IAM 통합계정관리 필요성, 구성요소 및 상용 솔루션

by

IAM 통합계정관리는 기업 내 네트워크나 데이터베이스 등의 주요 자산에 접근할 수 있는 사용자와 그룹의 권한을 정의하고 인증 및 관리하는 기술입니다. 이 문서에서는 IAM 기술의 필요성 및 주요 구성요소에 대해서 알아보겠습니다.

IAM 통합계정관리

필요성

기업의 규모가 커지면 서비스가 다양해지면서 사용자와 그룹의 생성 및 삭제 권한정보 변경 등의 관리범위가 점차 늘어납니다. IAM은 사용자 및 주요리소스 자원의 중앙관리, 다중인증 및 라이프 사이클 관리기술을 적용해 효율적인 계정관리가 가능합니다. 

특징

기존의 SSO나 EAM도 유사한 사용자 관리기술 이지만 비효율적 관리나 보안상 한계점을 가지고 있습니다. IAM은 프로비저닝을 통해 관리 효율성을 높이고, 기존의 SSO, EAM 기술도 포함하여 더욱 효율적인 통합계정관리가 가능한 솔루션입니다.

기능SSOEAMIAM
인증OOO
권한XOO
관리XOO
프로비저닝XXO

앞서 말씀드린 SSO, EAM, IAM의 기능 범위를 간단히 표로 정리하면 위와 같습니다. IAM는 SSO 및 EAM의 기능을 모두 통합한 솔루션으로 생각하면 이해하기가 쉽습니다.

  • SSO: 단일 ID를 통해 다중 시스템의 로그인이 가능하며, 인증관리가 편리하나 그 외의 보안은 취약한 편입니다.
  • EAM: SSO 기능에 통합권한 관리 (Access Control)을 보안환 방식으로 보안성을 보다 강화하였습니다.
  • IAM: EAM이 특징에 추가하여 프로비저닝을 통해 계정 관리의 효율성을 높여 관리를 보다 쉽게 할 수 있습니다.

구성요소

효율적인 통합계정관리를 위해 여러 가지 툴과 프로세스를 구성할 수 있습니다. 아래는 IAM의 구성요소를 나타낸 그림입니다.

IAM 통합계정관리 구성요소를 나타낸 그림입니다.
IAM 통합계정관리 구성요소

가장 상위에 정책이 정해지면 EAM, SSO 솔루션과 함께 Provisioning 엔진을 통해 사용자를 인증하고 주요 자원의 접근을 통제합니다.

1. 인증기술

 이전에 멀티팩터 인증의 종류 및 주요 솔루션 5가지 글에서도 살펴본 바와 같이 최근의 사용자 인증은 다중인증(MFA) 및 2중 인증(2FA)을 포함하여 강화된 형태로 진행됩니다. 인증에 사용되는 요소는 다음과 같으며, 아래 요소들을 2개 이상 결합하여 사용하는 방식으로 인증을 강화할 수 있습니다.

  • 지식기반: 로그인 정보, 암호 패턴, PIN 번호 등
  • 소유기반: 신분증, OTP, 보안카드
  • 속성기반: 생체인증(지문, 홍채, 망막, 음성인식 등)

2. 라이프 사이클 관리 (LCM)

기업 내에는 다양한 사용자와 그룹의 유형이 있습니다. 그리고 기업 외부에 파트너, 고객, 계약자 같은 다양한 추가 그룹이 수시로 생성, 삭제, 권한 변경이 필요합니다.

라이프사이클 관리는 수동으로 이런 사용자 그룹의 권한을 관리하는 것이 아니라, 환경변화에 따라 자동으로 즉시 사용 가능한 상태가 되도록 하는 프로비저닝 기술을 이용합니다.

3. EAM

특정 시스템이나 애플리케이션의 접근 권한을 자동을 부여해주는 솔루션으로 ACL이나 RBAC 기반으로 권한 관리를 수행하는 기술입니다.

  • ACL (액세스 제어 목록): 사용자나 그룹이(주체) 대상에 대해(객체) 가지고 있는 권한의 목록을 관리하는 것
  • RBAC (역할기반 접근제어): 사용주체에 대해 역할을 부여하고 이에 따라 객체의 접근권한을 설정하는 방식으로 관리가 용이한 장점이 있습니다. (아래 그림 참고)
RBAC 접근제어 사례를 표현한 이미지
RBAC 접근제어 사례

RBAC 방식은 관리도 편리하지만 이를 기반으로 MAC, DAC의 적용도 쉽게 할 수 있다는 점에서 가장 많이 사용하는 접근제어 방식입니다.

4. SSO

하나의 단일 ID로 인증한 후 여러 애플리케이션이나 서버의 접근이 가능한 방식으로, 로그인 시 사용자 대신 인증서를 전달하는 방식으로 구현됩니다.

SSO는 인증 자체는 편리하지만 로그인 주체의 권한이나 관리 그리고 생성/삭제 등의 관리 기능은 빠져있어 그 자체만으로는 보안에 취약한 편입니다.

5. IAM 서버

필수적인 것은 아니지만 기업 내 인프라가 확장되어 On-Premise 외에 클라우드나 지사간 VPN 연결을 통해 네트워크가 확장될 수도 있습니다.

IAM 서버는 중앙집중관리 방식을 통해 액세스 권한을 제어하는 동시에, 사용자 정보 도난 및 탈취의 위험을 감시, 관리하는 시스템으로 이용할 수 있습니다.  

상용솔루션

많이 사용하는 IAM 솔루션으로는 MFA(다중 인증) 및 SSO 솔루션을 이용한 OKTA가 있습니다. 이 솔루션은 글로벌 기업으로 많은 IT 업체들이 사용하고 있다고 알려져 있습니다. 무료 체험 솔루션도 제공하므로 아래를 참고 바랍니다.

> OKTA IAM 인증관리 솔루션 무료 체험하기

이상으로 통합계정관리 솔루션 IAM의 구성요소 및 솔루션에 대해서 알아보았습니다.

Leave a Comment