보안 운영을 담당하지 않는 사람들을 위해 수많은 차원과 도메인을 사용해 그룹을 생성할 수 있다. ID란 최소한 하나의 도메인에 속해야 하지만, 모든 도메인 또는 대부분 도메인에 속할 수도 있다.
이렇게 보안 도메인을 잘게 나누는 것은 보안 관리에 대한 더 나은 통제권을 갖는다는 의미가 된다. 예를 들면, 모바일 디바이스 사용자나 데브옵스 팀원, 해외 사용자를 허용하지 않거나 어떤 이유로든 클라우드 기반 스토리지 시스템에 액세스한 적이 있는 사용자를 차단할 수도 있다.
처음에 너무 적은 도메인으로 시작하면, 이를 다시 나누기 어렵다. 보안 설계를 리셋한다는 것은 대대적인 붕괴, 좋지 않은 의미의 붕괴를 가져온다. 처음부터 보안 정책을 재평가해야 하는데, 아직 필자는 뭔가를 빠트리지 않고 이 작업을 해내는 기업을 본 적이 없다. 몇 가지만 잘못해도 다음 날 아침 해킹 뉴스에 등장할 수 있다.
희소식이 있다면, 이제 베스트 프랙티스가 자리를 잡고 있다는 것. 그리고 ID 관리를 위한 극히 세세한 보안 도메인의 가치도 제대로 평가되고 있다. 그래서 요즘 보안 도메인 문제를 소급해 바로잡으려는 시도가 많이 보인다. 이는 보안 절차를 다시 배워야 하는 사용자의 절망감은 둘째 치고, 기업을 취약한 상태로 만들 수도 있다.
해법은 잔소리 같은 옛 조언을 따르는 것이다. 보안에 관해서는 사전 계획이 많아야 오래 간다. 클라우드나 클라우드 보안을 사용하는 많은 기업이 앞으로도 이 과정을 반복할 수 있다고 생각한다. 하지만 잘못이 여러 번 쌓이면 바로잡기 전에 혹독한 대가를 치를 수도 있다. editor@itworld.co.kr