ID 거버넌스 및 관리(IGA)란 무엇인가요?

조직이 온프레미스 시스템, 클라우드 서비스 및 서비스형 소프트웨어(SaaS) 앱에 걸쳐 수천 개의 사용자 계정을 관리함에 따라, 누가 어떤 리소스에 액세스했는지 추적하는 일은 점점 더 복잡해지고 있습니다.

사용자, 디바이스 또는 애플리케이션이라는 각 디지털 ID는 중요한 시스템과 민감한 데이터에 대한 잠재적인 게이트웨이가 됩니다. 적절한 거버넌스가 없다면 이 거대한 에코시스템은 심각한 보안 위험과 규정 준수 문제를 야기합니다.

IBM 데이터 유출 비용(CODB) 보고서에 따르면 도난되거나 훼손된 자격 증명은 데이터 유출의 가장 흔한 초기 침투 경로로, 전체 데이터 유출의 16%를 차지합니다. 해커가 합법적 자격 증명을 획득하면 네트워크 내에서 자유롭게 이동하며 민감한 데이터와 시스템에 액세스할 수 있습니다.

ID 거버넌스 및 관리 솔루션은 ID 기반 공격을 방어하고 잠재적인 데이터 유출을 방지하는 데 도움이 됩니다.

IGA 툴은 사용자 프로비저닝을 자동화하고 액세스 정책을 구현하며, 온보딩부터 오프보딩 시의 프로비저닝 해제까지 전체 ID 라이프사이클에 걸쳐 정기적인 액세스 권한 검토를 수행할 수 있습니다. 이 기능을 통해 조직에서는 사용자 권한 및 활동에 대한 감독을 강화하여 권한 남용 및 악용을 더 쉽게 탐지하고 차단할 수 있습니다.

IGA 솔루션은 일반 데이터 보호 규정(GDPR) , 건강 보험 양도 및 책임에 관한 법률(HIPAA), 사베인스-옥슬리법(SOX) 등의 규정을 지속적으로 준수하는 데 도움을 줍니다. IGA는 민감한 시스템 및 데이터에 대한 액세스 권한이 올바르게 할당되고 정기적으로 검토되도록 보장하는 동시에 내부 및 외부 감사를 지원하는 감사 추적을 생성합니다.

IGA와 ID 및 액세스 관리(IAM)는 ID 보안 분야 내에서 관련이 있지만 서로 다른 프레임워크입니다. IAM은 사용자가 디지털 리소스에 액세스하는 방식을 관리하며, IGA는 사용자가 해당 액세스 권한을 적절히 사용하도록 보장합니다. 

IAM은 비밀번호 관리, 인증, 일상적인 액세스 권한 부여, 계정 관리 등 ID 보안의 운영적 측면을 담당합니다. IGA는 감독, 정책 적용 및 규정 준수 기능 등 거버넌스 기능을 추가하여 IAM을 확장합니다.

IAM과 IGA는 다음과 같은 상호 보완적인 질문을 다루는 것으로 생각할 수 있습니다.

• IAM: 사용자는 리소스에 어떻게 액세스하며 해당 리소스로 무엇을 할 수 있는가?

• IGA: 사용자에게 이 액세스 권한이 있어야 하며, 제어 기능이 규정 준수 요구 사항을 충족한다는 것을 증명할 수 있는가?

실제로 조직은 IAM과 IGA 툴을 함께 구현합니다. 예를 들어 재무 분석가가 마케팅 부서로 이직하는 경우 IAM은 액세스 권한 변경의 기술적 측면을 처리하고, IGA는 이러한 변경 사항이 회사 정책에 부합하는지 확인하는 데 도움이 됩니다.

IGA 솔루션은 조직이 점점 더 복잡해지는 기업 IT 환경, 변화하는 사이버 위협 환경, 진화하는 규정 준수 의무를 관리할 수 있도록 지원하기 위해 등장했습니다.

기업 네트워크는 이제 온프레미스 시스템, 프라이빗 및 퍼블릭 클라우드 제공업체, 원격 워크스테이션 및 다양한 SaaS 애플리케이션에 걸쳐 확장되어 있습니다. 이러한 복잡성으로 인해 수동 ID 거버넌스가 거의 불가능해지며, 이는 보안 위험을 증가시킵니다.

IGA 솔루션은 중앙 집중식 가시성, 서로 다른 시스템을 연결하는 커넥터 및 핵심 워크플로의 자동화를 통해 복잡한 IT 환경을 해결하는 데 도움이 됩니다.

많은 ID 관리 솔루션은 다양한 환경 전반에 걸쳐 중앙 집중식 가시성과 제어를 가능하게 하는 통합 대시보드 및 관리 콘솔을 제공합니다.

예를 들어 조직은 클라우드 서비스, 온프레미스 시스템 및 제3자 애플리케이션에 걸쳐 모든 사용자 권한을 단일 인터페이스에서 확인할 수 있도록 IGA 툴을 자주 사용합니다. 이를 통해 조직은 애플리케이션이 호스팅되는 위치에 관계없이 일관된 액세스 정책을 유지할 수 있습니다.

IGA 솔루션에는 조직의 기술 스택 내에서 애플리케이션과 플랫폼을 연결하여 통합 ID 거버넌스를 지원하는 사전 구축형 인터페이스인 커넥터가 포함되어 있습니다. 커넥터는 사용자 데이터를 동기화하고 시스템 간 액세스 정책을 변환하며 이전에 사일로화된 애플리케이션 전반에서 일관된 제어를 유지하는 데 도움이 됩니다.

예를 들어 금융 서비스 회사는 커넥터를 사용하여 핵심 뱅킹 시스템, 고객 관계 관리(CRM) 플랫폼 및 HR 데이터베이스 를 중앙 IGA 툴과 통합할 수 있습니다. 이 통합을 통해 직원의 역할이 변경될 때 모든 시스템에서 액세스 권한을 쉽게 조정할 수 있습니다.

IGA 솔루션은 자동화를 사용하여 ID 관리 워크플로를 간소화하고 시간이 오래 걸리는 수동 프로세스를 제거하며 IT 팀이 처리해야 하는 헬프 데스크 티켓의 수를 줄입니다. IGA 툴은 일반적으로 다음을 지원합니다.

• 셀프서비스 액세스 요청을 통해 사용자가 직관적인 포털을 사용하여 민감한 데이터 및 시스템에 대한 액세스를 요청합니다.
  
  
• 자동화된 프로비저닝 워크플로를 통해 계정 생성, 권한 할당 및 액세스 검토와 같은 반복적인 워크플로의 수동 프로세스를 제거합니다.
  
  
• 역할 최적화를 통해 사용자가 권한을 실제로 사용하는 방식에 따라 역할 정의 및 기본 액세스 권한에 대한 개선 사항을 제안합니다.

IGA 솔루션이 없으면 IT 담당자는 신규 직원 입사 시 여러 시스템에서 사용자 계정을 수동으로 생성해야 합니다. IGA 툴은 사용자의 역할에 따라 필요한 모든 시스템에서 실시간으로 계정을 자동으로 프로비저닝하여 이 프로세스를 간소화할 수 있습니다.

사이버 공격이 진화하면서 위협 행위자가 네트워크 인프라가 아닌 ID를 표적으로 삼는 사례가 늘고 있습니다. 기존의 경계 기반 보안은 사용자가 어디서나, 어떤 디바이스에서든 기업 리소스에 액세스할 수 있는 경우 더 이상 충분하지 않습니다.

IBM X-Force Threat Intelligence Index에 따르면 유효한 사용자 계정을 탈취하는 것은 해커가 기업 네트워크에 침입하는 가장 일반적인 방법으로, 사이버 공격의 30%를 차지합니다.

IGA 솔루션은 최소 권한 원칙을 적용하여 공격 표면을 줄이고 피해를 제한하는 데 도움이 될 수 있습니다. 그래서 사용자에게 오직 본인의 직무를 수행하는 데 필요한 액세스 권한만을 제공합니다.

IGA 솔루션은 조직의 보안 태세를 개선하는 데 다음과 같은 방법으로도 도움을 줄 수 있습니다.

• 자동화된 프로비저닝 해제 및 정책 적용: 사용자가 조직을 떠나거나 보안 정책을 위반하는 경우 즉시 액세스 권한을 제거합니다.
  
  
• 정기 액세스 권한 검토: 프로젝트 완료 후에도 개발자가 프로덕션 시스템에 대한 관리 액세스 권한을 계속 보유하고 있는지 확인하는 등 과도한 권한을 식별하고 취소합니다.
  
  
• 제로 트러스트 구현: 사용자가 역할에 필요한 액세스 권한만 갖도록 보장함으로써 제로 트러스트 아키텍처를 지원합니다.
  
  
• 액세스 위험 대시보드: 일반 업무 시간 외에 사용자가 중요한 재무 데이터에 액세스하는 경우 이를 강조 표시하는 등 잠재적인 보안 취약점을 시각화하여 의사 결정을 개선합니다.

높은 액세스 권한이 있는 고위험 계정을 추가로 보호하기 위해 조직에서는 IGA를 권한 있는 액세스 관리(PAM) 툴과 통합하는 경우가 많습니다. 이 툴은 관리자 계정과 같은 권한 있는 계정을 보호하는 데 특히 중점을 둡니다.

일부 IGA 솔루션은 실시간 위협 탐지 및 대응 기능을 제공하여 규정 준수 위반 및 데이터 유출을 방지하는 데 도움을 줍니다.

GDPR, HIPAA, SOX 및 기타 규정 준수 요구 사항은 조직이 데이터를 처리하는 방식에 대한 규칙을 부과합니다. 규정 미준수에 따른 처벌은 상당할 수 있습니다. 예를 들어 GDPR을 위반하면 최대 2,200만 달러(미화) 또는 전 세계 연간 매출의 4% 중 더 높은 금액이 벌금으로 부과될 수 있습니다.

IGA 솔루션은 조직이 규정 준수를 간소화하는 데 사용할 수 있는 제어 기능과 문서를 제공합니다.

• 자동화된 정책 적용: 액세스 권한 및 권한 부여가 규제 요구 사항과 일치하도록 보장합니다.
  
  
• 포괄적인 감사 추적 기록: 감사 시 규정 준수 증거로 사용하기 위해 모든 액세스 관련 활동을 기록합니다.
  
  
• 정기 액세스 권한 인증: 사용자 액세스 권한을 검토하여 각 사용자의 역할과 책임에 맞게 적절하게 설정되어 있는지 확인합니다.
  
  
• 규정 준수 대시보드: 사용자 계정의 규정 준수 상태에 대한 실시간 가시성을 제공합니다.

예를 들어 의료 서비스 제공자는 IGA 툴을 사용하여 직원의 직무 권한에 따라 환자 기록에 대한 액세스를 제한하고 기록에 액세스하는 사람에 대한 세부 로그를 유지함으로써 HIPAA 규정을 준수할 수 있습니다.

IGA 툴 및 프랙티스는 온보딩부터 오프보딩까지 사용자 라이프사이클 전반에 걸쳐 디지털 ID와 액세스 권한을 관리하는 데 중점을 둡니다.

IGA의 두 가지 주요 구성 요소에는 ID 라이프사이클 관리와 액세스 거버넌스가 포함됩니다.

ID 라이프사이클 관리는 직원이 조직에 합류, 이동, 퇴사할 때 사용자 ID를 생성, 수정 및 비활성화하는 것을 의미합니다. 이를 통해 신규 사용자에게 입사 첫날부터 적절한 액세스 권한을 부여할 수 있습니다. 사용자 퇴사 시에는 해당 액세스 권한을 즉시 제거할 수 있습니다.

직원의 직무가 변경되면 IGA 툴은 자동으로 오래된 권한을 취소하고 업데이트된 직무에 따라 새로운 권한을 할당할 수 있습니다. 

핵심 ID 라이프사이클 관리 프로세스에는 다음이 포함됩니다.

• 온보딩: 사용자 계정 및 초기 액세스를 프로비저닝합니다.
  
  
• 속성 변경: 사용자 속성(예: 보안 허가, 부서 또는 프로젝트 할당)이 변경될 때 액세스 권한을 업데이트합니다.
  
  
• 오프보딩: 사용자가 조직을 떠날 때 액세스 프로비저닝을 해제합니다.

액세스 거버넌스는 누가 어떤 리소스에 액세스할 수 있는지 관리하며, 시간이 지나도 액세스가 적절하게 유지되도록 돕습니다. ID 관리를 위한 감독 계층을 제공하여 정책 적용, 액세스 권한 검토 및 규정 준수에 중점을 둡니다.

주요 액세스 거버넌스 기능은 다음과 같습니다.

• 역할 기반 액세스 제어(RBAC)
• 업무 분리(SoD) 적용
• 액세스 권한 인증 및 검토
• 권한 관리

역할 기반 액세스 제어(RBAC)는 각 사용자에게 개별 권한을 할당하는 대신, 조직 역할에 따라 권한을 할당합니다. 예를 들어 재무 담당자에게는 구매 권한을, 인사 담당자에게는 인사 파일 조회 권한을 부여합니다.

IGA 솔루션의 역할 관리 기능은 조직이 시간이 지남에 따라 역할을 정의, 관리 및 유지하는 데 도움이 됩니다.

RBAC를 통해 IGA 솔루션은 수천 명의 사용자에 대한 액세스를 관리할 수 있으며, 개별 권한을 하나씩 할당할 필요가 없습니다. 직원이 입사하거나 부서를 이동하거나 퇴사할 때, 관리자는 수십 개의 개별 시스템 권한을 재구성하는 대신 표준화된 역할을 할당하거나 제거하기만 하면 됩니다.

업무 분리(SoD)는 업무 구분이라고도 불리는 보안 원칙으로, 단일 개인이 과도한 액세스 권한을 갖지 않도록 하여 이해 충돌을 방지합니다.

IGA 솔루션은 사기나 오용으로 이어질 수 있는 권한의 조합을 식별하고 방지하여 SoD를 적용하는 데 도움이 됩니다.

예를 들어 구매/조달 프로세스에서 동일한 담당자가 시스템에 새 공급업체를 추가하는 동시에 해당 공급업체에 대한 지불을 승인할 수 없어야 합니다. IGA 솔루션은 이러한 조치를 SoD 위반으로 표시하고 완전히 차단하거나 추가 승인을 요구할 수 있습니다.

액세스 권한 인증은 사용자의 액세스 권한을 정기적으로 검토하여 시간이 지나도 적절하게 유지되도록 하는 과정입니다. 이러한 검토에는 일반적으로 관리자나 리소스 소유자가 팀 구성원에게 현재 액세스 권한이 여전히 필요한지 확인하는 작업이 포함됩니다.

IGA 솔루션은 자동으로 정기 검토를 시작하여 액세스 권한 검토를 간소화하는 데 도움이 될 수 있습니다. 고위험 액세스 권한(예: 재무 시스템 액세스 권한 등)은 저위험 권한보다 더 자주 검토될 수 있습니다.

일부 IGA 솔루션은 사용 패턴을 기반으로 액세스 권한 변경을 권장할 수 있습니다. 예를 들어 사용자에게 필요하지 않은 사용되지 않는 권한을 표시하는 등의 기능을 제공합니다.

권한 관리는 액세스 거버넌스의 더 세분화된 구성 요소로, 사용자가 시스템 내에서 갖는 권한에 중점을 둡니다. 다시 말해 액세스 거버넌스는 사용자가 액세스할 수 있는 항목을 감독하는 반면, 권한 관리는 사용자가 해당 액세스로 수행할 수 있는 작업을 감독합니다.

예를 들어 회계 시스템에서 권한 관리는 재무 기록을 볼 수 있는 사용자, 재무 기록을 편집할 수 있는 사용자, 재무 기록을 삭제할 수 있는 사용자와 같은 세분화된 권한 제어 기능을 제공합니다.

추가 권한 관리 기능은 다음과 같습니다.

• 권한 관리: 사용자 권한의 인벤토리를 유지 관리합니다.
  
  
• 액세스 위험 평가: 고객 신용 한도 변경과 같은 특정 권한 유형과 관련된 위험을 평가합니다.
  
  
• 정책 기반 제어: 액세스 요청 중에 보안 정책을 적용하여 최소 권한 원칙을 유지합니다(예: 민감한 재무 데이터에 대한 액세스에 대해 감독자 승인 요구).
  
  
• 액세스 분석: 조직이 잠재적인 보안 위험을 사전에 해결하는 데 도움이 되는 액세스 패턴에 대한 인사이트를 제공합니다(예: 사용자에게 중요 시스템에 대해 과도한 권한이 있는지 탐지).

인공 지능(AI)의 발전은 IGA에 새로운 도전과 기회를 동시에 가져다줍니다.

위협 행위자는 새로운 생성형 AI 툴을 악용해 IGA 워크플로 및 제어 기능을 표적으로 삼고 있습니다. 예를 들어 AI를 사용하여 딥페이크를 생성하고 피싱 메시지를 그럴듯하게 만듦으로써 공격자는 합법적 사용자를 속여 자격 증명을 제공하게 할 수 있습니다. 더 고도화된 행위자는 머신 러닝(ML) 툴을 악용하여 권한 구조를 분석하고 정책 회피 기회를 식별하여 IGA 제어를 우회할 수 있습니다. 

동시에 공급업체는 AI를 사용하여 IGA 솔루션을 정적 규정 준수 체크포인트에서 적응형 위험 관리 시스템으로 전환하고 있습니다. IGA 솔루션이 AI를 사용하는 몇 가지 예는 다음과 같습니다.

• 지능형 액세스 권장 사항: ML 툴을 사용하여 사용자의 역할, 직무 기능 및 동료 그룹을 분석하여 온보딩 및 전송 중에 적절한 권한을 자동으로 제안함으로써 기존 RBAC 프로세스를 개선합니다.
  
  
• AI 기반 이상 징후 탐지: AI 알고리즘을 통해 기준 사용자 행동 패턴을 설정하여 표준 IGA 제어에서 놓칠 수 있는 의심스러운 활동에 자동으로 플래그를 지정합니다.
  
  
• AI 기반 검토: 권한 수준, 사용량 및 SoD 영향을 기반으로 자격을 평가하고 점수를 매기므로 IGA 시스템은 고위험 액세스를 수동 검토를 위해 우선순위를 지정하고 저위험 결정을 자동화합니다.