IAM의 정의 및 기능
직원은 일하는 위치에 상관없이 앱, 파일, 데이터 같은 조직의 리소스에 액세스해야 합니다. 이를 위해 기존에는 많은 직원이 회사 리소스가 방화벽 뒤에 보관되는 현장에서 작업했습니다. 현장에서 로그인하면 직원은 필요한 항목에 액세스할 수 있습니다.
그러나 지금은 어느 때보다 하이브리드 작업이 흔해졌으며 직원은 현장에서 일하든 원격으로 일하든 회사 리소스에 대한 보안 액세스가 필요합니다. 이런 경우 IAM(ID 및 액세스 관리)이 유용합니다. 조직의 IT 부서는 중요한 데이터와 기능을 작업해야 하는 사람과 디바이스만 액세스할 수 있도록 제한하는 사용자 액세스 제어 방법이 필요합니다.
IAM은 전자 메일, 데이터베이스, 데이터, 애플리케이션 같은 회사 리소스에 대한 보안 액세스를 최소한의 개입으로 확인된 엔터티에 제공합니다. 목표는 적합한 사람이 작업을 수행하고 해커와 같은 적합하지 않은 사람은 액세스가 거부되도록 액세스를 관리하는 것입니다.
보안 액세스에 대한 필요성은 회사 머신에서 작업하는 직원 이상으로 확장됩니다. 계약자, 공급업체, 비즈니스 파트너, 개인 디바이스에서 작업하는 사람도 포함됩니다. IAM은 액세스 권한을 가지는 각 사람이 적합한 머신에서 적합한 시간에 적합한 수준의 액세스 권한을 가지도록 합니다. IAM의 이러한 기능과 조직의 사이버 보안에서 수행하는 역할 때문에 IAM은 현대 IT에서 중요한 위치를 차지합니다.
IAM 시스템을 통해 조직은 개인의 ID와 각 액세스 시도 동안 요청한 리소스를 사용하기 위해 필요한 권한이 있는지를 신속하고 정확하게 확인할 수 있습니다.
IAM 작동 방식
조직의 리소스에 대한 보안 액세스 권한 부여에는 ID 관리와 액세스 관리라는 두 부분이 있습니다.
ID 관리는 ID 관리 데이터베이스에 대한 로그인 시도를 확인하며, 이는 액세스 권한이 있는 모든 사람에 대한 지속적인 레코드입니다. 이 정보는 직원이 입사하거나 퇴사할 때, 역할과 프로젝트가 변경될 때, 조직의 범위가 늘어날 때 지속적으로 업데이트되어야 합니다.
ID 관리 데이터베이스에 저장되는 이러한 종류의 정보로는 직원 이름, 직함, 관리자, 부하 직원, 휴대폰 번호, 개인 전자 메일 주소 등이 있습니다. 사용자 이름과 암호 같은 로그인 정보를 데이터베이스의 ID와 일치시키는 작업을 인증이라고 합니다.
추가 보안을 위해 많은 조직에서는 사용자에게 MFA(다단계 인증)라고 하는 ID 확인을 요구합니다. 2단계 확인 또는 2FA(2단계 인증)로도 알려진 MFA는 사용자 이름과 암호만 사용하는 것보다 더 안전합니다. MFA는 사용자가 대체 확인 방법으로 ID를 확인해야 하는 로그인 프로세스 단계를 추가합니다. 이러한 확인 방법으로는 휴대폰 번호와 개인 전자 메일 주소 등이 있습니다. IAM 시스템은 일반적으로 대체 확인 방법에 사용자가 정해진 시간 안에 로그인 포털에 입력해야 하는 일회용 코드를 보냅니다.
액세스 관리는 IAM의 후반전입니다. IAM 시스템이 ID가 일치하는 리소스에 액세스를 시도하는 사람이나 디바이스를 확인한 후, 액세스 관리는 사람이나 디바이스가 액세스 권한이 있는 리소스를 계속 추적합니다. 대부분의 조직은 리소스 및 데이터에 대한 다양한 수준의 액세스 권한을 부여하며, 이러한 수준은 직함, 재직 기간, 보안 승인, 프로젝트와 같은 요소에 의해 결정됩니다.
사용자의 ID가 인증된 후 올바른 수준의 액세스 권한을 부여하는 것을 권한 부여라고 합니다. IAM 시스템의 목표는 모든 액세스 시도 시 인증과 권한 부여가 올바르고 안전하게 수행되는 것입니다.
조직의 IAM 중요성
IAM이 사이버 보안에서 중요한 이유는 IAM이 조직의 IT 부서가 대부분의 사람이 중요한 데이터와 리소스에 액세스할 수 없도록 유지하면서 몇몇은 계속 액세스할 수 있도록 유지하는 것 간의 적절한 균형을 잡는 데 유용하기 때문입니다. IAM은 외부인이 액세스하기 어렵거나 불가능하게 만들면서 직원과 디바이스에 보안 액세스 권한을 부여하는 컨트롤을 설정할 수 있습니다.
IAM이 중요한 또 다른 이유는 사이버 범죄자들의 범죄 방법이 매일 발전하기 때문입니다. 피싱 전자 메일 같은 정교한 공격은 가장 일반적인 해킹 및 데이터 침해 소스이며, 이러한 공격은 기존 액세스 권한이 있는 사용자를 대상으로 합니다. IAM을 사용하지 않는다면 조직의 시스템에 액세스할 수 있는 사람과 디바이스를 관리하기가 어렵습니다. 액세스 권한이 누구에게 있는지 확인하기 어려울 뿐만 아니라 손상된 사용자의 액세스 권한을 철회하기가 어렵기 때문에 침해와 공격이 만연할 수 있습니다.
불행하게도 완벽한 보호란 있을 수 없기 때문에 IAM 솔루션은 공격을 방지하고 그 영향을 최소화하는 훌륭한 방법입니다. 침해 시 모든 사람의 액세스를 제한하는 대신, AI를 기반으로 하는 많은 IAM 시스템은 문제가 더 커지기 전에 공격을 탐지하고 막을 수 있습니다.
IAM 시스템의 이점
적절한 IAM 시스템은 조직에 많은 이점을 제공합니다.
적합한 사람에게 적합한 액세스 권한 부여
중앙 집중식 규칙 및 액세스 권한을 만들고 시행할 수 있는 IAM 시스템을 사용하면 사용자가 필요하지 않은 중요한 정보에 액세스하지 않으면서 필요한 리소스에만 간편하게 액세스할 수 있습니다. 이러한 기능을 RBAC(역할 기반 액세스 제어)라고 합니다. RBAC는 역할을 수행하기 위해 액세스가 필요한 사람만으로 액세스를 제한하는 확장성 있는 방법입니다. 역할은 고정된 권한 집합 또는 사용자 지정 설정을 기반으로 할당될 수 있습니다.
제약 없는 생산성
생산성과 사용자 환경도 보안만큼 중요합니다. 침해를 막기 위해 복잡한 보안 시스템을 구현하는 것이 솔깃하지만, 여러 로그인 및 암호처럼 생산성에 대한 여러 장애물은 사용자 환경을 불만족스럽게 만듭니다. SSO(Single Sign-On) 같은 IAM 도구와 통합 사용자 프로필을 사용하면 온-프레미스 리소스, 클라우드 데이터, 타사 애플리케이션 같은 여러 채널에서 여러 번의 로그인 없이 직원에게 보안 액세스 권한을 부여할 수 있습니다.
데이터 침해로부터 보호
어떤 보안 시스템도 오류가 없을 수 없는 가운데, IAM 기술을 사용하면 데이터 침해 위험이 상당히 줄어듭니다. MFA, 암호 없는 인증, SSO 같은 IAM 도구를 통해 사용자는 잊거나 공유되거나 해킹될 수 있는 사용자 이름 및 암호를 사용하는 것보다 나은 방법으로 ID를 확인할 수 있습니다. IAM 솔루션을 사용해 사용자 로그인 옵션을 확장하면 로그인 프로세스에 쉽게 해킹되고 공유될 수 없는 보안 계층이 추가되어 위험을 줄일 수 있습니다.
데이터 암호화
조직의 보안 향상에 IAM이 효과적인 이유는 많은 IAM 시스템이 암호화 도구를 제공하기 때문입니다. 암호화 도구는 조직에 또는 조직으로부터 중요한 정보를 전송할 때 해당 정보를 보호하며, 조건부 액세스 같은 기능을 통해 IT 관리자는 액세스에 대한 조건으로 디바이스, 위치 또는 실시간 위험 정보와 같은 조건을 설정할 수 있습니다. 데이터는 확인된 조건에 따라서만 암호 해독될 수 있기 때문에 침해 시에도 데이터가 안전합니다.
IT의 수동 작업 감소
암호 재설정, 계정 잠금 해제, 액세스 로그를 모니터링하여 변칙 식별 같은 IT 부서 작업을 자동화함으로써 IAM 시스템은 IT 부서의 시간과 노력을 절감할 수 있습니다. 그러면 IT 부서에서 나머지 전체 조직의 제로 트러스트 전략 구현 같은 다른 중요한 작업에 집중할 시간을 확보할 수 있습니다. IAM은 명확하게 확인, 최소 권한 있는 액세스 사용, 위반 가정 원칙에 따라 구축되는 보안 프레임워크인 제로 트러스트에 필수입니다.
공동 작업 및 효율성 향상
직원, 공급업체, 계약자, 공급업체 간 원활한 공동 작업은 현대식 작업의 속도를 따라가는 데 필수적입니다. IAM은 공동 작업을 안전할 뿐만 아니라 빠르고 쉽게 만들어 공동 작업을 가능하게 합니다. IT 관리자는 역할 기반의 자동화된 워크플로를 만들어 역할 인계와 신규 채용에 대한 권한 프로세스를 빠르게 처리하여 온보딩 중 시간을 절약할 수도 있습니다.
IAM 및 준수 규정
IAM 시스템이 없다면 조직은 시스템에 대한 액세스 권한이 있는 모든 단일 엔터티와 해당 액세스 권한을 언제 어떻게 사용하는지를 수동으로 추적해야 합니다. 그러면 수동 감사에 시간이 오래 걸리고 일이 많아집니다. IAM 시스템은 이 프로세스를 자동화하고 감사와 보고를 더 빠르고 훨씬 쉽게 만듭니다. IAM 시스템을 통해 조직은 감사 동안 중요한 데이터에 대한 액세스가 적절하게 관리됨을 보여 줄 수 있습니다. 이러한 데이터 액세스의 적절한 관리는 많은 계약과 법에서 필수 항목입니다.
감사는 특정 규정 요구 사항 준수의 일부일 뿐입니다. 많은 규정, 법 및 계약에서는 데이터 액세스 거버넌스 및 개인 정보 관리를 요구합니다. 이는 IAM이 지원하는 사항입니다.
IAM 솔루션은 ID를 확인 및 관리하고, 의심스러운 활동을 탐지하고, 인시던트를 보고합니다. 이 모든 사항은 Know Your Customer, Suspicious Activity Reporting의 트랜잭션 모니터링, Red Flags Rule 같은 규정 요구 사항을 준수하기 위해 필요합니다. 엄격한 보안 기준을 요구하는 유럽의 GDPR(일반 데이터 보호 규정), 미국의 HIPAA(Health Insurance Portability and Accountability Act)와 Sarbanes-Oxley Act 같은 데이터 보호 기준도 있습니다. 적절한 IAM 시스템을 사용하면 이러한 요구 사항을 준수하기가 쉬워집니다.
IAM 기술 및 도구
IAM 솔루션은 엔터프라이즈 규모에서 안전한 인증 및 권한 부여를 지원하는 다양한 기술 및 도구와 통합됩니다.
- SAML(Security Assertion Markup Language) – SAML은 SSO를 가능하게 만듭니다. 사용자가 성공적으로 인증된 후, SAML은 다른 애플리케이션에 사용자가 확인된 엔터티임을 알립니다. SAML이 중요한 이유는 여러 운영 체제와 머신에서 작동하여 다양한 컨텍스트에서 보안 액세스를 부여할 수 있기 때문입니다.
- OIDC(OpenID Connect) – OIDC는 권한 부여 프레임워크인 0Auth 2.0에 ID 측면을 추가합니다. OIDC는 ID 공급자와 서비스 공급자 간에 사용자에 대한 정보가 들어 있는 토큰을 보냅니다. 이러한 토큰은 암호화될 수 있으며 사용자 이름, 전자 메일 주소, 생일 또는 사진 같은 사용자에 대한 정보가 포함됩니다. 토큰은 서비스와 앱에서 사용하기 쉬우므로 OIDC를 모바일 게임, 소셜 미디어 및 앱 사용자를 인증하는 데 유용하게 만듭니다.
- SCIM(System for Cross-Domain Identity Management) – SCIM은 조직이 사용자 ID를 여러 앱과 솔루션(공급자)에서 작동하는 표준화된 방식으로 관리하는 데 도움이 됩니다.
공급자마다 사용자 ID 정보에 대한 요구 사항이 다릅니다. 사용자가 별도의 계정을 만들지 않고 액세스 권한을 받을 수 있도록 SCIM을 통해 공급자와 통합되는 IAM 도구에서 사용자의 ID를 만들 수 있습니다.
IAM 구현
IAM 시스템은 모든 부서와 모든 사용자에게 영향을 미칩니다. 그렇기 때문에 구현 전 철저한 계획은 성공적인 IAM 솔루션 배포를 위해 필수적입니다. 액세스 권한이 필요할 사용자 수를 계산하고 조직에서 사용하는 솔루션, 디바이스, 애플리케이션 및 서비스의 목록을 작성하여 시작하는 것이 좋습니다. 이러한 목록은 IAM 솔루션이 조직의 기존 IT 설정과 호환 가능한지 확인하기 위해 비교하는 데 유용합니다.
다음으로, IAM 시스템이 수용해야 할 여러 가지 역할과 상황을 계획하는 것이 중요합니다. 이 프레임워크는 IAM 시스템의 아키텍처가 되며 IAM 문서의 기본을 형성합니다.
IAM 구현의 또 다른 측면은 솔루션의 장기적인 로드맵을 생각하는 것입니다. 조직이 커지고 확장되면서 IAM 시스템에서 필요로 하는 사항도 변할 것입니다. 미리 이러한 성장을 위한 계획을 세우면 IAM 솔루션을 비즈니스 목표에 맞게 조정하고 장기적인 성공을 위해 준비할 수 있습니다.
IAM 솔루션
플랫폼과 디바이스에서 리소스에 대한 보안 액세스 요구 사항이 늘어나면서 IAM의 중요성은 더 분명해지고 더 필요하게 됩니다. 조직은 공동 작업을 간편하게 만들고 생산성을 늘리는, 엔터프라이즈 규모로 ID 및 권한을 관리하는 효과적인 방법이 필요합니다.
기존 IT 에코시스템에 잘 맞고 IT 관리자가 전체 조직에서 액세스를 모니터링하고 관리할 수 있도록 AI 같은 기술을 사용하는 IAM 솔루션을 구현하는 것이 조직의 보안 태세를 강화하는 가장 좋은 방법입니다. Microsoft가 앱 또는 리소스에 대한 액세스를 보호하는 방법, 모든 ID를 보호하고 확인하는 방법, 필요한 액세스 권한만 부여하는 방법, 로그인 프로세스를 간소화하는 방법을 알아보려면 Microsoft Entra 및 기타 Microsoft Security 솔루션을 살펴보세요.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
ID 관리는 사용자의 ID를 확인하는 특성 관리와 관련이 있습니다. 특성은 ID 관리 데이터베이스에 저장됩니다. 특성으로는 이름, 직함, 배치된 작업장, 관리자, 부하 직원, 시스템에서 신원 확인에 사용하는 확인 방법 등이 있습니다. 이러한 확인 방법으로는 휴대폰 번호와 개인 전자 메일 주소 등이 있습니다.
액세스 관리는 ID가 확인된 후 사용자가 액세스할 수 있는 항목을 관리합니다. 이러한 액세스 제어는 역할, 보안 승인, 교육 수준 또는 사용자 지정 설정을 기반으로 할 수 있습니다.
-
ID 및 액세스 관리는 적합한 사람만 조직의 데이터 및 리소스에 액세스할 수 있도록 하기 위한 것입니다. IT 관리자가 액세스가 필요한 사람만 액세스 권한을 가지도록 조직의 리소스에 대한 액세스를 제한하는 사이버 보안 방식입니다.
-
ID 관리 시스템은 조직의 데이터 및 리소스에 액세스해야 하는 사람과 디바이스에 대한 식별 정보를 저장하는 데이터베이스입니다. 데이터베이스에는 사용자 이름, 전자 메일 주소, 전화번호, 관리자, 부하 직원, 배치된 작업장, 교육 수준, 보안 승인 수준 같은 특성이 저장됩니다. 이러한 특성은 사용자의 신원을 확인하는 데 사용됩니다. ID 관리 시스템은 직원이 입사하고 퇴사할 때, 역할이 변경될 때, 프로젝트가 시작되거나 끝날 때 지속적으로 업데이트되어야 합니다.
-
ID 및 액세스 관리 소프트웨어는 조직이 로그인하려는 사람과 디바이스의 ID를 확인할 수 있는 도구를 제공하고 확인된 사용자가 적합한 리소스에 대한 액세스 권한이 있는지 확인합니다. ID를 확인하고 액세스를 관리하고 보안 위반 플래그를 지정하는 중앙 집중식 방법입니다.
-
사용자 이름과 암호가 더 이상 보안 위반으로부터 조직을 안전하게 유지할 만큼 충분히 강력하지 않기 때문에 IAM은 클라우드 컴퓨팅의 중요한 구성 요소입니다. 암호는 해킹되거나 공유되거나 잊어버릴 위험이 있으며, 많은 조직이 규모가 너무 커서 액세스 시도를 수동으로 관리하고 모니터링할 수 없습니다. IAM 시스템에서는 더 쉽게 ID 속성을 최신 상태로 유지하고, 역할별로 액세스 권한을 부여 및 제한하고, 변칙 및 보안 위반에 플래그를 지정할 수 있습니다.
Microsoft 팔로우