디렉터리 서비스란 무엇인가요?

디렉터리 서비스와 IAM을 함께 사용하면 조직은 사용자 계정, 인증, 액세스 제어, 권한 및 기타 네트워크 보안의 중요한 측면을 제어할 수 있습니다.

인터넷, 클라우드 컴퓨팅, 원격 근무가 부상하면서 디렉터리 서비스는 조직이 분산 컴퓨팅 아키텍처를 활용하여 핵심 비즈니스 프로세스를 개선하는 데 있어 매우 중요한 역할을 하게 되었습니다. 디렉터리 서비스는 네트워크 리소스의 전화번호부와 같은 역할을 하며, 사용자, 디바이스 및 기타 리소스에 대한 정보를 저장하여 빠르고 안전하게 연결할 수 있도록 합니다.

행과 열로 정보를 구성하는 기존의 관계형 데이터베이스와 달리 디렉터리 서비스는 계층적으로 설계되어 있습니다. 네트워크 리소스를 쉽게 식별할 수 있도록 분류하는 방법인 네임스페이스를 사용하는 디렉터리 서비스의 계층적 구조는 수백만 명의 사용자와 디바이스가 네트워크를 통해 정보를 교환할 수 있게 해줍니다.

디렉터리 서비스는 한 프로그램이 '클라이언트'이고 다른 프로그램이 '서버'인 표준 네트워크 설정인 클라이언트/서버 모델을 중심으로 설계되었습니다. 디렉터리 서비스 데이터베이스에서 클라이언트는 일반적으로 사용자, 디바이스 또는 애플리케이션 입니다.

클라이언트는 디렉터리 서비스 데이터베이스에 포함된 리소스를 검색합니다. 한편, 데이터베이스는 리소스에 액세스하는 데 필요한 권한이 있는지 확인하기 위해 인증 프로세스를 수행하는데, 이를 '인증'이라고 합니다.

인증 프로세스는 사용자 또는 디바이스가 요청된 리소스에 액세스할 수 있는지 여부를 결정하기 때문에 디렉터리 서비스 기능의 핵심입니다. 인증은 자격 증명, 검증, 권한 부여의 세 단계로 진행됩니다.

1. 자격 증명: 사용자 또는 디바이스가 요청된 리소스에 액세스하기 위한 자격 증명을 제출합니다. 자격 증명의 일반적인 예로는 사용자의 신원을 확인하는 데 사용할 수 있는 사용자 이름, 비밀번호, 생체 인식 데이터 등이 있습니다.
2. 검증: 디렉터리 서버는 몇 가지 일반적인 프로토콜을 사용하여 사용자가 누구인지 또는 자신이 주장하는 사용자가 맞는지 검증합니다. 사용자의 신원이 확인되면 디렉터리 서버는 사용자가 접하는 다른 애플리케이션에 제시할 수 있는 인증 티켓 또는 토큰을 제공합니다.
3. 권한 부여: 사용자의 신원 및 자격 증명이 확인되면 디렉터리 서비스 데이터베이스는 제공된 정보를 내부 액세스 제어 목록(ACL)과 대조하여 사용자가 액세스할 수 있는 리소스를 결정합니다.

인증 프로세스 외에도 디렉터리 서버는 사용자의 신원을 확인하고 액세스할 수 있는 리소스를 설정하기 위해 다음과 같은 다른 일반적인 프로토콜을 사용할 수도 있습니다.

• 경량 디렉터리 액세스 프로토콜(LDAP): 디렉터리 데이터를 관리하는 기본 프로토콜인 LDAP를 사용하면 애플리케이션이 인터넷과 같은 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 네트워크를 통해 디렉터리 서비스 데이터베이스를 쿼리하고 사용자 신원을 관리할 수 있습니다.

• Kerberos: Kerberos는 시간 제한이 있는 티켓 또는 토큰을 발행하는 티켓 기반 인증 프로토콜입니다. 애플리케이션은 이러한 티켓과 토큰을 재사용하여 비밀번호를 다시 입력하지 않고도 사용자의 신원을 확인할 수 있습니다. Kerberos는 Microsoft Active Directory(Azure Active Directory), Red Hat Enterprise Linux, AWS, Google Cloud, macOS 등 세계 최대 규모의 디렉터리 서비스 및 클라우드 제공업체에서 널리 사용되고 있습니다.

• 보안 어설션 마크업 언어(SAML): SAML은 사용자가 하나의 자격 증명으로 여러 애플리케이션에 로그인할 수 있는 인증 시스템인 싱글 사인온(SSO)을 가능하게 하는 XML 기반 프로토콜입니다.

• 도메인 이름 시스템(DNS): 도메인 이름 시스템(DNS)은 google.com, facebook.com과 같이 사람에게 친숙한 도메인 이름을 네트워크에서 컴퓨터가 서로를 식별하는 데 필요한 인터넷 프로토콜(IP) 주소로 변환하는 프로토콜입니다. DNS는 사람이 읽을 수 있는 이름을 네트워크 리소스와 일치시켜 보다 쉽게 식별할 수 있도록 디렉터리 서비스에 도입되는 경우가 많습니다.  

몇 가지 주요 구성 요소는 디렉터리 서비스 기능에 매우 중요하며, 권한이 부여된 사용자, 디바이스 및 애플리케이션이 디렉터리 정보에 액세스할 수 있게 해줍니다. 각 구성 요소를 자세히 살펴보겠습니다.

• 디렉터리 서버: 디렉터리 서버는 디렉터리 서비스에서 액세스하고 관리할 수 있도록 데이터를 저장하는 물리적 또는 가상 서버입니다. 디렉터리 서버는 인증된 사용자, 장치 및 애플리케이션이 쉽게 액세스할 수 있는 계층적 구조로 네트워크 리소스에 대한 정보를 관리하기 위해 LDAP, LDAPS 및 DNS와 같은 일반적인 프로토콜을 사용합니다.

• 디렉터리 클라이언트: 디렉터리 클라이언트는 디렉터리 서버에서 사용자 인증 및 ID 관리와 같은 작업을 수행할 수 있도록 해주는 애플리케이션입니다. 디렉터리 서버와 마찬가지로 디렉터리 클라이언트도 기능을 수행하기 위해 일반적으로 사용되는 디렉터리 서비스 프로토콜을 사용합니다.

• 디렉터리 정보 트리(DIT): DIT는 디렉터리 서비스에 있는 정보의 계층적 조직입니다. 사용자, 그룹, 애플리케이션 및 디바이스를 나타내는 개별 항목으로 구성됩니다. 강력한 DIT 구조는 권한이 있는 사용자가 디렉터리 데이터에 빠르고 안전하게 액세스할 수 있게 해주며, 이는 디렉터리 서비스의 핵심 기능입니다.

• 스키마: 디렉터리 스키마는 디렉터리 서비스 데이터베이스 내에서 정보를 정의하는 또 다른 방법입니다. DIT는 계층적이지만 스키마는 개별 디렉터리 개체가 디렉터리 서비스에 저장되는 방법과 해당 고유 속성을 정의하여 전체 데이터베이스에서 데이터가 일관된 방식으로 정의될 수 있도록 합니다.

• 복제 도구: 복제 서버 인스턴스라고도 하는 복제 도구는 디렉터리 정보를 복제할 수 있는 소프트웨어 프로세스입니다. 디렉터리 정보 복제는 내결함성 및 재해 복구(DR)와 같은 디렉터리 서비스의 여러 주요 기능을 제공합니다.

현대 기업들은 다양한 기능을 위해 디렉터리 서비스에 의존하고 있습니다. 보안 및 규정 준수 강화부터 고가용성 확보 지원까지, 디렉터리 서비스가 기업에 제공하는 주요 이점을 살펴보겠습니다.

디렉터리 서비스는 사용자가 데이터베이스의 여러 부분을 이동할 때 여러 번 인증하도록 요구하는 대신, 다른 접근 방식에 중점을 둡니다. 이를 통해 사용자는 한 번만 인증하고 나면 이후에는 토큰 또는 티켓을 사용하여 자신의 신원을 증명할 수 있습니다.

이 접근 방식은 여러 개의 비밀번호를 만들고 저장할 필요성을 줄여주며 전체 데이터베이스에 동일한 인증 정책을 적용할 수 있습니다.

디렉터리 서비스를 통해 관리자는 권한 및 역할 관리 방식을 중앙 집중화하고 자동화할 수 있습니다. 예를 들어, 사용자나 애플리케이션을 그룹에 추가하고 해당 그룹의 다른 사용자와 동일한 리소스에 대한 액세스 권한을 부여하는 프로세스를 자동화할 수 있습니다.

이러한 접근 방식은 관리 작업을 단순화 및 간소화하고 수동 프로세스에서 인적 오류의 가능성을 줄여줍니다.

최신 디렉터리 서비스에는 가장 강력한 암호화 도구가 탑재되어 있어 커뮤니케이션과 리소스 공유가 안전하게 유지되고 데이터 유출 가능성이 줄어듭니다.

또한 디렉터리 서비스가 사용하는 많은 일반적인 프로토콜(예: TLS, SSL, MFA 및 SAML)은 이미 HIPAA 및 SOC 2와 같은 가장 엄격한 데이터 보안 표준을 준수합니다.

디렉터리 서비스는 성능 저하 없이 수백만 건의 인증 요청을 동시에 처리하도록 설계되어 가용성이 매우 높은 시스템입니다.

사용자가 액세스하는 디렉터리 데이터의 복제본을 광범위하게 배포함으로써 평소보다 더 많은 워크로드를 관리하면서도 다운타임을 지속적으로 방지할 수 있습니다.

디렉터리 서비스는 물리적 리소스와 가상 리소스를 모두 활용하고 원활하게 혼합하여 온프레미스 및 클라우드 기반 환경에 쉽게 통합할 수 있습니다.

애플리케이션 프로그래밍 인터페이스(API)는 팀이 디렉터리 서비스를 HR 데이터베이스, 고객 관계 관리(CRM) 시스템, 널리 사용되는 웹 애플리케이션과 같은 일반적인 시스템과 쉽게 통합할 수 있도록 도와줍니다.

다른 현대적이고 복잡한 분산 시스템과 마찬가지로 디렉터리 서비스도 인공 지능(AI) 및 사물인터넷(IoT)과 같은 신기술로 인한 네트워크 데이터의 엄청난 증가에 대처하는 데 어려움을 겪고 있습니다.

과거보다 더 많은 애플리케이션, 사용자, 디바이스가 정보에 액세스하고 공유하면서 가장 정교한 디렉터리 서비스도 새로운 과제에 직면하고 있습니다.

데이터 일관성(즉, 모든 복사본 또는 인스턴스가 동일하게 유지되는 데이터 상태)을 유지하는 것은 디렉터리 서비스에서 항상 어려운 과제였습니다.

데이터베이스가 새로운 기술의 요구 사항을 충족하기 위해 더 크고 복잡해짐에 따라 데이터 복제본을 최신 상태로 유지하는 것이 더 어려워지고 성능에 영향을 미칠 수 있습니다.  

지원이 필요한 모든 다양한 사용자와 애플리케이션에 디렉터리 서비스에 대한 중단 없는 액세스를 제공하는 것은 복잡하고 리소스 집약적인 작업입니다.

내결함성, 즉 구성 요소나 시스템에 장애가 발생하더라도 운영을 지속할 수 있는 능력을 확보하려면 철저한 절차적 테스트와 중복 구성이 필요합니다. 그렇지 않으면 시스템은 결국 장애를 일으키고 다운타임으로 이어지게 됩니다.

디렉터리 서비스는 지원하는 조직의 핵심 비즈니스 프로세스에 중요한 귀중한 정보를 포함하고 있기 때문에 악의적인 공격자와 사이버 위협의 매력적인 표적이 됩니다.

공격자들은 랜섬웨어와 신원 도용을 포함한 광범위한 표적 공격을 배포하여 디렉터리 데이터에 무단으로 액세스하고 이를 통해 기업에 해를 끼칩니다.

디렉터리 서비스는 엔터프라이즈 수준에서 널리 사용되고 있으며 다양한 사용 사례를 지원합니다. 다음은 가장 많이 사용되는 몇 가지 예입니다.

디렉터리 서비스는 원활한 인증 프로세스(예: 싱글사인온(SSO)), 자동화된 규정 준수 기능, 디지털 ID 관리에 대한 중앙 집중식 접근 방식을 통해 ID 및 액세스 관리(IAM)를 지원합니다. IAM은 팀이 클라우드 애플리케이션을 사용하여 효율적이고 안전하게 협업할 수 있도록 지원하는 사이버 보안 프로세스입니다.

최근 보고서에 따르면 2023년 전 세계 IAM 시장 규모는 약 180억 달러에 달했습니다. 또한 2032년까지 610억 달러 이상으로 성장하여 연평균 성장률(CAGR)이 15.3%에 달할 것으로 예상됩니다.¹

다단계 인증(MFA)은 비밀번호, 생체 정보 등 여러 가지 증명 수단을 통해 사용자의 신원을 확인하는 방법입니다.

디렉터리 서비스는 사용자가 개인용 컴퓨터, 태블릿, 스마트폰 등 여러 디바이스에서 원격으로 작업할 때 조직에 추가적인 보호 계층을 제공하기 위해 MFA를 사용합니다. 디렉터리 기반 MFA는 민감한 워크로드와 정보를 악의적인 공격자로부터 보호하고 디렉터리 정책을 준수할 수 있도록 지원합니다.

디렉터리 서비스를 통해 조직은 오픈 소스 컴퓨팅 환경, 즉 기본 소프트웨어가 무료로 제공되어 누구나 사용하고 구축할 수 있는 컴퓨팅 에코시스템을 구성할 수 있습니다.

예를 들어, OpenLDAP는 오픈 소스 디렉터리 서버이고 FreeIPA는 오픈 소스 IAM 도구입니다. 두 가지 모두 세계에서 가장 인기 있는 오픈 소스 운영 체제(OS)인 Linux를 실행하는 조직을 위한 오픈 소스 디렉터리 서비스를 지원합니다.

대부분의 현대 기업은 디지털 기술을 조직의 모든 영역에 통합하기 위한 지속적인 노력인 디지털 혁신 여정의 일환으로 클라우드를 활용하고 있습니다. 디렉터리 서비스는 하이브리드 클라우드와 멀티클라우드 환경, 다양한 유형의 클라우드 리소스를 결합하여 IT 인프라를 최적화하는 IT 아키텍처를 모두 지원합니다.

예를 들어, 고급 디렉터리 서비스 솔루션은 프라이빗 및 퍼블릭 클라우드 인스턴스를 모두 보호하여 사용자와 애플리케이션에 대한 빠르고 일관된 인증을 가능하게 합니다.

디렉터리 서비스는 기업이 DNS 및 기타 네트워크 시스템과의 통합을 통해 사용자 그룹, 프린터, 파일 서버와 같은 중요한 네트워크 리소스를 최적화할 수 있도록 지원합니다.

IT 관리자는 디렉터리 서비스를 사용하여 복잡성과 사용자 수에 관계없이 최소한의 노력으로 네트워크에서 리소스를 구성하고 배포할 수 있습니다. 디렉터리 서비스는 네트워크 리소스 관리를 위한 중앙 집중식 허브를 제공하여 관리를 간소화하고 SSO 및 기타 형태의 인증을 통해 사용자가 필요한 리소스에 즉시 액세스할 수 있도록 합니다.

AI, 특히 생성형 AI의 부상은 이전에 수동 입력이 필요했던 프로세스를 자동화하는 데 도움이 될 뿐만 아니라 디렉터리 서비스의 측면을 근본적으로 변화시키고 있습니다. 예를 들어, 하이브리드 클라우드 아키텍처에서만 68%의 사용자가 이미 생성형 AI 사용에 대한 정책이나 접근 방식을 공식화했다고 IBM 기업가치연구소(IBV)는 보고했습니다.

이전에는 정적 데이터베이스로 간주되던 최신 디렉터리 서비스는 AI 기반 기능을 통해 더욱 스마트하고 적응력이 뛰어나며 심지어 자율적으로 변하고 있습니다. 다음은 디렉터리 서비스를 혁신하고 있는 AI 기반 기능의 세 가지 예입니다.