파트너와 고객이 비즈니스 데이터로 맞춤화된 액세스를 하도록 하면서 동시에 다른 콘텐츠는 출입을 금지시키려면, IAM(Identity and Access Management) 스위트의 도움을 받는 게 좋다. 이들은 소중한 파트너와 고객에게 내부 자원으로의 맞춤화된 액세스를 제공하면서 셀프서비스나 싱글사인온과 같은 사용자의 편의를 나눠 줄 수 있게 해준다.

조직은 안전하게 사용자와 이들이 액세스하는 자원을 인증, 권한부여 및 감사해야 하며 동시에 고객과 파트너를 최고로 우대해야 한다.
여기서 첫 번째 항목을 충족시키기 위해서는 이 세 가지 A, 즉 인증(Authenti cation: 당신은 누구인가?), 권한부여(Authorization: 무엇에 액세스할 수 있는가?), 그리고 감사(Audit: 누구에 의해 무엇이 액세스되었는가?)를 커버하는 시스템을 이행할 필요가 있다. 이런 데이터를 수동으로 모으려면 많은 비용이 들기 때문에 여러 조직에서는 자동화를 통해 비용을 줄이고 있지만, 이것은 결코 쉬운 일이 아니다. 전산관리자들은 수많은 데이터 저장소와 계정 저장소뿐만 아니라 다양한 운영시스템과 사업 부문을 다뤄야 하기 때문이다.
가트너에 따르면 오늘날에는 평균적인 포춘지 1천대 기업들이 181개의 데이터 저장소를 보유하고 있다고 한다. MIIS(Microsoft Identity Information Server)의 제품 매니저인 잭슨 쇼는 “고객사 중 하나는 89개의 계정 저장소가 있다”고 말했다.
포춘지 100대 기업 중 하나에서 고객관리 부서의 시스템 및 프로세스 매니저로 일하고 있는 한 사람은 보통 하루에 12개의 내부 계정 저장소와 6~8개의 외부 저장소에 대조해 인증을 한다고 했다. 그는 직원들이 자원으로의 적절치 못한 액세스를 갖고 있는 경우가 흔하다고 지적하면서, 과거의 직원들의 살아 있는 어카운트와 신원을 포함하고 있는 이러한 계정 저장소들로 인한 보안 위험은 당혹스러운 수준이라고 말했다. 대신, 마찬가지로 당혹스러운 일이지만 한 직원이 자원으로 액세스가 필요할 때 적절한 권한을 확보하기 위해 몇 주가 걸리는 경우도 있다고 한다.
이런 것들이 보기 드문 상황이라고 생각하지 않도록 우리는 독자들에게 각자의 조직이 인증받은 사용자에게 제공하는 웹 자원의 수를 추측해 볼 것을 요청했다. 307명의 응답자들 가운데 절반 가까이가 100개 이상의 자원을 지원한다고 말했으며, 12%는 5천개 이상의 자원이 사용 가능하다고 말했다. 상상할 수 있겠지만, 바로 이런 이유로 두 번째 항목, 즉 최고의 고객과 파트너들용의 액세스를 맞춤화하고, 엔드유저에게 싱글사인온과 셀프 서비스 기능과 같이 멋진 것들로의 액세스를 제공해야 하는 일이 대단한 도전이 된다.
이러한 슬픈 상황은 기술 통합의 부족과 프로시저 및 정책의 실패로 인한 것이다. 한 사업부에서 빡빡한 예산으로 프로젝트를 이행하려 할 때는 컨설턴트를 고용해 스탠드얼론 웹 애플리케이션을 만든 다음, 적절한 채널을 통해 기존의 계정 저장소와 통합을 하는 편이 더 쉽다. 대부분의 경우 이렇게 별로 중요해 보이지 않는 프로젝트들은 IT 부서의 동의나 지식이 없이 이뤄지며, 보안 취약성이나 확장성 문제가 발생했을 때만 IT의 레이더에 포착된다.

무엇을 해야 하는가
여기서 도움은 IAM(Identity and Access Management) 제품들을 통해 받을 수 있으며, 본지에서는 5개의 IAM 스위트들을 테스트해 보았다. IAM 제품의 지형도는 지난 몇 년간 상당한 변화를 경험했다. 많은 경우 한때 웹 액세스 제어나 계정관리에 역점을 두어 본 업체들이 현재 이 두 가지를 처리하는 소프트웨어를 제공하고 있다. 다음은 여기에 대한 핵심 개념을 간단히 소개하기로 한다.

>> 계정관리(identity management)에는 조직 내의 계정의 생성, 유지보수, 폐기, 그리고 전체적인 관리가 포함된다. 다시 말해 계정관리는 권한부여가 아니라 인증에 대한 부분이다. 초보적인 것이라고? 그렇지는 않다. 계정관리에는 정책 애플리케이션과 다중 저장소에서의 계정 동기화가 필요하다. 이러한 계정 저장소들은 네트워크 OS, 데이터베이스 서버, 디렉토리, HR 시스템, 비즈니스 애플리케이션 및 e-커머스 애플리케이션 안에 있을 수 있다.
관리를 더욱 힘들게 만드는 것은 조직들이 종종 계정 정보를 두 개의 서로 다른 저장소에 보관한다는 사실이다. 예를 들어 주소가 HR에서는 업데이트되면서 회사 온라인 리스팅에서는 되지 않을 수도 있다. 그리고 업계에서는 계정 연방제에 역점을 두기 때문에 도메인들간에 계정의 보안 공유가 허용되며, 한때 직원들만을 관리했던 조직들은 이제 업체, 리셀러 및 파트너 등 외부의 계정까지 처리해야 한다. 계정 연방제는 아직 초기 단계기 때문에 오늘날 이행되고 있는 시스템들이 향후 몇 개월 혹은 몇 년만에 크게 바뀔 수 있는 가능성은 얼마든지 존재한다.

>> 웹 액세스 제어(web access control)는 웹 자원으로 통제된 액세스를 제공함으로써 개인의 권한부여 및 인증을 처리한다. 웹 액세스 관리 시스템은 보통 일회 인증용으로 SSO(Single Sign-On) 컴포넌트를 제공한다. 시스템은 사용자가 조직 내외부의 자원으로 액세스를 시도할 때 사용자의 증명서를 관리한다. SSO 이행은 단기적인 현실이 아니라 장기적인 목표일 때가 많은데, 그 이유는 서로 다른, 그리고 아마도 레거시 애플리케이션을 통합하는 데 따르는 복잡성 때문이다. 조직들이 기대할 수 있는 가장 최선은 줄어든 사인온(보다 적은 로그인)이다.
>> 프로비저닝의 어려움 때문에, 신규 직원용의 디지털 계정이 만들어지고 자원으로의 적절한 액세스가 주어지는 데는 보통 24시간 이상을 기다려야 하는 경우가 많다. 프로비저닝은 언제나 기술적인 관점에서보다 비즈니스적인 관점에서 더 까다로운데, 그 이유는 회사들이 누가 자원을 관리하는 책임을 맡고 있는지, 그리고 누가 감사와 위험에 대한 책임을 지는지에 대한 생각이 없는 경우가 많기 때문이다. 프로비저닝 시스템은 자원으로의 액세스를 허가, 혹은 거부하는 과정을 단순화하고 집중적으로 관리할 수 있다. 우리가 테스트해 본 프로비저닝 컴포넌트는 사용자들이 자가 등록을 할 수 있게 해주며, 새 어카운트로의 액세스를 확보하기 위한 승인 절차 워크플로우의 생성을 지원한다.

>> 위임 관리(delegated administration)는 조직에서 사업부나 심지어 파트너들에게까지 사용자나 작업의 서브세트 관리를 위임할 수 있게 해준다. 제어를 분산시킴으로써 조직은 계정관리 부담을 덜 수 있다. 이 프로세스에는 최소한 두 가지 역할이 있는데, 그것은 각각 비즈니스 관점에서 계약을 파기하는 사람과, 물리적으로 액세스를 허용하는 사람/기계다.

>> 계정 연방제(federated identity)는 대부분의 업체들이 향후 몇 년 동안 이용하기를 희망하는 인프라의 물결이다. FIM(Federated Identity Management)는 회사들이 계정을 보안으로 공유함으로써, 직원, 고객 및 파트너들에게 공급망 전체의 시스템과 자원으로 액세스를 제공할 수 있게 해준다. FIM은 하나의 기술 이상의 의미가 있으며, 조직에서 그 이점을 제대로 누리기 위해서는 적절한 정책과 프로시저, 그리고 신용 협정 등이 갖춰져야 한다.
FIM은 경쟁하는 표준들이 있는 초기 단계에 있다. 선두 주자는 SAML(Security Assertion Markup Language)로, 이번 리뷰에 참가한 모든 업체들이 이것을 지원하고 있다. OASIS(Organization for the Advancement of Structured Information Standards) 안에 있는 SSTC(Security Services Technical Committee)에 의해 개발된 XML 기반 사양인 SAML은 연방제 계정 표준을 진작시키기 위해 형성된 산업 그룹인 리버티 얼라이언스(Liberty Alliance)의 프레임워크에 속해 있는 표준이기도 하다.
마이크로소프트와 IBM 대안 프레임워크인 WS-피더레이션(Web-Service-Federation)을 제안했다. 이 두 가지 표준은 아마도 SAML 2.0의 발표와 함께 통합될 것으로 전망된다.

시장을 이끄는 동력
IAM 이행을 주도하는 동력으로는 준수, 보안, 비용 절감 및 매출 향상 등 네 가지를 꼽을 수 있다.

준수
계정관리나 자원으로의 보안 액세스에 직접적으로 연관되는 몇 가지 법안이 제정됐다. 아래의 세 가지 법안 외에도, 조직에서는 1999 그램리치 브릴리법(Gramm-Leach-Bliely Act)과 유럽연합 프라이버시 규정안(European Union privacy regulations)를 검토해 봐야 하는데, 이들은 미국의 같은 법안들보다 더 엄격하다.

>> 사베인 옥슬리 법(Sarbanes-Oxley Act): 404 조항을 보면 조직들은 정확한 내부 액세스 제어 스트럭처를 만들고 관리해야 하며, 매년 이 스트럭처의 효과를 평가하도록 요구하고 있다.
>> HIPAA(Health Insurance Portability and Accountability Act): 164. 312 조항에서는 보호돼야 할 의료 정보로의 액세스는 특별히 허가된 액세스 권한을 가진 사람에게만 허용하도록 하는 정책과 프로시저를 이행할 것을 요구하고 있다.

>> 패트리어트 법(Patriot Act): 326 조항은 커스터머 아이덴티피케이션 프로그램(Customer Identification Program)으로, 이것은 미국에서 활동하는 금융서비스 기관들이 계좌를 개설한 각 개인이나 집단의 신분을 증명하는 정보를 수집, 검증 및 문서화하도록 요구하고 있다.

보안
잘못된 계획과 이행은 위험을 높인다. 예를 들어 하나의 SSO 계정을 악용하는 공격자라면 한 번에 여러 자원들로 액세스를 할 수 있다. 이러한 위협을 없애기 위해 우리가 테스트한 모든 IAM 제품에는 상세한 감사 추적 및 보고 기능이 있었으며, 어떤 것들은 이벤트 트리거, 모니터링 및 경보를 허용하기도 했다.

비용 절감
시간이 경과하면서 IAM 인프라는 유형 무형의 비용 절감을 가져다 줄 것이다. 예를 들어 우리가 테스트한 대부분의 시스템들은 얼마간의 위임 관리와 사용자 프로비저닝이 있어 관리자들이 특정 자원으로의 액세스를 설정, 해제 및 제어하기 쉽게 해주고 있다. 게다가 사용자는 소프트웨어에 있는 자가 서비스 기능을 통해 자신만의 패스워드를 다시 만들 수 있다. 이러한 기능들 덕분에 헬프데스크 요청 수가 줄어들고 IT 총 관리비용이 절감된다.
본지 독자 설문조사에 따르면 31%가 자신들의 회사에서 패스워드 재설정을 허용한다고 말했으며, 일부는 엔드유저가 주소나 전화번호와 같은 신상 정보를 업데이트할 수 있게 해준다고 답했다. 가트너에 따르면 1만명 직원의 한 회사가 12개 애플리케이션에 대한 프로비저닝을 자동화할 경우 3년간 약 350만달러가 절약된다고 한다. 이는 IT에서 사용자 액세스를 관리하는 시간으로 연간 1만4천시간이, 그리고 연간 6만6천시간의 헬프데스크 시간이 절감되는 것으로 나온 값이다.
IAM 소프트웨어를 맞춤화하는 회사에서는 워크플로우를 자동화하는 맞춤 API나 빌트인 기능을 이용함으로써 추가 절감 효과를 누릴 수 있다. 마지막으로 SSO와 자가 서비스는 직원들에게 즉각적인 만족감을 주며 보안 증명서를 기억하기 쉽게 해준다.

매출 향상
어떠한 B2B 조직이든 한 가지 주된 목표는 웹 사이트를 통한 전자 거래의 수를 늘리는 것이다. 연장제 솔루션을 이행할 경우 조직에서는 영업 사원과 파트너, 그리고 외부 구성원들에게 자원으로의 액세스를 보다 빠르고 편리하게 허용할 수 있기 때문에 이것이 더욱 용이해진다.

중소기업까지 확산은 시간문제
지금은 대다수의 대형 조직들이 IAM을 검토하거나 이행하고 있는 때이며, 설문 조사에 응한 사람들 중 절반은 이 기술에 5만달러 이하를 쓰게 될 것이라고 답했다. 반면에 5만달러 이상을 지출하겠다고 한 회사에 다니는 사람은 6%에 불과했다.
IAM이 고객 로그인 관리가 필요한 중소기업들에게까지 확산되는 것은 시간 문제다. RSA 시큐리티 제품 매니저인 브레인 브레튼은 회사의 직원 수가 1천명밖에 되지 않으며 1만2천개 이상의 계정을 관리하고 있지만, 이런 규모의 회사들은 IAM을 이행하는 데 서두르지 않는다고 말했다. RSA만 그런 것이 아니다. 많은 글로벌 IAM 이행을 다루어 본 한 컨설턴트는 특히 일단 회사에서 공급업체나 파트너에게 자사 공급망으로의 액세스를 허용하고 나면 관리해야 할 계정의 수가 10배나 늘어났다는 말을 드물지 않게 듣는다고 말했다.
계정관리에만 초점을 두고 있는 마이크로소프트는 두 가지 버전의 MIIS로 모든 조직들을 타깃으로 하고 있다. 아이덴티티 인티그레이션 피처 팩(Identity Integration Feature Pack)은 무료 다운로드가 가능하며, 액티브 디렉토리만 연결될 MIIS 버전이다. 기업용 버전은 CPU당 2만4천999달러로, 테스트한 몇 가지 제품들과 작동한다. 마이크로소프트는 이번 IAM 리뷰에는 맞지 않았는데, 그 이유는 이 제품에 액세스 제어 기능이 없기 때문이었다.
훈련이나 자문이 없이 이런 제품을 이행해 보라고 권하고 싶지는 않다. 예를 들어 네티그리티(Netegrity)의 사이트마인더(SiteMInder)와 아이덴티티마인더(IdentityMinder)를 테스트한 후에는 제품 관리에 보다 깊이 들어가기 이전에 네티그리티 본사의 학술 프로그램에 참가해야 할 필요가 있겠다는 느낌을 받았다.
제 2부 리뷰에서 언급하게 되겠지만, 소프트웨어를 설치 및 가동하는 일은 전쟁의 시작에 불과했다. 예외 없이 본지 리얼월드 랩을 방문한 업체들은 정책을 규정하고 별개의 계정 저장소들을 통합시키는 일이 훨씬 더 오래 걸린다고 말했다. 예를 들어 몇 개의 데이터 저장소가 있는 전형적인 기업이라면 어떤 저장소가 허가기관이고 계정 정보가 저장소들간에 어떻게 공유돼야 하는지를 지정하는 정책들을 만들어야 한다.
정책은 부서와 같이 간단한 것을 기반으로 할 수도 있고, 혹은 몇몇 데이터 저장소들의 데이터를 기반으로 하는 정책처럼 역동적이 될 수도 있다. 역할이나 기능도 또한 만들어져야 한다. 역할 기반 액세스 제어는 수천 명의 사용자들에게 정책을 기반으로 한 액세스를 할당함으로써 이들의 관리를 단순화시킨다. 사용자가 정확히 정의된 역할에 맞지 않을 경우 조직에서는 특정 기능(기능 기반 액세스 제어)으로의 액세스를 허용할 수 있으며, 이것은 보다 정밀한 액세스를 허용하지만 시스템 오버헤드를 높인다.
계획에는 또한 어떤 자원이 보호돼야 하는지를 결정하고, 손상당한 자원이 역으로 조직에게 어디까지 영향을 미칠지를 결정하는 일이 포함된다. 이러한 의사결정 프로세스는 자원 액세스에 필요한 인증 수준을 파악하는 데 도움이 되는데, 예를 들어 사용자 이름과 패스워드뿐만 아니라 테스트한 모든 제품들은 토큰, 스마트카드, X.509 증명서, 연방제 계정 및 생체인식(biometrics) 등을 지원하고 있다. 일단 이러한 척도가 만들어지면 그 다음으로는(반드시 그 다음으로) IT 관리자나 자원 소유를 위임 받은 사람에 의해 ACL과 정책이 설정돼야 한다. 물론 만만치 않은 작업이긴 하지만 그 결과로 효율성, 보안 및 맞춤화 능력이 강화되기 때문에 IT에서는 비즈니스 목표를 달성하는 데 실질적인 공헌을 보다 잘 할 수 있게 된다.

Executive Summary
IAM 스위트

IAM(Identity and Access Management)은 강력한 툴 세트다. 이것은 효율성을 향상시키고(비용 절감), 셀프서비스와 SSO를 제공함으로써 직원의 생산성을 높이며, 소중한 파트너, 고객, 그리고 공급업체에게는 내부 자원으로의 액세스를 제공한다.
약점은 인프라가 얼마나 퍼져 있고 복잡하냐에 따라(특히 계정 보관소가), IAM은 이행하기에 어려울 수도 있다는 점이다. 제 1부에서는 IAM 시장을 분석하고 IAM 스위트가 자신에게 적합한지를 결정할 수 있도록 각 부문을 검토해 보았다.
제 2부 리뷰 편에서는 엔티그리티 솔루션즈, HP, 네티그리티, 노벨 및 RSA 시큐리티 등의 IAM 스위트 5가지를 평가해 보았다. 이 소프트웨어는 비교적 관리성이 있긴 하지만 SAML과 같은 보안 사양에 대해서는 여전히 확실치가 못했다. 이는 유비쿼터스 IAM을 위해서 필요한 부분이며, 액세스 정책을 규정하기 위해서는 많은 부서들간의 협동이 필요할 것이다.
하지만 그 잠재적인 보답은 흥미를 끌만하다. 테스트한 일부 제품들은 패스워드 동기화 모듈을 제공해 다중 저장소들간에 패스워드를 동기화한다. 게다가 엔티그리티 제품을 제외한 모든 제품이 패스워드 셀프서비스를 제공하기 때문에 엔드유저는 IT의 도움이 없이 자신들의 패스워드를 바꾸고 재설정할 수 있다. 비용 절감효과만 하더라도 상당하며, 특히 헬프데스크를 아웃소싱하거나 사건당 책임을 져야 하는 조직의 경우는 더욱 그러할 것이다.
최종적으로, HP의 실렉트 액세스가 에디터즈 초이스를 받게 되었다. 이 제품의 포괄적인 사양 세트는 액세스 성이 매우 좋아는데, 이는 IAM 작업을 쉽고 신속하게 수행하도록 해주는 고도로 직관적인 관리 인터페이스 덕분이다.

FIY 너브와이어(NerveWire)에서 실시한 설문조사에 응답한 미국 회사의 38%가 계정관리에 투자한 돈의 5배를 돌려받을 것으로 예상된다고 답했다. 그 외 10%는 투자 비용의 최소한 배를 기대하고 있다. 매사추세츠 주 뉴튼에 위치한 컨설팅 및 시스템 통합업체인 너브와이어는 지난 해 11월 145개의 미국 회사를 대상으로 설문조사를 실시했으며, 이들 회사의 절반 이상이 금융 서비스 기관이거나 CSO(Chief Security Officer)가 있는 곳들로 구성됐다.