제1부 : 아이덴티티 관리(IdM)
상태바
제1부 : 아이덴티티 관리(IdM)
  • 데이터넷
  • 승인 2007.10.19 00:00
  • 댓글 0
이 기사를 공유합니다

SPECIAL ISSUE / IT AUTOMATION
스스로 돌아가는 프로세서와 반복적인 운영작업의 단조로움으로부터의 자유를 꿈꾸고 있는가? 이번 호에는 특별 기획으로 IT에서 현실적으로 적용할 수 있는 자동화 전략과 제품들을 검토해 보고, 이들이 지니고 있는 가치를 분석했다.

자유 꿈꾸는 IT 자동화, “열매를 맛보기 시작했다”

기술자들은 스스로 돌아가는 프로세스를 좋아하는 성향이 있다. 우리는 서버용 스크립트나 클라이언트용 매크로를 만들고, 우리 조직의 IT 운영 전체를 자동화하는 일에 전적으로 매달린다.
그러나 로봇의 효율성이 오랫동안 디트로이트 조립 라인에서 큰 기여를 해왔음에도 불구하고, 이 원대한 꿈을 품었던 IT업계는 이제 겨우 자동화의 열매를 맛보기 시작하고 있다.
믿기 힘들겠지만 스스로를 재구성하는 서버와 케이블 절단 문제를 자체 해결함으로써 IT를 운영비로부터 자유롭게 해주는 네트워크 이야기를 가지고 HP의 어댑티브 엔터프라이즈(Adaptive Enterprise)와 IBM의 오토노믹(autonomic) 컴퓨팅이론이 우리를 놀라게 한 지 벌써 약 3년이 지났다.
자가치료 네트워크를 전달한다는 이니셔티브는 인터넷 시간으로 보면 무한히 오래됐겠지만, 실제로 그 배치는 아직 유년기이다. 즉 이상적인 네트워크가 어떤 모습이어야 하는지에 대해 한 업체의 아키텍처 비전으로 표준화하고자 하는, 혹은 그럴 수 있는 곳은 거의 없는 상태다.
이러한 현실적인 관점을 바탕으로, 우리는 IT 자동화 상태를 개괄적으로 조명해 볼 수 있는 자리를 마련했다. 그리고 오늘날 이행 가능한 기술들을 살펴보고, 우리에게 궁극적으로 가져다 줄 결과에 대해 짐작해 봤다.
여기서 우리가 발견한 것은, 사용자들이 조직을 들어오고 나갈 때 이들을 프로비저닝(provisioning)하는 쪽은 기계화에 잘 준비돼 있다는 사실이었다. 제1부 아이덴티티 관리(IdM)에서는 보안 전문가 그레그 시플리가 IdM 툴과 그 기술을 심도 깊이 분석하고, 업계 전반의 IT 관리자들로부터 조언을 모아 IdM의 가치와 위험, 그리고 도전을 알아봤다.
그리고 제2부 IT 프로세스 자동화에서는 프로세스 자동화에는 정교한 관리 소프트웨어가 필요하지만, HP나 IBM의 아카텍처와 전적으로 계약을 하는 것은 어떤 조직에서든 현실적이지 못한 선택이라고 마이클 비딕이 지적하고 있다. 다행히도 규모가 작은 업체들이 보다 적정한 프로세스 자동화 패키지를 개발했으며, 우리는 이 가운데 세 가지 스위트를 테스트했다.
SCM(Server Configuration Management)이 IT를 반복적인 작업으로부터 자유롭게 하고, 분열을 최소화할 수 있다는 데는 의심할 나위가 없다. 하지만 앤드큐 코니 머레이와 빌 드리스콜이 최근 본지의 TCO 연재 기사에서 블레이드로직과 옵스웨어의 SCM 패키지 배치 비용을 조사한 바에 따르면, 결코 그 비용이 만만치는 않을 것이다.

제1부 : 아이덴티티 관리(IdM)
제2부 : IT 프로세스 자동화
제3부 : SCM(Server Configuration Management)

‘만약’이 아니라 ‘언제’의 문제 … ‘성공적인 파트너십·유연성’이 관건
IdM의 심장은 ‘기계’가 아닌 ‘인간’

아이덴티티 관리의 열쇠는 파트너십을 육성하면서 신기술에 대해 열린 자세를 유지하는 것이다. 우리는 독자, 업계 전문가, 그리고 업체들을 만나보고, 이러한 원칙이 이들에게도 해당이 되는지, 그리고 이들의 배치 경험으로부터 배울 수 있는 게 어떤 것들이 있는지 알아봤다.

많은 IT 전문가들에게 있어 아이덴티티 관리는 인프라, 프로세스, 보안 및 비즈니스 애플리케이션의 궁극적인 교차점을 나타낸다. 글로벌 IdM 이니셔티브를 성공적으로 론칭할 수 있다면 당신은 영웅이 될 것이다. 하지만 여기에 실패하면 참담하고 값비싼 좌절을 맛보게 된다.

단순 기술 넘어 사람과 프로세스 포함
오라클의 보안 개발 및 아이덴티티 관리 부사장인 아미트 자수자는 “이 고속도로에는 수많은 시신들이 널려 있다”며, “여기에는 잘못된 기술과 막대한 시장의 변화, 두 가지가 모두 부분적인 이유로 작용했다”고 설명했다.
사실 우리는 IdM 영역에서 큰 지각 변동을 발견하기도 했지만, 독자와 전문가들은 몇 가지 사실에 일치된 의견을 보여줬다. 우선 무엇보다도 유연성이 가장 중요하다. 여러 팀들(어떤 팀은 IT 외부 조직)간에 다리를 놓은 사람들은 장애를 보다 빨리 극복했다. 유연성을 무엇보다 중요하게 생각한 조직들은 또한 이렇듯 불가피한 기술 커브 볼이 던져졌을 때 문제를 가장 덜 경험했다.
둘째, 업체 선정으로 가면 위험이 놀랄 만큼 커진다. IdM은 잘못된 파트너 선정이 파급 효과를 가져올 수 있는 면들을 너무도 많이 갖고 있다.
좋은 소식은 언제, 어디에, 어떻게 투자를 해야 하는지를 잘 알고 있는 조직은 엄청난 절감 효과를 얻을 수 있다는 점이다. 잘 계획되고, 잘 실행된 IdM 전략은 고객 관리 자동화에서부터 헬드데스크 작업부하 경감, 그리고 새 애플리케이션을 가동시키는 데 걸리는 시간 절감 등 여러 가지 영역에서 도움을 준다.
그리고 이를 실현해 주는 기술들이 성숙해지고 있다. 그 가운데 눈에 띄는 것들로는 교차 업체 인증(Cross Vendor Authentication)용으로 표준화된 프로토콜을 지원하고자 모인 81개 인증 업체 그룹과 오픈LDAP 디렉토리 프로젝트 같은 오픈 소스 제품들, 그리고 가상 디렉토리 등이 있다. 그리고 보다 규모가 큰 것들로는 논리적 데이터 보안 세상과 물리적 보안 영역의 계속되는 통합이 IdM을 더욱 불가피한 쪽으로 몰아가고 있다.
하지만 대부분의 주요 IT 이니셔티브들에서, IdM은 단순한 기술 부문을 넘어 사람과 프로세스 요소까지 포함을 시키는 단계로 발전하고 있다.
포춘지 500대 기업에서 두 번째 IdM 배치를 하고 있는 데이터 보안 매니저인 댄 에이얄라는 “아이덴티티와 액세스 관리는 IT 프로젝트가 될 수 없다”며, “비즈니스와 HR, 그리고 IT가 함께 진행되지 않으면 실패할 것”이라고 단언했다.
이러한 요소들을 어떻게 잘 배합해서 작업을 진행시켜나가야 할지 지금부터 알아보기로 하자.

폭넓은 기술 영역
그렇다면 정확히 말해 아이덴티티 관리란 무엇일까? 인증을 뜻하는가? 사용자 프로비저닝과 디 프로비저닝? 네트워크 및 시스템 레벨에서의 액세스 제어? 디렉토리 서비스? 권한부여 메커니즘? 아이덴티티 관리란 이들 모두와 그 이상의 것들을 의미한다. 본 기사를 위한 독자 설문 조사에서는 이들 각각의 항목이 확실한 득표 수를 얻었다.
10년 이상을 IT 조직에 몸담아 온 사람이라면 아마도 네트웨어 바인더리를 만질 때의 짜증스러움이나 고통스러운 NT 트러스트 모델 관리 작업을 떠올릴 수 있을 것이다. 교훈은, 소망을 가질 때는 신중하라는 것이다. 즉 기술이 발전됐다 하더라도 우리는 보다 엄격한 규정, 프라이버시 이니셔티브, 서로 다른 가치를 나타내는 지정학적(geo-political) 경계 극복, 진화된 개념의 데이터 관리 등, 여러 가지 복잡한 새로운 걱정거리들과 마주치고 있으며, 그 목록은 끝이 없다.
본지 독자 설문조사에서 IdM을 이끄는 가장 중요한 동력을 묻는 질문에 규정준수는 생산성 향상 다음으로 2위를 차지했다. 그리고 물론 이러한 모든 고민은 마케팅 자료로 잘 활용되고 있다.
본고를 위한 배경 자료 수집을 시작하면서 우리는 처음 회사의 포지셔닝 선언문(positioning statement)에 아이덴티티 관리를 넣고 있는 업체들의 수에 놀라움을 금치 못했다. 혹시 우리가 IdM, 규정준수, 혹은 NAC가 모든 마케팅 선언에 포함될 것이라는 말을 빼먹은 적이 있었던가? 아마도 IPS 업체들, 데스크톱 관리 회사들, 방화벽 업체들, 써드파티 DHCP 시스템을 선전하는 조직들, 무선 회사들, 스토리지 업체들, 심지어 USB 썸 드라이브(thumb drive) 제조업체들까지도 모두 한 조각의 IdM을 소유하고 있다고 주장하고 있음을 감안하면 사실 놀랄 일도 아니다.
여전히 우리는 버즈워드(Buzz Word)의 그저먹기식 성공에는 비판적이지만, 일단 문제에 좀 더 깊이 들어가자 IdM이 실제로 폭넓은 기술 영역에 걸쳐져 있음이 확연히 드러났다. 또한 배치 면에서는 길의 끝에 전혀 다다르지 못했다는 것도 분명해졌다. 사실 180개가 넘는 조직을 대상으로 실시한 본지 설문조사에서, IdM 작업을 거의, 혹은 완전히 끝냈다고 답한 곳은 26%에 불과했다.
이것은 공급업체 쪽에 분명 좋은 소식이기도 하지만, 우리 시각에서 볼 때 현명한 IT 조직에서 IdM으로 바로 뛰어들기보다 시간을 갖고 사람과 프로세스 컴포넌트를 결정하고 있는 까닭으로 해석이 된다. 이들은 또한 여기저기 널리 손을 대고 있는 것으로 나타났는데, 설문조사 응답자 가운데 IdM 프로젝트용으로 한 업체만 이용하는 곳은 24%에 불과했다. 그리고 44%는 전혀 그렇지 않다고 소리 높여 답했으며, 32%는 이런 게 가능하다고 생각조차 않는다는 냉소적인 반응이었다.
그리고 우리가 만나본 전문가들에 따르면 이것이 진정한 끝은 아니다.
에이얄라는 “국제적으로 규정준수의 동향이 성숙해지고 비즈니스 수요가 변화함에 따라 이 로드맵은 계속해서 진화할 것”이라며, “프로그램 객체와 규모에 대한 지속적인 재평가를 통해 이것은 계속 ‘신선한(fresh)’ 상태로, 비즈니스 필요조건과 조화가 되도록 유지해줄 것이며, 따라서 비즈니스 영역에서부터의 지속적인 지원이 보장된다”고 말했다.

사람의 힘
경험 많은 IdM 팀들과의 대화에서 우리는 여러 가지 전쟁 이야기를 접했지만 그 가운데서 두 가지 일관된 것들을 뽑아낼 수 있는데, 그 하나가 바로 HR 부서의 공헌이었다.
포춘지 500대 금융서비스 회사의 CISO(Chief Information Security Officer)로서 IdM 배치에 참여했던 브루크 폴은 “HR이 집중화돼 있거나 최소한 표준화돼 있지 않으면, 작업이 아예 불가능하거나 십중팔구는 어려움을 겪게 될 것”이라며, “인력 정보에 대한 ‘권한 소스(authorita tive source)’가 필요한데 언제나 HR이 이것을 찾을 수 있는 적합한 장소가 되기 때문”이라고 그 이유를 설명했다.
에이얄라도 같은 말을 되풀이했다. “이것은 진정한 성공을 위해서는 HR의 전면적인 지원에 의존해야 하는 엄청난 작업이다. IT에서 만약 진공 상태에서 이러한 분류 작업을 시작하려 한다면, 처음 매핑 결과는 받아들일 만하고 정확할지 모르지만 장기적으로 볼 때 HR의 참여가 없는 상태에서 조직 개편이 발생하고 역할이 변하게 되면 이러한 초기의 매핑은 거의 가치를 발휘하지 못한다.”
아이덴티티 관리의 핵심 요소가 사람이라는 사실, 그리고 직원 데이터에 대한 권한 소스란 개념이 기본이 된다는 사실은 의심할 나위가 없다. 아이덴티티 저장소, 보통은 디렉토리 서비스에 있는 각각의 데이터 요소(element)는 데이터를 제공한 소스의 가치에 충실하게 맞아야 한다는 점에서 “정확해야’한다. 저장소에서 에러가 발견되면, 이것은 권한 소스에서 수정이 돼야 하는데, 이것이 꼭 디렉토리 안을 의미하는 것은 아니다. 양방향 퍼블리싱 시스템을 구축하는 일은 기술적으로는 골치아픈 일이, 정치적으로는 엄청나게 힘든 일이 될 수도 있다. 현명한 IdM 팀에서는 일찌감치 HR을 자기편에 앉히고 프로젝트 기간 내내 그 관계를 활용한다.
HR은 또한 프로세스를 정의하는 데서 결정적인 역할을 할 수 있다. 프로세스는 언제나 직원 프로비저닝(새 책상이나 전화기, 혹은 PC)과 디 프로비저닝(해고, 사직, 혹은 퇴직)용으로 항상 존재한다. HR은 역할 규정(role definition)에 대해 소중한 정보를 제공할 수 있는데, 이것은 큰 조직에서는 고군분투하고 있는 항목이기도 하다. 역할 규정은 HR의 범위를 벗어나는 것이겠지만, HR은 막강한 동맹국의 역할을 할 수 있다. 성공적인 IdM 팀에서는 원래의 프로세스 소유자들을 통해 기존의 프로세스로부터 배우고 변경되는 부분들을 통합시킬 수 있다. 기업 역할의 심장에 도달하기 위해서는 상당수가 부서와 사업부 안으로 깊숙이 들어가야 할 것이다. 부서의 역할은 해당 팀이나 동료들만 이해하고 있는 경우가 많으며, 문서로 정리된 경우는 극히 드물다.

확실한 발언권
IT와 보안 그룹도 또한 비판적 동맹국이 되는데, 이들은 언제나 같은 편에 있는 것은 아니다. 조직표에서 정보 보안팀의 위치는 그것만으로도 얘깃거리가 되지만, 최근에는 심지어 IT의 우산 아래 있지도 않는 정보보안 그룹들이 늘어나고 있다. 어떤 경우에는 보안팀이, 그리고 또 어떤 때는 IT에서 IdM 이니셔티브를 끌고 가기도 한다. 위치와 프로젝트 주도자에 관계없이 IT는 어떠한 배치에서는 큰 역할을 하는데, 그 이유는 많은 IdM 시스템이 IT 자산과 직접적으로 연계돼 있기 때문이다.
한 대형 보험회사의 IdM 팀에서 일하고 있는 타일러 앨리슨은 “궁극적으로 IdM 애플리케이션을 관리하게 될 팀이 필요조건 프로세스에서 확실한 발언권을 가질 수 있게 보장해야 한다”며, “소유권은 공급업체와 계약을 하기 이전에 결정돼야 하며, 그렇지 않으면 사태가 복잡해진다”고 경고했다.
운영팀 사람들만이 혜택을 보는 게 아니라는 말도 반드시 덧붙여야 한다. 예를 들어 IdM 시스템은 개발자들에게 개인 정보(전화번호부) 뿐만 아니라 보안 데이터(인증, 그룹, 역할)를 찾을 수 있는 중앙 저장소가 돼줌으로써, 개발자들에게 가치를 제공하고 데이터 보안을 도와준다. 웹 서비스 같은 공동 자산이나, 자바 객체나 C 라이브러리 같이 개발자가 쉽게 정보를 질의하고 인증과 권한허가 데이터를 받는 데 사용할 수 있는 모듈을 제공하는 것 또한 IT의 다른 쪽에서 이 이니셔티브에 대해 흥분하게 만드는 데 일조할 수 있다. 성공적인 IdM 배치는 심지어 IT를 비즈니스에서 고운 시선으로 볼 수 있게 해주기도 한다.
핍쓰써드뱅크의 지원 기술 부문 부사장보인 제프 앤더슨은 “우리는 IdM 배치를 하나의 경쟁력 강화 프로젝트로 생각하고 있다”며, “보다 빨리 시장에 제품을 내놓음으로써 수백만달러를 벌어들일 수도 있으며, 따라서 이것은 우리에게 절박한 현실”이라고 말했다.
일단 후원자, 역할, 규모, 그리고 프로세스가 결정이 되면 이제 기술 쪽을 살펴봐야 할 때다. 이 모든 것들이 제대로 돌아가게 해주는 IdM의 세계로 들어가 보자.

트리플 A, ‘진화는 계속된다’
IdM 이니셔티브가 다양한 기술 및 프로세스 문제들을 포괄한다는 인식이 주류가 되기 이전 초기에 이루어진 작업들은 대부분 전통적인 3A, 즉 authentication(인증), authorization(권한부여) 및 access control(액세스 제어) 개념을 이용하는 것을 목표로 했다. 물론 IdM이 단순한 AAA 차원을 뛰어넘는 것이라는 사실은 금방 확실해졌지만, 그럼에도 불구하고 아직 이들 3A는 없어서는 안되는 중심적인 IdM의 역할을 하고 있으며, 그 기술도 계속 발전하고 있다.
AAA의 각 구성요소는 인프라의 여러 영역에 존재할 수 있고, 또 실제로도 그런 형편이다. 예를 들어 액세스 제어 메커니즘은 아마도 AAA 가운데 가장 성숙한 요소로, 핵심적인 기술 컴포넌트들, 즉 OS, 데이터베이스, 방화벽 및 엔터프라이즈 애플리케이션에 임베딩된 것을 언제든 볼 수 있다. 여기에 지금은 NAC에 대한 새로운 정의가 추가되었는데, 이것은 현재 현기증 나는 일련의 종단지점 검증 제품들을 모두 아우르고 있다.
NAC 배후의 혼란은 차치하고라도 범위 안에 있는 것과 범위 밖에 있는 것을 구분하는 데는 액세스 제어가 회사 IdM 전략의 어디에 맞는지 근본적으로 이해하는 것이 중요하다. 예를 들어 방화벽은 네트워크 액세스 제어에는 필수겠지만 IdM에서는 중요한 역할을 하지 않는다. 반대로 CRM 사용자 계정 프로비저닝은 중요한 경우가 많다.
액세스 제어 기술의 변화무쌍한 상황에 비해, 인증 메커니즘은 상대적으로 새로운 개념임에도 불구하고 잘 이해가 되고 있으며, 명성을 얻어가고 있다. 그 예로는 풀 디스크 암호화 스위트를 엔터프라이즈 디렉토리로 연결, 모바일 장비 위험 관리, 그리고 증가하고 있는 온라인 금융 애플리케이션에 대한 공격 문제 타파 등이 포함된다. 범죄 집단에서 온라인 사용자에 대한 공격을 계속 감행하고, 조직에서 가상의 군비 확장 경쟁으로 이에 대응함에 따라 B2C 문제는 특히 역동적인 양상을 띠고 있다.
제 1라운드에서는 금융 기관에서 예방적인 강화 및 감사를 태연하게 무시하던 태도를 벗어 던졌다. 제 2라운드에서는 공격자가 기관들에 집중되던 공격 타깃을 고객으로 이동했다. 3라운드에서는 이제 ‘보다 강력한 인증’에 대한 기대의 잣대를 다시 한번 높이는 시대로 접어들었다. IdM의 관점에서 보면 여기서부터가 특히 흥미로와진다.

보안 인증 대안들
IdM의 인증 영역으로 좀더 깊이 들어가 보면, 대부분의 보안 전문가는 이 세상이 패스워드 보안 이상으로의 이동을 필요로 한다는 사실을 기꺼이 증언하려 할 것이다. 하지만 과연 어떤 것으로 대체를 해야 하는가?
마이크로소프트는 인증서 처리용으로 스마트카드를 주류로 채택한다는 입장이다. PKI는 아직 많은 조직에서 환영받지 못하고 있긴 하지만 이것을 이끄는 기술을 피할 수는 없으며, 우리의 일상생활에서 막후에 포함되는 사례가 늘어나고 있다. SSL과 액티브 디렉토리를 생각하면 간단하다.
오늘날에는 보안에 대한 소비자들의 인지도가 높아진 덕분에 스마트카드를 채택할 수 있는 기회가 많아졌으며, 따라서 지문 인식기나 하드웨어 암호화 같은 것들이 노트북에 많이 탑재되고 있다. 하지만, 스마트카드가 약속의 땅‘인증’으로 데려가 줄지에 대해서는 아직 회의적이다.
나아가 스마트카드는 여러 경우에 널리 사용될 수 있지만 어떤 경우든 모두 해결해주지는 못한다. 키오스크 액세스는 어떤가? B2C 트랜잭션은? 홈 뱅킹은? 누군가 종단지점의 제어를 없애면 인식기가 와일드카드가 됨에 따라 스마트 카드는 합리적 경로로서의 역할을 하지 못한다. 우리는 스마트 카드를 우리 무기고에 있는 하나의 도구 정도로만 생각하고 있다.
지문 인식기가 노트북, PDA 및 USB 드라이브 인증 같은 주류 용도로 서서히 사용됨에 따라 어떤 경우에는 생체 인식(biometrics)도 한 가지 옵션이 될 수 있다. 트라이사이퍼(TriCipher)와 기타 조직들은 추가 검증 단계를 창조적으로 삽입시킨 인증서형 방안을 제공하고 있다. 생체 인식, 패스워드 및 인증서 외에 다음으로 주목받는 인증 방안은 하드웨어 토큰으로, 이것은 성공적이긴 하지만 기능성과 가격면에서 최소한 지난 10년간은 정체돼 있던 기술이기도 하다. 따라서 하드웨어 토큰은 앞으로의 발전이 절실히 필요한 관련 기술로 남아 있다.
2007년에도 우리는 여전히 중국에서 약 2달러에 만들어졌을 플라스틱 조각에 10~40달러를 쓰고 있으며(10년 전 지불했던 바로 그 금액), 5달러짜리 토큰을 발표하며 도전적 이동을 꾀하고 있는 인트러스트(Entrust) 또한 이러한 통념을 한층 강화해주고 있다. 이런 마진은 업체들의 매출에는 좋지만 그 외 모든 사람들, 특히 보다 큰 사용자 기반으로 더 많은 인증 메커니즘을 제공하고자 하는 조직들에게는 전혀 좋을 게 없다.
하지만 다행히도 여기에 희망의 빛이 보이고 있는데, 그것은 바로 RSA를 제외하고 이 부문의 거의 모든 대형 인증 업체들(81곳)로 구성된 OATH(Initiative for Open Authentication)다. OATH는 교차 업체 인증 이니셔티브에 대한 표준 프로토콜을 만들어내는 데 필요한 리더십을 제공하고자 하고 있다. 이 팀은 이미 HOTP(HMAC-based One Time Password) 알고리즘을 포함한 수많은 표준들을 통과시켰으며, 진행 중인 것들은 더 많다. OATH에서 지금의 상태로 계속 발전하고 처음의 약속을 잘 지킨다면, 그리고 업체들이 그 표준을 채택하고 이행한다면, 우리는 A 업체로부터는 토큰을, B 업체로부터는 프로비저닝 시스템을, 그리고 C 업체로부터는 인증 시스템을 구입해 이 모든 것들이 잘 돌아가게 할 수 있을 것이다.
물론 여기에는 많은 ‘전제(if)’들이 있다. 그리고 불행히도 심지어 이미 비준된 표준에서조차 아직 해결해야 할 많은 결함들이 있다. 예를 들어 HOTP 알고리즘은 바스코(Vasco) 같은 회사들의 하드웨어 토큰에서 이행이 됐지만, 인증 백엔드를 엔드유저 토큰과 분리시킨다는 목표는 아직 실현되지 못했다. 올해 RSA 컨퍼런스에 가서 여기저기 돌아다니며 X 업체로부터 토큰을, Y 업체로부터 인증 시스템을 구입할 수 있는지를 물었을 때 업체측 대표들은 우리를 보기를 머리 셋 달린 괴물을 보듯 했다. 누군가 영업팀에게 OATH에 대해 말하는 것을 잊었음에 틀림이 없다.
그렇지만 어떤 업체의 결합은 성과가 있어 보이기도 한다. 예를 들어 지난 5월 초, 베리사인(VeriSign)은 새로운 사기 방지(fraud-prevention) 서비스를 발표했는데, 이 서비스에서는 빌트인 OTP(one-time password)와 디스플레이를 자랑하는 이노베이티브카드테크놀로지스(Innovative Card Technologies) 신용 카드를 활용하고 있다. 아이디테크(IDtech)는 빌트인 스마트카드 칩을 탑재할 수 있는 신용 카드를 설계 및 제조하는데, 이것은 물리적 액세스에 대한 필요와 OTP 디스플레이를 위한 근접 기술이다. 번거로운 RSA 토큰을 들고 다니는 게 좋겠는가, 아니면 지갑 안에 신용 카드를 집어넣고 잊어버리고 있는 게 좋겠는가? 회사의 직원과 고객들에게 어떤 쪽을 선호하는지 물어보라.
1990년대 후반의 토큰은 차치하고, 우리는 토큰이나 스마트카드, 생체 인식, 혹은 트라이사이퍼 같은 혼성 모델들간에 어느 하나를 선택해야 하는 게 문제가 아니라, 주어진 용례에 맞게, 위협을 파악하고 제한 요건을 아는 상태에서 적절한 기술을 사용할 수 있는 유연성을 갖는 게 관건이라고 생각한다. 현명한 조직이라면 하나의 인증 프로토콜이나 모델을 중심으로 IdM 인프라를 구축하는 게 아니라 융통성 있는 방안을 택할 것이다.
이에 따라 이제 우리는 IdM 탐구의 다음 단계, 즉 아이덴티티 저장소로 자리를 옮길까 한다.

오픈 소스의 선전
본지 설문 응답자들 가운데 83%는 아이덴티티 저장소로 마이크로소프트 액티브 디렉토리를 사용하고 있는 것으로 나타났다. 서버 영역에서의 마이크로소프트 보급률, 데스크톱에서의 그 지배력, 그리고 익스체인지 같은 기간 애플리케이션의 폭넓은 수용을 감안하면, 이 수치는 전혀 놀랄 만한 게 못 된다. 현실을 인정하자. 오늘날 AD를 사용하지 않고 피해다니기는 힘들다. 이것을 서버 OS와 번들링해 놓으면 다른 길로 간다는 것을 설득시키기가 정말 힘들어진다.
하지만 아이덴티티 저장소로서 2위를 차지한 것은 우리를 약간 놀라게 했는데, 그것은 바로 오픈 소스 오픈LDAP 프로젝트였다. 이러한 우리의 놀라움은 독자들과의 대화를 통해 풀렸다. 이번에 우리가 새로 알게 된 사실은 오픈LDAP가 수많은 포춘 지 500대 기업의 IdM 프로젝트를 이끌어가고 있으며, 그 수용 속도는 둔화될 조짐을 보이지 않는다는 것이었다.
변화의 조짐을 보이는 또 하나의 부문은 아이덴티티 저장소 통합 작업 배후의 전술이다. 몇 년 전 규모가 큰 조직들을 만나 보았을 때, 이들 가운데 상당수는 사용자나 기타 ‘아이덴티티’ 정보를 하나의 리포지토리나 디렉토리에 모으는 이니셔티브를 시작하는 중이라고 밝힌 바 있다. 이러한 이상은 아직도 존재하고 있긴 하지만 이들 대부분은 기대치를 낮추고 서 너개의 저장소만 있어도 만족하는 듯하다.
여기서도 마찬가지로 유연성이 중요한 것 같다.
에이얄라는 “실제로 큰 회사에서의 비즈니스 모델과 그에 관련된 운영 환경은 사용자나 아이덴티티 데이터를 위한 리포지토리를 하나 혹은, 심지어 몇 개로 유지한다는 이상을 방해하는 경우가 많으며, 권한 데이터의 별개 소스 수는 말할 것도 없다”며, “이 모든 소스와 사용자 데이터의 스토리지 장소를 합할 수 있는 가장 논리적인 길은 가상 디렉토리 개념인 듯하다”고 말했다.
사실 IdM 툴이라는 현대식 레퍼토리에 추가되는 것은 ‘가상 디렉토리’라는 비교적 새로운 개념이다. 가상 디렉토리는 수많은 편리한 유틸리티 기능들을 수행할 수 있는데, 여기에는 비협조적인 애플리케이션에 대한 유사(pseudo) 정보 프록시 역할 수행과 디렉토리 캐싱 및 스키마 프리젠테이션 서비스 제공 등이 포함된다. 가상 디렉토리 기술의 한 가지 일상적인 용례로는 이것을 다중 디렉토리 저장소의 ‘전면에(in front)’ 두고 모든 애플리케이션 정보 요청을 지원하는 데 이것을 사용하는 것이다. 이같은 방식은 단일 아이덴티티 저장소로 통합해야 하거나, 지나치게 복잡한 ‘특정 디렉토리 서비스로의 특정 애플리케이션’ 매핑을 해야 할 필요를 덜어준다. 이러한 방식은 또한 비즈니스 토론을 한 단계 더 발전시켜줄 수도 있다.
핍쓰 써드 뱅크의 앤더슨은 “우리는 VDS(Virtual Directory
System)를 이행하고 있는 덕분에 비즈니스 팀 사람들과 이야기를 할 때 더 이상 필드 유형이나 데이터 저장소에 대해 얘기할 필요가 없게 된다”며, “이제 이들이 결정을 내려야 하는 아이덴티티 정보에 대해 얘기한다”고 자랑했다.
레이디언트 로직(Radiant Logic)의 임원들은 2001년에 시장에 가상 디렉토리 개념을 소개했다고 주장하긴 하지만, 우리가 이야기해 본 대부분의 독자들은 이제서야 막 여기에 대한 연구를 시작하고 있었다. 역사는 그렇다 하더라도 지금은 오라클 같은 대형 회사들에서부터 라디언트 로직같은 틈새 사업자들에 이르는 여러 업체들로부터 다양한 가상 디렉토리 제품들이 나오고 있다. 심지어 ‘마이VD’라고 하는 오픈소스 버추얼 디렉토리 제품도 있는데, 이것은 불행히도 생략되긴 했지만 의심할 나위 없이 편리한 툴이며, 오픈소스가 앞으로 나아가는 IdM 활동에서 보다 큰 역할을 차지할 수 있으리라는 사실을 한층 더 확인시켜 주는 것이기도 하다.

미래의 세상
미래를 예측해 볼 때 우리는 논리적 데이터와 물리적 보안 세상간의 컨버전스가 불가피하다고 확신한다. 논리적 세상에서의 대부분의 IdM 문제들, 예를 들어 사용자 계정을 프로비저닝하고 액세스를 관리하는 등의 문제는 심지어 역할 매핑이나 프로비저닝/디프로비저닝에 이르기까지 물리적인 것들에 거의 직접적으로 오버레이가 된다. 무엇보다도 시스코가 최근 비디오 감시 시장에 뛰어든 것은 대형 사업자들이 새로운 영역에 눈을 돌리고 있음을 여실히 증명해준다.
고려해 보아야 할 또 한 가지 부문은 IdM 이니셔티브가 비즈니스 목표에 잘 맞는지 하는 것이다. 물론 IdM에는 프로세스 자동화와 함께 비용 절감은 물론이고 보안과 규정 준수 면에서도 큰 혜택이 있다. 하지만 비즈니스 주주들의 전략을 조사할 때는 어떤가? IdM이 여기에 도움을 줄 수 있을까? 예를 들어 회사에서 더 많은 서비스를 제공하고자 하고 있고 비즈니스를 함께 하기 더 쉽게 하고 싶어 한다면, IdM은 클라이언트가 다중 애플리케이션에서 다뤄야 할 ID와 패스워드 수를 줄여줌으로써 이러한 목표에 한층 쉽게 도달할 수 있도록 해줄 것이다.
IdM의 또 한 가지 잠재적 이점은 고객이 하고 있는 것에 대해 보다 나은 뷰를 제공한다는 것이다. 여러 애플리케이션에서 하나의 아이덴티티를 갖게 되면 CRM 데이터가 훨씬 더 가치를 발휘할 수 있다. 비현실적인 이야기 같은가? 수년 전이라면 그랬을지 모르지만 많은 사람들이 믿고 있는 것처럼 ROI는 보안 이니셔티브를 끌고갈 때 기댈만한 모델이 되지 못하며, 전략적 비즈니스 목표에 중점을 둬서 나쁠 것은 없다.
마지막으로 제품과 표준, 그리고 툴세트가 성숙해지면 상호운용이 가능한 보다 다양한 옵션들이 나오기 마련이다. 하지만 지금까지는 그렇게 되지가 못했다.
업체와 독자, 그리고 엔드유저와의 대화를 통해 우리는 시간을 들여 적절한 후원자와 동맹국을 확보하고, 대대적으로 PO를 하기 이전에 기술 세트를 검증하고, 적절히 계획을 한 후 기대치를 설정한 IdM 팀이 한 두 단계를 건너 뛴 곳들보다 훨씬 수월한 시간을 보냈다는 사실을 확실히 알 수 있었다.
파일로트에 대한 원칙을 마련하고 현명하게 업체를 선택하는 일도 마찬가지로 중요한 일이다.
앨리슨은 “오늘날 IdM 업체를 선택하는 일은 회사의 사활을 건 일이나 마찬가지”라며, “아주 아주 오랫동안 그 계약에 묶여 있어야 하기 때문에 현명한 선택이 절실하다”고 충고했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.