[디지털데일리 옥송이 기자] 서버와 저장 장치를 두지 않는 클라우드 서비스가 보편화되면서, 기업의 보안 분야에도 변화가 일고 있다.

7일 소공동 롯데호텔에서 <디지털데일리>가 주최한 제19회 금융IT 이노베이션 콘퍼런스에서 'IAM 플랫폼의 미래'를 주제로 발표한 엔시큐어의 박정만 이사는 변화하는 IAM 환경을 짚고, 보안 솔루션을 제시했다.

IAM(Identity and Access Management)은 사용자 계정 관리 솔루션으로, 식별 및 접근 관리를 의미한다. 브로드컴의 파트너 사인 엔시큐어는 브로드컴의 아이덴티티 솔루션을 국내에서 판매한다.

박 이사는 "IAM은 지속적으로 변화를 거듭해왔다"며 "2000년대 초기만 해도 IAM은 기업 내부에만 해당하는 이야기였으나, 점차 조직원과 외부 비즈니스 파트너까지 확장했다. 최근에는 누구나 어디에서든 접근할 수 있을만큼 경계가 무너졌다"고 설명했다.

업무 환경이 ID와 PW만 있으면 언제 어디서나 앱과 데이터에 손쉽게 접근할 수 있는 클라우드 체계로 바뀌었고, 코로나19의 영향으로 개인 소유의 전자기기를 업무에 활용하는 BYOD(Bring Your Own Device)가 이 트렌드를 가속화했다는 것이다. 이에 사용자 또는 기기가 접근을 요청할 때 철저한 검증을 거치는 '제로 트러스트' 원칙이 대두되고 있다.

박 이사는 "기업이 최신 프로토콜과 데이터를 연계할 수 있도록 IAM에 대한 새로운 관점이 요구되는 시점이다. 제로 트러스트 원칙에 기반해 여러 IAM을 통합해야 한다"라며 '풀스택 솔루션'을 강조했다.

풀스택 솔루션은 다양한 환경과 플랫폼을 이해하고 최적의 웹 서버를 구축하는 풀스택 개발자의 개념에서 차용해 엔시큐어가 만든 용어다. 아이덴티티 인증과 관련해 발생할 수 있는 모든 상황에서 신속하게 대응할 수 있는 구조를 만들어야 한다는 것인데, 엔시큐어는 유기적으로 작동하는 브로드컴의 다섯 가지 제품을 해법으로 제시했다.

먼저 접근 제어와 관련해서는 ▲사이트마인더와 ▲VIP를 소개했다. 사이트마인더는 무단 액세스를 방지하기 위해 실시간으로 신원을 확인하는 보안하며, 이와 연계해 기능하는 VIP는 이중 인증을 요청한다.

사용자와 앱, 기기의 관계를 추적하는 ▲L7 API 관리 솔루션은 기본 설정 내용과 다르거나 평소와 다른 행위 등 예외 상황이 발생하면 인증을 요구한다. 사이트마인더 및 VIP와 함께할 때 시너지가 발생한다.

▲PAM(Privileged Access Management)은 시스템에 접근할 수 있는 권한 있는 액세스를 제어해 보안 침해를 방지하며, ▲IGA(Identity Governance and Administration)가 사용자 인증 절차를 간소화하고 자동화한다.

박 이사는 "브로드컴이 다섯 가지 핵심 솔루션을 묶어서 제공한다"며 "이상 행위 분석을 통해 인증을 강화하고, 불필요하고 반복적인 로그인 과정을 제거하는 등 상호 운영성이 확보되니 고객의 비용과 시간을 절약할 수 있다는 점이 장점이다"라고 말했다.