IAM이란 무엇입니까? ID 및 액세스 관리 가이드

Garnet에 따르면 ID 및 액세스 관리는 적절한 사용자 또는 장치가 적합한 이유로 적시에 적합한 리소스에 액세스할 수 있도록 하는 IT 분야입니다. 용어 '리소스'는 애플리케이션, 네트워크, 인프라 및 데이터를 의미합니다.

또한 ID 및 액세스 관리는 내외부 위협으로부터 조직을 보호하는 정책과 기술의 프레임워크입니다. 즉, IAM은 사용자 액세스를 단순화하는 동시에 데이터 침해나 내부자 공격과 같은 사이버 보안 사고를 방지합니다.

IAM 프레임워크는 '디지털 ID'의 설정 및 유지를 목표로 합니다. 간단히 말해서, 디지털 신원은 사람, 조직, 장치, 애플리케이션 또는 기타 온라인 엔터티를 표현한 것입니다. 디지털 신원은 해당 엔터티와 고유하게 연관된 속성을 포함하므로 컴퓨터 시스템과 서비스가 신원의 진위 여부를 확인할 수 있습니다.

아마도 디지털 신원의 가장 기본적인 예는 사용자 이름과 비밀번호의 조합일 것입니다. 예를 들어, 웹사이트나 플랫폼에서 계정을 만들 때는 일반적으로 사용자 이름(고유 식별자 역할)과 비밀번호(인증 수단 역할)를 선택합니다. 이 조합은 특정 플랫폼 내에서 사용자 신원을 설정합니다.

그러나 일단 설정되면 디지털 ID를 발급하는 조직은 이를 관리도 해야 합니다. 즉, 무단 액세스로부터 보호되도록 보장해야 합니다. 사용자 계정을 해독하는 악의적인 행위자는 액세스 권한을 남용하고, 민감한 정보를 도용하며, 맬웨어, 바이러스 등으로 인프라를 감염시킬 수 있습니다.

따라서 IAM 솔루션을 통해 강력한 모니터링 제어 및 기타 보호 장치를 통해 ID 관리를 단순화하여 초기 인증 후에도 잠재적인 위협을 완화할 수 있습니다.

사용 사례: 소비자용 IAM

많은 조직에서는 디지털 온보딩 경험 중에 IAM 프레임워크를 사용하여 소비자를 확인합니다. 예를 들어, 은행 고객은 온라인이나 모바일 앱을 통해 새 당좌예금 계좌를 신청할 수 있습니다.

언제 어디서나 제공되는 IAM 시스템을 통해 은행은 신청자가 직접 방문할 필요 없이 신청자의 신원을 안전하게 확인하는 동시에 서비스에 대한 보안 액세스를 제공할 수 있습니다. 고객이 앱이나 계정에 액세스하려고 하면 시스템은 단 몇 초 만에 사용자와 장치의 신뢰성을 확인합니다.

사용 사례: 직장용 IAM

일부 기업이 사무실로 복귀하고 있지만 하이브리드 업무는 계속 유지될 것입니다. Gallup 설문 조사에 따르면 미국에서 원격 지원 업무 중 21%만이 완전히 현장에서 이루어지는 것으로 나타났습니다. 이는 하이브리드 업무 52%, 완전 원격 업무 27%와 비교됩니다.

요점은 무엇입니까? 기업은 그 어느 때보다 더 많은 디지털 ID를 발급하고 있습니다. 정규직 직원, 계약업체, 소비자 사이에서 이렇게 많은 양의 ID를 관리하기란 쉽지 않습니다. 다행히 IAM 솔루션이 도와드릴 수 있습니다.

이 선도적인 시스템은 건물에 대한 물리적/논리적 액세스를 제공하여 대면 직원의 보안을 강화할 수 있습니다. 물론 가상 사설망(VPN) 및 SaaS(Software-as-a-Service) 애플리케이션에 대한 보안 액세스도 제공하여 분산된 인력을 보호합니다. 또한 계약업체 액세스 권한에 대한 실시간 제어를 제공하여 사용자 행동 중 의심스러운 활동을 지속적으로 모니터링할 수 있습니다.

사용 사례: 시민용 IAM

공공 부문에서는 디지털 시민 인증에 IAM을 자주 사용합니다. 예를 들어, IAM 도구는 정부 기관이 여권, 주민등록증, 운전면허증을 발급, 관리, 확인하는 데 도움을 줄 수 있습니다. 또한 시민들에게 교육, 의료, 혜택 프로그램 등 필수 정부 서비스 및 플랫폼에 대한 안전한 액세스를 제공합니다.

마찬가지로 IAM은 공항의 모바일 신원 증명 및 셀프서비스 키오스크를 통해 국경 간 여행을 촉진합니다. 디지털 시민 ID는 안전한 PKI(공개 키 인프라) 인증서를 통해 시민에게 디지털 ID를 바인딩하여 안전한 거래를 수행하도록 지원합니다.

조직에서는 항상 액세스 제어가 사이버 보안이라는 퍼즐에서 필수 조각임을 인지하고 있었습니다. 그러나 이제 진화하는 IT 환경의 복잡성과 상호 연결성을 고려할 때 ID가 놓칠 수 없는 구성 요소임을 깨닫는 사람들이 늘어나고 있습니다.

요컨대 코로나19 팬데믹 기간 동안 디지털 혁신이 가속화되었습니다. 일부 경우에는 몇 년의 발전 과정을 뛰어넘었습니다. 멀티 클라우드 환경, 인공 지능(AI), 자동화, 원격 업무의 등장으로 기업은 점점 더 분산되는 환경에서 더 많은 엔터티 유형에 대한 액세스를 제공하고 있습니다. 간단히 말해서, 신원의 양은 기업이 관리할 수 있는 양을 넘어섰습니다.

동시에 사이버 범죄도 빠르게 진화하고 있습니다. 정교한 AI 기반 공격 전략을 결합하여 피싱 사기, 악성 코드, 랜섬웨어 등으로 사용자를 공략하고 있습니다. IAM이 없으면 IT 부서에서 누가 어떤 리소스에 액세스할 수 있는지 확인할 수 없기 때문에 위협을 억제하기란 기하급수적으로 더 어려워집니다. 더 큰 문제는 손상된 사용자의 권한 액세스를 해지할 수 없다는 것입니다.

다행히 IAM 기술을 사용하면 보안과 접근성 간의 균형을 맞출 수 있습니다. 이를 통해 조직은 생산성이나 고객 경험을 방해하지 않고 사용자 및 장치에 대한 세부적인 액세스 권한을 설정할 수 있습니다. IAM 도구는 전반적으로 권한을 제한하는 대신 개별적으로 보호 기능을 구현할 수 있습니다.

IAM 보안 및 제로 트러스트

IAM은 제로 트러스트 아키텍처를 구축하기 위한 핵심 기반입니다. 간단히 말해, 제로 트러스트는 엄격한 ID 관리를 옹호하고 모든 연결, 장치, 사용자가 잠재적인 위협이라고 가정하는 보안 모델입니다. 이는 암묵적 신뢰를 기반으로 구축된 기존 보안 모델과 대조됩니다.

제로 트러스트 보안에는 세 가지 핵심 원칙이 있습니다.

1. 지속적인 인증: 조직은 특정 세션 전반에 걸쳐 지속적으로 확인되는 수많은 위험 요소를 기반으로 보안 액세스를 허용해야 합니다. 즉, 신원, 위치, 장치, 서비스 등을 기반으로 엔터티를 확인해야 합니다.
2. 피해 반경 제한: 팀은 항상 데이터 침해가 발생할 것으로 가정하고 사용자 활동 및 네트워크 트래픽에 대한 가시성을 최대화하여 이상 징후를 발견하고 위협을 감지해야 합니다.
3. 최소 권한 액세스: 엔터티는 자신의 역할이나 기능을 수행하는 데 필요한 권한만 가져야 합니다. 예를 들어 직원은 자신의 직무와 관련 없는 민감한 데이터베이스에 액세스할 수 없어야 합니다.

제로 트러스트의 핵심은 ID 관리의 강조입니다. 이에 대응하여 IAM은 세 가지 원칙을 대규모로 시행하고 결과적으로 보안을 강화하는 방법을 제공합니다.

IAM의 이점

올바른 IAM 도구를 사용하면 다음과 같은 주목할 만한 이점을 몇 가지 얻을 수 있습니다.

• 규정 준수: 조직은 데이터 프라이버시 규정 및 계약 요건을 준수해야 합니다. IAM 시스템을 사용하면 공식적인 액세스 정책을 시행하고 사용자 활동에 대한 감사 추적을 준수함을 입증할 수 있습니다.
• 생산성: 복잡한 보안 조치는 사용자 경험을 방해하여 고객을 답답하게 하고 직원 생산성을 저해할 수 있습니다. 최고의 IAM 도구를 사용하면 수 차례 로그인하지 않고도 여러 리소스에 대한 보안 액세스 권한을 부여할 수 있습니다. 바로 SSO(싱글 사인 온)라는 기능입니다.
• 데이터 보호: IAM 도구는 보안 팀이 진행 중인 사고를 감지하고 잠재적인 위험을 조사하여 신속하고 확실하게 위협을 근절할 수 있도록 지원합니다.
• IT 자동화: IAM은 수동 프로세스에 의존하지 않고 비밀번호 재설정 및 로그 분석과 같은 주요 작업을 자동화합니다. 이를 통해 IT 부서는 시간과 노력을 절약하여 더 중요한 책임에 집중할 수 있습니다.

높은 수준의 IAM에는 세 가지 주요 구성 요소가 있습니다. 처음 두 가지(ID 관리와 액세스 관리)는 각각 인증 및 인가와 관련이 있습니다. 차이점은 다음과 같습니다.

• 인증은 사용자(엔터티)의 신원을 확인하는 IT 프로세스입니다. 전통적으로 여기에는 사용자 이름과 비밀번호의 제공이 포함될 수 있지만 해커는 이 방법을 쉽게 우회하는 방법을 배웠습니다. 그렇기 때문에 다중 인증(MFA)과 같은 더욱 강력하고 정교한 기술을 요구하는 조직이 늘어나고 있습니다.
• 인가는 사용자가 액세스할 수 있는 특정 애플리케이션과 파일, 데이터를 확인하는 프로세스입니다. 이는 '액세스 제어 정책'이라는 규칙을 설정하여 작동하며 항상 인증 후에 발생합니다.

마지막으로 세 번째 구성 요소는 관리입니다. 관리에는 규정 준수, 보안, 운영 효율성을 보장하는 IAM 프로세스, 시스템, 활동에 대한 지속적인 관리, 감독, 분석이 포함됩니다. 더 간단히 말하면 위협을 발견하고 취약점을 수정하기 위해 ID 및 액세스 권한을 모니터링하는 전반적인 프로세스입니다. 

각 구성 요소는 여러 필수 기능 및 서비스에 의존합니다. 가장 주목할 만한 몇 가지 사항을 자세히 분석해 보겠습니다.

ID 거버넌스

IAM 기술은 다음 도구를 사용하여 온보딩 및 ID 관리를 간소화할 수 있습니다. 

• 인증 프로그램: 하드웨어 토큰, 디지털 인증서, 장치 분석, 일회성 패스코드 등 다양한 방법을 사용하여 디지털 신원을 확인합니다.
• 모바일 인증: 디지털 ID를 모바일 장치에 포함하여 중요한 애플리케이션에 대한 액세스를 제공하는 스마트 자격증명을 만듭니다.
• ID 증명: 정부가 발행한 신원 문서와 셀카를 비교하는 생체 인식 인증을 사용하여 몇 초 안에 사용자를 온보딩합니다.
• 적응형 인증: 실시간으로 상황별 분석을 활용하여 액세스 권한을 부여하거나 추가 위험 기반 강화된 인증 프롬프트를 통해 사용자에게 질문을 던집니다.

액세스 제어

IAM 솔루션은 다음과 같은 다양한 도구를 사용하여 안전한 액세스를 가능하게 합니다.

• SSO(싱글 사인 온): 로그인 프로세스를 간소화하고 사용자가 필요한 모든 애플리케이션에 대해 하나의 자격증명 세트만 활용하도록 합니다.
• 비밀번호가 없는 로그인: 보안이 뛰어난 비밀번호가 없는 로그인으로 자격증명 도난 위험을 제거합니다. PKI를 사용하면 디지털 인증서를 사용자의 모바일 장치에 설치하여 신뢰할 수 있는 엔드포인트로 전환할 수 있습니다. 인증하고 나면 Mac 또는 PC에 Bluetooth로 연결되어 근처에 있는 모든 클라우드 및 온프레미스 앱에 안전하게 액세스할 수 있습니다.
• VPN 인증: 사용자에게 주요 앱에 대한 빠른 액세스를 제공하고 암호화된 VPN을 사용하여 자격증명 도용으로부터 보호합니다.
• 자격증명 발급: 사용자가 웹사이트, VPN, 앱 및 기타 필수 서비스에 대한 액세스 권한을 거의 즉각적으로 부여하는 모바일 스마트 자격증명을 요청할 수 있습니다.

관리 및 모니터링

올바른 솔루션을 사용하면 다음을 사용하여 고급 위협으로부터 보호하고, ID를 관리하며, 거래를 보호할 수도 있습니다.

• 사기 감지: 결제 사기를 자동으로 완화하여 고객 데이터와 브랜드 평판을 보호합니다.
• 비밀번호 재설정: 비밀번호를 잊어버린 사용자를 위한 셀프서비스 옵션을 통해 비용을 절감하고 헬프 데스크 티켓을 줄입니다. 
• 보안 장치 프로비저닝: 신규 직원, 기존 직원, 퇴사 직원을 위한 장치 발급 및 반환 프로세스를 자동화합니다.

IAM 기술 구현은 거의 모든 사용자에게 영향을 미치기 때문에 중요한 단계입니다. 잘못된 구성으로 인해 보안 상태에 공백이 생길 수 있으며, 이를 방치할 경우 데이터 침해가 발생할 수 있습니다. 그렇기 때문에 ID 공급자를 결정할 때 몇 가지 모범 사례를 따르는 것이 가장 좋습니다.

1. IT 환경 평가

현재 IT 환경과 이미 진행 중인 클라우드 기반 배포와 같은 향후 추가 사항을 매핑하는 것부터 시작합니다. 인프라, 애플리케이션, 데이터 저장소 및 기타 자산을 평가합니다. 이는 보안 액세스 제어가 필요한 리소스를 식별하는 데 도움이 됩니다. 

다음으로 직원, 계약업체, 파트너, 고객 등 사용자를 고려합니다. 누가 어떤 시스템에 액세스해야 합니까? 이 연습을 통해 IAM 솔루션의 범위가 비즈니스 요건에 맞게 충분히 포괄적이도록 보장할 수 있습니다. 또한 최소 권한 액세스 원칙을 시행하는 데도 도움이 됩니다.

2. 규정 준수 요건 확인

사업 규모, 부문, 운영 지역에 따라 다양한 데이터 프라이버시 법의 적용을 받을 수 있습니다. 예를 들어 유럽의 최종 사용자에게 서비스를 제공하는 경우 개인정보보호 규정이 적용될 수 있습니다. 선택한 ID 공급자가 특정 법적 의무에 명시된 최소 기준을 충족하는지 확인하십시오.

3. 배포 모델 결정

IAM 시스템을 배포하는 방법은 다음 세 가지가 있습니다.

• 온프레미스: 이 옵션을 사용하려면 초기 비용과 지속적인 유지 관리 측면에서 상당한 투자가 필요합니다. IAM 인프라를 더 효과적으로 제어할 수 있지만 시간이 지날수록 업그레이드하기 어려운 경우가 많습니다.
• 클라우드: 이와 대조적으로 클라우드 기반 IDaaS(ID as a Service) 배포는 훨씬 더 비용 효율적이고 확장성이 뛰어납니다. ID 공급자가 기본 인프라를 관리하므로 구현 속도가 훨씬 빠르고 사전 구성도 최소한으로 필요한 경우가 많습니다.
• 하이브리드: 두 가지 장점을 모두 활용하려면 클라우드와 온프레미스 기능을 모두 활용할 수 있습니다. 이 접근 방식을 사용하면 비즈니스 요구 사항에 따라 다양한 사용 사례에 가장 적합한 모델을 선택할 수 있습니다.

4. 단계적 접근 방식 수행

왜 감당할 수 없는 만큼 시도하려고 하십니까? 프로세스를 서두르지 말고 IAM 기반을 하나하나 구축하십시오. 단계적 접근 방식을 사용하면 시간이 지남에 따라 다양한 구성 요소를 배포할 수 있으므로 귀하와 사용자가 새로운 프로세스에 더 쉽게 적응할 수 있습니다.

5. 모니터링 및 적응

IAM 전략을 설정하고 잊어버려서는 안 됩니다. 구현 후에는 솔루션이 작동하는 방식에 세심한 주의를 기울이십시오. ID 제공업체에 문의하여 개선 영역을 전략화하십시오. 그렇게 하면 잠재적인 위협으로부터 항상 보호받을 수 있습니다.

작업자, 소비자 및 시민의 ID를 보호하는 것은 통제되지 않은 액세스, 데이터 침해 및 사기 거래를 방지하는 데 중요합니다. Entrust Identity는 제로 트러스트 프레임워크를 실현하는 데 필요한 강력한 기반을 제공하는 IAM 포트폴리오입니다. 하나의 통합 IAM 제품군인 Entrust Identity는 비교가 불가능한 수의 사용 사례와 배포 옵션을 지원합니다.

클라우드 기반 IDaaS 플랫폼을 예로 들어보겠습니다. 하나의 솔루션으로 다음을 수행할 수 있습니다.

• 취약 비밀번호 제거
• 내부자 위협 경감
• 인증 이상 감지
• IT 비용 절감
• 보고 및 규정 준수 개선
• 생산성 간소화