계정보안 강화를 위한 통합계정관리의 필요성  
최근 대부분 사용자 계정은 개인당 평균 6개에서 최대 20개로 늘어나 점차 계정관리비용이 증가하고 있지만 실시간 계정관리 솔루션 부재로 인한 보안의 허점이 노출되고 있다. 또 분산시스템겴壙固?환경이 기업 내부 시스템으로 확장됨에 따라 시스템별 수많은 인증정보의 관리부담이 발생해 중앙집중적인 통합계정관리 시스템의 필요성이 대두되고 있다.

인터넷의 보급으로 웹 기반의 편리한 지식공유 환경이 조성되었으나 내·외부 사용자에 의한 정보유출 등의 역기능이 대두되며 IT자원관리의 어려움이 발생하고 있다. 근래에 언론을 통해 회자되고 있는 해킹의 위험은 다양한 방법과 대상을 가지고 있다. 키로깅을 목적으로 하는 해킹 프로그램의 배포 혹은 피싱을 통한 관리 계정의 탈취를 통한 부정행위와 같은 외부 공격에 비해 내부의 공격에는 상대적으로 둔감한 것이 사실이다. 지식사회로의 변화가 가속화 될수록 그 기업과 조직에서의 정보는 그 가치가 더욱 커지고 있는 상황에서 내부 보안에 대한 필요성은 어느 때 보다도 중요성을 언급하지 않을 수 없는 것이다.
 
앞서 언급한 외부 공격은 그 경로에서 많은 IT 인프라를 경유하게 된다. 하지만 내부자에 의한 해킹은 첨단 기술이 동원되는 것이 아닌, 단순한 방법이 사용된다. 즉 그 해킹의 행위자인 사람 자체가 보안 방어의 대상이 된다는 것이다. 그렇기 때문에 그 사람의 물리적인 행동을 통제해야 하는데 어떻게 이를 효과적으로 통제할 수 있을 지가 기업과 조직이 가진 고민이다.
 
IT자원에서 바라본 직원 혹은 사람은 ID로 정의될 수 있다. 그 사람이 어떤 계급과 중요도 혹은 능력치를 가지고 있는지는 관계없다. 그 사람은 ID로 식별되고 ID로 생활하며 존재하는 것이며 이외 정보는 그를 설명하는 Description일 뿐인 것이다. 그렇다면 그 ID를 통제하는 것이 사람을 대상으로 하는 통제수단의 시작점이 될 수 있는 것이다. SSO와 EAM과 같은 사람의 행위를 보완하고 통제하는 보안 기술 중에서 내부보안의 출발점은 계정관리에서부터라고 할 수 있다.
 
근래에 대부분 사용자 계정은 개인당 평균 6개에서 최대 20개로 늘어나 점차 계정관리비용이 증가하고 있지만 실시간 계정관리 솔루션 부재로 인한 보안의 허점이 발생하고 있다. 또한 분산시스템/인터넷 환경이 기업 내부 시스템으로 확장됨에 따라 시스템별 수많은 인증정보의 관리부담이 발생하여 중앙집중적인 통합계정관리 시스템의 필요성이 대두되고 있다. 위의 비즈니스 요구와 문제를 통해서 인증 및 인가 인프라로서의 계정관리 솔루션의 필요성, 발전방향, 시장현황을 알아보고 계정관리 솔루션의 개념과 도입효과에 대해서 살펴보도록 하겠다.

EAM에서 IAM으로, 계정관리 솔루션의 발전
통합계정관리(EAM)이 어플리케이션의 통합인증(SSO) 및 접근권한 관리 중심의 솔루션이었다면 최근에는 포괄적인 지능형 계정 관리(Identity-Management) 기능의 확장된 형태인 IAM(Identity and Access Management) 솔루션이 대두되고 있다. EAM과 IAM은 단일 의미에서의 보안 솔루션을 지칭하기보다는 3A에 해당하는 인증, 인가, 감사 영역에서의 보안성과 계정동기화(Provisioning) 기능을 제공하는 포괄적인 의미의 통합관리 인프라를 의미한다.

기업 IT시스템 규제 강화와 IAM의 부상
시장조사 기관들이 IAM 시장의 잠재력을 높이 평가하는 이유는 각 국가기관이 기업 시스템 규제를 더욱 강화하고 있기 때문이다. 기업은 엄격해진 관련 법규를 준수하고 기업의 투명성을 입증하기 위해 계정관리솔루션의 구축을 추진하고 있다.
 
통합계정관리솔루션은 계정과 사용자를 정확히 파악하고 사용자의 시스템 접근 권한을 내부 정책에 따라 세밀하게 통제할 수 있음은 물론, 정책 위반자나 정책에 위배된 사용을 모니터링함으로써 사후 감사 자료를 제공하기도 한다. 또한 미국에서 실시된 한 조사에 따르면 계정관리 솔루션 도입을 추진하는 이유에 대해 응답자의 70%가 ‘컴플라이언스 이슈에 대응하기 위해서’라고 답했다. 이는 컴플라이언스 이슈와 IAM이 갖는 밀접한 관계를 나타내는 결과라고 할 수 있다.
 
오늘날 기업의 경영활동은 IT로부터 분리될 수 없다. IT를 활용해 기업의 효율성을 높여야 생존할 수 있는 비즈니스 환경이 조성되고 있기 때문이다. 따라서 오늘날의 기업 컴플라이언스는 기업의 IT인프라와 밀접한 관련을 지니고 있으며 IT인프라의 변화를 요구하고 있다. 즉 1인 1계정을 확립하고 이를 통제함으로써 IT의 투명성을 확보하려는 IAM이 부상하고 있는 것이다.
 
이와 관련 가트너는 “IAM에 대한 관심 증가는 회계 규제기관과 법률 규제기관이 정보 접속을 제어하는 데 사용하는 시스템에 대한 관심이 늘어났기 때문”이라며 “규제기관은 기업의 제어 장치 확립을 원하고 있으며 접속, 검증, 인증, 감사를 구현하는 IAM은 이에 상응하는 제어장치”라고 지적했다.
 
북미와 일본의 경우에는 이와 같은 규제 대응이 더욱 강력한 IAM 시장 성장 동인으로 작용하고 있다. 국내의 IAM도입 배경은 기업 규제 법안들이 미비하여 비즈니스 편의성 제공, 비용 절감, 운영 효율화 그리고 IT 위험 관리 등과 같은 이유였다. 그러나 최근 해외와 같은 한국판 사베인즈-옥슬리(K-SOX), 한국채택국제회계기준(K-IFRS) 등이 발표되면서 기업 투명성, ID 투명성에 대한 요구도 높아지고 있다. Sarbanes-Oxley, Basel II, HIPAA 등 다양한 규제와 법령의 공통요소는 강력한 내부 통제절차로 비즈니스 관련 실행 또는 처리를 성공적으로 이끄는 일련의 절차를 말한다. 규제대응 역량 강화 요구에 부응하는 국내의 내부 통제 절차 요구 흐름에 따라 통합계정관리 솔루션 IAM의 도입은 더욱 절실해지고 있다.

계정관리 시장의 전망과 국내기업의 활약
해외 시장에서 계정관리 솔루션이 크게 각광을 받는 것과 달리 국내시장은 SSO/EAM위주로 시장이 형성되어 있다. 계정관리 시장에서 내로라하는 글로벌 벤더들이 대거 포진해 있음을 고려할 때 계정관리 시장의 성장 잠재력을 글로벌 벤더들이 높이 평가하고 있다는 것을 쉽게 유추할 수 있다.
 
국내 계정관리 솔루션은 금융기관 및 통신업체를 중심으로 2004년부터 서서히 시장이 형성되기 시작했다. 현재는 대거 성장하여 IDC는 최근 IAM시장이 2011년까지 매년 10.7%의 고성장을 기록할 것으로 전망하고 있으며 포레스터 리서치는 2006년 26억 달러에서 2014년에는 123달러에 달할 것으로 전망된다고 발표하기도 했다. IDC에 따르면 계정관리 시장은 전체 보안 시장에서 2번째 규모를 가지고 있는 것으로 평가될 만큼 중요한 시장이다.
 
소프트씨큐리티는 최근 SSO/EAM솔루션인 와이즈엑세스의 라인업으로 통합계정관리솔루션 와이즈엑세스 IM을 발표하며 새롭게 통합계정관리솔루션 시장에 진입했다. SSO/EAM과 함께 PC보안 시장에서 스마트폰 보안시장으로 영역을 넓히고 있는 소프트시큐리티는 기존 솔루션 라인업에 새로 IAM제품을 추가하며 보안영역에서의 종합적인 컨설팅에서부터 체계적인 계정관리까지 가능해졌다.

통합계정관리 솔루션의 원리
와이즈엑세스 IM과 같은 통합계정관리 솔루션은 사용자 계정을 체계적으로 관리하여 사용자 역할과 권한을 중앙에서 통합 관리하여 보안정책에 위반되는 사용자 행위를 통제하는 기능을 하는 솔루션이다. 각 사이트로 흩어진 ID계정을 하나의 통합계정저장소에서 자동으로 종합 관리하여 중복계정 오류나 탈퇴계정 방치 오류 등을 미연에 방지하고 정보보안을 강화한다.
 
또한 통합인증(Single Sign On)환경과 이를 기반으로 통합된 사용자 인증 및 권한 관리 시스템을 구축하는데 기초 역할로써 필요한 계정 통합을 수행하며 전화번호나 부서 정보와 같은 개인정보의 변경사항을 타 시스템으로 전파시켜 각 계정 정보의 가치를 유지시켜주는 기능을 한다. 이와 함께 인사시스템과 대상 업무시스템 사이에서 계정 정보를 중앙에서 통제할 수 있는 통합 관리환경을 제공하여 단일 솔루션이 아닌 인프라 차원의 기능을 갖추었다.

계정관리 솔루션의 도입효과
계정관리 솔루션은 기업 규제에 대응하는 기능뿐 아니라 기업의 효율성 향상을 기대할 수도 있다. 기업 투명성 확보로 비즈니스 가시성을 향상시키는 효과뿐만 아니라 자동화된 계정관리 및 접근권한관리를 통합적으로 수행할 수 있도록 해서 사용자 편의성 증가, 보안 관리비용 감소 등의 효과를 제공한다.
 
인사DB와 기업의 어플리케이션이 연동돼 있다면 인사 이동시 인사 DB에 관련 사항을 입력하는 것만으로 기업의 데이터 자산에 대한 사용자의 접근 권한을 자동으로 변경하게 된다. IT 관리적인 측면에서는 인사이동 후 접근권한 조정 등 기존 수작업으로 수행해야 했던 업무를 자동화함으로써 이에 소요되는 시간, 비용을 절감할 수 있게 된다. 즉 불필요하게 소모되는 기간을 없애고 확보된 시간에 다른 업무를 볼 수 있게 돼 업무 효율성을 더욱 향상시킬 수 있게 되는 것이다.
 
인프라 차원의 통합계정관리를 도입함으로써 계정정보가 필요한 모든 시스템에 계정정보를 공급함과 동시에 계정정보의 변경사항을 안정적으로 각 시스템에 반영시키며 계정의 신청과 변경과 같은 행위를 일괄 처리하는 것이 아닌 관리자의 결재 승인 과정을 거치게 함으로써 계정 통제의 시너지를 발휘할 수 있는 것 또한 장점이다.

이상으로 비즈니스 요구와 문제를 통해서 인증 및 인가 인프라로서 계정관리 솔루션의 필요성, 발전방향, 시장현황을 살펴보았고 계정관리 솔루션의 도입효과에 대해서 살펴보았다. 투명한 기업경영을 위한 국내 규제 법규가 강화되면서 통합계정관리솔루션 도입 요구가 높아지고 기업정보유출 및 고객정보유출로 인한 사건사고의 횟수도 늘어나고 있다.
 
이와 같은 상황에서 회사의 계정을 통합적으로 관리하여 기업정보 및 고객정보 관리의 체계를 세우는 것은 e-비즈니스 시대 기업 경쟁력을 갖추기 위한 필수 조건이다. 통합계정관리솔루션의 도입으로 기업의 업무 편이성과 효율성을 높이고 정보보안을 강화하며 e-비즈니스 시대에 맞는 기업 역량을 갖추어 나가기를 바란다.
<글 : 윤현영 소프트씨큐리티 보안사업부 부장(yunhy@softsecurity.co.kr)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>