IT 관리 / 보안

GE가 IAM 인프라를 통합한 이유

Jaikumar Vijayan | CSO 2019.05.15
GE는 분산돼 있던 ID 및 액세스 관리(Identity and Access Management, IAM) 인프라를 중앙 통합함으로써 상당한 비용 효율성과 성능 향상을 달성했다. GE는 2014년부터 거의 5년 동안 여러 사업부에 걸쳐 7개의 개별 ID 관리 시스템을 단일 플랫폼으로 통합했다. 현재 이 시스템은 200만 명의 직원과 계약 업자의 GE 애플리케이션 액세스를 관할한다.
 
ⓒ Getty Images Bank 

GE의 ID 관리 서비스 책임자인 폴 베일리에 따르면, 새로운 시스템은 많은 비용이 드는 중복성을 제거했으며 표준화된 전사적 애플리케이션 액세스 규칙을 정립하는 기반이 됐다. 중앙화된 인프라를 통해 GE는 회사의 IAM 프로그램 운영 인력의 수를 기존 250명에서 절반으로 줄이고 전세계 액세스 감사 관리 팀원 수도 25명에서 단 2명으로 줄였다.

베일리는 "GE의 새로운 ID 관리 플랫폼을 통해 신규 애플리케이션 온보딩, 사용자 액세스 권한 부여, 관리 및 해제, 규정에 따른 ID 관리가 더 쉬워졌다"고 말했다.


GE가 ID 관리 인프라를 바꾼 이유

거의 완료 단계에 이른 이 프로젝트는 각 기업 조직이 변화하는 비즈니스 요구 사항 및 기타 추세에 보조를 맞추기 위해 IAM 역량을 어떻게 발전시키고 있는지 보여주는 좋은 예다.

가트너에 따르면, 클라우드와 마이크로서비스 아키텍처의 도입, 디지털화의 확대, 이에 따른 사이버 위협의 폭증에 따라 더 효과적인 IAM의 필요성에 대한 인식도 빠르게 확산되고 있다. 가트너는 "IT 리더들은 앞으로 ID 시스템을 보안 및 사기 방지 시스템과 더 긴밀하게 통합하고 IAM 모듈 간의 자동화 및 통신 수준을 높이고 고객의 동의를 더 중시하는 데이터 관리 정책을 구현해야 한다"고 말했다.

가트너는 "현대 ID 환경의 범위와 복잡성이 증가하면서 기존의 방법으로는 관리하기가 어려워졌다. 이런 추세에 대응해 기업은 IAM 환경을 발전시켜야 할 필요가 있다"고 말했다.

베일리는 GE의 ID 통합 프로젝트가 더 높은 확장성과 유연성, 속도에 대한 필요성에서 비롯됐다고 말했다. 글로벌 복합 기업인 GE는 항공, 의료, 에너지, 자본, 석유 및 가스, 발전을 비롯한 여러 산업 분야에서 활동한다. 이 가운데에는 IAM 요구 사항이 엄격하고 규제가 상당히 까다로운 분야도 있다.

예를 들어, GE의 항공 및 에너지 사업에는 미국 외 반출을 통제하는 미국 수출 금지법에 적용되는 소프트웨어와 기술, 서비스가 포함되어 있다. 이를 위해서는 적절한 권한이 있는 사람만 미국방부(DoD) 데이터가 포함된 시스템에 액세스할 수 있도록 해야 한다. 

GE는 SOX(Sarbanes-Oxley Act), HIPAA(Health Insurance Portability and Accountability Act), FDA(미국 식품의약국)와 관련된 다른 비즈니스 분야에서도 이와 비슷한 요구 사항을 준수해야 한다.


파편화된 ID 관리 인프라의 문제 

5년 전, GE의 ID 관리 인프라는 오라클 기술을 기반으로 했다. 수명이 막바지에 이른 이 플랫폼은 GE의 ID 관리 프로그램에 필요한 진화된 요구 사항을 지원할 만큼의 확장성과 유연성이 없었다.

당시 GE의 각 사업부는 총 7개의 개별적인 ID 관리 시스템을 운영했다. 관리 역시 서로 다른 팀에서 각기 다른 프로세스로 이뤄졌다. 베일리는 "이 7개 각각에 대규모 인원으로 구성된 팀이 똑같은 일을 하고 있었다. 비용 측면에서 효과적이지 않았다"고 말했다. 또한 표준 IAM 구성이 없었으므로 중앙화된 규칙을 정의하고 활용할 방법도 없었다.

베일리는 새로운 ID 관리 시스템을 물색하던 GE의 가장 중요한 요구 사항 중 하나는 확장성(scalability)이었다고 말했다. GE는 7개의 개별 ID 관리 시스템을 중앙 관리가 가능한 하나의 플랫폼으로 통합할 수 있는 방법을 원했다.

또한 GE는 관리자가 개별 ID를 위한 비즈니스별 규칙을 더 쉽게 구성할 수 있는 시스템을 원했다. 각 비즈니스마다 고유한 액세스 요구 사항을 수용하려면 유연성(flexibility)이 필요했기 때문이다. 예를 들어 항공 사업부는 DoD의 액세스 제한을 준수해야 한다. 베일리는 "오라클에서는 이런 비즈니스 규칙을 ID에 구축하기 위해 많은 하드 코딩이 필요했다"고 말했다.

상당히 파편화된 상태였던 5년 전 GE의 ID 관리 프로그램에서는 전사적인 신규 앱 온보딩 역시 어려운 일이었다. 이 과정은 길게는 5개월이 걸리기도 했다. 그래서 GE는 다음 ID 플랫폼에서는 신규 애플리케이션을 신속하게 온보딩할 수 있는 기능을 원했다.


새로운 ID 관리 플랫폼

GE의 새로운 IAM 인프라는 세일포인트 테크놀로지(SailPoint Technologies)의 기술을 기반으로 한다. 베일리는 세일포인트의 아이덴티티IQ(IdentityIQ) 플랫폼이 GE가 통합 플랫폼을 물색하면서 원했던 모든 요구 사항을 지원한다고 말했다. 

확장성이 뛰어나며 액세스 규칙을 손쉽게 구성할 수 있고, 엔터프라이즈 앱과 클라우드에 호스팅되는 애플리케이션, 데이터베이스, 디렉토리를 빠르게 연결하는 '커넥터'를 통해 빠른 애플리케이션 온보딩 요구 사항도 지원한다. 기존 오라클 환경에서는 많은 경우 새로운 애플리케이션과 통합하기 위해 자체 커넥터와 웹 서비스를 만들어야 했으며 이로 인해 앱 온보딩 시간이 더 길어졌다.

다른 이점도 있다. 이제 GE는 사람들이 애플리케이션과 서비스에 액세스하는 방법, 시점, 위치에 대해 더 정확한 시야를 확보했다. GE 관리자는 애플리케이션에 액세스하는 사람들이 규정을 준수하는지, 완전히 감사 가능한 방식으로 액세스하고 있는지를 신속하게 확인할 수 있다.

예를 들어, GE 의료 사업부 직원들은 특정 종류의 보호되는 데이터에 액세스하기 위해서는 FDA가 규제하는 교육을 받아야 한다. 과거 ID 관리 담당자는 데이터에 액세스하는 사람이 필수 교육을 받았는지, 아니면 이 요건을 충족하지 못한 상태로 액세스하는지 여부를 확인하기가 어려웠다. 베일리에 따르면 이제 GE는 API 기반 프레임워크를 집어넣어 IAM 팀이 GE의 교육 환경에 직접 연결해 적절한 교육 과정 이수 여부를 확인할 수 있다.

앞으로 베일리가 원하는 것은 역할 관리, 역할 마이닝을 위한 세일포인트의 ID 분석 기능을 활용해 액세스 감사와 위험 관리 등을 수행하는 것이다. 또한 GE는 애플리케이션이 자동화된 방식으로 ID 관리 서비스를 소비하는 셀프 서비스 모델로의 전환도 확대할 방침이다.

세일포인트의 최고 제품 책임자인 폴 트룰로브는 "레거시 IAM 시스템으로는 비즈니스 성장과 엔터프라이즈 디지털 트랜스포메이션, 규정 준수 요구 사항은 따라잡을 수 없다"고 말했다. 많은 조직이 업그레이드를 할 수밖에 없는 상황이다. 트룰로브는 "GE 외에도 많은 기업이 현재의 상용 또는 자체 구축한 ID 관리 솔루션으로는 한계를 느끼고 있다"고 말했다. editor@itworld.co.kr 
 Tags GE IAM

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.