기존의 IAM(Identity and Access Management) 기술은 네트워크와 데이터센터가 온프레미스에 있고 경계에 의해 보호되는 모델을 전제로 구축됐다. 이 체계가 최근 클라우드 및 디지털 전환의 시대를 맞아 도전을 맞이하고 있다. 더 이상 물리적 경계는 존재하지 않는다. 기업의 컴퓨팅 환경은 여러 채널을 통해 내부와 외부와 연결되며 API가 다양한 기능과 서비스 그리고 데이터에 접근할 수 있는 통로 역할을 하고 있다. 여기에 여러 위치에서 다양한 모바일 장치가 쓰인다. 그렇다면 IAM은 급변하는 기업 컴퓨팅 환경에 어떻게 보조를 맞춰 진화해야 할까? 그 방향을 4회의 연재를 통해 알아본다<편집자>

1편: 변곡점에 도달한 엔터프라이즈 ID 및 액세스 관리

2편: 엔터프라이즈 컴퓨팅의 발전 방향을 따라 진화하는 IAM ‘사이트마인더r’

3편: 하이브리드 클라우드 시대를 위한 권한 있는 사용자 관리 방안 ‘One PAM’

4편: 브로드컴의 시만텍 솔루션으로 완성하는 제로 트러스트 원칙

현대적인 IAM(Identity and Access Management) 은 예전보다 더 많은 기술 요소를 고려해야 한다. 단일 플랫폼처럼 여겨지던 IAM이 더 큰 개념인 현대적인 IAM 프레임워크가 되어 가는 것의 목적지는 ‘제로 트러스트(Zero Trust)’다.

제로 트러스트 원칙은 간단하다. 그 어떤 것도 믿지 않는다는 것이다. 말은 단순한데 이를 기술적으로 구현하는 것은 쉽지 않다. IAM 기능만으로는 충분하지 않다. IAM과 연계되어야 하는 기술과 기능의 폭이 매우 넓다. 현대적인 IAM은 프레임워크 측면에서 여러 요소를 적용하고 연계해야 하는 과제다.

그렇다면 이 과제를 어떻게 풀어가는 것이 현명할까? 예전처럼 인하우스 방식으로 프로젝트로 신규 요건을 반영하기 위해 프로젝트를 반복해서 수행하는 식으로 대응하면 어느 순간 새로운 수요를 반영하기 어려운 옥상가옥의 이슈에 직면할 수 있다. 그렇다면 환경 변화에 따른 수요 반영을 유연하게 할 수 있는 프레임워크 측면에서 제로 트러스트를 지원할 수 있는 현대적인 IAM 전략은 어떻게 세워야 할까? 답은 풀스택 솔루션을 이용하는 데에서 찾을 수 있다.

현대적인 IAM 프레임워크는 사용자, 장치, 네트워크, 앱/API 모든 것을 고려한 인증을 제로 트러스트 원칙 하에 처리한다. 이는 단순히 인증을 통합/연계하는 것이 아니다. 제로 트러스트 원칙을 따르려면 불필요한 로그인이나 추가 인증에 따른 사용자 불편이 없어야 하고, 모니터링을 통해 이상 행위나 상황을 감지할 수 있어야 하고, 지속적인 모니터링을 바탕으로 위험 기반 평가로 추가 인증 수단을 적용할 수 있어야 하고, 서버나 클라우드 자원 같은 주요 자산에 접근할 수 있는 권한 있는 사용자까지 통합 관리를 할 수 있어야 한다.

앞서 언급한 바와 같이 제로 트러스트 원칙을 적용할 수 있는 현대적인 IAM을 구현하려면 여러 기능을 담당하는 요소들을 끼워 맞출 수 있는 프레임워크 설계가 필요하다. 조직의 요구를 반영하여 프레임워크를 설계한 API를 통해 서로 연계될 수 있는 여러 기능을 채워서 현대적인 IAM 체계를 정립하면 제로 트러스트를 개념이 아니라 현실에 적용할 수 있다.

여기서 궁금증이 떠오를 것이다. 여러 포인트 솔루션으로 프레임워크를 채우거나, 직접 필요한 부분을 구현해야 한다면 예전과 같은 인하우스 프로젝트와 무엇이 다를까? 현대적인 IAM 프레임워크를 예전 방식으로 바라보면 시간과 비용 낭비나 복잡성 증가 같은 문제를 똑같이 겪게 된다. 이런 시행착오를 피하려면 현대적인 IAM 프레임워크의 요구를 만족하는 풀스택 솔루션 라인업을 이용해야 한다.

제로 트러스트 관련 솔루션 기업들은 나름 풀스택을 말한다. 경우에 따라 업체에 따라 솔루션 기업이 말하는 풀스택이 부족할 수 있다. 풀스택의 기준은 현대적인 IAM 프레임워크를 도입하고자 하는 각 기업이 잡아야 한다. 그렇다면 보편적으로 잡을 수 있는 기준은 어떤 것이 있을까? 위험 기반 인증 수행, 솔루션 간 네이티브한 통합, API 중심의 연계, 위협 인텔리전스 기반의 위험 분석 및 평가, 업계 표준(OIDC, SAML, OAuth 등) 지원, 클라우드 아키텍처 지원, DevOps 지원을 위한 다양한 환경(쿠버네티스, 헬름 차트, 카프카, 그라파나 등) 및 도구에 대한 ID 관리 방안 제시를 꼽을 수 있다.

브로드컴의 시만텍은 현대적인 IAM 프레임워크 관련해 업계에서 가장 포괄적인 풀스택을 지원한다. 풀스택을 기능적 측면에서 정리하면 다음 그림과 같다. 웹 앱, 마이크로서비스, API, 권한이 있는 사용자, ID 관리, 클라우드 보안 등 엔터프라이즈 컴퓨팅 환경이 요구하는 현대적인 IAM 프레임워크의 모든 요소를 갖추고 있음을 알 수 있다.

브로드컴의 시만텍이 제공하는 풀스택을 솔루션 측면에서 바라보면 다음 그림과 같이 표현할 수 있다. 사이트마인더(SiteMinder), 레이어7(Layer 7) API 관리 솔루션, PAM(Privileged Access Management), IGA(Identity Governance and Administration), VIP를 통해 제로 트러스트 원칙을 지원하는 현대적인 IAM 프레임워크를 구현할 수 있다.

각 솔루션이 어떻게 기능하고 상호 보완적으로 기능을 하는지 간단히 알아보자. 사이트마인더는 전통적인 싱글사인온(SSO) 기반의 애플리케이션 접근 제어를 수행한다. 익히 알고 있는 IAM이라 보면 된다. VIP는 추가로 이중 인증을 요청하도록 사이트마인더와 연계되어 기능을 한다.

사이트마인더와 시너지를 내는 솔루션으로 레이어7 API 관리 솔루션을 빼놓을 수 없습니다. 사이트마인더에 레이어7 API 관리 솔루션이 연계되면 위험 분석과 평가 기반으로 예외 상황이 발행할 경우 추가 인증을 요구할 수 있게 된다. 레이어7 API 관리 솔루션은 사용자, 앱, 장치 간 관계를 추적한다. 설정된 패턴이나 평소와 다른 행위가 감지되면 생체나 문자 같은 추가 인증 수단을 요구한다.

다음으로 PAM은 온프레미스와 클라우드에 있는 중요 서버나 데이터베이스 같은 시스템에 접근할 수 있는 권한 있는 사용자의 자격 증명을 보호하고, 특권 사용자의 액세스를 제어하고, 가상/클라우드/물리적 환경에서 권한 있는 사용자 활동을 모니터링 및 기록하여 보안 침해를 방지한다.

그 다음 IGA는 사용자 액세스 검토 및 인증 관련 프로세스를 간소화하고 자동화하여 ‘최소 권한’ 부여 원칙에 따라 ID를 관리할 수 있는 길을 열어준다. 일반적인 액세스 관리 도구는 리소스에 대한 액세스를 허용하거나 거부할 수 있지만 사용자에게 적절한 권한이 부여 되었는지 여부는 확인하지 않는데, IGA는 이 빈틈을 채운다.