한 관리
    - 개인 프로파일 반영한 개인화 효율적 권한 위임 서비스
  • 관리(Administration )
    - 통합적인 로깅과 이를 이용한 감사, 리포팅
    - 웹 기반 접근, 사용자 인터페이스 제공
  • 프로비저닝(Provisioning)
    - 자동화된 계정 생성, 관리 기능의 프로비저닝
    - 계정 관리와 자원의 자동 동기화, 유휴 계정 삭제
    - 자동화된 워크플로우 기능
  • 데이터 아카이빙(Data Archiving)
    - 액세스에 대한 유지와 데이터 보존

<그림 3> U-IAM 구성도

U-IAM, 보안·관리 편의성·규제준수 요건 만족

국내 기업이 통합 솔루션을 도입하려는 목적은 법률 준수, 비용 절감, 편의성과 내부 통제를 위한 책임성, 투명성, 측정 가능성 등의 요소를 고려했기 때문이다.

U-IAM 도입 효과는 다음과 같다.

  • 보안성 강화: DB·AM·IM을 각각 따로 운영할 때에는 사용자의 작업을 단편적으로만 감시할 수 있었지만, U-IAM(DB+AM+IM)에서는 사용자의 각종 작업(DB사용, 파일, 서버접속 등)을 모두 감시해, 보다 강력하고 광범위한 통제를 할 수 있게 된다.
  • 비용 절감: U-IAM 하나만 도입·구축·관리하면 되기 때문에 각 기능을 개별 구매할 때에 비해 상대적으로 도입 비용의 부담이 적고, 구축 기간의 단축과 운영 비용도 크게 절감된다.
  • 행위 추적 용이: 사용자 행위가 U-IAM 하나의 보안시스템에서 관리·저장되기 때문에 별도의 연관분석시스템이 없이도 사용자의 식별 및 행위 추적이 용이해진다.

U-IAM을 도입은 시스템, 네트워크, 데이터베이스에 대한 업무 수행 주체의 확인을 용이하게 하며, 인프라 전반에 대한 프로세스 통제를 통합 관리할 수 있도록 한다.

국내의 경우 점차적으로 컴플라이언스가 강화됨에 따라 보안 솔루션에도 그에 따른 대응이 필요하게 됐다. 이전까지 요건에 맞는 솔루션을 개별 도입하는 방안으로 시스템을 구성하는 것이 대세였다면, 근래에는 하나의 솔루션 도입으로 다수 요건을 충족시키고, 호환성 및 신뢰성을 증진하는 방향으로 전환되고 있다.

U-IAM은 기업, 기관의 정보를 보호하기 위한 통합 인증과 인가 프로세스를 제공하고 규제 준수를 위한 정책 반영을 자동화하며, 감사 및 보고에 필요한 로그 정보 기록 등의 기능을 제공한다. 이를 통해 U-IAM 안전성, 업무 효율성면에서 인정받는 IT 기술의 핵심으로 자리매김하게 될 것이다.

요즘과 같이 급변하는 IT환경과 분산 컴퓨팅 환경일수록 시스템과 데이터베이스 모두에 대해 계정관리 및 접근제어를 통합해 처리할 수 있는 솔루션이 필요하다. U-IAM이 우리의 정보 자산과 서비스를 보다 안전하고 편리하게 관리해 줄 수 있는 차세대 보안 솔루션으로 부각되고 있다.

U-IAM은 시스템 관리·통제에 국한됐던 기존의 IAM의 통제 영역을 데이터베이스 영역까지도 확장했다는 것과 여러 기능들의 진정한 통합을 이루었다는 것에서 기존의 IAM과는 확실히 다른 진화된 모습을 갖추고 있고, 특히 데이터베이스 안에 저장되는 개인정보 및 민감 정보에 대한 통제를 할 수 있다는 것에서 기존의 IAM에서는 기대할 수 없었던 가치를 제공하고 있다.

시장의 요구를 통해서 IAM이 등장했지만, 이제는 더 많은 요구사항과 변화를 수렴해 줄 수 있는 U-IAM이 IAM 시장의 새로운 패러다임을 형성할 것으로 전망된다. 지금까지 보안 솔루션들은 기술과 기능에 주로 포커싱 됐지만, U-IAM은 CISO 관점에서 고민하고 있는 ‘동일한 보안성을 유지한다’는 조건에서 유사 솔루션의 통합, 에이전트 설치 최소화, 도입·구축·관리 비용의 절감이라는 새로운 관점에서 접근한 보안 플랫폼이다. 2019년 한 해에만 초대형 기관을 포함한 50여 개의 기관에 도입되면서 대세를 굳히고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.