고객 환경 특수성 고려한 맞춤형 구축 방안 제공해야
[데이터넷] 최근 공격자는 지하시장에서 저렴하게 판매하거나, 이전에 정보유출 공격을 통해 입수한 계정 정보를 이용해 로그인한다. 만일 비밀번호가 변경되거나 적응형 접근통제 정책을 통해 비정상적인 환경에서는 접근이 차단되도록 했다면, 공격자가 입수한 계정정보로는 접속이 불가능하다. 따라서 계정관리와 접근통제는 함께 적용돼야 한다.
가트너는 접근통제 정책을 수립할 때 반드시 고려해야 할 사항으로 ▲세분화된 역할 기반 액세스 제어(RBAC) ▲권한있는 액세스 관리(PAM) ▲권한의 정기적 검토와 조정 ▲다중인증(MFA) 등이 필수이며 ▲세분화된 세션 관리로 위험도에 따라 다른 접속통제 지원 ▲ID 인지 프록시(IAP)를 이용해 비표준 애플리케이션이나 SAML, OAuth, OIDC 등 ID 프로토콜을 지원할 수 없는 애플리케이션까지 지원할 수 있어야 한다고 설명한다.
적응형 액세스 제어(AAC) 기능은 AM이 반드시 갖 춰야 할 요소다. 접속을 요청하는 상황의 신뢰도를 파악해 정상 권한을 가진 사람의 접근인지 파악한다. 예를 들어 평소에 접속하던 서울의 사무실에서 정상 업무 시간에 접속했다가 2시간 후 호주에서 접속한다면 정상적이지 않은 접근으로 판단하고 접속이 차단 될 수 있다.
IaaS·데브옵스 및 컨테이너를 위한 접근통제도 필수다. 클라우드의 빠른 속도를 지원하면서 다양한 협업을 통한 개발 환경을 지원하기 위한 IM과 AM이 필요하다. 데브옵스 환경에서 사내 개발자뿐 아니라 외부 개발자 도 접속할 수 있으며, 실시간으로 전개되는 CI/CD 파이 프라인 상에서 공격자가 개발자 권한을 탈취해 악성코 드를 주입시킬 수도 있다. 따라서 데브옵스 상에 IM과 AM을 적용한 개발 환경을 마련하는 것이 필요하다.
IDaaS로 멀티 클라우드 계정·접근 보호
계정관리와 접근통제를 통합한 IAM은 디지털 트랜스포메이션이 확장될수록 더욱 필수적인 항목이 된다. 서비스와 애플리케이션이 다양해지면서 이에 접근하는 사람과 기기, 애플리케이션이 늘어나고, 이들에게 계정을 부여하고 적절한 접근통제를 적용하는 자동화된 솔루션이 필수다.
IAM 분야의 리더 중 하나인 옥타는 클라우드 기반 ID 서비스(IDaaS)를 제공하는 기업으로, 기업 구성 원과 IT 자원을 위한 ‘워크포스 아이덴티티 프로덕트(WIP)’와 고객을 위한 ‘커스터머 아이덴티티 프로덕트(CIP)’를 제공, 기업 구성원에서 고객까지 확장되는 안전한 ID 플랫폼을 제공한다.
SSO, 적응형 MFA, 유니버설 디렉토리, 라이프 사이클 관리, API 액세스 관리, 액세스 게이트웨이, 리스크 기반 접근관리 등의 기능을 통해 가장 완성도 높은 IAM을 제공한다고 자신한다. 또 IAM으로 VPN 없이 WFA(Work From Anywhere)를 구현할 수 있다고 강 조한다.
정광연 옥타코리아 전무는 “IAM은 업무와 밀접한 관련이 있기 때문에 빠르게 변하는 비즈니스 환경을 지 원하면서 사용과 관리 편의성이 보장돼야 한다. 옥타는 SaaS로 제공돼 별도의 어플라이언스 구축 없이 쉽게 사용할 수 있으며 6500여개의 커넥터를 이용해 다양한 업무 애플리케이션과 연동, 중앙집중적인 ID와 접근관 리가 가능하다”며 “IM, AM, PAM, SSO, MFA 등 인 증·접근통제와 관련된 모든 기능을 옥타에서 직접 지원할 수 있으며, 써드파티 연동을 통해 원활한 통제를 지원할 수 있다”고 말했다.
클라우드 지원 강화하는 토종 솔루션
인증, 계정관리 분야에 외산 솔루션이 대거 진입하면서 토종 솔루션 기업들이 긴장도를 높이고 있다. 지금까지 이 분야는 광범위한 커스터마이징이 필요해 완성된 패키지 솔루션이나 SaaS로 이용하기 어렵다고 여겨 졌다. 그러나 국내 기업·기관이 클라우드 우선 정책을 펼치면서 원활한 클라우드 지원이 가능한 외산 솔루션 에 관심을 돌리기 시작한 것이다.
토종 솔루션 기업들도 클라우드 지원 범위를 확대하고 통합·자동화를 지원하는 패키지를 제공하면서 시장 의 변화에 적극 대응하고 있다. 피앤피시큐어는 강력한 접근제어 기술을 가진 ‘디비세이퍼’를 DB, 서버, 애플 리케이션, OS에도 적용한 통합 IAM으로 제공한다. 국내에서 사용되는 거의 대부분의 클라우드를 지원하며, 접근제어와 관련된 모든 기술을 단일 플랫폼에서 제공 해 관리 복잡성을 낮추고 일원화된 ID·접근제어를 지원할 수 있다. 피앤피시큐어 ‘디비세이퍼’는 금융권 마이데이터 구축 사업에도 잇달아 공급되고 있다.
휴네시온도 IAM 솔루션 ‘NGS’의 클라우드 지원 기 능을 강화하면서 시장 변화에 대응하고 있다. NGS는 시스템 접근제어와 계정관리를 지원하는 서비스로 자동화된 패스워드 관리를 제공하며, 대상 시스템에 대 한 보안취약점 점검 기능까지 제공한다. 에이전트·에이전트리스 방식을 모두 지원하며, 온프레미스와 동일한 보안 기능을 클라우드에서도 운영할 수 있게 했다.
국내 최적화된 전문 솔루션 공급
IAM 전문기업 넷츠는 대규모 제조사 등 국내 160여 기업에 통합계정관리 체계를 구축해 온 역량을 바탕으 로 멀티·하이브리드 환경을 지원하는 차별화된 ‘넷츠* 아이덴티티매니저’를 제공한다.
이 제품은 인증과 계정권한을 통합해 운영할 수 있도 록 하며, 온프레미스·하이브리드 클라우드, 멀티 컴퍼니 등 모든 환경에서 일원화된 IAM을 운영할 수 있도록 한다. 또한 전문인력을 통해 계정과 권한에 대한 핵심 요구사항을 분석해 성공적인 IAM 방안을 제안한다.
시큐브는 시스템 통합 계정권한관리 솔루션 ‘아이그리핀(iGRIFFIN)’과 수기서명인증 서비스 ‘시큐사인 (SecuSign)’을 연동해 인증보안을 한층 강화한다. 아 이그리핀은 라이프사이클에 최적화된 계정관리와 실 사용자 기반 행위감사, 역할기반 계정권한관리, 명령 어 통제와 접근통제 기능을 지원하는 복합인증 등을 지원한다.
이규호 시큐브 대표이사는 “시큐브는 독자적인 기술로 클라우드 등 새로운 IT 환경에 최적화된 제품을 공 급하고 있다. 국내 중요 공공·금융·국방산업에 공급해 온 안정적인 기술력을 기반으로 확장되는 통합계정접 근관리 시장을 공략할 것”이라고 말했다.
한편 시큐브는 수기서명인증과 전자서명인증센터의 타임스탬프(TSA)를 결합한 ‘시큐사인’ 서비스를 오픈했다. 이 서비스는 전자계약에 참여하는 서명자들이 앱스토어에서 전용 앱을 다운받아 등록한 본인의 수기 서명을 실시간으로 인증받아 서명한다. 서명자 행위 특징을 기반으로 인증하고 대리서명을 원천 차단해 강력 한 부인방지 기능을 제공한다.
