클라우드 컴퓨팅, 원격 근무 및 생성형 AI의 확산으로 인해 IAM은 네트워크 보안의 핵심 요소로 자리 잡았습니다.
오늘날 평균적인 기업 네트워크에서는 점점 더 많은 수의 인간 사용자(직원, 고객, 계약자)와 인간이 아닌 사용자(AI 에이전트, IoT 및 엔드포인트 디바이스, 자동화된 워크로드)를 호스팅하고 있습니다. 이러한 사용자는 다양한 위치에 분산되어 있으며 온프레미스 및 클라우드 기반 앱과 리소스 모두에 대한 보안 액세스가 필요합니다.
해커는 이렇게 확장되는 ID 공격 표면을 주목하고 있습니다. IBM X-Force Threat Intelligence Index에 따르면 사이버 공격의 30%는 유효한 계정의 도용 및 남용과 관련이 있습니다.
ID 및 액세스 관리를 통해 권한이 있는 사용자에게는 보안 액세스를 제공하는 동시에 외부 공격자, 악의적인 내부자, 심지어 액세스 권한을 오용하는 선의의 사용자의 무단 액세스를 차단할 수 있습니다. IAM 툴을 사용하면 조직은 디지털 ID의 생성 및 안전한 폐기, 액세스 제어 정책 설정 및 적용, 사용자 확인 및 사용자 활동 모니터링을 구현할 수 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
IAM의 목표는 해커를 차단하는 동시에 권한이 부여된 사용자가 필요한 모든 작업을 쉽게 수행할 수 있도록 허용하는 것입니다. 단, 권한이 허용된 범위 내에서만 수행할 수 있도록 합니다.
이를 위해 IAM 구현에는 다음과 같은 네 가지 핵심 요소가 있습니다.
'ID 관리' 또는 'ID 라이프사이클 관리'라고도 하는 ID 관리는 시스템에서 사용자 ID를 생성, 유지 관리 및 안전하게 폐기하는 프로세스입니다.
안전한 사용자 액세스를 위해 조직은 먼저 시스템에 누가, 무엇이 있는지 파악해야 합니다. 이를 위해 일반적으로 각 사용자(인간 및 비인간 사용자)에게 고유한 디지털 ID를 부여합니다.
디지털 ID는 특정 엔티티에 연결된 고유한 속성의 집합입니다. 사용자의 이름, 로그인 자격 증명, 직위 및 액세스 권한과 같은 특성을 기록합니다.
디지털 ID는 일반적으로 중앙 데이터베이스 또는 디렉터리에 저장되며, 이는 신뢰할 수 있는 단일 소스의 역할을 합니다. IAM 시스템은 이 데이터베이스에 저장된 정보를 사용하여 사용자를 검증하고 사용자가 수행할 수 있는 것을 결정합니다.
새로운 사용자를 등록하는 것 외에도, IAM 툴은 사용자의 역할이 변경됨에 따라 ID 및 권한을 업데이트하고, 시스템에서 퇴사한 사용자의 액세스 권한을 제거할 수 있습니다.
IT 및 사이버 보안 팀은 사용자 프로비저닝 및 프로비저닝 해제를 수동으로 처리할 수 있지만, 많은 IAM 시스템은 셀프서비스 접근 방식도 지원합니다. 사용자가 정보를 제공하면 시스템이 자동으로 ID를 생성하고 조직에서 정의한 규칙에 따라 적절한 액세스 수준을 설정합니다.
인증은 사용자가 자신이 주장하는 사람과 동일하다는 것을 확인하는 과정입니다.
사용자는 시스템에 로그인하거나 리소스에 대한 액세스를 요청할 때, ID를 보증하기 위해 자격 증명(인증 요소라고 함)을 제출합니다. 예를 들어 인간 사용자는 비밀번호를 입력하거나 생체 인식 지문 스캔을 수행할 수 있으며, 비인간 사용자는 디지털 인증서를 공유할 수 있습니다. IAM 시스템은 이러한 자격 증명을 중앙 데이터베이스와 비교하여 확인합니다. 일치하면 액세스 권한이 부여됩니다.
비밀번호는 가장 기본적인 인증 방식이면서 가장 취약한 인증 방식이기도 합니다. 오늘날 대부분의 IAM 구현에서는 사용자가 ID를 증명하기 위해 여러 인증 요소를 제공해야 하는 이중 요소 인증(2FA) 또는 다중 요소 인증(MFA)과 같은 고급 인증 방법을 사용합니다.
예를 들어, 웹 사이트에서 사용자에게 비밀번호와 휴대폰으로 문자로 전송된 코드를 모두 입력하도록 요구하는 경우 이는 2FA 체계가 작동하는 것입니다.
권한 부여는 확인된 사용자에게 리소스에 대한 적절한 수준의 액세스 권한을 부여하는 프로세스입니다.
인증과 권한 부여는 밀접하게 연결되어 있으며 인증은 일반적으로 권한 부여를 위한 필수 구성 요소입니다. 사용자가 ID를 증명하면 IAM 시스템은 중앙 데이터베이스에서 해당 ID에 연결된 권한을 확인하고 그에 따라 사용자에게 권한을 부여합니다.
인증과 권한 부여는 ID 및 액세스 관리의 액세스 관리 구성 요소를 형성합니다.
사용자 액세스 권한을 설정하기 위해 조직마다 다른 접근 방식을 취합니다. 일반적인 액세스 제어 프레임워크 중 하나는 역할 기반 액세스 제어(RBAC)로, 사용자의 권한은 직무 기능을 기반으로 합니다. RBAC는 사용자 권한 설정 프로세스를 간소화하고 사용자에게 필요 이상의 권한을 부여하는 위험을 완화합니다.
예를 들어 시스템 관리자가 네트워크 방화벽에 대한 권한을 설정한다고 가정해 보겠습니다. 영업 담당자의 경우 해당 사용자의 역할에는 해당 권한이 필요하지 않으므로 액세스 권한이 전혀 없을 것입니다. 주니어 수준의 보안 분석가는 방화벽 구성을 볼 수는 있지만 변경할 수는 없습니다. 최고 정보 보안 책임자(CISO)는 모든 관리 액세스 권한을 갖습니다. 통합 보안 정보 및 이벤트 관리 시스템(SIEM)을 위한 애플리케이션 프로그래밍 인터페이스(API)는 방화벽의 활동 로그를 읽을 수 있습니다.
대부분의 액세스 제어 프레임워크는 최소 권한 원칙에 따라 설계됩니다. 제로 트러스트 사사이버 보안 전략과 자주 연관되는 최소 권한 원칙은 사용자가 작업을 완료하는 데 필요한 최소한의 권한만 가져야 한다는 것을 명시합니다. 작업이 완료되면 사용자의 권한은 즉시 취소되어야 합니다.
감사는 IAM 시스템과 그 구성 요소(관리, 인증 및 권한 부여)가 제대로 작동하는지 확인하는 것을 의미합니다.
감사는 사용자가 액세스 권한을 사용하여 수행하는 모든 활동을 추적하고 로깅하는 것을 포함합니다. 이를 통해 해커를 포함한 누구도 권한이 없는 항목에 액세스되지 않도록 보장하며, 권한 있는 사용자가 권한을 남용하지 않도록 합니다.
감사는 핵심 ID 거버넌스 기능이며 규정 준수에 중요합니다. 일반 데이터 보호 규정(GDPR), 사베인스-옥슬리법(SOX) 및 결제 카드 산업 데이터 보안 표준(PCI DSS)과 같은 보안 규정에 따라 조직은 특정 방식으로 사용자 액세스 권한을 제한해야 합니다. 감사 툴 및 프로세스는 조직이 IAM 시스템이 요구 사항을 충족하는지 확인하는 데 도움이 되며, 감사 추적은 규정 준수를 입증하거나 필요에 따라 위반 사항을 정확히 찾아내는 데 도움이 될 수 있습니다.
디렉터리 서비스는 IAM 시스템이 사용자의 ID, 자격 증명 및 액세스 권한에 대한 데이터를 저장하고 관리하는 곳입니다. IAM 솔루션은 자체 중앙 집중식 디렉터리를 보유하거나 Microsoft Active Directory 및 Google Workspace와 같은 외부 디렉터리 서비스와 통합할 수 있습니다.
일부 IAM 구현은 서로 다른 시스템이 서로 ID 정보를 공유하는 'ID 페더레이션'이라는 접근 방식을 사용합니다. 한 시스템은 ID 공급자 역할을 하며, 보안 어서션 마크업 언어(SAML) 및 OpenID Connect(OIDC)와 같은 개방형 표준을 사용하여 다른 시스템에 사용자를 안전하게 인증합니다.
소셜 로그인—앱이 사용자가 Facebook, Google 또는 기타 계정을 사용하여 로그인할 수 있도록 허용하는 경우—은 ID 페더레이션의 일반적인 예입니다.
MFA 및 2FA 외에도 많은 IAM 솔루션은 싱글사인온(SSO), 적응형 인증 및 비밀번호 없는 인증과 같은 고급 인증 방법을 지원합니다.
싱글사인온(SSO)을 사용하면 하나의 로그인 자격 증명으로 여러 앱과 서비스에 액세스할 수 있습니다. SSO 포털은 사용자를 인증하고 다른 리소스의 보안 키 역할을 하는 인증서 또는 토큰을 생성합니다. SSO 시스템은 SAML 및 OIDC와 같은 프로토콜을 사용하여 서비스 제공업체 간에 공유 키를 교환합니다.
적응형 인증은 위험 기반 인증이라고도 하며, 위험 수준이 변경됨에 따라 인증 요구 사항을 실시간으로 변경합니다. 적응형 인증 체계는 인공 지능(AI) 및 머신 러닝(ML)을 사용하여 사용자 행동, 디바이스 보안 상태 및 타이밍과 같은 요소를 포함한 로그인 컨텍스트를 분석합니다. 로그인 위험도가 높을수록 시스템은 더 엄격한 인증을 요구합니다.
예를 들어 사용자가 평소 사용하는 디바이스 및 위치에서 로그인할 경우 비밀번호만 입력하면 됩니다. 동일한 사용자가 신뢰할 수 없는 디바이스에서 로그인하거나 특히 민감한 정보를 조회하려고 할 경우, 해당 상황이 조직에 더 큰 위험을 초래하므로 더 많은 인증 요소를 제공해야 할 수 있습니다.
비밀번호 없는 인증 방식은 (도용이 매우 쉬운 것으로 알려진) 비밀번호를 더 안전한 자격 증명 방식으로 대체합니다. 패스키는 FIDO 표준과 같은 널리 사용되는 표준을 기반으로 한 것으로, 비밀번호 없이 인증을 수행하는 가장 일반적인 방법 중 하나입니다. 공개 키 암호화를 사용하여 사용자의 ID를 확인합니다.
액세스 제어 툴을 사용하면 조직에서 인간과 비인간 사용자에 대해 세분화된 액세스 정책을 정의하고 적용할 수 있습니다. RBAC 외에도 일반적인 액세스 제어 프레임워크에는 다음이 포함됩니다.
권한 있는 액세스 관리(PAM) 툴은 시스템 관리자와 같은 권한이 높은 사용자 계정에 대한 계정 보안 및 액세스 제어를 감독합니다. 권한 있는 계정은 악의적인 행위자가 심각한 피해를 주는 데 사용할 수 있는 가치가 높은 표적이므로 특별한 보호 조치를 받습니다. PAM 툴은 자격 증명 보관소와 적시 액세스 프로토콜을 사용하여 권한 있는 ID를 나머지 ID와 격리함으로써 보안을 강화합니다.
자격 증명 관리 툴을 사용하면 사용자가 비밀번호, 패스키 및 기타 자격 증명을 중앙 위치에 안전하게 저장할 수 있습니다. 또한 직원이 자격 증명을 잊어버릴 위험을 완화할 수 있으며, 사용자가 사용하는 각 서비스에 대해 다른 비밀번호를 더 쉽게 설정할 수 있도록 하여 더 나은 보안 관행을 장려할 수 있습니다.
시크릿 관리 툴은 앱, 서버, 워크로드와 같이 사람이 아닌 사용자의 자격 증명(인증서, 키, 비밀번호, 토큰 포함)을 보호합니다. 시크릿 관리 솔루션은 일반적으로 비밀을 안전한 중앙 저장소에 저장합니다. 권한 있는 사용자가 중요한 시스템에 액세스해야 하는 경우 자격 증명 모음에서 해당 시크릿을 가져올 수 있습니다.
ID 거버넌스 툴은 조직이 사용자 활동을 감사하고 규정 준수를 보장하는 데 도움이 됩니다.
ID 거버넌스 툴의 핵심 기능에는 부적절한 액세스 수준을 수정하기 위한 사용자 권한 감사, 사용자 활동 로깅, 보안 정책 적용 및 위반 플래그 지정이 포함됩니다.
ID 위협 탐지 및 대응(ITDR) 툴은 권한 상승 및 계정 구성 오류와 같은 ID 기반 위협과 보안 위험을 자동으로 발견하고 해결합니다. ITDR 툴은 상대적으로 새로운 기술로, 아직 모든 IAM 구현에서 표준으로 사용되지는 않지만 기업 ID 보안 전략의 구성 요소로 점점 더 많이 사용되고 있습니다.
고객 ID 및 액세스 관리(CIAM)는 조직 외부에 있는 고객 및 기타 사용자의 디지털 ID를 관리합니다. CIAM의 핵심 기능에는 고객 프로필 데이터 캡처, 사용자 인증, 전자 상거래 사이트와 같은 디지털 서비스에 대한 보안 액세스 용이성 등이 있습니다.
클라우드 기반 ID 및 액세스 관리 솔루션은 '서비스형 ID(Identity-as-a-Service, IDaaS)' 툴이 라고도 불리며, IAM에 서비스형 소프트웨어(Software-as-a-Service, SaaS) 접근 방식을 적용한 솔루션입니다.
IDaaS 툴은 분산된 사용자가 Windows, Mac, Linux 및 모바일 디바이스에서 로그인하여 사이트 및 프라이빗 및 퍼블릭 클라우드에 있는 리소스에 액세스하는 복잡한 네트워크에서 유용할 수 있습니다. 이러한 네트워크는 파편화와 가시성 격차가 발생하기 쉽지만, 클라우드 IAM 솔루션은 단일 ID 시스템에서 다양한 사용자, 앱 및 자산을 수용할 수 있도록 확장할 수 있습니다.
또한 IDaaS 툴을 사용하면 조직은 디렉터리 설정 및 사용자 활동 로깅과 같이 IAM 시스템 구현에서 시간과 리소스가 많이 소요되는 측면 중 일부를 아웃소싱할 수 있습니다.
조직이 멀티클라우드 환경, AI, 자동화 및 원격 근무를 도입함에 따라, 다양한 유형의 사용자가 다양한 유형의 리소스에 다양한 위치에서 안전하게 액세스할 수 있도록 지원해야 합니다. IAM 솔루션은 분산형 네트워크에서 사용자 경험과 사이버 보안을 동시에 향상할 수 있으며, 액세스 관리를 간소화하면서 일반적인 사이버 위협으로부터 보호합니다.
디지털 혁신은 오늘날 기업의 표준이며, 이는 중앙 집중식의 완전한 온프레미스 IT 네트워크가 대체로 과거의 일이 되었음을 의미합니다. 경계 중심의 보안 솔루션 및 전략은 온/오프 프레미스 디바이스, 클라우드 기반 서비스, 웹 앱, 전 세계에 흩어진 인간 및 비인간 사용자로 구성된 팀을 아우르는 네트워크를 효과적으로 보호할 수 없습니다.
결과적으로 조직은 ID 보안을 사이버 보안 전략의 핵심 축으로 삼고 있습니다. 네트워크 엣지에 초점을 맞추는 것보다 발생하는 위치에 관계없이 개별 사용자와 해당 활동을 보호하는 것이 더 효과적일 수 있습니다.
동시에 조직은 사용자가 업무를 수행하기 위해 필요한 온디맨드 액세스를 보장해야 하며, 과도하게 부담스러운 보안 조치로 인해 업무가 지연되거나 방해받지 않도록 해야 합니다.
IAM 시스템은 IT 및 보안 팀이 조직 전체의 개별 사용자에 대해 규정을 준수하는 맞춤형 액세스 정책을 정의하고 적용할 수 있는 중앙 집중식 방법을 제공합니다.
또한 IAM 툴은 사용자를 안전하게 인증하고 엔티티가 권한을 사용하는 방법을 추적하는 데 도움이 될 수 있으며, 이는 오늘날 많은 사이버 범죄자가 선택하는 방법인 ID 기반 사이버 공격을 방어하는 데 중요한 기능입니다.
IBM의 데이터 유출 비용(CODB) 보고서에 따르면 자격 증명 도용은 데이터 유출의 주요 원인으로, 공격의 10%를 차지합니다. 해커가 합법적 사용자의 계정을 사용하여 민감한 데이터에 액세스하는 이러한 자격 증명 기반 공격으로 평균 467만 달러(미화)의 비용이 발생하며 이를 탐지 및 억제하는 데 246일이 걸립니다.
IAM 툴은 해커가 이러한 공격을 수행하기 어렵게 만들 수 있습니다. 예를 들어 MFA는 사이버 범죄자가 침투하기 위해 비밀번호 이상의 것이 필요하도록 합니다. 계정을 탈취하더라도, 사용자에게는 작업을 수행하는 데 필요한 권한만 있으며 그 이상은 없으므로 수평 이동이 제한됩니다. 또한 ITDR 툴을 사용하면 승인된 사용자의 계정에서 의심스러운 활동을 더 쉽게 발견하고 중지할 수 있습니다.
데이터 유출 비용(CODB) 보고서에 따르면 IAM 기술은 유출 비용을 줄이는 데 핵심 요소로, 공격에 따른 비용을 평균 189,838달러(미화) 절감합니다.
ID 패브릭은 네트워크 내 모든 ID 시스템을 하나의 통합된 전체로 결합하는 포괄적인 ID 아키텍처입니다. 서로 다른 앱을 연결하고 모든 핵심 IAM 기능을 포괄하는 전체적인 IAM 솔루션은 이러한 패브릭을 만드는 데 중요한 툴입니다.
ID 패브릭은 조직이 다양한 앱과 서로 다른 ID 관리 시스템을 사용하는 과정에서 발생하는 문제를 해결하기 위해 주목하면서 점점 더 인기를 얻고 있습니다. 한 보고서에 따르면 평균적인 팀은 73개의 서로 다른 SaaS 앱을 사용합니다. 이러한 앱에 자체 ID 시스템이 있는 경우, 파편화로 인해 물류 문제와 보안 격차가 발생합니다.
이러한 문제를 해결하기 위해 조직에서는 서로 다른 ID 시스템을 연결하고 통합하는 데 도움을 주는 Identity Orchestration 툴에 투자하고 있습니다.
ID 관리, 액세스 관리, 거버넌스, 감사, PAM 및 CIAM 등 IAM의 모든 핵심 측면을 처리하는 포괄적인 IAM 솔루션은 이러한 오케스트레이션을 용이하게 하는 데 도움이 됩니다. 목표는 조직이 모든 앱, 사용자 및 자산의 ID 정보와 액세스를 단일 플랫폼에서 관리할 수 있는 네트워크 전체에 걸친 ID 패브릭을 구축하는 것입니다.
통합 접근 방식은 IAM을 간소화할 뿐만 아니라 보안도 강화할 수 있습니다. X-Force Threat Intelligence Index에 따르면 ID 솔루션 통합은 ID 확산을 억제하고 ID 기반 공격을 방어하는 가장 효과적인 방법의 하나입니다.
기존 규칙 기반 AI는 오랫동안 IAM이 작동하는 방식의 일부였으며, 인증 및 감사 기록과 같은 워크플로를 자동화했습니다. 그러나 생성형 AI의 등장으로 새로운 도전과 기회가 동시에 등장하고 있습니다.
대규모 언어 모델(LLM)을 기반으로 한 새로운 앱과 자율 AI 에이전트 사이에서 생성형 AI는 기업 네트워크 내 비인간 ID의 수를 크게 증가시킬 것으로 예상됩니다. 이러한 ID는 이미 일반적인 기업에서 인간보다 10:1의 비율로 더 많습니다.1 이 비율은 곧 훨씬 더 커질 수 있습니다.
이러한 비인간 ID는 상대적으로 높은 액세스 수준과 잘 보호되지 않은 자격 증명을 보유한 경우가 많기 때문에 공격자의 일반적인 표적이 됩니다.
그러나 IAM 툴은 사이버 범죄자가 AI 계정을 해킹하는 위험을 완화할 수 있습니다. 자동 자격 증명 회전 및 보안 자격 증명 저장소와 같은 일반적인 권한 있는 액세스 관리 기술 및 툴은 해커가 자격 증명을 훔치는 것을 더 어렵게 만들 수 있습니다.
AI는 IAM에 긍정적인 사용 사례도 제공합니다. IBM 기업가치연구소(IBV)에 따르면 많은 조직이 이미 AI를 활용해 사용자 확인 및 권한 부여(62%)를 지원하고 위험, 준수 및 보안(57%)을 관리하고 있습니다. 생성형 AI 툴은 이러한 활용도를 더 높일 수 있습니다.
예를 들어 일부 IAM 툴은 보안 팀이 자연어를 사용하여 보안 데이터 세트를 분석하고, 새로운 정책을 만들고, 사용자를 위한 맞춤형 액세스 수준을 제안할 수 있도록 하는 LLM 기반 챗봇을 출시하고 있습니다.