액세스 관리란 무엇인가요?

액세스 관리와 ID 관리가 함께 더 광범위한 사이버 보안 분야인 ID 및 액세스 관리(IAM)의 두 기둥을 형성합니다. IAM은 IT 시스템에서 디지털 ID 및 사용자 권한을 프로비저닝하고 보호하는 작업을 처리합니다.

ID 관리에는 인간 사용자(직원, 고객 또는 계약자)와 인간이 아닌 사용자(AI 에이전트, IoT 및 엔드포인트 디바이스 또는 자동화된 워크로드)를 포함한 시스템의 모든 사용자에 대한 ID를 생성하고 유지보수하는 작업이 포함됩니다.

액세스 관리에는 이러한 사용자가 조직의 데이터, 온프레미스 리소스 및 클라우드 기반 앱 및 자산에 안전하게 액세스할 수 있도록 하는 것이 포함됩니다. 액세스 관리의 핵심 기능에는 사용자 액세스 정책 관리, 사용자 ID 인증, 유효한 사용자가 시스템에서 특정 작업을 수행할 수 있는 권한 부여가 포함됩니다.

클라우드 컴퓨팅, 서비스형 소프트웨어(SaaS) 솔루션, 원격 근무 및 생성형 AI의 부상으로 액세스 관리는 네트워크 보안의 핵심 구성 요소가 되었습니다. 조직은 더 많은 종류의 사용자가 더 많은 위치에서 더 많은 종류의 리소스에 액세스할 수 있도록 하는 동시에 데이터 침해를 방지하고 승인되지 않은 사용자를 차단해야 합니다. 

미국 국립표준기술연구소(NIST)에 따르면 핵심 액세스 관리 기능은 다음과 같습니다.

• 정책 관리
• 인증
• 권한 부여

세분화된 액세스 정책은 대부분의 액세스 관리 시스템에서 사용자 액세스 권한을 제어합니다. 조직은 액세스 정책을 설정하기 위해 여러 가지 접근 방식을 취할 수 있습니다.

일반적인 액세스 제어 프레임워크 중 하나는 역할 기반 액세스 제어(RBAC)로, 사용자의 권한은 직무 기능을 기반으로 합니다. RBAC는 사용자 권한 설정 프로세스를 간소화하고 사용자에게 필요 이상의 권한을 부여하는 위험을 완화합니다.

예를 들어 시스템 관리자가 네트워크 방화벽에 대한 권한을 설정한다고 가정해 보겠습니다.

• 판매 담당자는 해당 사용자의 역할에 해당 권한이 부여되지 않았기 때문에 해당 권한에 접근할 수 없을 것입니다.
  
  
• 주니어 수준의 보안 분석가는 방화벽 구성을 볼 수는 있지만 변경할 수는 없습니다.
  
  
• 최고 정보 보안 책임자(CISO)는 모든 관리 액세스 권한을 갖습니다.
  
  
• 통합 보안 정보 및 이벤트 관리 시스템(SIEM)을 위한 애플리케이션 프로그래밍 인터페이스(API)는 방화벽의 활동 로그를 읽을 수 있습니다.

조직은 RBAC와 함께 또는 RBAC의 대안으로 다른 액세스 제어 프레임워크를 사용할 수 있습니다. 이러한 프레임워크에는 다음이 포함됩니다.

• 필수 접근 통제(MAC)는 보안 수준 또는 신뢰 점수를 기반으로 모든 사용자에 대해 중앙에서 정의된 정책을 시행합니다.
  
  
• 임의 액세스 제어(DAC)를 통해 리소스 소유자가 해당 리소스에 대한 액세스 제어 규칙을 자체적으로 설정할 수 있습니다. 
  
  
• 속성 기반 액세스 제어(ABAC)는 사용자, 객체 및 작업의 속성을 분석하여 액세스 권한을 부여할지 여부를 결정합니다. 이 속성에는 사용자의 이름, 리소스의 유형 및 시간대가 포함됩니다.

대부분의 조직의 액세스 제어 프레임워크는 최소 특권의 원칙을 따릅니다. 종종 제로 트러스트 보안 전략과 관련된 최소 권한 원칙은 사용자가 작업을 완료하는 데 필요한 가장 낮은 권한만 가져야 한다는 것을 명시합니다. 향후 보안 위험을 방지하기 위해 작업이 완료되면 권한을 취소해야 합니다.

인증은 사용자가 자신이 주장하는 사람과 동일하다는 것을 확인하는 과정입니다.

사용자는 시스템에 로그인하거나 리소스에 대한 액세스를 요청할 때, ID를 보증하기 위해 자격 증명(인증 요소라고 함)을 제출합니다. 예를 들어 인간 사용자는 비밀번호를 입력하거나 생체 인식 지문 스캔을 수행할 수 있으며, 비인간 사용자는 디지털 인증서를 공유할 수 있습니다.

액세스 관리 도구는 제출된 요소를 사용자의 파일에 있는 자격 증명과 비교하여 검사합니다. 일치하는 경우 사용자에게 액세스 권한이 부여됩니다.

비밀번호는 가장 기본적인 인증 방식이면서 가장 취약한 인증 방식이기도 합니다. 오늘날 대부분의 액세스 관리 도구는 고급 인증 방법을 사용합니다. 이러한 방법에는 다음이 포함됩니다.

• 2단계 인증(2FA) 및 다단계 인증(MFA)에서는 사용자가 자신의 신원을 증명하기 위해 최소 두 가지 이상의 증거를 제공해야 합니다.
  
  
• 비밀번호 없는 인증은 비밀번호가 아닌 생체 인식 요소나 FIDO 패스키와 같은 자격 증명을 사용합니다.
  
  
• 싱글사인온(SSO)을 사용하면 하나의 로그인 자격 증명으로 여러 앱과 서비스에 액세스할 수 있습니다. SSO 시스템은 서비스 간 인증 데이터를 공유하기 위해 SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect)와 같은 개방형 프로토콜을 사용하는 경우가 많습니다.
  
  
• 적응형 인증: 인공 지능(AI) 및 머신 러닝(ML)을 사용하여 행동, 장치 보안 상태 및 타이밍과 같은 요소를 기반으로 사용자의 위험 수준을 분석합니다. 위험 수준이 변화함에 따라 인증 요구 사항도 실시간으로 변경되며, 로그인이 위험할수록 강력한 인증이 필요합니다.

권한 부여는 확인된 사용자에게 리소스에 대한 적절한 수준의 액세스 권한을 부여하는 프로세스입니다.

인증 및 권한 부여는 밀접하게 연결되어 있으며 인증은 일반적으로 권한 부여를 위한 필수 구성 요소입니다. 사용자의 신원이 입증되면 액세스 관리 시스템은 중앙 데이터베이스나 정책 엔진에 기록된 사전 정의된 액세스 정책에 따라 해당 사용자의 권한을 확인합니다. 그런 다음 시스템은 사용자에게 세션 중에 특정 권한을 가질 수 있는 권한을 부여합니다.

액세스 관리 도구는 액세스 정책을 기반으로 사용자의 권한을 제한함으로써 자신의 권한을 악의적으로 남용하는 내부자 위협과 실수로 권한을 오용하는 선의의 사용자를 모두 방지하는 데 도움이 될 수 있습니다.

사용자의 ID 유효성 검사에 실패하면 액세스 관리 시스템에서 사용자에게 권한을 부여하지 않아 계정과 연결된 권한을 사용하지 못하도록 차단합니다. 이는 외부 공격자가 합법적인 사용자의 권한을 하이재킹하고 남용하는 것을 방지하는 데 도움이 됩니다.

액세스 관리 솔루션은 직원과 같은 내부 사용자의 액세스를 제어하는 도구와 고객과 같은 외부 사용자의 액세스를 제어하는 도구의 두 가지 범주로 크게 분류할 수 있습니다. 

직원, 관리자, 관리자 등 조직의 내부 사용자는 비즈니스 앱, 메시징 앱, 회사 데이터베이스, HR 시스템 등을 비롯한 여러 시스템에 액세스해야 하는 경우가 많습니다.

거의 모든 기업의 내부 리소스는 민감한 것으로 간주되어 악의적인 해커로부터 보호가 필요합니다. 그러나 모든 내부 사용자가 모든 내부 리소스에 대한 액세스 권한이 필요한 것은 아닙니다. 조직은 사용자 액세스 권한을 세부적인 수준에서 제어할 수 있는 정교한 액세스 관리 도구가 필요합니다.

일반적인 내부 액세스 관리 도구는 다음과 같습니다.

IAM 플랫폼은 핵심 ID 및 액세스 관리 기능을 단일 시스템에 통합하는 포괄적인 솔루션입니다. IAM 플랫폼의 일반적인 기능으로는 사용자 디렉터리, 인증 도구, 액세스 정책 관리, ITDR(ID 위협 탐지 및 대응) 기능이 있습니다.

권한 있는 액세스 관리(PAM)는 고도로 권한이 있는 사용자 계정(예: 관리자 계정)과 권한 있는 활동(예: 민감한 데이터 작업)을 관리하고 보호하는 액세스 관리의 하위 집합입니다.

대부분의 IT 시스템에서 고도로 권한이 있는 계정은 악의적인 행위자가 심각한 피해를 주는 데 사용할 수 있는 가치가 높은 표적이므로 특별한 보호 조치를 받습니다.

PAM 도구는 자격 증명 보관소와 적시(JIT) 액세스 프로토콜을 사용하여 권한 있는 ID를 나머지 ID와 격리합니다. JIT는 사용자에게 영구적으로 상승된 권한을 부여하는 대신 요청 시 제한된 시간 동안 권한 있는 사용자에게 특정 리소스에 대한 권한 있는 액세스 권한을 부여합니다.

ID 거버넌스 및 관리(IGA) 도구는 조직의 액세스 정책, 액세스 제어가 보안 요건과 규제 의무를 충족하는 방식으로 이ㄴ루어지고 있는지 확인하는 데 도움이 됩니다.

IGA 솔루션은 각 사용자의 라이프사이클 전반에 걸쳐 규정을 준수하는 액세스 정책을 정의하고 구현하기 위한 도구를 제공합니다. 일부 IGA 도구는 사용자 온보딩 및 프로비저닝, 액세스 워크플로, 새로운 액세스 요청, 오프보딩된 사용자에 대한 프로비저닝 해제와 같은 주요 규정 준수 워크플로를 자동화하는 데도 도움이 될 수 있습니다. 이 기능을 통해 조직에서는 사용자 권한 및 활동에 대한 감독을 강화하여 권한 남용 및 악용을 더 쉽게 탐지하고 차단할 수 있습니다.

ZTNA 솔루션은 "절대 신뢰하지 말고 항상 검증하라"는 제로 트러스트 원칙을 따르는 원격 액세스 도구입니다.

VPN(가상 사설망)과 같은 기존 원격 액세스 도구는 원격 사용자를 전체 회사 네트워크에 연결합니다. 반면 ZTNA는 사용자가 액세스할 수 있는 권한이 있는 특정 앱 및 리소스에만 사용자를 연결합니다.

또한 ZTNA 모델에서는 사용자를 암묵적으로 신뢰하지 않습니다. 모든 리소스에 대한 모든 액세스 요청은 사용자의 ID 또는 위치에 관계없이 확인 및 유효성을 검사해야 합니다. 

조직은 외부 사용자가 리소스에 안전하게 액세스할 수 있도록 지원해야 하는 경우가 많습니다. 고객은 전자 상거래 플랫폼에서 자신의 계정에 액세스해야 할 수 있습니다. 공급업체는 송장 발행 시스템에 액세스해야 할 수 있습니다. 비즈니스 파트너는 공유 데이터에 액세스해야 할 수 있습니다. 외부 액세스 관리 도구는 특히 이러한 외부 사용자에게 서비스를 제공합니다.

일부 조직에서는 내부 및 외부 액세스 관리에 동일한 도구를 사용하지만 이 전략이 항상 가능한 것은 아닙니다. 내부 사용자와 외부 사용자의 요구 사항은 다를 수 있습니다. 예를 들어, 외부 사용자는 보안보다 편의성을 우선시하는 반면, 내부 사용자는 더 강력한 보호가 필요한 더 높은 권한을 갖습니다.

고객 ID 및 액세스 관리(CIAM) 도구는 조직 외부에 있는 고객 및 기타 사용자의 디지털 ID와 액세스 보안을 관리합니다.

다른 액세스 관리 도구와 마찬가지로 CIAM 시스템은 사용자를 인증하고 디지털 서비스에 대한 보안 액세스를 용이하게 하는 데 도움이 됩니다. 핵심 차이점은 CIAM 도구가 점진적 프로파일링(사용자가 시간이 지남에 따라 프로필을 완성할 수 있도록 허용), 소셜 로그인 및 기타 사용자 친화적인 기능을 통해 사용자 경험을 강조한다는 것입니다. 

액세스 관리 도구는 조직이 권한이 있는 사용자의 위치에 관계없이 민감한 리소스에 대한 보안 액세스를 용이하게 하는 데 도움이 됩니다.

그 결과 더욱 안전하고 효율적인 네트워크를 구축할 수 있습니다. 사용자는 업무에 필요한 중단 없는 액세스를 확보하는 반면, 위협 행위자와 무단 사용자는 차단됩니다.