IAM, 퍼펙트 매치

다기능 스위트는 통합과 상호 운용성에 직면하고 있다.

컴플라이언스와 통합은 IT 보안 업계, 그 중에서도 특히 통합계정관리(IAM : Identity and Access Management)와 직면하고 있다.

오늘날의 규제 환경은 기업들에게 누가 어떤 것에 액세스했는지를 추적하고 통제할 것을 요구한다. 이와 함께 그러한 액세스를 관리하기 위한 툴이 개별적인 제품들에서 본격적인 스위트로 성장했다. 한편 보안 포트폴리오를 확장하기 위해 좀 더 규모가 큰 업체가 소규모 업체를 삼켜버리는 인수 합병의 물결이 IT 보안 시장을 덮치고 있다. 심지어 데이터베이스 전문 대기업 오라클처럼 IAM 시장의 기존 업체들이 아닌 기업들조차 이 분야에 뛰어들었다.

또한 통합계정관리가 뜨고 있다. 포레스터 리서치는 올해 초 발표한 연구에서 IAM 시장이 컴플라이언스에 크게 힘입어 2006년 26억 달러에서 2014년 123억으로 성장할 것으로 예상했다.

포레스터는 또한 기업들이 포인트 제품에서 통합 제품, 즉 상호 운용성을 보증하는 다기능(feature-rich) 인증 스위트로 전환하고 있는 것에 주목했다. 기업들은 오랫동안 존속되고 함께 성장하며 지원해줄 견실한 업체를 찾고 있다.

업계의 안정된 업체들이 제공하는 스위트는 이러한 필요조건을 만족시킨다. 그러나 그것은 설치하는데 시간이 소모되고 많은 비용이 들어갈 수 있으며 신원 문제의 해결사를 제공하겠다는 약속을 실천하지 못 할 수도 있다.

시장 통합

2005년 이전까지 IAM 시장의 대표 업체들은 노벨(Novell), 썬(Sun), IBM, 마이크로소프트였다. 그들은 Active Directory(마이크로소프트), LDAP(썬) 등 디렉토리 서비스로 링크되는 기본적인 신원 관리 제품들을 판매했다. 같은 시기의 기타 업체들로는 프로비저닝, 인증 등과 같은 여러 가지 신원 관련 부분들을 제공하는 SAP, BMC, CA, RSA 등이었다. 많은 소규모 업체들은 역할 관리나 버추얼 디렉토리(virtual directory) 같은 틈새 제품을 판매했다.

이후 2005년에 두 가지 상황, 즉 사베인즈-옥슬리(SOX) 법안과 같은 규제 컴플라이언스의 강타와 인수·합병의 물결이 나타났다. 오라클(Oracle)은 사용자 프로비저닝 업체 Thor와 버추얼 디렉토리 전문 OctetString, 이 두 개의 신생회사를 인수해 업계 관계자들을 놀라게 했다. 이어 오라클은 같은 해에 웹 액세스 컨트롤 공급자 Oblix를 인수했다. 2005년에는 또한 CA가 쓸모없게 된 계정들을 정리하기 위해 InfoSec의 소프트웨어를 인수했고 BMC는 웹 액세스 업체 OpenNetwork와 디렉토리 관리 제품 공급업체 Calendra를 손에 넣었다.

시장 통합의 물결은 2006년에도 계속 되었다. 썬(Sun)은 신원관리 자동화 제품 Neogent를 인수했고 RSA는 웹사이트 인증 기업 Cyota와 PassMark Security를 인수한 후 스토리지 대기업 EMC를 낚아챘다. 지난 해 오라클은 강력한 웹사이트 인증 제공업체 Bharosa와 엔터프라이즈 역할 관리 소프트웨어 회사 Bridgestream을 사들였고 썬(Sun)은 또 다른 역할 관리 업체 Vaau를 매입했다. Vaau 인수는 자사의 IAM 스위트를 확장하고 Oracle과 IBM에 정면으로 맞서기 위해 썬이 3월 발표했던 계획의 초석이었다. 한편 IBM도 지난 해 3월, 엔터프라이즈 싱글 사인-온(SSO) 업체 Encentuate를 인수했다.

이러한 인수·합병들은 IAM 시장의 방향을 통합 스위트를 판매하는 몇몇 대형 업체들로 이동시켰다. 독자적인 제품들을 판매하는 소규모 업체들이 많이 있기는 하지만 특히 세 개 분야는 자사의 스위트를 완성하고자 하는 대형 업체들의 잠재적인 합병 대상들이 될 수 있다. 엔터프라이즈 SSO, 버추얼 디렉토리, 권한 계정 관리가 그것이다.

핵심 기능

통합계정관리 스위트는 신원 관리, 신원 인프라스트럭처, 접근 관리, 감사 등 광범위하지만 밀접한 관련이 있는 네 개 분야의 기술을 결합시킨다.

사용자 프로비저닝, 역할 관리, 사용자 권한 계정 관리, 엔터프라이즈 역할 관리 등이 신원 관리에 해당된다. 역할 관리와 엔터프라이즈 역할 관리에는 중요한 차이가 있다. 기존의 역할 관리는 단지 사용자를 역할과 그룹으로 설정하여 정적인 반면 엔터프라이즈 역할 관리는 동적이다. 이것은 역할 기반 인증으로 회사 내 다수의 사업 단위와 기능 범위를 포괄할 수 있고 회사의 성장이나 합병 등을 통해 사용자 구조에 변화가 있을 경우 역할을 중심으로 유연하게 변경될 수 있다.

신원 인프라스트럭처는 디렉토리, 버추얼 디렉토리, 메타디렉토리 등 신원 정보를 갖고 있는 모든 것을 포함한다. 접근 관리는 SSO 기술뿐만 아니라 다수의 애플리케이션에 대한 접근을 감독하는 것을 포함하는 것으로 이들은 모두 엔터프라이즈와 웹, 그리고 SSO와 매우 밀접한 연합 계정 관리에 관한 것이다. 감사는 사용자와 그들의 역할에 대한 지속적인 추적을 포함해 앞선 내용과 다소 중복된다.

올인원의 장점

스위트의 분명한 장점은 업체들이 고객에게 전체적인 IAM을 제공한다는 것으로, 스위트들은 IAM의 네 가지 주요 기능을 위한 원스톱 샵(one-stop shop)이다. 모든 업체들이 사용자 프로비저닝을 제공하지만 엔터프라이즈 SSO는 BMC, CA, IBM, Novell, Oracle의 제품들과 같은 일부 대형 스위트에만 구성되어있다. 또한 SSO와 연합 계정 관리 전문회사 Evidian도 이러한 기능들을 자사의 스위트의 중심 기능으로 갖추고 있다.

포레스터의 선임 분석가 안드라스 체르(Andras Cser)는 기업들이 상호운용성과 능률적인 지원을 위한 통합 제품 세트를 기대하고 있다고 말했다. 개별적인 제품들보다 스위트로 테크니컬 픽스를 확보하는 것이 더 쉽다. 가격도 하나의 동기가 될 수 있다. 그는 “수많은 기능을, 심지어 그것이 필요하지 않은데도 구매하고자 한다면 이제 기능성의 구매와 소유의 기회가 훨씬 저렴해진 것”이라고 말했다. 또 가장 중요한 부분은 스위트들이 기능성면에서 포인트 제품을 따라잡았다는 것이라고 덧붙였다.

개별적인 제품 통합의 어려움을 피하려는 기업들에게 도움이 주는 것 이외에도 스위트는 기업들이 접근 관리 기능을 중앙 집중화할 수 있게 해준다. 이것은 프로비저닝 제공, 역할 및 그룹 관리, 디렉토리 서비스 관리를 위한 단일 GUI나 대시보드 웹 인터페이스를 갖고 있다.

통합 스위트는 또한 Active Directory와 LDAP처럼 서로 다른 디렉토리 서비스를 함께 작동하게 하여 디렉토리 관리를 중앙 집중화 한다. 수많은 기업들은 내적으로, 또는 인수를 통해 성장함에 따라 메인프레임, 윈도우, 유닉스 환경 등 시스템을 혼합하여 사용하게 된다. 대부분의 기업들은 그러한 설비들을 떼어내기 보다는 그들의 기존 디렉토리로 작업하고자 한다.

그들은 단지 혼재된 시스템들을 관리할 수 있는 단일 툴을 원할 뿐이다. 수많은 대기업들이 기본적으로 요구하는 이슈는 쉽게 통합되거나 단일 디렉토리 서비스로 대체될 수 없는 각기 다른 디렉토리 서비스를 그대로 사용해 작업하는 것이다.

IAM 스위트의 또 다른 장점은 리포트를 생성하는 기능이다. 리포팅은 SOX, HIPAA(美 의료정보관련법)나 PCI DSS(신용카드협회 데이터보안표준 : Payment Card Industry Data Security Standard)과 같은 업계 표준과 관련된 컴플라이언스의 중심이다. 리포트를 만들어내기 위해 Cognos나 Actuate와 같은 또 다른 제품에 의존하기 보다는 스위트로 리포트를 생성하고 검색 데이터베이스 내에 데이터를 저장할 수 있을 것이다.

일례로 Oracle Access Manager는 기업의 데이터베이스 성능을 촉진시켜 스위트의 각기 다른 구성 부분의 접근 정보를 저장할 수 있게 한다. 이 제품의 사전 제작된 리포트는 누가 어떤 시스템에 접근했는지 식별하여 컴플라이언스 목적으로 사용될 수 있다. 리포트 템플릿 역시 사용자 접근 시도나 해커의 장난(?)을 말해주는 로그인 실패를 기록해 사고 관리를 위해 사용될 수 있다.

리포트는 웹 기반일 수도 있고, 감사원과 규제자를 위해 하드카피로 만들 수 있으며, CA의 스위트와 마찬가지로 보안 정보 관리 시스템과 통합될 수 있다.

난관

그러나 스위트가 항상 기업의 모든 IAM 이슈들을 위한 만병통치약이 될 수 있는 것은 아니다. 우선, 어떤 회사라도 전체 IAM 스위트를 굴리는 것은 시간 소모적이며 비용이 소요되는 사업이다. 단체의 규모에 따라 비용은 수십만 달러에서 시작해 그 이상으로 증가할 수 있다. 전 세계에 수백 개의 사무소와 사업체를 두고 있는 기업이라면 전체 스위트의 배치가 단계적으로 이루어져 몇 년이 걸릴 수 있다.

그러나 그것도 모든 것이 무난하게 진행될 때의 얘기다. IAM 스위트와 회사의 아키텍처 및 기존 디렉토리 서비스의 통합에는 새로운 시스템에 대한 사용자, 역할, 그룹의 설정 및 마이그레이션 등 엄청난 양의 기획이 필요하다.

둘째, 모든 제품들이 모든 부문에서 빼어난 것은 아니다. 예를 들어 프로비저닝에서 가장 돋보이는 한 제품이 리포팅에서 좋지 못할 수도 있고 GUI나 웹 인터페이스가 어려울 수도 있다. 또한 스위트의 기능 증대가 구매 결정을 어렵게 만든다. 대부분 회사들의 사업 요건들이 항상 모든 기능들과 각각 매치되는 것은 아니다. 포레스터(Forrester)에 따르면 이것은 감사원들과 계정 솔루션 선택 과정 및 구매에 관련된 사업체 내부의 비전문인들 등 더 많은 이해 관계자들 때문에 훨씬 더 복잡해진다.

스위트가 일반적으로 폭넓은 기능을 제공하기는 하지만 두 가지 신기술에 관해서는 부족한 경향이 있다. 바로 버추얼 디렉토리와 권한 계정 관리다. 버추얼 디렉토리는 신원 정보 자체를 저장하지 않고 단일 뷰로 다수의 소스에서 신원 정보를 실시간으로 접근할 수 있는 서버다.

이것은 신원 질문에 답하기 위해 순서대로 물리적인 디렉토리에 접근하는 버추얼 디렉토리에 액세스하는 것만으로 다수의 디렉토리에 쿼리를 수행할 수 있게 해준다. 버추얼 디렉토리는 SSO와 연합 계정 관리를 위해 사용된다. 오라클, 썬, SAP만이 자사의 완전 버추얼 디렉토리 성능을 갖고 있다.

또한 시스템 관리자 계정을 보호하는 권한 계정 관리(privileged account management)는 컴플라이언스와 관련해 수요가 많기는 하지만 모든 주요 IAM 스위트들이 완전히 그 역할을 하는 것은 아니다.

향후 전망

시스템의 혼합인 포털과 애플리케이션-웹 기반, 클라이언트 서버 또는 메인 프레임이든-이 점점 더 복잡해지고 있기 때문에 기업들이 컴플라이언스 요건을 충족시키기 위해 작업할 때 보다 엄격한 접근 통제의 필요성이 증가할 것이다.

이것은 현재의 IAM 스위트에서는 발견되지 않는 파인-그레인드(fine-grained) 자격 관리의 유형을 필요로 할 것이다. 자격 관리는 더 나아가 기존의 접근 관리 시스템 내의 역할과 그룹 유형에만 국한되는 것이 아니라 시스템과 애플리케이션에 대한 접근을 제한한다. 현재 시각이나 지리적 위치, 심지어 트랜잭션의 유형에 기초해 접근을 제한하는 것도 이에 해당될 수 있다.

컴플라이언스 요건은 또한 다중 인증 분야에서의 IAM 스위트 성장에도 영향을 끼치고 있다. 일례로 지난 2005년 웹 기반 은행 업무에 이중 인증을 권고한 연방 금융기간 검사위원회(FFIEC : Federal Financial Institutions Examination Council)의 명령을 들 수 있다. 따라서 IAM 스위트는 표준 사용자 ID와 패스워드를 처리해야 할 뿐만 아니라 이제는 스마트카드, 원타임 패스워드(OTP), 심지어 생체인식까지 취급할 것이 요구된다.

또한 IAM 스위트가 많은 부분 스마트카드나 기타 이증 인증 장치로 지지되는 논리적인 보안과 물리적인 보안의 통합이라는 짐을 짊어져야 하기 때문에 이러한 경향은 더욱 증가할 것이다. IAM 스위트의 진화는 컴플라이언스 툴에 대한 모든 업계 및 시장의 요구 속에 합병의 자연스러운 경향에 힘입은 것이다. 컴플라이언스가 보안에 필적하는 것은 아니지만 좋든 나쁘든 컴플라이언스가 “왕”이며 IAM 스위트는 그저 따를 뿐이다.

<글·조엘 듀빈(Joel Dubin)>

[정보보호21c 통권 95호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)