메뉴 바로가기

본문으로 바로가기



보안솔루션 연구

HOME > 정보센터 > 보안솔루션 연구

제목
통합계정관리 솔루션
작성일 09.08.01

e-비즈니스의 물결은 비즈니스 환경에 커다란 변화를 주고 있다. 내부 네트워크의 직원으로 한정되던 어플리케이션 환경이 인터넷을 통해 내부 직원은 물론 파트너와 고객까지 확대되면서 어플리케이션과 사용자가 급속도로 증가하고 있다. 이러한 IT환경의 변화 속에서 사용자는 다수의 어플리케이션 계정을 관리하는데 어려움이 있고, 서비스 부서는 이러한 계정관리에 대한 지원으로 많이 시간이 소요되고 있다.

 

통합계정관리 (Identity & Access Management) 솔루션은 이러한 이슈사항에 대응하기 위해서 개발된 솔루션이다. 통합계정관리 솔루션은 다양한 계정과 다양한 시스템의 접근 권한을 통합하여 효율적으로 관리할 수 있도록 한다. 사용자는 여러 시스템에 대해서 동일한 계정으로 접속하므로 편리하다.

 

각 시스템에 대한 접근 권한 관리는 관리자에 의해서 통합적으로 운영된다. 통합계정관리 솔루션은 운영관리(Operation management)와 인증(Authentication), 인가(Authorization), 감사(Audit) 등 4가지 주요 요소로 구성된다.

 

기능

설명

운영관리

(Operation management)

•다양한 시스템에 분산된 직원, 비즈니스 파트너, 고객들의 수많은 계정과 속성, 접근권한을 효율적으로 관리할 수 있는 운영관리자 및 사용자 인터페이스 제공

•사용자 계정 생성, 변경, 폐기 등 사용자 주기를 포괄적으로 관리

인증

(Authentication)

•시스템에 접속하고자 하는 사용자의 신원을 확인

•대상 시스템에서 인증된 계정 검증

인가

(Authorization)

•중앙집중적 정책 관리 및 결정을 통해 사용자가 허가된 IT자원에 대한 접근 통제

감사(Audit)

•사용자 계정 및 접근과 관련된 모든 행위들이 감시와 규제, 조사 목적을 달성하기 위해 기록

 

통합계정관리 솔루션은 각 정보시스템의 사용자(직원, 고객, 계약자 등)를 식별하고, 정의된 사용자 권한에 의해 정보시스템에서 제공하는 자원에 대한 접근을 제어하기 위한 포괄적 솔루션이다. 즉, 식별된 사용자가 권한을 가진 IT 자원에 접근(Access)할 수 있도록 한다. 통합계정관리 솔루션은 사용자 정보와 권한을 관리하기 위한 기술과 프로세스의 통합 프레임워크 내에 여러 요소가 결합되어야 하기 때문에 접근통제 기술과 업무분석 컨설팅, 관련 솔루션이 정의된 방법론에 따라 구축되어야 한다.

 

통합계정관리 솔루션은 통합계정 저장소, 프로비저닝, 워크플로우, 정책, SSO(Single Sign On)와 접근제어로 구성된다.

 

• 통합계정 저장소는 통합계정관리 솔루션의 중추에 해당한다. 통합 저장소는 인증과 인가를 위한 신원증명서, 각 개인의 역할, 연락처 등의 정보를 담고 있다. 새로운 시스템을 추가하거나 노후 시스템을 폐기 또는 교체할 때, 조직 변경의 경우 등과 같이 사용환경이 바뀔 때에도 계정 정보만 수정하면 되도록 유연한 구조를 제공하여야 한다.

 

• 프로비저닝은 통합 저장소에서 관리하고 있는 계정 정보를 기업의 모든 시스템과 애플리케이션에게 공급할 수 있는 채널을 구축하고 관리하는 역할을 수행하며, 어댑터는 각 시스템 또는 애플리케이션과 프로비저닝이 상호 커뮤니케이션 할 수 있는 통로 역할을 한다. 이같이 통합계정관리 솔루션이 프로비저닝을 통해 통합 저장소에서 변경된 계정 정보를 각 시스템과 애플리케이션에 자동으로 반영함으로 보안관리자는 한번의 작업으로 기업내 모든 시스템의 계정정보 관리업무를 수행할 수 있게 된다.

 

• 워크플로우는정책 적용, 정책과 역할 기반의 권한의 생성과 폐기, 정책 기반의 계정 생성과 폐기 등 크게 3개의 프로세스 군으로 구분할 수 있다. 워크플로우 엔진은 이같은 3개의 프로세스와 관련된 절차를 정의하고 자동화한다.

 

• 정책은 계정과 권한 관리에 대한 모든 프로세스와 프레임워크를 정의하기 위한 가이드를 제공한다. 정책은 통합계정관리 솔루션 구축을 위한 컨설팅 단계에서 수립되며, 정책에서는 비밀번호형식, 비밀번호와 권한변경, 이력, 사용자의 역할과 권한, 권한별 시간제한 등의 내용을 정의하고 있다.

 

• 권한 위임과 프로파일 센터(self-service)는 현업부서 관리자에게 계정 정보관리를 위한 인터페이스를 제한적으로 제공하고, 계정 관리를 관련 현업 부서의 관리자가 직접 수행할 수 있다.

 

• SSO(Single Sign On, 단일인증)은 기업 내의 모든 애플리케이션의 인증 프로세스에 하나의 계정으로 접근할 수 있도록 한다.

 

• 접근제어 컴포넌트는 기업과 부서 단위의 정책에 따라 비즈니스 서비스에 대한 사용 인가(Authorization)를 제어한다.

 

• 인증/인가 프로세스는 통합계정관리 솔루션의 프로비저닝을 통해 통합 저장소의 계정 정보를 참조하고 접근제어 컴포넌트를 통해 관리된다. 사용자는 인증을 통해서 자신의 계정 사용을 승인 받고 접근제어 컴포넌트의 인가를 통해 승인된 계정을 이용해 필요한 IT 자원을 사용할 수 있다.

 

 

s_01.jpg

[그림1] 인증/인가 매커니즘

 

통합계정관리 솔루션 구축은 다른 정보시스템이나 솔루션보다 복잡하고 어렵다.

 

사전에 비즈니스 요구에 따라 계정 정책과 접근제어, 권한 등을 정의하고 계획하여야 한다. 계정의 생성에서 소멸까지 일련의 생명주기에 걸쳐 정책을 수립하고 통합계정관리 솔루션에 적용할 수 있도록 하여야 한다.. 또한 타 시스템과의 연동성과 운용성을 고려하여 관련 조직과 상호 협업관계를 명확하게 설정해야 한다.

 

구축은 다음과 같이 6단계의 절차를 통해 이루어진다.

 

 

s_02.jpg

[그림2] IAM 설계 절차

 

① 저장소 설계는 저장할 데이터의 종류와 성격에 따라 스키마 설계를 한다. IAM측면에서 저장해야 할 데이터는 사용자, 조직, 권한, 접근정책 등이다. 또한 이를 타 업무시스템에 제공해야 하므로 타 업무시스템의 요건에 따라 기능을 지원할 수 있어야 한다.

 

② 인증관리는 저장소의 통합 개념이 필요한 아키텍처이다. 인증 자체를 위해서는 통합된 계정 저장소가 필요하며, 인증 관리 설계 시 계정 정책에 대한 설계가 기본이 된다. 대부분의 기업들은 업무 시스템마다 상이한 계정 정책을 갖고 있으나, 통합계정관리 솔루션의 인증 기본 개념은 일 인당 하나의 계정 정책에서 출발하기 때문에 이 부분에 대해 사전 설계 작업이 중요하다.

 

③ 인가관리는 접근 대상이 되는 시스템에 대해서 접근 허용의 범위와 깊이를 관리하는 개념이다. 기존의 SSO은 시스템에 대한 접근 허용만을 범위로 하지만, 통합계정관리 솔루션은 시스템의 내부 자원의 계측적 하부 구조까지의 세부적인 접근관리를 한다. 인가관리는 이런 세부적인 접근통제 정책을 설계 과정에서 진행해야 한다.

 

④ 타 시스템과의 연동은 통합계정관리 솔루션의 적용 범위에 영향을 미친다. 통합계정관리 솔루션은 독립적으로 운영할 수 없는 솔루션이다. 중앙에 집중된 기업의 공통 정보인 사용자, 조직, 그룹, 권한 등을 SSO의 통합 저장소로 활용하고, 타 업무시스템이 필요로 할 경우 그 정보를 전달하여 운용해야 한다. 이러한 아키텍처로 구성되어 타 시스템과의 연동은 중요하다. 초기 구축 이후 시스템 적용 범위 확장을 위해서 다양한 서버 환경, 어플리케이션의 형태에 적용이 가능해야 한다.

 

⑤ 사용자관리는 통합계정관리 솔루션의 모든 관리를 하나의 사용자 인터페이스로 운영하는 것이다. 이때 중요한 부분은 관리 모델의 설계이다. 관리 모델은 계열사나 자회사가 다수 있는 경우 각 조직을 담당하는 관리자가 존재 할 수 있고, 지역별로 분산된 구조라면 지역별 관리자 모델이 존재 할 수 있다.

 

⑥ 사용자 프로비저닝은 사용자, 시스템, 데이터 교환 내용 등에 대해 정의한다. 기업 내부의 계정 흐름에 대한 전반적인 사항을 파악하고 관련 업무 담당자들과의 공감대를 형성하여 요구사항에 대한 구체적인 설계를 진행한다. 계정 흐름에 대한 프로세스를 정의하고 설계한다. 설계된 프로세스는 각각의 워크플로우 엔진을 통해 자동으로 처리된다. 사용자 프로비저닝 설계는 기업의 계정 흐름에 대한 모든 것을 설계하는 것이고, 통합계정관리 솔루션이 동작하는 실제적인 모습을 나타내는 과정이다.

 

통합계정관리 솔루션 도입 효과는 기업의 비즈니스 편리성을 제공한다. 또한 비용절감, 운영의 효율화, IT위험관리 강화에도 도움을 준다. 고객, 파트너, 직원들이 얼마나 쉽고 빠르게 기업 정보에 접근할 수 있는지가 비즈니스의 경쟁력으로 이러한 기업의 고민에 대한 답은 통합계정관리 솔루션에 있다.

 

* 본 기고글은 지난 2009년 8월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.

이전글 전사적 통합 보안관리 RFinder ESP(Enterprise Security Planning)
다음글 MDM(Mobile Device Management) 솔루션