ID 및 액세스 관리(IAM)란?

평균적인 기업 네트워크에는 인간 사용자(직원, 고객, 계약자)와 비인간 사용자(봇, IoT 및 엔드포인트 디바이스, 자동화된 워크로드)가 모두 포함되어 있습니다. 원격 근무와 클라우드 컴퓨팅의 증가로 인해 이러한 사용자는 점점 더 분산되고 있으며 액세스해야 하는 리소스도 마찬가지입니다.

조직은 온프레미스, 원격 및 클라우드 기반 위치에 흩어져 있는 앱과 자산으로 이러한 모든 사용자가 무엇을 하고 있는지 추적하는 데 어려움을 겪을 수 있습니다. 이러한 통제력 부족은 심각한 위험을 초래합니다. 해커는 탐지되지 않은 채 네트워크에 침입할 수 있습니다. 악의적인 내부자는 자신의 액세스 권한을 남용할 수 있습니다. 선량한 사용자도 실수로 데이터 보호 규정을 위반할 수 있습니다.

IAM 이니셔티브는 액세스 제어를 간소화하여 자산의 합법적인 사용을 방해하지 않고 자산을 보호하는 데 도움이 될 수 있습니다. ID 및 액세스 관리 시스템은 모든 사용자에게 사용자의 역할, 규정 준수 요구 사항 및 기타 요인에 맞게 조정된 권한이 포함된 고유한 디지털 ID를 할당합니다. 이렇게 하면 IAM은 올바른 사용자만 올바른 이유로 올바른 리소스에 액세스할 수 있도록 보장하고 무단 액세스 및 활동은 차단합니다.

IAM의 목적은 해커를 차단하는 동시에 권한이 부여된 사용자가 필요한 모든 작업을 쉽게 수행할 수 있도록 허용하며, 허용된 것 이상은 수행하지 않도록 하는 것입니다. IAM 구현은 다양한 도구와 전략을 사용하여 이 목표를 달성하지만, 모두 같은 기본적인 구조를 따릅니다.

일반적인 IAM 시스템에는 데이터베이스 또는 사용자 디렉터리가 있습니다. 이 데이터베이스에는 각 사용자가 누구인지, 컴퓨터 시스템에서 무엇을 할 수 있는지에 대한 세부 정보가 포함되어 있습니다. 사용자가 시스템을 이동할 때 IAM은 데이터베이스의 정보를 사용하여 신원을 확인하고, 활동을 모니터링하며, 데이터베이스에서 허용하는 작업만 수행하도록 합니다.

IAM의 작동 방식을 더 자세히 이해하려면 IAM 이니셔티브의 핵심 구성 요소 중 하나인 ID 생명 주기 관리, 액세스 제어, 인증 및 권한 부여, ID 거버넌스를 살펴보는 것이 도움이 됩니다.

ID 라이프사이클 관리는 시스템의 모든 인간 및 인간이 아닌 사용자에 대한 디지털 사용자 ID를 생성하고 유지 관리하는 프로세스입니다.

사용자 활동을 모니터링하고 맞춤형 권한을 적용하려면 조직은 개별 사용자를 구분해야 합니다. IAM은 각 사용자에게 디지털 ID를 할당하여 이를 수행합니다. 디지털 ID는 각 사용자가 누구인지 또는 무엇인지를 시스템에 알려주는 고유한 속성의 모음입니다. ID에는 사용자 이름, 로그인 자격 증명, ID 번호, 직책 및 액세스 권한과 같은 특성이 포함되는 경우가 많습니다.

디지털 ID는 일반적으로 중앙 데이터베이스 또는 디렉터리에 저장되며, 이는 신뢰할 수 있는 소스의 역할을 합니다. IAM 시스템은 이 데이터베이스의 정보를 사용하여 사용자를 검증하고 허용할 작업과 허용하지 않을 작업을 결정합니다.

일부 IAM 이니셔티브에서는 IT 또는 사이버 보안 팀이 사용자 온보딩, 시간 경과에 따른 ID 업데이트, 시스템에서 이탈하는 사용자의 오프보딩 또는 프로비저닝 해제를 수동으로 처리합니다. 일부 IAM 툴은 셀프 서비스 접근 방식을 허용합니다. 사용자가 정보를 제공하면 시스템이 자동으로 ID를 생성하고 적절한 액세스 수준을 설정합니다.

고유한 디지털 ID는 조직이 사용자를 추적하는 데 도움이 될 뿐만 아니라 기업이 보다 세분화된 액세스 정책을 설정하고 시행할 수 있도록 지원합니다. IAM을 사용하면 기업은 승인된 모든 사용자에게 동일한 권한을 부여하지 않고 여러 ID에 서로 다른 시스템 권한을 부여할 수 있습니다.

오늘날 많은 IAM 시스템은 역할 기반 액세스 제어(RBAC)를 사용합니다. RBAC에서 각 사용자의 권한은 해당 직무 및 책임 수준에 따라 결정됩니다. RBAC는 사용자 권한 설정 프로세스를 간소화하고 사용자에게 필요 이상의 권한을 부여할 때의 위험을 완화하는 데 도움이 됩니다.

한 회사에서 네트워크 방화벽에 대한 권한을 설정한다고 가정해 보겠습니다. 영업 담당자는 업무상 액세스 권한이 필요하지 않기 때문에 액세스 권한이 전혀 없을 가능성이 높습니다. 주니어 수준의 보안 분석가는 방화벽 구성을 볼 수는 있지만 변경할 수는 없습니다. 최고 정보 보안 책임자(CISO)는 모든 관리 액세스 권한을 갖습니다. 회사의 SIEM을 방화벽과 통합하는 API는 방화벽의 활동 로그를 읽을 수 있지만 다른 것은 볼 수 없습니다.

보안을 강화하기 위해 IAM 시스템은 사용자 액세스 권한에 최소 권한 원칙을 적용할 수도 있습니다. 제로 트러스트 사이버 보안 전략과 자주 연관되는 최소 권한 원칙은 사용자가 작업을 완료하는 데 필요한 가장 낮은 권한만 가져야 하며 작업이 완료되는 즉시 권한을 취소해야 한다고 명시합니다.

최소 권한의 원칙에 따라 많은 IAM 시스템에는 권한 있는 액세스 관리(PAM)를 위한 고유한 방법과 기술이 있습니다. PAM은 시스템 관리자와 같이 높은 권한을 가진 사용자 계정에 대한 계정 보안 및 액세스 제어를 감독하는 사이버 보안 분야입니다.

권한 있는 계정은 이러한 자격 증명을 도난당하면 해커가 원하는 모든 작업을 수행할 수 있기 때문에 다른 IAM 역할보다 더 신중하게 취급됩니다. PAM 도구는 자격 증명 보관소와 적시(Just-In-Time) 액세스 프로토콜을 사용하여 권한이 있는 ID를 나머지 ID와 격리함으로써 보안을 강화합니다.

각 사용자의 액세스 권한에 대한 정보는 일반적으로 각 사용자의 디지털 ID의 일부로 IAM 시스템의 중앙 데이터베이스에 저장됩니다. IAM 시스템은 이 정보를 사용하여 각 사용자의 고유한 권한 수준을 적용합니다.

인증 및 권한 부여는 IAM 시스템이 실제로 맞춤형 액세스 제어 정책을 적용하는 방식입니다.

인증은 인간이든 비인간이든 사용자가 자신이 주장하는 사람이 맞는지 확인하는 프로세스입니다. 사용자는 시스템에 로그인하거나 리소스에 대한 액세스를 요청할 때 자신의 신원을 증명하기 위해 자격 증명을 제출합니다. 예를 들어, 사람이 아닌 사용자는 비밀번호를 입력하고, 사람이 아닌 사용자는 디지털 인증서를 공유할 수 있습니다. IAM 시스템은 이러한 자격 증명을 중앙 데이터베이스와 비교하여 확인합니다. 일치하면 액세스 권한이 부여됩니다.

사용자 이름과 비밀번호 조합은 가장 기본적인 인증 방식이지만 가장 취약한 인증 방식이기도 합니다. 이러한 이유로 오늘날 대부분의 IAM 구현은 보다 진보된 인증 방법을 사용합니다.

사용자가 인증되면 IAM 시스템은 데이터베이스에서 해당 사용자의 디지털 ID에 연결된 권한을 확인합니다. IAM 시스템은 사용자에게 권한이 허용하는 것만 수행할 수 있는 리소스에 액세스할 수 있는 권한을 부여합니다.

ID 거버넌스는 사용자가 액세스 권한을 어떻게 사용하는지 추적하는 프로세스입니다. IAM 시스템은 사용자를 모니터링하여 사용자가 권한을 남용하지 않도록 하고 네트워크에 침투했을 수 있는 해커를 잡아냅니다.

ID 거버넌스는 규정 준수에 중요합니다. 기업은 일반적으로 일반 데이터 보호 규정(GDPR) 또는 결제 카드 업계 데이터 보안 표준(PCI-DSS)과 같은 보안 요구 사항에 맞춰 액세스 정책을 수립합니다. IAM 시스템은 사용자 활동을 추적함으로써 기업이 정책이 의도한 대로 작동하는지 확인할 수 있도록 지원합니다. 또한 IAM 시스템은 감사 추적을 생성하여 기업이 규정 준수를 증명하거나 필요에 따라 위반 사항을 정확히 찾아내는 데 도움을 줄 수 있습니다.

사용자 인증 및 사용자 활동 추적과 같은 많은 주요 IAM 워크플로는 수동으로 수행하기 어렵거나 아예 불가능합니다. 대신 기술 도구에 의존하여 조직은 IAM 프로세스를 자동화합니다.

과거에는 사용자 인증을 담당하는 솔루션 하나, 액세스 정책을 시행하는 솔루션 하나, 사용자 활동을 감사하는 솔루션 하나를 사용해 기관들이 IAM의 여러 부분을 관리했습니다.

오늘날 IAM 솔루션은 모든 기능을 수행하거나 여러 도구를 하나의 단일체로 통합하는 포괄적인 플랫폼인 경우가 많습니다. IAM 플랫폼에는 다양한 변형이 있지만 모두 다음과 같은 공통된 핵심 기능을 공유합니다.

• 중앙 집중식 디렉터리 또는 Microsoft Active Directory 및 Google Workspace와 같은 외부 디렉터리 서비스와의 통합.
  
  
• 디지털 ID를 생성, 업데이트, 삭제하기 위한 자동화된 워크플로.
  
  
• 조직에서 레거시 앱을 포함한 모든 앱과 자산의 ID 및 액세스를 권한 있는 단일 디렉터리를 통해 관리할 수 있는 네트워크 전반의 제품 독립적인 ID 패브릭을 만들 수 있는 기능.
  
  
• MFA, SSO 및 적응형 인증과 같은 기본 제공 인증 옵션.
  
  
• 기업이 세분화된 액세스 정책을 정의하고 권한 있는 계정을 포함한 모든 수준의 사용자에게 적용할 수 있도록 하는 액세스 제어 기능.
  
  
• 사용자를 모니터링하고, 의심스러운 활동에 플래그를 지정하고, 규정 준수를 보장하는 추적 기능.
  
  
• 조직 외부의 고객, 파트너 및 기타 사용자를 위해 ID 라이프사이클 관리, 인증 및 권한 부여 조치를 디지털 포털로 확장하는 고객 ID 및 액세스 관리(CIAM) 기능.

일부 IAM 솔루션은 특정 에코시스템을 위해 구축되었습니다. 예를 들어, Amazon Web Services(AWS) IAM 및 Google Cloud IAM 플랫폼은 해당 클라우드에서 호스팅되는 리소스에 대한 액세스를 제어합니다.

Microsoft, IBM, Oracle 등에서 생산하는 솔루션과 같은 다른 IAM 솔루션은 호스팅 위치에 관계없이 기업 네트워크의 모든 리소스에서 작동합니다. 이러한 IAM 솔루션은 SAML 및 OpenID Connect(OIDC)와 같은 개방형 표준을 사용하여 애플리케이션 간에 사용자 인증 정보를 교환함으로써 모든 종류의 서비스에 대한 ID 제공자 역할을 할 수 있습니다.

점점 더 많은 ID 및 액세스 관리 솔루션이 오프프레미스로 이동하고 서비스형 소프트웨어(SaaS) 모델을 채택하고 있습니다. '서비스형 ID'(IDaaS) 또는 '서비스형 인증'(AaaS)이라고 하는 이 클라우드 기반 IAM 솔루션은 온프레미스 도구에는 없는 몇 가지 기능을 제공합니다.

IDaaS 툴은 분산된 사용자가 다양한 디바이스(Windows, Mac, Linux 및 모바일)에서 로그인하여 사이트와 프라이빗 및 퍼블릭 클라우드에 있는 리소스에 액세스하는 복잡한 기업 네트워크에 유용할 수 있습니다. 온프레미스 IAM 툴은 여러 위치에 걸쳐 다양한 사용자와 리소스를 쉽게 수용하지 못할 수 있지만 IDaaS는 수용할 수 있는 경우가 많습니다.

또한 IDaaS는 조직이 IAM 서비스를 계약자, 고객 및 기타 비직원 역할로 확장하는 데 도움이 될 수 있습니다. 이렇게 하면 회사가 사용자마다 다른 시스템을 사용할 필요가 없으므로 IAM 구현을 간소화하는 데 도움이 될 수 있습니다.

또한 IDaaS 툴을 사용하면 기업은 새 사용자 계정 생성, 액세스 요청 인증, ID 거버넌스 등 시간과 리소스가 많이 소요되는 IAM의 일부 측면을 아웃소싱할 수 있습니다.

IAM 이니셔티브는 사이버 보안, 비즈니스 운영 등 다양한 사용 사례를 충족하는 데 도움이 될 수 있습니다.

멀티 클라우드 환경이 부상하고, AI, 자동화 및 원격 근무가 증가함에 따라 디지털 혁신은 기업이 더 많은 유형의 사용자가 더 많은 위치에서 더 많은 유형의 리소스에 안전하게 액세스할 수 있도록 지원해야 합니다.

IAM 시스템은 비직원 및 비인간 사용자를 포함하여 이러한 모든 사용자와 리소스에 대한 액세스 관리를 중앙 집중화할 수 있습니다. 이제 점점 더 많은 IAM 플랫폼이 CIAM 툴과 연동되거나 통합됨에 따라 조직은 동일한 시스템에서 내부 및 외부 사용자의 액세스를 관리할 수 있습니다.

오늘날 기업은 원격 및 하이브리드 인력을 유지하고 있으며, 평균적인 기업 네트워크에는 레거시 온프레미스 시스템과 최신 클라우드 기반 앱 및 서비스가 혼합되어 있습니다. IAM 솔루션은 이러한 복잡한 환경에서 액세스 제어를 간소화할 수 있습니다.

SSO 및 적응형 액세스와 같은 기능을 통해 사용자는 중요한 자산을 보호하면서 마찰을 최소화하여 인증할 수 있습니다. 조직은 단일 중앙 IAM 솔루션에서 모든 시스템에 대한 디지털 ID 및 액세스 제어 정책을 관리할 수 있습니다. 포괄적인 IAM 시스템은 자산마다 서로 다른 ID 도구를 배포하는 대신 전체 IT 환경에 대한 신뢰할 수 있는 단일 소스, 관리 및 시행을 제공합니다.

특히 SSO를 지원하는 IAM 시스템에서는 사용자가 각 서비스마다 다른 계정을 만드는 대신 단일 ID로 여러 서비스에 액세스할 수 있습니다. 이렇게 하면 IT 팀에서 관리해야 하는 사용자 계정 수가 크게 줄어듭니다. 사용자가 자신의 ID를 관리하고 시스템 간에 이식할 수 있는 BYOI(Bring Your Own Identity) 솔루션의 성장도 IT 관리를 간소화하는 데 도움이 될 수 있습니다.

IAM 시스템은 역할과 책임에 따라 사용자 권한을 자동으로 설정하는 RBAC 방법을 사용하여 사용자 권한 할당 프로세스를 간소화할 수 있습니다. IAM 도구는 IT 및 보안 팀에 모든 사용자에 대한 액세스 정책을 정의하고 시행할 수 있는 단일 플랫폼을 제공할 수 있습니다.

GDPR, PCI-DSS, SOX와 같은 표준은 누가 어떤 목적으로 데이터에 액세스할 수 있는지에 대한 엄격한 정책을 요구합니다. IAM 시스템을 통해 기업은 이러한 표준을 충족하는 공식적인 액세스 제어 정책을 설정하고 시행할 수 있습니다. 또한 기업은 감사 중에 사용자 활동을 추적하여 규정 준수를 증명할 수 있습니다.

IBM의 데이터 유출 비용(CODB) 보고서에 따르면 자격 증명 도용은 데이터 유출의 주요 원인입니다. 해커는 필요한 것보다 더 높은 권한을 가진 과도하게 프로비저닝된 계정을 표적으로 삼는 경우가 많습니다. 이러한 계정은 일반적으로 관리자 계정보다 보호 수준이 낮지만 해커가 방대한 시스템에 액세스할 수 있도록 허용합니다.

IAM은 해커가 민감한 데이터에 접근하기 위해 비밀번호 이상의 것이 필요하도록 인증 계층을 추가하여 자격 증명 기반 공격을 차단하는 데 도움을 줄 수 있습니다. 해커가 침입하더라도 IAM 시스템은 수평 이동을 방지하는 데 도움이 됩니다. 사용자는 필요한 권한만 가지며 그 이상은 가질 수 없습니다. 합법적인 사용자는 필요에 따라 필요한 모든 리소스에 액세스할 수 있는 반면, 악의적인 공격자와 내부자 위협은 할 수 있는 일이 제한됩니다.