eTrust Access Control 기술지원을 하다 몇번 만나뵜던 한국 CA 서경구 부장님.. 언제 또 IM까지 섭렵을 하셨네.. 잘지내시나 몰라.. ^^
—————————————————————————————————-
활용특집 | 효과적인 IAM 도입 가이드
출처 : 월간 온더넷
출판일 :2007년 5월호
IAM은 보안과 편리한 애플리케이션 서비스라는 두 마리 토끼를 모두 잡을 수 있는 솔루션으로 부상하고 있다. 날로 증가하는 웹 기반 애플리케이션 서비스 환경에서 수만 명에 이르는 사용자에게 적정한 권한을 부여해 모든 애플리케이션을 편리하게 이용할 수 있도록 하는 것은 물론, 외부로부터의 부적절한 액세스를 안전한 IT 환경을 구현할 수 있다. 이에 더해 통합적인 개발과 관리를 통해 비용 절감 효과까지 얻을 수 있다. 하지만 IAM은 기술적인 요소 만으로 이뤄지는 것이 아니기 때문에 균형적인 시각으로 접근하는 것이 필수적이다. IAM에 대한 이해부터 효과적인 접근 방법까지 차근차근 알아본다.
서경구 | 한국CA 보안사업부 수석 컨설턴트
경쟁이 날로 심화되고 끊임없이 변화하는 오늘날의 비즈니스 환경에서는 제품의 가치가 가장 높거나 우수한 기업이 꼭 성공하는 것은 아니다. 그보다는 고객들에게 가장 효율적이고 효과적이며 유연하고 경제적인 방식으로 고품질의 서비스를 제공하는 기업이 성공한다. 이와 같은 비즈니스 환경에서 기업의 성패를 좌우하는 것은 더 이상 기술적 우위도 아니고 제품의 가격도 아니다.
IT가 제공하는 기능들을 잘 활용해 고객들에게 유연한 맞춤형 서비스를 제공하고 고객의 요구에 발 빠르게 대응할 수 있는 역량이야말로 성공의 관건이다. 지금 고객들은 개별화된 일대일 맞춤형 서비스를 요구하고 있다. 브랜드의 신뢰성에 대한 믿음은 물론, 고객들이 언제, 어디서든, 온라인이나 모바일 매체를 비롯한 다양한 채널을 통해 쉽고 간편하게 믿을 수 있는 정보와 자원에 접근할 수 있는 서비스도 여기에 포함된다.
고객 인터랙션과 보안의 두 마리 토끼
동시에, 웹 기반의 통신과 거래 기술이 발달하고 기업 간 협업이 활발해지면서 많은 기업들이 공급업체나 협력업체와 단일 조직처럼 효율적으로 정보를 공유하고 프로세스를 통합하는 추세다. 요컨대, 기업 간 협력은 기업들로 하여금 제품과 서비스의 폭을 확장할 수 있도록 해주고, IT는 기업들이 고객들과 대면하는 창구를 하나로 통합하고 단순화할 수 있도록 해준다. 서비스의 개인화를 위해서는 필연적으로 고객 개개인을 식별하고 구분할 수 있는 기능과 각 고객의 사용자 프로파일을 기준으로 제품과 서비스에 대한 액세스를 제공할 수 있는 기능이 필요하다. 그러므로 IAM(Identity and Access Management)이야말로 고객 서비스 개선을 추구하는 기업들이 도입해야 할 핵심 기술 중의 하나이다.
그런가 하면, 피싱이나 ID 도용을 비롯한 다양한 수법의 온라인 공격은 물론 내부자 공격까지 나날이 증가하면서 기업들에게 중대한 위협을 제기하고 있다. 실제로, 2006년 4월에 발간된 샤베인 옥슬리 컴플라이언스 저널(Sarbanes?Oxley Compliance Journal)에 따르면, 내부자 공격을 처리, 복구하는 데 소요되는 비용만 300만 달러로 추산된다고 한다. 그 결과, 기업들은 확장성과 유연성, 신뢰성은 물론 안전성까지 갖춘 인프라를 필요로 하고 있다.
또한 각종 규제와 법규까지 한층 까다로워지면서 이제는 재무회계 보고의 성실성에 대해 기업의 CEO에게 직접 개인적 책임을 묻게 됐고, 기업들은 데이터 보호나 개인 정보 보호 등과 관련된 엄격한 법규를 준수하지 않으면 안된다.
기업들은 회계 정보나 비즈니스 데이터의 정확성을 보장하고 이를 입증하기 위해 그 어느 때보다 안간힘을 쓰고 있다. 또, 임직원이나 고객, 환자 혹은 일반 대중의 개인 정보를 보호하는 데에도 많은 노력을 쏟아야 한다. 이와 같은 요구사항은 오직 적절한 사용자만이 적절한 정보에 접근할 수 있도록 보장할 때에만 성공적으로 충족시킬 수 있다. 컴플라이언스와 관련해 기업들은 법적 필요에 의해, 또 경쟁에서 앞서기 위해, 자사의 서비스와 자원에 대한 개개인의 액세스를 식별하고 제어하며 사용자 액세스와 활동에 대한 명확한 감사 추적 기능을 제공해야 한다.
이와 같은 사항들을 모두 감안하면, IAM은 더 이상 부가적인 기능이 아니라 우선순위가 높은 핵심 기술로 취급해야 하며, 이런 이유로 관련 솔루션에 대한 수요도 점차 늘어나고 있다.
IAM의 정의
사실 IAM는 상당한 혼란을 가져오는 용어이다. 혹자는 IAM을 SSO, EAM을 거처 진화하는 솔루션 지향점이라 이야기하고, 혹자는 사내 계정의 통합관리, 자동생성, 권한관리라 이야기한다. 누가 이야기하느냐에 따라 한 측면이 두드러지게 강조되지만, 이 두 측면은 통합 보안의 실현을 위해 중요한 분야다. 다시 말해, 진정한 통합 보안의 실현이라는 측면에서 계정과 접근 관리가 동시에 이뤄져야 한다는 것이다.
전통적으로 보안업계의 분석가들은 계정과 액세스에 대한 보안기술 분야를 ‘3A’로 분류해왔다. 인증(Authentication), 인가(Authorization), 관리(Administration)를 일컫는 3A는 디지털 ID를 통해 거래 당사자 식별, 해당 ID가 시스템 또는 애플리케이션 상에서 갖는 권한에 대한 통제, 사용자 ID에 대한 관리와 사용자 행위에 대한 감사와 보고 등을 포함한다.
온라인을 통한 비즈니스가 증가하면서 디지털 ID는 모든 레벨의 비즈니스에서 관리해야 할 핵심 자산이 됐다. ID 관리의 중요성이 대두됨에 따라 업계에서는 IM(Identity Management: 계정 관리)이라는 개념을 내놓았다. IM은 디지털 ID의 발급부터 회수까지 전체 라이프사이클에 대한 관리를 가능케 하는 개념이다. 유효한 IM은 기업의 온라인 환경에 신뢰성을 가져온다. 그러나 3A와 IM은 동전의 양면처럼 서로 분리할 수 없는 관계이다. 인증과 인가는 신뢰성이나 통제의 구축 포인트로써, 기업의 ID 관리와 보안정책 강제 능력에 뿌리를 두고 있다. 이 구성원들은 모두 온라인 비즈니스의 성공을 좌우하는 핵심 요소다. 업계는 이를 좀더 명확히 구분하기 위해 3A나 IM보다는 IAM이라는 용어를 사용하기 시작하였다.
“IAM은 시스템 사용자들(직원, 고객, 협력사 등)을 인증하고 사용자 권한과 접근 제한에 따라 시스템 자원에 대한 사용자들의 접근을 관리하는 통합 보안 솔루션이다. 웹 SSO, 호스트 SSO, 사용자 프로비저닝, 사전 인증, 레거시 인증, PKI, 디렉토리 서비스 등은 모두 IAM의 주요 요소다.” ? IDC Software Taxonomy 2005
많은 기업들이 이미 구축해 놓은 시스템과 애플리케이션이 사용하는 수많은 사용자 정보와 인증 소스, 권한 테이블 관리 문제로 골머리를 썩고 있다. 더욱이 법적 제약, 각종 규제, 베스트 프랙티스, 회계감사 요건 등 컴플라이언스가 기업의 비즈니스 자체를 좌우하는 강력한 화두로 떠오름에 따라 디지털 ID에 대한 전사 레벨에서의 통합 관리가 반드시 필요하다고 말하는 IT 담당자들이 늘어나고 있다.
국내의 경우, 대부분의 기업들이 액세스 관리 솔루션은 어느 정도 도입한 반면, IM 솔루션의 필요성은 이제 막 인식하기 시작한 단계로 평가된다. 국내 기업들은 대부분 공용 계정을 사용하고 있는데, 이는 1인 1계정이 기본인 내부 회계관리 원칙에 위배된다. 따라서 이를 바로잡기 위해서는 각 기업마다 계정과 정책, 프로세스에 대한 정의를 내리는 작업이 필요하고, 통합적인 관리를 가능하게 하는 IAM 솔루션의 도입이 시급하다.
IAM의 구성 요소
성공적인 IAM을 위해서는 이런 분야와 각 구성들이 반드시 통합돼야 한다, IAM은 크게 계정 관리, 액세스 관리, 모니터링과 감사의 세 분야로 나눌 수 있으며, 각 구성 요소는 다음과 같다.
계정 관리(Identity Management)
사용자 ID 및 프로파일 정보의 생성 및 운용관리를 지원하며, 각 사용자에게 적절한 계정 및 액세스 권한을 할당하고 퇴사 등의 경우 신속한 디프로비저닝(de-provisioning)을 수행한다. 계정 관리를 구성하는 요소들은 다음과 같다.
– 협력업체 파트너측 사용자의 ID를 협력업체가 직접 관리할 수 있도록 운용관리 권한 위임
– 사용자 ID에 대한 셀프서비스 기능
– 포괄적인 패스워드 서비스
– 모든 사용자 ID에 대한 일원화된 중앙 관리
– 승인과 통지 워크플로우
– 액세스 권한 중지 자동화(디프로비저닝)
– 운용관리 활동 모니터링
– 주요 자원에 대한 액세스 권한의 즉각 정지
– 모든 플랫폼에 대한 취약성 관리의 일원화
액세스 관리(Access Management)
무단 액세스를 방지함으로써 기업 정보 및 애플리케이션의 무결성을 유지할 수 있도록 돕는다. 여기에는 웹 애플리케이션과 기업용 애플리케이션, 각종 시스템, 주요 시스템 서비스, 데이터베이스, 리포지토리 등을 비롯한 모든 주요 자원에 대한 액세스 제어가 포함된다. 액세스 관리를 구성하는 요소들은 다음과 같다.
– 온라인 상에서 도메인 간의 제휴 서비스와 신뢰관계
– 애플리케이션 사용자 통제
– 웹 서비스 보호
– 웹 사이트 통제
– 운영체제 접근 통제 강화
– 엔터프라이즈 싱글사인온(SSO)
모니터링과 감사
기업 환경에 포함된 모든 요소에서 발생하는 보안 이벤트에 대한 취합, 필터링, 분석과 상관분석 기능을 제공한다. 또한 시스템 운용관리자가 이 같은 정보를 쉽게 분석할 수 있도록 시각화 툴도 제공한다.
사례로 알아보는 IAM의 필요성
IAM에 대한 보다 쉬운 이해를 위해 실제 사례를 살펴보자 어떤 유명 보험회사가 CA에 정보 관리 문제에 대한 솔루션을 의뢰한 적이 있었다. 이 회사의 임직원은 3만 3,000명 정도였지만 내부 사용자 계정은 무료 54만 개나 되었고 3만 4,000개는 사용되지 않는 휴면 계정이었으며 해마다 패스워드 재설정 같은 액세스 관리 이벤트가 100만 건씩 발생했다. 이로 인해 제기되는 보안 문제는 말할 것도 없고, 신입사원에게 직무 수행에 필요한 시스템 액세스를 제공하는 것과 관련된 프로세스의 비효율성도 커다란 골칫거리였다. 새로운 직원이 한 명 들어올 때마다 인증과 승인에 필요한 문서를 총 56종이나 만들어야 했기 때문이다.
또한 이 보험회사는 국제 재무회계 신고 표준, 금융서비스 기관 운영리스크 시스템 및 관리 가이드라인, 개인정보 및 전자통신에 관한 지침, 보험 중개에 관한 지침, 데이터 보호에 관한 지침 등 엄격한 컴플라이언스 요구에 대한 압박을 받고 있었다. 하지만 기존의 관리 모델로는 이와 같은 상황을 관리하는 데 소요되는 막대한 시간과 비용, 그리고 이로 인해 지속되는 복잡성 때문에 비즈니스 논리를 기대할 수 없었다.
이 회사가 원하는 것은 사용자 인증, 인가, 운용관리와 감사 절차를 개선해 조직의 비즈니스 프로세스에 부합하도록 하는 것은 물론 이를 개선하는 데에도 도움을 줄 수 있는 방법이었다. 이 회사는 다음과 같은 기능을 제공하는 IAM 솔루션을 필요로 하고 있었다.
·사용자(고객, 비즈니스 파트너, 임직원) ID와 각종 애플리케이션 데이터에 대한 사용자 액세스 권한의 생성과 관리를 자동화할 수 있는 기능
·더 이상 사용하지 않는 사용자 계정이나 액세스 권한을 찾아내 삭제할 수 있는 기능
·로그인, 패스워드 변경, 권한 변경 등 일체의 계정과 관련 이벤트를 모니터링하는데 유용한 경보 보고서를 비롯해 각종 보고서를 생성할 수 있는 기능
·중요 시스템은 물론, 모든 종류의 시스템 파일, 데이터베이스, 리포지터리에 대한 액세스를 보호/관리할 수 있는 기능
·사용자와 가장 가까운 조직에서 사용자의 액세스를 최적으로 관리할 수 있도록 사용자 운용 관리를 비즈니스 부서나 협력업체에 위임할 수 있는 기능
·운용 관리자에게 필요 이상의 액세스 권한이 부여되는 일이 없도록 ‘수퍼유저’ 또는 ‘루트 운영관리자’ 개개인에게 세분화된 액세스 권한을 제공할 수 있는 기능
·관련 규제와 기업의 정책을 준수하고 있음을 보다 용이하게 입증할 수 있는 기능
이와 같이 IAM 솔루션은 이 회사에서 직원들의 생산성을 높이고 관리 비용과 지원 비용을 절감하며, 컴플라이언스를 일상 업무의 한 부분으로 자동화해 준다.
IAM 솔루션은 누구에게 어떤 자원과 서비스에 대한 액세스 권한을 부여할 것인가를 자동으로 관리하고 액세스 이후의 사용자 활동을 자동으로 기록, 보고하며, 비즈니스 정책과 개인 정보 보호 정책, 보안 정책을 자동으로 집행함으로써 패스워드의 운영관리를 돕는 것은 물론 전반적인 조직 운영방식을 개선하는데 도움이 된다.
IAM의 구성요소와 역할
IAM은 하나의 솔루션이나 기술로 구현될 수 있는 것이 아니다. 다양한 기술과 하위 구성요소, 그리고 이를 기반으로 하는 다양한 프로세스가 존재하는 것이 IAM이다. IAM을 구성하는 각 기술 분야와 구성 요소의 주요 역할은 다음과 같다.
계정 관리
사용자의 디지털 ID와 권한 프로필을 관리하는 분야다. ID 라이프사이클 관리와 권한 프로필의 통합, 분배, 동기화가 주요 이슈가 된다.
– 패스워드 관리
패스워드는 사용자 인증의 기본이다. 사용자가 디지털 ID를 갖는 모든 대상, 즉 네트워크, 서버, 애플리케이션, 데이터베이스, 포털, 기타 등등에 대해 패스워드 수준 통제, 변경주기 강제, 사이클링 방지 등의 기본적 보안기능과 더불어 셀프 패스워드 리셋, 패스워드 위임관리 등의 기능을 제공한다.
– 프로비저닝
디지털 ID의 발급과 회수 자동화 분야. HR 원장, 헬프데스크, 워크플로우 등과 통합돼 사용자에게 필요한 계정을 승인절차를 거친 후 자동 생성하는 기능을 제공한다. 퇴사 등의 사유로 계정 존재의 이유가 없어졌을 때 자동 삭제 기능 또한 제공한다.
– ID 관리
메타 디렉토리를 이용한 디지털 ID 정보의 중앙관리 분야. 누가 어디에 ID를 가지고 있는지에 대한 계정현황 관리, 각 계정의 권한정보에 대한 프로필 관리, 프로필의 통합, 분배, 동기화 관리 기능을 제공한다. 메타 디렉토리는 백엔드에 존재하는 디렉토리, 데이터베이스, 기타 다양한 형태의 유저 스토어(User Store, 디렉토리, 데이터베이스 등의 디지털 ID 저장소)에 저장된 사용자 정보의 총합을 자신의 디렉토리 스토어에 저장하고 관리하며, 백엔드 시스템이 저성능, 저가용성 장비일 때 적합하다.
– ID 가상화
버추얼 디렉토리를 이용한 디지털 ID 가상화 분야. 기업 내에 산재한 유저 스토어를 참조하는 가상의 통합 디렉토리를 구축해 복수의 유저 스토어에 대한 단일 뷰를 제공한다. 이를 통해 한 사용자에 관계된 복수의 디지털 ID를 단일 가상 ID로 관리한다. 가상 디렉토리는 백엔드에 존재하는 디렉토리, 데이터베이스, 기타 다양한 형태의 유저 스토어에 대하여 디렉토리 인터페이스를 이용한 접근을 가능케 하는데, 백엔드 시스템이 고성능, 고가용성 장비일 때 적합하다.
– 디렉토리
디지털 ID와 관련 속성 정보의 표준 저장소
액세스 관리
디지털 ID의 권한 프로필 또는 보안정책에 따라 실제 통제가 구현되는 분야다. 비즈니스의 보안성 확보가 최우선 목표가 된다.
– 제휴 서비스와 신뢰 관계
온라인 상에서 도메인 간의 신뢰 관계를 구축하는 분야. 한 기업 사이트의 사용자가 신뢰 관계에 있는 다른 기업의 사이트에 접속할 때 싱글사인온을 제공하며, 또한 해당 사용자에 대한 인가정보가 공유돼 서로 다른 도메인에서도 일관되게 접근권한이 보장되고 통제가 수행된다. 이 과정에서 해당 사용자의 개인정보가 불필요하게 노출되는 일이 없어야 한다.
– 애플리케이션 사용자 통제
애플리케이션 내부에서의 ID에 대한 접근통제 수행 분야. 각 애플리케이션 내부에서 프로그래밍에 의해 구현된 권한 통제가 아닌, 애플리케이션 외부에 존재하는 정책관리 프레임워크에서 정의된 보안정책이 각 애플리케이션에 일관되게 적용될 수 있는 기반구조를 제공한다.
– 웹 서비스 보호
웹 서비스나 SOA 트랜잭션에 대해 기밀성, 무결성, 부인방지 기능을 제공한다. 여기에는 요청자의 ID와 요청된 정보의 타입에 의한 세밀한 접근통제와 페더레이티드 ID(Federated ID) 지원 등이 포함된다.
– 웹 사이트 통제
웹 컨텐츠를 보호하고, 사용자의 웹 액세스를 통제하며, 내외부 웹 사이트에 대한 싱글사인온을 제공한다. 복수의 웹 애플리케이션 관리로 인한 복잡성을 중앙정책관리를 통해 줄일 수 있어야 하며, 수백만 명의 사용자까지 지원할 수 있는 확장성을 가져야 한다. 웹 사이트 통제는 다음과 같은 기능을 통해 구현된다.
– SAML(Security Assertion Markup Language)이나 리버티 연합(Liberty Alliance)을 통한 페더레이티드 ID를 지원
– 액세스 프로필에 의해 사용자별로 다른 인증 방법 적용
– 사용자 ID, 사용자 정보, 소속 그룹에 따라 다양한 권한통제
– 웹 페이지의 개인화 기능
운영체제 접근통제 강화
기업의 핵심적인 비즈니스 자산인 시스템, 디렉토리, 파일, 데이터베이스에 대한 접근통제를 강화하는 분야. 사용자의 디지털 ID에 대해 운영체제 레벨의 접근통제를 수행한다.
– 수퍼유저 계정의 통제와 은닉
– 로그 정합성 보장
– 사용자와 자원을 그룹핑해 통제하는 직무기반 접근 통제
– 다수 서버 간에 정책의 자동전파와 일괄적용을 가능케 하는 중앙 정책 관리 기능
– 그룹 멤버십에 기반한 정책 적용 기능
엔터프라이즈 싱글사인온
웹 애플리케이션과 더불어 레거시 애플리케이션, 데이터베이스, 클라이언트/서버 애플리케이션에 대해 간편하고 안전한 싱글사인온을 제공한다.
– 패스워드, 토큰, 바이오메트릭, LDAP 인증, 전자인증서 등을 지원하는 유연한 인증 메커니즘
– 백엔드에서 패스워드의 주기적 자동변경 등 패스워드 강화 기능 제공
– 세션 관리 기능
– 수백만 사용자를 지원할 수 있는 확장성
감사와 컴플라이언스(Audit & Compliance)
디지털 ID와 자원에 관련된 모든 활동과 이벤트를 추적할 수 있도록 보장한다.
– 감사와 보고서
각 구성요소의 사용자 책임추적에 대한 관리와 보고서 생성 기능을 제공한다. 계정 관리와 액세스 관리 분야에서 모든 활동을 모니터링하고 보고서를 생성한다.
– 특정 디지털 ID가 언제 누구에 의해 생성됐는가?
– 특정 디지털 ID가 언제 누구에 의해 취소됐는가?
– 특정 디지털 ID가 어디서 접속을 시도했고, 무엇을 액세스했으며, 무엇을 변조했고, 어떤 ID로 변경됐는가?
– 특정 디지털 ID가 언제 삭제됐는가?
보안 정보관리와 컴플라이언스
각 구성요소에서 발생하는 보안 이벤트에 대한 중앙취합, 모니터링, 연관성 분석 기능을 제공한다. 보안 SLA 항목 또는 감사 항목 등의 요건준수에 대한 관리 기능 또한 제공한다.
IAM 구축 방안
IAM은 프로세스와 테크놀로지의 집합체다. 전 직원이 하나의 ID를 공유하는 상황에서 아무리 좋은 솔루션을 사용해도 책임추적이 불가능한 것처럼, 프로세스가 정립되지 않은 상황에서는 테크놀로지에 투자한다 하더라도 큰 효과를 보기 어렵다. 당장의 문제 해결을 위해 프로세스 개선없이 현상만을 완화시키는 포인트 솔루션을 택한다면 올바른 선택이라 보기 힘들다.
신기술을 사용하는 새로운 애플리케이션이 구축되면 새로운 문제가 다시 발생할 것이며, 이런 시점은 생각보다 빨리 다가온다. 오히려 프로세스의 정립에 힘 쓰는 것이 효율적이며, 테크놀로지 측면에서는 포인트 솔루션보다 프로세스의 발전을 뒷받침할 수 있는 프레임워크 구축에 노력하는 것이 좋은 효과를 가져온다.
IAM 비전은 기업마다 다를 수밖에 없다. 각 기업은 비즈니스의 성격이 다르고, 조직 문화가 다르고, 구축돼 있는 시스템이 다르고, 컴플라이언스 요건이 다르다. IAM을 프로세스와 테크놀로지의 결합체로 볼 때, 서로 다른 기업은 프로세스도 테크놀로지도 다르다. IAM 구축에 있어 정답이 정해져 있지 않으므로, 이는 자사에게 맞는 적합한 답을 구하는 것에서부터 시작해야 한다. IAM 구축 방법론은 순서대로 하나씩 짚어보자.
계정 관리 현황 분석
IAM의 핵심은 기업 내에서 디지털 ID가 관리되는 프로세스에 있다. 자사의 현재 프로세스와 그 문제점을 정확히 이해하고, 이를 조직 내의 관계된 사람들과 공유하는 것이 아주 중요하다.
TO-BE 프로세스 설계
현행 프로세스와 그 문제점을 정확히 파악하고, 미래의 비즈니스 상황을 예견할 수 있어야 TO-BE 프로세스를 정할 수 있다. 먼저 명확한 설계 포커스를 세우고 프로세스 설계에 들어가도록 한다. 기업별로 설계의 포커스는 달라진다. 일단 TO-BE 프로세스가 정해지면 포커스는 프로세스가 아닌 이를 가능케 할 기술 쪽으로 넘어갈 수 있다.
TO-BE 모델 구축
TO-BE 프로세스가 정해지면 이를 가능케 할 테크놀러지가 존재하는지 확인하고 적합성을 검토하여 TO-BE 모델을 구축한다. 만일 적합한 테크놀러지가 존재하지 않는다면, TO-BE 프로세스를 수정하고 다시 TO-BE 모델을 구축한다.
로드맵 작성
TO-BE 모델이 구축되면 현황과 비교해 그 격차를 도출한 후 TO-BE로 가기 위한 로드맵을 작성한다.
미래 청사진 작성
로드맵이 작성됐으면 각 단계별 솔루션을 선정하고, SOW 작성 작업을 수행한 후 상세 프로젝트 지시서인 미래 청사진(Future State Blueprint)를 작성한다.
실제 구축
미래 청사진에 의거해 프로젝트를 수행한다.
균형적인 시각과 접근 필요
실제로, 많은 기업들이 IAM 전략이나 솔루션에 관한 선택이 자사의 경쟁력이나 생산성, 무결성, 신뢰성에 광범한 영향을 미칠 수 있다는 사실을 깨닫고 있다. 하지만 IAM의 전략적 중요성이 날로 높아지는 것은 이와 같은 비즈니스 요구들 때문인데 반해, 결국 IAM을 실제로 현실화할 수 있는 것은 IAM 기술 그 자체뿐이다.
그러다 보니, IAM 기술을 도입하자면 기존의 IT 인프라부터 향후의 경영 방향에 이르기까지 고려해야 할 요소들이 너무 많고, IAM에 대한 의사결정은 결코 간단한 문제가 아니다. 기업마다 현행 프로세스가 다르고 추구하는 TO-BE 프로세스가 다르기 때문에 IAM 비전은 각 기업별로 다를 수밖에 없다. 또한 그 비전에 도달하기 위한 로드맵 또한 각각이 다를 수밖에 없다 보니 IMRA(Identity Management Readiness Assessment)와 같은 IAM 전략을 제공하는 컨설팅 서비스가 활성화되는 까닭도 여기에 있다.
IAM은 위협관리와 취약성 관리를 포함하는 포괄적인 보안 관리의 한 부분으로 접근해야 한다. 보안 인프라의 구축에 있어 IAM은 관리성과 보안성이라는 두 마리 토끼를 쫓는 사냥꾼이라 볼 수 있는데, IAM 구축 시 너무 관리성의 향상에 초점을 맞추다 보면 보안성이 저하되는 트레이드오프가 올 수 있다. 다시 말해 균형 잡힌 시각의 접근방식이 중요하다.
궁극적으로는 가장 적합한 IAM 솔루션은 기업이 당장 직면한 요구를 효과적으로 처리하는 것은 물론, 향후의 비즈니스 요구에도 대처해 고객과 임직원, 조직 자체를 보호할 수 있도록 ID 기반 플랫폼의 기초를 제공해야 한다는 것이다.
월간 온더넷 2007년 5월호