3가지 IAM 배포 모델 가운데 "자사에 맞는 모델을 찾아라"

ID 및 액세스 관리(Identity and Access Management, IAM) 플랫폼은 기업 사이버 보안 프로그램의 중요한 구성 요소로 부상했다. 기업은 IAM을 사용해 역할 기반 통제를 통해 디지털 ID, 그리고 조직 내 시스템, 네트워크 및 핵심 정보에 대한 사용자 액세스를 관리할 수 있다.



IAM을 활용하고자 하는 모든 조직이 궁금해하는 것은 자사에 가장 적합한 배포 모델이다. IAM 구축 방법마다 고유한 특징이 있지만 모델은 크게 온프레미스, 클라우드, 또는 하이브리드 환경의 세 가지로 분류된다. 각 접근 방법마다 극복해야 할 과제가 있다.

온프레미스 환경에 IAM 구축
먼저 온프레미스 모델을 보면, 대부분의 IAM 솔루션에는 상당한 규모의 인프라와 플랫폼이 필요하다. 핑 아이덴티티(Ping Identity)의 IAM을 사용하는 의료보험 업체 블루크로스 블루실드(BlueCross BlueShield)의 정보 보안 관리자인 팀 스키너에 따르면, 이 모델은 지속적인 가용성 및 지원을 제공하거나 다른 공급업체 제품으로 마이그레이션하기가 어려울 수 있다.

또한 스키너는 보안 담당자 관점에서 업그레이드가 까다로운 경향이 있고 IAM 스택을 관리하기 위해서는 다수의 전문 인력이 필요하다고 말했다.

과거에는 기업 애플리케이션이 모두 기업 방화벽 '내부'에 위치하면서 엄격한 통제가 이뤄졌다. 보안 업체 어소(AuthO) CISO 조안 페핀은 "지금은 많은 기업이 퍼블릭 클라우드를 통해 여러 소프트웨어 서비스(SaaS)를 사용하면서 데이터를 웹 대면 애플리케이션에 노출하고 사용자가 집과 스마트폰에서 소프트웨어에 액세스하도록 허용한다"고 말했다.

페핀은 "결과적으로 이것이 인증 솔루션의 보안과 성능에 큰 부담을 주고 있다. 온프레미스 솔루션의 경우 하드웨어 규모와 용량 계획, 데이터베이스 관리가 특히 중요해진다"고 말했다.

페핀은 조직에 이미 관련 인력이 충분하고 대비가 잘 되어 있다면 온프레미스 플랫폼이 좋은 선택일 수 있지만 그렇지 않다면 단순히 기업 인증을 처리하기 위해 대규모 환경을 구축하는 것은 최선의 투자가 아닐 수 있다고 지적했다.

페핀은 "온프레미스 환경의 어려움에 대처하기 위한 가장 좋은 방법은 원칙을 갖고 시간을 투자해 조직의 요구 사항을 수집하고 '전체적이고 치밀한 접근 방법'을 만들어 나가는 것이다. 이 과정에서 모든 이해관계자, 현재 및 미래 통합, 사용 사례, 용량을 고려해야 한다"고 설명했다. 또한 페핀은 비즈니스의 지역적 특성과 성능 관련 고려 사항을 철저히 이해하고 데이터 센터 용량을 계획해야 한다고 덧붙였다.

스키너는 "프라이빗 클라우드 인프라 서비스(Iaas)와 플랫폼 서비스(PaaS) 구현도 고려해볼 수 있다"면서, "이렇게 하면 통제 권한과 자산을 온전히 기업 내에 유지하면서 하이브리드 방식의 특징을 이용할 수 있다"고 말했다.

클라우드에 IAM 구축
스키너는 클라우드 기반 IAM의 과제 중 하나는 숙련된 클라우드 시스템 보안 전문가의 부족이라면서 제대로 하지 않을 경우 이 모델은 정보 보안 위험 증대라는 바람직하지 않은 결과를 초래할 수 있다고 경고했다.

또한 스키너는 "SaaS 액세스 제어 시스템을 활용하려면 온프레미스 시스템이 현재 보안 인증 및 권한 부여 표준을 준수해야 한다"면서, "클라우드 IAM 시스템을 사용하더라도 온프레미스 시스템을 구성하고 통합하는 방법을 알아야 한다"고 말했다.

스키너는 조직에서 프로덕션 데이터를 프로덕션 외 클라우드 테넌트와 분리해 따로 유지하는 정책을 시행하는 경우 일부 SaaS 애플리케이션에서 정책 변경이 필요할 수 있다면서 사용 중인 SaaS 제품이 맞춤 구성을 허용한다면 '어떤 방식으로 개발, 테스트, 구축하는가? 그 방식이 현재 구축 및 자동화 팀의 프로세스, 툴과 정렬되는가?'를 물어야 한다고 말했다.

클라우드 모델에서는 무엇을, 왜 하는 지를 이해하는 것이 중요하다. '맹목적인 클라우드 우선' 전략은 후회로 이어진다. IAM 클라우드 과제에 대처하기 위한 가장 중요한 방법은 IAM 요구 사항, 예산, 인적 자원 요건, 기술 및 인력 제약, IAM 아키텍처와 정렬되는 일관성 있는 클라우드 전략을 수립하는 것이다.

조직은 기대 대비 결과를 측정할 수 있어야 하며 이렇게 나온 지표를 기준으로 방향 전환도 적극 수용해야 한다. 스키너는 "IAM 클라우드 전략은 IAM 목표를 지원하고 기업 문화라는 제약 조건도 충족해야 한다"고 말했다.

클라우드가 가장 안전하고 원활한 모델이지만 통합의 효과와 효율성을 보장하는 데 있어 다소 어려움이 발생할 수 있다. 페핀은 "클라우드 모델의 과제 중 하나는 액세스 제어, 로깅, 모니터링과 같은 보안 및 규정 준수 컨트롤을 적절히 설계하고 구현하는 것이다. 온프레미스에서 다루는 모든 통제 목표는 클라우드에서도 달성 가능하지만 많은 경우 다른 접근 방법과 툴이 필요하다"고 말했다.

페핀은 또 다른 과제는 여러 독립적 조직에 걸친 ID 관리라고 말했다. 한 기업 내에 여러 개의 ID가 생성되면서 보안과 관리의 복잡성이 높아질 수 있다.

안정적인 ID 서비스(IDaaS) 플랫폼으로 클라우드 시스템과 관련된 과제를 해결할 수 있다. 페핀은 "별도의 플랫폼 서비스를 도입하면 용량 계획, 하드웨어, 핵심 기능 개발 등의 작업에서 벗어나 구현과 최종 사용자 경험에 집중할 수 있다"고 말했다.

또한 이렇게 하면 경영진은 IAM의 복잡성을 외부 전문가에게 맡기고 조직의 전체적인 전략에서 가장 가치있는 전문 기술 및 지적 재산 영역에 집중할 수 있다.

하이브리드 IAM 플랫폼 구축
페핀은 "하이브리드 IT 모델은 많은 기업이 디지털 트랜스포메이션 여정을 시작할 때 선택하는 첫 단계"라면서, "완전한 프라이빗 클라우드 옵션에 비해 비용과 리소스 부담이 적어 IT 전문가 사이에서 인기를 얻고 있다"고 말했다.

하이브리드 방식은 많은 기업 보안 부서에 익숙한 온프레미스 시스템을 유지하면서 클라우드 환경의 확장성과 기능을 제공하므로 조직에서 온프레미스 패러다임과 클라우드 패러다임 사이의 간극을 잇는 데 도움이 될 수 있다.

페핀은 "그러나 관리 오버헤드와 기술적 복잡성이 높다는 단점이 있으며 원활한 동작을 위해서는 치밀한 아키텍처가 필요하다. 성공을 위해서는 견고하고 철두철미한 설계, 그리고 하이브리드 모델을 선택한 목표에 대한 이해가 필수적이다"고 말했다.

페핀은 "처음 시작할 때는 각 영역에 어떤 툴과 인터페이스가 속하고 그 이유가 무엇인지 이해하는 것이 가장 중요하다"면서, "그런 다음 높아진 문제 해결과 유지보수의 복잡성을 운영 프로세스와 플레이북에 반영하는 것이 하이브리드 구축 환경의 성공적 운영을 위한 핵심이다"고 말했다.

스키너는 하이브리드 모델의 경우, "클라우드와 병행해 온프레미스 환경을 유지하면서 다수의 값비싼 구독(subscription) 비용 타당성을 입증하기는 어렵다"고 말했다. 스키너는 퍼블릭 클라우드와 프라이빗 클라우드 서비스의 사용 수준을 결정하는 과정도 복잡성 증대의 원인이 되며 클라우드 모델과 마찬가지로 하이브리드 환경도 제대로 하지 않을 경우 보안 위험이 높아질 수 있다고 말했다.

하이브리드 모델을 사용 중인 기업으로 모토리스트 인슈어런스 그룹(Motorists Insurance Group)이 있다. 이 기업은 레거시 애플리케이션에 많은 부분을 의존하고 있지만 현대화를 통한 "클라우드 우선, 모바일 우선" 전략으로 전환하고 있다.

모토리스트 인슈어런스 그룹의 정보보안 부사장인 토니 덴젤로는 "클라우드 기반 애플리케이션과 파트너 관계 상 모토리스트에는 완전한 페더레이션(federation)을 적용해 사용자를 프로비전/디프로비전할 수 있어야 한다는 요구 사항이 있다"면서, "또한 현대적인 인증 및 프로비저닝 방법을 지원하도록 코딩되지 않은 레거시 애플리케이션도 있다. 이 애플리케이션은 일반적으로 클라우드 기반 솔루션용으로는 제공되지 않는 특수한 커넥터 또는 코딩이 필요하다. 따라서 하이브리드 솔루션은 운영 측면에서 필수일 뿐만 아니라 회사가 추진하는 최종 상태로의 전환을 위해서도 반드시 필요하다"고 설명했다.

덴젤로는 하이브리드 모델에는 다른 접근 방법의 여러 가지 측면이 융합된다면서 "유연성을 극대화하지만 오버헤드 또는 관리 비용 증가라는 대가가 따른다"고 말했다.

모토리스트는 온프레미스 IAM을 바탕으로 표준화하고 레거시 애플리케이션 및 포트로 통합했다. 덴젤로는 "당시 미래를 계획하면서 민첩하고 비즈니스 요구 사항에 보조를 맞출 수 있는 플랫폼이 필요하다고 판단했다"고 말했다. 모토리스트는 세일포인트(SailPoint)의 프로비저닝 및 거버넌스 제품, 옥타(Okta)의 SSO 및 다중 요소 인증, 그리고 사이버아크(CyberArk)의 권한 액세스 관리 플랫폼까지 3개 솔루션을 축으로 하는 방법을 택했다.

덴젤로는 "이를 통해 개별 구성 요소의 장점을 활용하고 온프레미스 및 클라우드 솔루션을 융합해 우리에게 필요한 유연성과 넓은 가동 범위를 확보하는, IAM 요구 사항을 충족하는 하이브리드 플랫폼이 구현됐다"고 말했다.

모토리스트는 관리와 오버헤드 부담을 낮추기 위해 표준 및 자동화를 적극 도입했으며 지속적인 개선을 추진하고 있다. 덕분에 시스템과 플랫폼 갱신을 관리하는 데 리소스를 소비하는 대신 비즈니스를 지원하고 사용자에게 필요한 기능을 제공하는 데 더 초점을 맞출 수 있게 됐다.

덴젤로는 "결국 IAM 솔루션은 기업 문화에 맞아야 하고 비즈니스를 구현하는 기반이 되어야 한다"면서, "자사의 방향을 파악하고 비즈니스 파트너와 보조를 맞춰 이들에게 필요한 결과를 제공할 수 있어야 한다"고 말했다. editor@itworld.co.kr