1. IAM의 개념
IAM(ID 및 액세스 관리)은 일종의 프레임워크이다. 전자적 또는 디지털 ID 관리를 용이하게 하는 비즈니스 프로세스, 정책과 기술의 프레임워크인 것이다. IAM 프레임워크를 사용하면 관리자는 조직 내 중요한 정보에 대한 사용자 액세스를 제어할 수 있게 된다. IAM에 사용되는 시스템에는 SSO, 2팩터 인증, 멀티팩터 인증 및 권한 있는 액세스 관리가 포함된다. 또한, 이러한 기술은 데이터 거버넌스 기능뿐만 아니라 ID 및 프로필 데이터를 안전하게 저장할 수 있는 기능을 제공한다. 그래서 필요가 있는 데이터만 공유할 수 있도록 한다.
IAM 시스템은 클라우드 기반 구독 모델을 통해 서드파티 업체가 제공하는 온 프레미스를 구축하거나 하이브리드 모델로 구축될 수 있다. 기본적으로 IAM은 다음 구성 요소를 포함한다.
- 시스템에서 개인을 식별하는 방법: 신원 관리와 인증의 차이에 대해 이해한다.
- 시스템에서 역할을 식별하는 방법과 개인에게 역할을 할당하는 방법
- 시스템에서 개인과 그 역할을 추가, 제거 및 업데이트
- 개인 또는 개인 그룹에 액세스 수준을 할당
- 시스템 내의 민감 데이터를 보호하며, 시스템 자체를 보호
1.1 IAM의 중요성
IT 분야에서는 기업 리소스에 대한 액세스를 보호해야 한다는 명목의 규제를 강화하고 있다. 그결과 더 이상 수동 프로세스와 오류가 발생하기 쉬운 프로세스에 의존하여 사용자 권한을 할당하고 추적할 수 없게 된 것이다. IAM은 이러한 작업을 자동화하고 온프레미스 환경과 클라우드에서 모든 기업 자산에 대한 세밀한 액세스 제어와 감사를 지원한다.
생체 인식, 행동 분석 및 AI를 포함한 기능 목록이 계속 증가하고 있는 IAM은 새로운 보안 환경의 '엄격함'에 있어 매우 적합하다고 할 수 있다. 예를 들어, 고도로 분산되고 동적인 환경에서 IAM이 리소스 액세스를 엄격하게 제어하는 것은 업계가 방화벽에서 제로 트러스트 모델로 전환하는 것과 일맥상통하다고 할 수 있다. IoT의 보안 요구사항도 마찬가지인 것이고 말이다.
IAM은 예산이 많은 대규모 조직만을 위한 것이 아니다. 실제로 본다면 모든 규모의 기업에서 이 기술에 얼마든지 접근할 수 있다. 그렇기에 중요성이 부각되는 것이다.
2. IAM의 기본 구성 요소
IAM 프레임워크를 통해 관리자는 조직 내 중요 정보에 대한 사용자 액세스를 제어할 수 있다고 앞서 말했다. IAM 제품은 역할 기반 액세스 제어 기능을 제공하여 시스템 관리자가 기업 내 개별 사용자의 역할에 따라 시스템이나 네트워크에 대한 액세스를 제어할 수 있다. 이러한 맥락에서 볼 때, '액세스'는 파일을 보고, 생성하거나 수정하는 등 특정 작업을 수행할 수 있는 개별 사용자의 능력이라 할 수 있다. 이때 역할은 기업 내 직무, 권한 및 책임에 따라 정의될 것이다.
IAM 시스템은 사용자 로그인 정보를 캡처 및 기록하고 사용자 ID의 엔터프라이즈 DB를 관리하며 액세스 권한의 할당 및 제거를 조정해야 한다. 그말인 즉슨, IAM에 사용되는 시스템은 회사 사용자 기반의 모든 측면에 대한 감독 및 가시성을 갖춘 중앙 집중식 디렉터리 서비스를 제공해야 한다는 것이다.
디지털 아이덴티티는 결코 인간만을 위한 것이 아니다. IAM은 신뢰를 확립하는 데 도움이 되는 장치와 애플리케이션의 디지털 아이덴티티를 관리할 수도 있다. 클라우드에서 IAM은 서비스로서의 인증 또는 IDaaS에 의해 처리될 수 있다. 두 가지 경우 모두 타사 서비스 제공자가 사용자의 정보를 관리할 뿐만 아니라 인증 및 등록에 대한 부담을 지닌다. 그렇기에 클라우드에 있어서도 IAM에 대한 내용은 빼놓을 수 없을 것이다.
3. IAM의 이점
IAM 기술은 사용자 신원 및 관련 액세스 권한을 자동화된 방식으로 시작, 캡처, 기록 및 관리하는 데 사용될 수 있는데, 그래서 조직은 다음과 같은 이점을 얻을 것이다.
① 접근 권한은 정책에 따라 부여되며, 모든 개인 및 서비스는 적절하게 인증, 권한 부여 및 감사를 받는다.
② ID를 적절하게 관리하면 사용자 액세스 제어 기능이 강화되어 내부 및 외부 데이터 침해 위험이 줄어들게 된다.
③ IAM 시스템을 자동화하면 네트워크 액세스를 수동으로 관리하는 데 필요한 노력, 시간, 비용을 절감하여 조직을 보다 효율적으로 운영할 수 있다.
④ 보안 측면에서 IAM 프레임워크를 사용하면, 사용자 인증, 검증 및 권한에 관한 정책을 보다 쉽게 시행하고 액세스 크립에 관한 문제를 해결할 수 있다.
⑤ IAM 시스템은 조직 정보가 오용되지 않는다는 것을 보여줌으로써 조직이 국가 규제를 더 잘 준수할 수 있도록 도와준다. 또한, 해당 조직은 감사에 필요한 모든 데이터를 요청 시 제공할 수 있음을 입증할 수도 있다.
조직은 IAM 툴을 구현하고 관련 모범 사례를 준수함으로써 경쟁 우위를 점할 수 있을 것이다. 예를 들어, IAM 기술을 통해 조직은 고객, 협력사, 계약자 및 공급업체와 같은 조직 외부의 사용자가 보안을 저해하지 않으면서 모바일 애플리케이션, 사내 애플리케이션 및 SaaS를 통해 네트워크애 액세스할 수 있게 된다. 이를 통해 협업의 효율을 높이고, 생산성이나 기타 효율성을 높이며, 운영비를 절감할 수도 있을 것이다.
4. IAM 기술과 도구
IAM 기술은 사용자 프로비저닝 및 계정 설정 프로세스를 단순화하도록 설계되었다. 이러한 시스템은 자동화된 계정 이행을 허용하면서 오류와 남용 가능성을 줄이는 제어된 작업 흐름으로, 이러한 프로세스를 완료하는 데 걸리는 시간을 물론 줄이는 것이 좋다. IAM 시스템은 관리자가 바뀌는 액세스 역할과 권한을 즉시 보고 변경할 수 있도록 해야 할 것이다.
또한, 시스템은 프로세스를 진행하며 속도와 자동화의 균형을 맞춰야 한다. 따라서 액세스 요청을 관리하기 위해 중앙 디렉터리에는 비즈니스 유닛 식별자 및 위치와 관련한 권한 수준과 자동으로 일치시키는 액세스 권한 시스템이 필요하게 된다.
개별 요청을 적절하게 확인할 수 있도록 여러 검토 수준을 워크플로우로 포함할 수도 있을 것이다. 이를 통해 사용자가 작업을 수행하는 데 필요한 수준 이상의 액세스 권한이 점진적으로 축적되는 액세스 크립를 방지하기 위해 기존 권한에 대한 검토를 완화할 뿐만 아니라 상위 수준 액세스를 위한 적절한 검토 프로세스를 설정할 수 있다.
IAM 시스템을 사용하여 특정 역할에 대한 특정 권한을 가진 그룹을 유연하게 설정하여 직무 기능에 기반한 접근 권한이 균일하게 할당될 수 있도록 해야 한다. 언제 어디서나 최소 권한은 적용되는 것이다. 그런데 이때, 동일한 직함과 직무 위치를 가진 직원이 있을 수도 있지 않겠는가? 그럴 때는 맞춤형 또는 약간은 다른 접근 권한이 필요할 수 있으므로 시스템은 권한 수정을 위한 요청 및 승인 프로세스도 제공해야 할 것이다.
ㄱ. 디지털 인증
IAM을 통해 조직은 디지털 신원을 증명하고, 기업 리소스에 대한 액세스를 승인하기 위해 다양한 디지털 인증 방법을 구현할 수 있다.
ㄴ. 유니크한 비밀번호
가장 흔한 종류의 디지털 인증은 고유 비밀번호이다. 비밀번호를 더 안전하게 만들기 위해, 일부 조직들은 더욱 많은 조합을 요구하거나, 길이를 늘리는 것을 권고하기도 한다. SSO의 역할을 제외한다면, 사용자가 일반적으로 복잡한 비밀번호를 외운다는 것은 부담스러운 일이다.
ㄷ. 사전 공유 키(PSK)
PSK는 같은 자원에 접근할 수 있는 권한을 가진 사용자들 사이에 비밀번호를 공유하는 또 다른 종류의 디지털 인증인데, 와이파이를 생각하면 이해가 빨라진다. 물론 이런 종류의 인증은 개별 비밀번호보다 안전하다고 할 수 없다. PSK와 같은 공유 암호의 문제점은 자주 암호를 변경하는 것이고, 그건 분명 번거로운 일이다. 그리고 기억해야 하는 것은, 사용자가 제일 싫어하는 것 중 하나가 번거로움이라는 점이다. 어찌 보면, 보안 레벨보다 더 신경쓰는 것일 지도..
ㄹ. 행동 인증
매우 민감한 정보와 시스템을 다룰 때, 조직은 행동 인증을 사용하여 훨씬 더 많은 정보를 얻을 수도 있다. 키스트로크 역학이나 마우스 사용 특성 등을 이용하여 말이다. IAM 시스템의 트렌드인 인공지능을 적용함으로써 조직은 사용자나 기계의 행동이 정상을 벗어나는지 빠르게 인식할 수 있고, 그것을 토대로 자동으로 시스템을 잠글 수도 있을 것이다.
ㅁ. 생체 인식.
현대의 IAM 시스템은 더 정확한 인증을 위해 생체 인식을 사용한다. 예를 들어, 지문, 홍채, 얼굴, 손바닥, 걸음걸이, 음성을 포함한 다양한 생체 인식 특성을 수집하고, 경우에 따라서는 DNA를 수집할 수도 있을 것이다. 이러한 생체, 행동과 관련된 인증은 물론 기존의 비밀번호 인증보다 훨씬 효과적이기야 하다.
물론, 생체 특성은 윤리적인 부분을 비롯해서 고려해야 할 사항이 정말이지 많다. ① 생채 데이터의 접근, 사용 및 저장 ② 투명성 ③ 고객이 선택할 수 있는 옵션 부여 ④ 생체 인식 데이터 개인정보보호 등... 생체 인식에 크게 의존할 때 한 가지 위험이 있다. 회사의 생체 인식 데이터가 해킹되면 그 파급이 너무나도 너무나도 극심하다는 것이다. 지문 정보가 유출되었다고 할 때 지문을 바꿀 수 없는 것을 생각하면 된다. 비밀번호처럼 그때 그때 슉슉 바꿀 수 없는 것이라 파급이 크다. 물론 이런 법적, 윤리적, 유출 시의 부담감 등의 문제도 있지만, 결국 가장 중요한 것 중 하나는 규모에 맞게 안전하게 구현하기 위한 비용이지 않을까 싶다.
5. 기업 내 IAM 구현
IAM 시스템을 기업에 도입하기 전에, 기업은 조직 내에서 정체성 및 액세스 정책을 개발, 제정 및 시행하는 데 주도적인 역할을 할 사람을 식별해야 할 것이다. IAM은 모든 부서와 모든 유형의 사용자(직원, 협력사, 공급업체, 고객 등)에게 영향을 미치기 때문에 IAM 담당자는 기업의 기능을 혼합하여 구성하는 것이 필수적이다.
IAM 시스템을 구현하는 담당자들은 온프레미스 구현을 위해, 그리고 직원들을 위해 OSA IAM 설계 패턴인 SP-010을 숙지해야 한다. 이 패턴은 IAM에 의존하는 시스템뿐만 아니라 다양한 역할이 IAM 구성 요소와 어떻게 상호 작용하는지에 대한 아키텍처를 제시하는 것이다. 정책 집행과 정책 결정은 IAM 프레임워크 내에서 서로 다른 요소에 의해 처리되기 때문에 서로 분리된다.
조직은 효과적인 IAM 아키텍처를 구현하기 위해 다음 단계를 수행해야 할 것이다.
① 사용자가 상호 작용할 애플리케이션, 서비스, 구성 요소 및 기타 요소를 포함한 사용 목록을 작성한다. 이 목록은 사용이 올바른지 확인하는 데 도움이 되며, IAM 제품 또는 서비스에서 필요한 기능을 선택하는 데 도움이 된다.
② 클라우드 기반 애플리케이션과 온 프레미스 애플리케이션 등 조직의 환경이 어떻게 연결되는지 이해한다.
③ IAM에서 비즈니스에서 가장 중요한 분야를 구체적으로 알아야 한다. 다음 질문에 답을 할 수 있어야 할 것이다.
- 멀티팩터 인증이 필요한가?
- 고객과 직원이 동일한 시스템에서 지원을 받아야 하는가?
- 자동화된 프로비저닝과 디프로비저닝이 필요한가?
- 어떤 기준을 지원해야 하는가?
구현은 IAM 성공에 대한 기대와 책임을 문서화하는 것을 포함하여 IAM 모범 사례를 염두에 두고 수행되어야 할 것이다. IAM이 범용화되어 쓰이고 있는 만큼, 그 사례를 찾는 것은 어렵지 않을 터이다. 또한, 기업은 보안 및 중요 시스템을 아이덴티티를 중심으로 중앙 집중화해야 한다. 뭔들 다 중요하겠다만, 가장 중요한 것은 조직이 현재 IAM 컨트롤의 효과를 평가하는 데 사용할 수 있는 프로세스를 만들어야 한다는 것이다.
6. IAM의 위험
당연하게도 완벽한 시스템이란 존재하지 않고, IAM에도 리스크는 존재한다. 불완전한 프로비저닝, 잘못된 프로세스 자동화, 불충분한 검토 같은 것들을 주의해야 할 것이다. 또한 최소 특권 원칙에 주의를 기울이는 것이 보안을 보장하는 것과 긴밀하다는 사실을 명심해야 한다.
앞서 말했듯 생체 인식은 그것 자체로 심각한 리스크를 안고 있기도 하다. 그나마 필요한 데이터만 수집하고 보관하는 것은 리스크의 크기를 줄여주는 것이다. 조직은 자신이 가지고 있는 생체 인식 데이터가 무엇인지, 무엇이 필요한지, 무엇이 필요하지 않은지, 그렇다면 그것은 어떻게 제거하는지, 필요 데이터는 어떻게 저장하고 어디에 저장하는지, 그것들을 명확하게 이해하고 있어야 한다.
클라우드 기반 IAM은 사용자 계정의 프로비저닝, 디프로비저닝이 제대로 처리되지 않거나, 취약한 비활성 사용자 계정이 너무 많거나, 관리자 계정이 확산되는 경우 문제가 생길 수 있을 것이다. 조직은 공격자가 사용자 ID 및 암호에 액세스하는 것을 방지하기 위해 클라우드 기반 IAM의 모든 측면에 대한 라이프사이클 제어를 보장해야 한다.
동시에 멀티팩터 인증과 같은 기능은 복잡하기 때문에 온 프레미스 환경에 있을 때보다 IDaaS와 같은 클라우드 기반 서비스에서 더 쉽게 배포될 수 있을 것이다. 또한, 감사 기능을 통해 사용자가 역할을 전환하거나 조직을 떠날 때 액세스 권한이 제깍제깍 변동되는지 확인해야 할 것이다.
7. IAM과 컴플라이언스
보안을 향상한다는 것은 무엇을 의미할까? 으레 보안 프로세스를 많이 쌓는 것이라 생각할 수 있다. 그것도 맞는 말이기야 하다만, 보안을 위한 프로세스와 기술이 실제로 안전한 환경을 제공하고 있다는 것을 입증하는 것도 중요하다.
IAM은 사용자에게 업무 수행에 필요한 접근 권한만 부여하는 최소 권한 원칙과 한 사람이 모든 업무에 대해 절대 책임지지 않는 업무 분리 원칙을 준수함으로써 이 기준을 충족한다. IAM은 사전에 결정된 액세스 제어와 실시간 액세스 제어를 결합하여, 조직이 규제, 위험 관리, 규정 준수 의무를 모두 충족하도록 지원을 하는 것이다.
현재에 쓰이는 IAM 기술은 개인정보 보호법과 NIST 가이드라인 등을 포함한 여러 조직의 중요 요구사항을 준수하는지 여부를 확인할 수 있다.
'보안 > 개념' 카테고리의 다른 글
클라우드 기반 서비스 총정리 (1) | 2024.01.21 |
---|---|
클라우드 컴퓨팅의 보안 문제 총정리 (1) | 2024.01.21 |
클라우드 보안 총정리 (0) | 2024.01.17 |
ISMS-P 결함사례 고찰 #3.5. 정보주체 권리보호 (0) | 2024.01.16 |
ISMS-P 결함사례 고찰 #3.4. 개인정보 파기 시 보호조치 (1) | 2024.01.15 |