어플라이언스형 등장·S/W 일색에서 다변화
계정 및 접근권한 관리, 즉 IAM 시장이 주목되고 있다. 해외 시장에서 IAM이 크게 각광받던 것과 달리 국내 시장에서는 IAM이 쉽게 확산되지 못했던 것이 사실이다. 그러나 컴플라이언스 이슈의 확산과 더불어 최근 IAM에 대한 관심이 높아지는 상황. IAM 시장을 살핀다.
| 오현식 기자·hyun@datanet.co.kr |
IAM은 말 그대로 계정 및 접근권한 관리를 의미하며, 계정관리(IdM ; Identity Management)와 접근관리(EAM ; Enterprise Access Management)로 나눠볼 수 있다. IdM과 EAM에 더해 최근에는 컴플라이언스 이슈의 대두로 역할이 중시되는 감사 및 보고서까지 IAM에 포함시켜 세 부문으로 구분하기도 한다.
국내시장에서 먼저 활성화된 것은 EAM 영역이다. SSO(Single Sing-On)로 대표되는 EAM은 이미 다수의 기업에서 도입돼 있으며, 소프트포럼, 이니텍 등 국내 기업들이 시장 주도권을 가져가고 있다. SSO 외에도 사용자통제, 웹서비스보호, 웹사이트 통제, OS 접근통제(Secure OS) 등이 EAM에 속하는 솔루션들이다. IdM 부문이다. 패스워드 관리, 계정 프로비저닝, ID관리, ID가상화, 디렉토리 등이 IdM에 속하는 영역이다.
하지만 SSO, 시큐어OS 등을 도입하고, 디렉토리를 사용하는 것으로 IAM을 구현했다고는 볼 수 없다. IAM은 IdM, EAM에 ERP 등 기업에서 사용되는 다양한 애플리케이션을 연동시킴으로써 각종 계정관리와 접근권한 관리를 자동화하는 것을 목표로 한다. 바꿔 말하면 개별적인 EAM, IdM에 속하는 솔루션들을 모두 도입했다고 해도 이들이 모두 긴밀하게 연동돼 있지 않다면, IAM을 구현했다고 말할 수 없는 것이다.
IAM 시장 전망 ‘맑음’
IAM에 대한 관심은 최근 급격하게 증가하고 있다. 바로 기업의 투명성을 중시되면서 각종 기업규제의 증가가 IAM에 대한 관심을 높이고 있는 요인이다. 해외 시장의 경우, 이러한 경향은 더욱 뚜렷하게 나타난다.
IDC는 최근 보안 시장 전망을 발표하면서 IAM 시장은 2011년까지 매년 10.7%의 고성장을 기록할 것으로 전망했으며, 포레스터리서치는 2006년 26억달러에서 2014년에는 123억달러에 달할 것이라는 전망을 발표하기도 했다. 시장조사기관들이 이렇듯 IAM 시장의 잠재력을 높이 평가하는 이유는 IT 관련 기업규제가 더욱 강화되고 있는 까닭이다. 기업은 엄격해진 관련 법규를 준수하고, 이를 입증하기 위해 IAM의 구축이 강하게 추진되고 있는 것이다. IAM은 계정과 사용자를 정확히 매핑시키고, 사용자의 시스템 접근 권한을 내부 정책에 따라 세밀하게 통제할 수 있음은 물론 정책 위반자나 정책에 위배된 사용을 모니터링하므으로써 사후 감사 자료를 제공하기도 한다.
미국에서 실시된 한 조사에 따르면, IAM 도입을 촉진하는 동인에 대해 응답자의 70%가 ‘컴플라이언스 이슈에 대응하기 위해서’라고 답했다. 이는 컴플라이언스 이슈와 IAM이 갖는 밀접한 관계를 나타내는 결과라고 할 수 있다. 오늘날 기업의 경영활동은 IT로부터 분리될 수 없다. IT를 활용해 기업의 효율성을 높여야 생존할 수 있는 비즈니스 환경이 조성되고 있기 때문이다. 따라서 오늘날의 기업 컴플라이언스는 기업의 IT 인프라와 밀접한 관련을 지니고 있으며, IT 인프라의 변화를 요구하고 있다. 즉, 1인 1계정을 확립하고, 이를 통제함으로써 IT 투명성을 확보하려는 IAM이 부상하고 있는 것이다.
이와 관련, 가트너는 “IAM에 대한 관심 증가는 회계 규제기관과 법률 규제기관이 정보 접속을 제어하는 데 사용하는 시스템에 대한 관심이 늘어났기 때문”이라며, “규제기관은 기업의 제어 장치 확립을 원하고 있고, 접속·검증·인증·감사를 구현하는 IAM이 바로 이러한 제어장치”라고 지적했다.
IAM으로 운영효율성·보안성 향상
IAM은 단순히 기업 규제에 대응하기 위해서만 요구되는 것은 아니다. IAM으로 기업의 효율성 또한 향상될 수 있다. IAM은 기업 투명성 확보로 비즈니스 가시성이 향상되는 효과 뿐 아니라 자동화된 계정관리 및 접근권한관리를 통합적으로 수행할 수 있도록 해 사용자 편의성 증가, 보안 관리비용 감소 등의 효과를 제공한다.
IAM으로 인사DB와 기업의 애플리케이션이 연동돼 있다면, 인사이동 시 인사DB에 관련 사항을 입력하는 것만으로 기업의 데이터 자산에 대한 사용자의 접근권한을 자동으로 변경하게 된다. IT 관리적인 측면에서는 인사이동 후 접근권한 조정 등 기존 수작업으로 수행해야 했던 업무를 자동화함으로써 이에 소요되는 시간을 절감할 수 있게 된다. 즉, 불필요하게 소모되는 시간을 없애고, 확보된 시간에 다른 업무를 볼 수 있게 돼 업무 효율성을 더욱 향상시킬 수 있게 되는 것이다.
또한 이러한 자동화는 인사에 따른 IT 시스템 지원이 즉각적으로 이뤄지게 해 사용자 편의성과 업무 연속성을 보장하게 된다. 부서 이동으로 사용해야 하는 애플리케이션 접근권한이 변경됐다면, 관련된 접근권한 변경이 완료될 때까지 업무수행에 차질이 빚어질 수밖에 없다. 하지만, IAM 구현을 통해 자동화를 이뤄낸다면 업무에 필요한 애플리케이션을 즉시 사용할 수 있게 돼 빠르게 새로운 업무에 착수할 수 있게 되는 것이다.
IAM의 구현은 다양한 이점을 줄 수 있다. 한국IBM이 IAM을 적용한 레퍼런스에서의 효과를 분석한 바에 따르면, IAM을 구축으로 계정 생성 시간을 5일에서 10분으로 단축하는 운영효율성 향상효과를 얻을 수 있었으며, 연간 6천800만원 이상의 운영비용을 절감하는 비용절감 효과를 거뒀다. 또한 컴플라이언스 이슈와 관련해서는 기존 60%의 계정정보가 불일치해 지적사항이 되던 문제를 해소했다. 한국썬은 운영비용, 총소유비용의 절감 효과와 더불어 잠복 계정 등의 잠재 위험을 방지하고, 신속한 접속과 경쟁력을 보장함으로써 약 300%의 ROI 증가 효과를 IAM 구축을 통해 얻을 수 있다는 분석결과를 전했다.
더불어 IAM은 보안 위험을 줄이는 효과도 있다. 수많은 사용자가 존재하는 환경에서 ID관리가 제대로 이뤄지지 않는다면, 이는 보안 취약지점(security hole)이 될 가능성이 높다. 유휴ID를 이용한 침입으로 시스템과 민감한 데이터가 위험에 노출될 수 있기 때문이다. 특히 퇴사자의 ID 삭제는 무엇보다 중요한 일이다.
예를 들어, 전직 등의 개인적 사유로 영업1팀의 홍길동 부장이 퇴사할 경우, IT 관리자는 모든 시스템과 애플리케이션에서 홍 부장의 계정과 사용권한을 제거해야 한다. 그런데 인사팀에서 IT 관리자에게 홍 부장의 퇴사를 알리지 않았다면 인사DB에서는 홍길동 부장이 퇴사로 명시돼 있겠지만, 기업의 내부 시스템에서는 홍 부장의 계정은 살아있게 된다. 만일 홍 부장이 이를 인지한다면, 홍 부장은 마음대로 자신이 활용하던 회사의 정보를 빼내어 갈 수 있게 되며, 이러한 홍 부장의 행위는 정상적 사용자에 의한, 정상적 활동이기에 각종 감사 활동에서도 지적되지 않게 된다. 홍 부장에 의해 정보를 탈취당하더라도 이를 인지할 수 없는 최악의 상황을 맞을 수 있는 것이다.
또 인사팀에서 IT 관리자에게 홍 부장의 퇴사 사실을 알리더라도 문제는 발생할 수 있다. 계정관리가 일괄적으로 이뤄지지 않고 각 시스템별로 이뤄졌다면 관리자는 모든 시스템을 일일이 관리자 모드로 접속해 홍길동 부장의 계정을 삭제해야 하는데, 이 때 관리자의 실수로 하나의 애플리케이션에서 홍 부장의 계정을 삭제하지 못할 가능성도 존재하기 때문이다. 이러한 실수는 사용자와 애플리케이션의 개수가 크면 클수록 더욱 가능성이 높아지게 되며, 이 경우에도 홍 부장은 계정이 살아있는 애플리케이션에 접근해 관련 정보를 볼 수 있다.
이러한 보안위험은 기업에게 예기치 못한 손실을 가져다 줄 수 있음은 물론이다. 기업의 애플리케이션 및 DB와 계정과 접근권한을 연동시켜 자동화된 통합관리를 구현하는 IAM은 사용자의 변동사항을 즉각적으로 반영함으로써 이러한 보안 취약지점을 제거하는 효과도 지닐 수 있게 된다.
올해가 국내 IAM 터닝포인트
사실 국내 시장에서는 그동안 IAM이 크게 주목받지는 못했다. 컴플라이언스 이슈 대응에 필수 솔루션이라고 평가하면서도 구현에 필요한 막대한 투자비로 인해 쉽게 도입을 결정하지 못했기 때문이다. 또한 내부 보안과 내부 감사를 위한 기업의 인식 미비로 투명한 관리 원칙에 위배되는 팀단위 공동 ID가 관행적으로 사용됐다는 점도 IAM 도입을 어렵게 한 요인이다.
하지만 국내에서도 기업 투명성에 대한 요구가 높아지면서 IAM에 대한 도입 검토가 증가하고 있다는 것이 IAM 업계의 전언으로, 업계는 예년과는 다른 새로운 국면이 펼쳐질 것으로 기대하고 있다. 해외 시장과 달리 국내에서는 기업 규제 법안들이 미비하다고 지적됐지만, 한국판 사베인즈-옥슬리(K-SOX)로 불리는 내부관리회계제도, 한국채택국제회계기준(K-IFRS) 등에 따라 IT 계정의 투명성에 대한 요구도 높아지고 있다는 것이 이러한 기대를 갖게 하는 배경이다.
이와 관련, 아이디센트리코리아 인용환 사장은 “내부관리회계제도, 한국채택국제회계기준 등의 시행은 IAM에 대한 관심을 높이고 있다”고 지적했으며, 한국IBM 박형근 과장 또한 “최근 금융권 차세대 시스템 구축 시에는 IAM이 필수로 포함되는 등 IAM에 대한 고객의 인식변화가 뚜렷하다”고 설명했다.
한국CA의 조상원 차장은 “관련 프로젝트나 매출의 급증이 일어난 것은 아니지만, 관련 문의가 크게 늘어나는 등 IAM에 대한 관심이 높아지고 있다”고 전했으며, 한국썬 길용호 부장도 “세계적 추세와 최근의 컴플라이언스 이슈들로 인해 IAM이 부상하고 있다”면서 이러한 지적에 동의를 표시했다.
그러나, 관심급증에도 불구하고 아직까지 실제적으로 IAM 도입이 급물살을 타고 있는 것은 아니다. 분위기의 호전은 곳곳에서 감지되고 있지만, 실제로 매출 성장이 급격하게 일어나고 있지는 않은 것.
이는 IAM이 단순 적용이 어려운 솔루션이란 특징을 갖고 있기 때문으로 분석된다. 기업이 사용하고 있는 다양한 애플리케이션과 DB에 대한 연동이 필요해 세밀한 사전 컨설팅이 요구되며, 구축 시에도 기업의 특성에 맞춤화함으로써 효과를 극대화시키기 위한 커스터마이징 작업이 필수적이다. 이러한 요인으로 IAM 구축에는 많은 시간과 비용이 소요되게 된다. 이는 IAM 도입에 기업이 선뜻 나서지 못하는 요소로 작용해 가파른 성장 그래프를 나타내기 보다는 완만한 성장 곡선을 그리게 하는 배경으로 지적된다.
이와 관련, 업계 관계자들은 “비용 부담과 구축 어려움으로 IAM 시장은 가파른 성장곡선을 그리기는 어려운 분야로 시장조사기관들이 10% 이상의 성장 전망을 내놓는 것은 매우 고무적인 숫자”라며 “올해를 터닝포인트로 국내 시장 또한 전세계적인 흐름에 맞춰 IAM이 기업의 필수 솔루션으로 인식될 것”이라고 전망했다.
시장 주도권을 확보하라
국내 IAM 시장을 주도하고 있는 기업들은 한국CA, 한국IBM, 한국썬 등이며, 여기에 한국오라클이 도전장을 내밀고 있는 형국이다. 글로벌 기업들이 이 시장을 주도하는 까닭은 IAM 구축이 앞서 언급한 대로 컨설팅 능력과 다양한 애플리케이션과 연동되는 호환성을 갖춰야 하는 대형 프로젝트기 때문이다.
국내 IAM 시장에서 선두주자로 평가할 수 있는 것은 한국CA다. 한국CA는 IAM이 국내에 소개됐던 초기부터 IAM 전도사 역할을 자임하면서 조기 안착을 위한 지속적인 활동을 펼쳐왔다. 한국CA는 LG데이콤, LG텔레콤 등 통신사업자 를 비롯해 농협, 대한생명, ING생명 등 다수의 레퍼런스 사이트를 확보한 상황이다.
한국CA는 3월말 출시한 ‘CA IAM r12’를 통해 시장 공략을 더욱 강화한다는 계획. 새롭게 출시된 CA IAM r12는 서비스지향 아키텍처(SOA)와 웹 서비스 환경에 최적화돼 고객들의 비즈니스를 보다 안정적이고 효율적으로 지원한다는 점이 가장 큰 특징이다. IAM은 기업 효율성 향상을 위한 핵심인 ITSM(IT Service Management), SOA(Service Oriented Architecture)를 위한 기본 전제 조건이란 평가도 받고 있는데, SOA 환경에 최적화된 CA IMA r2의 출시로 시장 주도권을 확보한다는 계획이다.
한국IBM도 IAM 시장 패권을 확보를 위해 시장 공략을 더욱 강화할 태세를 갖추고 있다. 한국IBM은 “레퍼런스 사이트에서 한국CA에 결코 뒤지지 않는다”면서 “올해를 기점으로 한국IBM이 IAM 시장의 최장자란 위상을 확보하도록 할 것”이라고 자신감을 보였다. 한국IBM은 국민은행, BC카드, 기업은행, STX, 서울보증보험, 대한주택보증 등에 IAM을 구축하는 성과를 거두고 있다.
한국IBM 박형근 과장은 “IBM은 IAM 구성요소들은 물론 서버 시스템까지 보유해 포괄적 IAM 구성을 위한 이해도가 가장 높다”면서 “이러한 역량을 가진 IBM이 IAM의 최적의 파트너”라고 강조했다.
한국썬은 경쟁사와 달리 중앙집중적 서버가 필요하지 않은 차별점을 내세워 IAM 시장의 주도권을 확보한다는 계획이다. 썬의 IAM 솔루션은 가상 아이덴티티 기반의 통합 관리 환경을 제공해 기존 데이터에 대한 관리적 오너십 이슈는 물론, 대용량 계정통합관리 DB 구축에 따른 비효율성을 제거한다. 또한 중앙집중형 서버를 두지 않는 썬의 독특함은 IAM의 필요성을 느끼면서도 구축비용에 부담을 느끼는 중견기업을 공략할 때에도 경쟁우위의 요소로 작용하고 있다.
한국썬 길용호 부장은 “지난 2007년 LG전자의 IAM 구축을 성공적으로 완수한 것에서 썬의 경쟁력이 증명된다”며 “1만5천계정의 시스템 환경에 IAM을 구현한 LG전자는 썬과 유지보수 계약을 체결, 구축 솔루션에 대한 만족감을 표시하고 있다”고 전했다.
한국오라클은 IDM스위트를 통해 IAM 시장에 대한 공세 수위를 높여가고 있다. IAM 시장에서 보면 후발주자지만, 공격적인 정책으로 인지도를 높여가고 있다는 것이 업계의 전언이다. 한국오라클은 약 1천개의 계정을 갖고 있는 한솔제지에 IAM을 구축하는 등의 성과를 거두고 있다.
오라클이 내세우는 강점은 미들웨어 시장에서 갖는 오라클의 경험이다. IAM 구축이 애플리케이션과 시스템, 계정을 연계하는 것인 만큼 미들웨어 역량이 필요하며, 전세계적인 미들웨어 시장 강자인 오라클의 역량이 100% 활용될 수 있다는 것이다.
넷츠·A10, ‘양질의 서비스 자신’
CA, IBM, 썬, 오라클 등 대형 글로벌 기업의 활동이 눈에 띄지만 이에 못지 않은 활약을 펼치고 있는 기업은 존재한다. IAM 시장에서 국산기업의 자존심을 살리고 있는 넷츠와 A10이 그들이다.
넷츠는 30여개의 IAM 레퍼런스를 확보하고 있는 상황이다. IAM 시장을 이끌어가고 있다는 글로벌 기업들도 깜짝 놀랄 정도로 많은 숫자다. 넷츠는 호남석유화학, 전남대학교, 한국토지공사, 현대기아차, 동국제강 등 30여개 기업에 IAM을 구현하는 만만치 않은 성과를 거두고 있는 것이다.
이러한 놀라운 성과는 IAM이 시장에 소개되던 초기부터 관련 시장을 성장동력으로 설정하고, 회사의 역량을 집중투자해 글로벌 기업에 결코 뒤지지 않는 기술력을 확보했기 때문에 가능했던 것으로 분석된다. 넷츠는 2001년 R&D센터를 설립해 IAM 솔루션 확보에 나서는 등 이른 시기부터 IAM 시장 개화를 준비해왔다. 넷츠는 IAM과 관련해 GS인증을 확보해 기술력을 공인받고 있다.
넷츠 이백희 전략기획실장은 “넷츠와 비교할 수 없는 브랜드 파워를 지닌 글로벌 기업들과 경쟁해야 하지만, 5년 이상의 기술개발과 30여개의 레퍼런스 구축으로 IAM 분야에서는 글로벌 기업에 뒤지지 않는 역량을 갖췄다고 자신한다”면서 “다른 관점에서 살펴보면, 국내 시장에서는 오히려 넷츠가 세계적 명성을 지닌 글로벌 기업보다 더욱 양질의 서비스를 전달할 수 있다”고 주장했다. 이 실장은 “글로벌 기업의 한국지사의 IAM 인력은 많아야 10여명 안팎에 불과하지만, IAM 전문기업인 만큼 50여명 이상의 인력을 IAM 분야에 투입하고 있는 넷츠가 더욱 양질의 서비스를 제공할 수밖에 없다”고 설명했다.
레퍼런스 수에서는 글로벌 기업들을 넘어서는 이러한 성과는 넷츠가 IAM 시장에서 갖는 경쟁력을 증명하는 것이다. 넷츠는 IAM에 대한 수요가 확산되는 2008년 더욱 공격적인 시장공략을 통해 시장 주도권을 가져간다는 전략을 세우고 있다.
이백희 실장은 “IAM의 한 축인 EAM 시장에서 주도권을 갖고 있는 국산 벤더들과 적극적으로 협력하고, CC 인증을 추진하는 한편, 공공시장 진입의 교두보를 확보하겠다”고 시장 공략 전략을 밝혔다.
A10은 독특한 IAM 솔루션을 제시해 주목받는 기업이다. 어플라이언스 타입의 ‘아이디센트리’를 IAM 시장에 소개하고 있는 것. CA, IBM 등 기존 IAM 솔루션이 소프트웨어 형태인 반면, 아이디센트리는 어플라이언스 형태로 손쉽게 구축될 수 있는 장점이 있다. 이는 소프트웨어 방식이 갖는 복잡성을 해소함과 동시에 도입 비용을 낮춰 IAM 구현에 대한 도입기업의 부담을 최소화하게 된다.
A10코리아는 IAM이 기업 애플리케이션과의 연동이 필요한 전문분야라는 점에서 전문총판 체제로 IAM 시장을 공략할 방침이다. 아이디센트리를 공급할 전문업체로는 아이디센트리코리아(구 아이씨티시스템즈, 이하 IDCK)가 선정됐다. IDCK는 IAM 전문기업으로서의 위상강화를 위해 사명변경까지 단행할 정도로 업계 유일의 어플라이언스 타입의 IAM 솔루션인 아이디센트리에 강한 의지와 더불어 높은 기대를 갖고 있다.
지난해 하반기 국내 시장에 소개됐지만, IDCK를 통해 신영증권에 공급돼 금융시장 공략 기반을 마련하는 성과를 올렸다. 이외에도 반도체 테스트 솔루션 기업인 프롬써어티와 경기도청에 솔루션을 공급, 공공과 제조시장 공략을 위한 교두보를 확보했다. 최근에는 국내 굴지의 인터넷 포털에 SSL VPN 가입자 인증용으로 공급돼 구축이 진행중에 있다.
IDCK 인용환 사장은 “아이디센트리는 유일한 어플라이언스 타입의 IAM 솔루션으로 구축과 운영의 편리성은 물론 가격 부담도 덜게 하는 강점이 있다”며 “이를 통해 대기업에 머무르던 IAM 수요를 중견기업까지 확대할 것”이라고 자신했다.
최근 기업 규제의 강화로 중견기업들도 IAM에 대한 필요성을 절감하고 있는 상황이다. 하지만, 소프트웨어 방식에 의한 IAM 구축에는 비용 부담과 더불어 막대한 구축시간 등이 필요한 부담으로 인해 도입에 어려움을 토로하고 있다. 아이디센트리는 편리한 구축과 비용절감을 통해 이러한 중소기업의 어려움을 해소하게끔 한다는 것이다.
인용환 사장은 “아이디센트리는 중소기업 도입은 물론 복수의 어플라이언스를 구축하면, 수만개의 계정을 관리해야 하는 대형 사이트에서의 적용이 가능하다”며 “복잡하게 느껴지는 IAM에 대한 인식을 아이디센트리로 깨뜨려 IAM의 활성화를 이끌어내겠다”고 밝혔다.
| IAM 구성요소
IAM은 하나의 솔루션이나 기술로 구현될 수 있는 것이 아니다. 다양한 기술 분야와 하위 구성요소, 그리고 이를 기반으로 하는 다양한 프로세스들이 존재한다. 기술 분야는 IdM, EAM, 감사 및 컴플라이언스의 세 분야로 구분할 수 있다.
■ IdM(Identity Management)
ㆍID 관리
■ EAM(Enterprise Access Management)
ㆍ제휴 서비스 및 신뢰 관계
ㆍ웹 서비스 보호
ㆍ웹 사이트 통제
ㆍOS 접근통제 강화
■ 감사 및 컴플라이언스(Audit & Compliance)
ㆍ보안 정보관리 및 컴플라이언스 |
