A사 영업부서에 새로 출근한 경력사원 K씨는 첫날 자신이 맡을 직무와 회사 사업 전략, 기본 업무 등에 대해 파악하고자 했지만 아무 정보도 얻지 못한 채 퇴근해야 했다. 인사팀으로부터 이메일은 물론 그룹웨어, ERP 등의 시스템 인증을 위한 계정을 전혀 발급받지 못해 기본적인 회사 운영 상황을 파악하는 것은 물론 전임자가 만들어 놓은 각종 영업 파일조차 열어 볼 수 없었기 때문이다. 다음날 출근과 동시에 인사팀에 문의했지만 ‘아직 관련 부서장의 결재가 나지 않아 권한 인증 여부를 확인할 수 없고, 그나마 인사 담당 이사가 휴가에서 돌아오는 모레쯤 일부 시스템에 대한 계정을 발급할 수 있을 것’이라는 무성의한 답변을 들어야 했다.

B사의 신입사원 L씨는 출근 첫날 인사팀으로부터 URL 주소와 시스템 접근 계정을 부여받았다. 이어 L씨는 회사 인사관리 시스템에 접속해 자신의 신상 및 이력 정보를 입력했다. 인사담당자는 입력된 L씨의 신상정보를 확인한 후 관련 업무 담당자들에게 메일을 보내 L씨의 업무 영역에 대한 각각의 시스템 접근 권한을 승인해주도록 요청했다. 잠시 후 부서장들의 승인 확인 메일이 도착하자 인사담당자는 L씨의 직무와 그 직무와 관련된 시스템 및 애플리케이션에 대한 접근 권한과 계정에 대한 최종 승인을 내렸고, 관련 계정은 자동으로 생성됐다. 거의 동시에 L씨는 핸드폰을 통해 계정이 성공적으로 발급됐다는 문자메시지를 받았고, 주어진 계정으로 사내 시스템에 접속해 곧바로 업무를 개시할 수 있었다.

위의 두 가지 예는 자동화된 계정관리 프로세스가 기업 내에 구축돼 있지 않거나 반대로 이상적으로 잘 구축된 경우를 가정해본 것이다. 의외로 많은 기업들이 이러한 상황을 반복적으로 경험하고 있다. 실제 모 대형 제조업체의 경우 오라클 ERP에 대한 권한 신청에만 평균 4일이 걸렸으며, 판매직원의 이직이 잦은 회사의 경우 계정 발급 기간이 오래 걸려 아예 부서 담당자가 임의로 사용자 계정을 발급해 주도록 하고 있는 경우도 있다. 이처럼 계정의 생성, 등록, 유지, 폐기가 원칙 없이 복잡하게 진행되다 보니 높은 관리 비용을 감당하기보다 아예 관리 수준을 낮춰 임의로 계정을 생성해 사용하는 기업이 부지기수다. 그 결과 기업 내에서 관리되지 않는 계정이 평균 60%에 달하며, 개인당 평균 17개의 계정을 보유하고 있다는 조사 결과도 있다.

성공적인 계정관리 프로세스 구축법
기업에서는 일반적으로 내부자 보안보다는 기업외부로부터의 보안 위협을 방지하기 위한 네트워크 보안 위주의 투자가 우선시돼 왔고, 반대로 내부자 보안을 위한 명확한 대안을 만들고 이를 체계적으로 구현할 수 있는 수단을 갖지 못해 계정관리를 소홀히 한 것이 사실이다. 그러나 BMC, CA, 퀘스트소프트웨어, IBM, 썬 등의 주요 솔루션 벤더들이 관련 기술 보유 기업에 대한 활발한 인수합병을 전개하며 계정관리 솔루션을 공급하고 있다.

하지만 기업이 계정관리 체계를 성공적으로 도입하기 위해서는 명확한 계정관리에 대한 개념 인식과 분명한 도입 목적을 마련하고, 그 구현을 위한 힘 있는 추진 주체를 꾸리는 방법적인 보완이 필요한 실정이다. 초기 단계의 계정관리 프로젝트를 진행했던 사례를 보면 기업에서 계정관리를 보안의 한 영역으로만 치부하고 관련 담당자 선에서 도입을 추진하는 경우가 많았다. 즉 계정관리가 내부 보안의 핵심임을 CxO 레벨의 최종 의사 결정권자들이 인지해야 함을 의미한다. 계정관리가 상대적으로 덜 중요하다는 인식이 팽배해 CxO가 강력한 이니셔티브를 갖고 계정관리 프로젝트를 추진하는 사례는 찾아보기 어렵다. 사고가 나기 전에 보안에 대해 큰 돈을 투자하기가 쉽지 않기 때문이다.

추진력 있는 전담인원 선정해야
계정관리에 대한 인식이 낮다는 것은 역으로 기존에 기업 사용자 계정에 대한 명확한 관리 주체가 없었다는 반증이기도 하다. 해외 유수 기업과 달리 계정관리를 위한 전담 인력이나 부서를 갖춘 국내 기업은 거의 드물다는 얘기다. 계정관리 업무는 특성상 HR, 보안, 시스템관리 등 여러 부서간의 협력이 필요하지만, 이 때문에 어느 특정 부서가 예산을 마련해 주도적으로 추진하기 어려운 점이 있다.

CxO 레벨의 최종 의사 결정권자가 전체 조직과 정책을 일관되게 엮어 비가시적인 문제점을 해결하는 역할을 맡고, HR 조직이 실무 추진 주체가 되고 IT부서가 관련 업무를 실행하는 것이 적절할 것으로 본다. 그 이유는 HR 조직이 직원에 대한 모든 정보를 관리하며, 감사관련 업무도 인사부서가 주로 관장한다는 점에서 시스템 구축 및 관리는 IT부서가 하되 감시 감독 예산배정 등은 인사부서가 해야 한다는 것이다. 역시 계정 발급, 부여, 회수도 인사부 권한이므로, 당연히 HR 조직이 주도적으로 움직여야 한다.

추가로 계정관리의 중요한 사항으로는 시스템이 아닌 사람을 중심으로 하는 통합 계정관리가 필요하다는 것이다. 기존에는 시스템이나 애플리케이션의 관점에서 이를 이용하는 사람을 통제하거나 관리하려는 경향이 강했지만, 진정한 계정관리는 사용자가 업무를 가장 효율적으로 수행할 수 있도록 사용자 중심으로 IT 자원의 이용 권한을 배치하는 데 초점을 두어야 한다. 따라서 표준화된 관리 및 모니터링 환경을 갖추되, 그 구현의 초점은 사용자들이 회사의 목적 혹은 업무의 목적에 맞게 정확한 접근 권한을 갖고 있는지, 적절한 대상에 적절하게 접근하는지, 퇴사직원은 제대로 관리되는지 등을 기준으로 삼아 추진하는 것이 필요하다.

단계적 도입, 검증 후 확장이 접근방법
계정관리 프로젝트의 특성상 힘 있는 추진 조직과 경영진의 든든한 후원이 뒷받침돼야 하는 것은 중요하다. 그렇지 않을 경우 실무 부서장 수준의 담당자가 관련된 현업 담당자를 설득하며 프로젝트를 추진하다 보면 기술적인 문제보다 부서간 의견 조율에 더 많은 시간을 사용하게 돼 자칫 프로젝트가 실패로 이어지거나 많은 어려움을 겪게 되고 프로젝트 기간이 늘어나는 문제가 발생하게 된다. 사내에 흩어져 있는 관리 권한을 통합하는 만큼 개별 담당부서가 아닌 IT 기획팀, PI팀 등이 주도할 경우 성공 가능성이 높아진다는 얘기다.

하지만 IT 자원 관리를 운영조직에 의존하는 대기업의 경우 헬프데스크 인력을 줄이고, 관리 권한을 하나로 묶는 것에 대해 ‘자기 목에 칼을 대는 것’처럼 생각해 원활하게 진행되지 않는 경우가 있을 수 있다. 따라서 전체를 조율하고 통제할 수 있는 조직이 전면에서 운영조직에서 발생하는 비효율적인 업무의 자동화로 업무의 생산성을 높이고, 본연의 업무인 서비스 품질 향상에 주력하도록 설득해야 한다. 계정관리구축은 단계적인 도입, 검증 후 확장하는 접근 방법을 제안하고 있다. 대상 범위 역시 1차는 내부 임직원, 2차는 협력업체 관계자, 3차는 고객으로 단계별 확장하는 방법 또는 1차는 시스템 계정, 2차는 애플리케이션 계정으로 확장하는 방법이 제안된다.

따라서 계정관리가 갖는 장점과 도입 가치, 확장 대상 및 가능성 여부 등을 미리 꼼꼼하게 따져 실적용에 나설 필요가 있다. 기업 전반의 보안 수준을 한 단계 높이고 내부 사용자들의 업무 생산성을 높이기 위한 계정관리시스템 구축의 필요성이 확산되면서 계정관리에 대한 정확한 인식과 가치 판단이 필요하다.