목차

IAM

IAM은 사용자 인증/권한관리 등 통합 계정관리를 위한 보안제품을 말한다.

계정 관리 솔류션 종류

기존 직원의 아이디/패스워드 관리 및 통합권한관리를 위한 솔루션으로 SSO(통합인증:Single Sign-On)과 EAM (Extranet Access Management), IAM(Identity Access Management) 등이 존재하고 있다

국내 계정관리 솔루션 시장 영역의 변화

구분 설명
SSO • 한번의 로그인으로 다양한 시스템 혹은 인터넷 서비스를 사용할 수 있게 해주는 보안 솔루션으로 SSO를 사용할 경우 다수의 인증 절차를 거치지 않고도 1개의 계정만으로 다양한 시스템 및 서비스에 접속할 수 있어 사용자 편의성과 관리비용을 절감할 수 있음
EAM • 가트너 그룹에서 정의한 용어로 SSO와 사용자의 인증을 관리하며 어플리케이션 및 데이터에 대한 사용자 접근을 관리하기 위하여 보안정책기반의 단일 메커니즘을 이용한 솔루션임
IAM • EAM이 SSO와 어플리케이션의 접근권한 중심의 솔루션이라면, 여기에 보다 포괄적으로 확장된 개념을 도입한 것이 IAM임
- IAM은 IM(Identity Management), 계정관리 솔루션, 통합 계정 관리, 통합 인증 관리 등의 여러 명칭으로 불리우고 있으며 본 SP에서는 IAM 또는 계정관리 솔루션으로 표현함
- 계정이란 조직에서 구성원들에게 각각의 자격과 권한을 부여하고 행사할 수 있도록 부여한 식별자(Identifiers)를 말하며 e비즈니스가 활성화되면서 각 기업들은 이러한 식별자를 디지털 계정(Identity)으로 사용하면서 지정된 서비스에 액세스하고 시스템을 이용하여 다양한 업무를 수행함
- 계정은 임직원, 비즈니스 파트너, 고객 그리고 일반 시민들까지 포함해 시스템을 사용하는 사람에게 없어서는 안될 도구이며 온라인 작업이 비즈니스 모델로 자리잡게 되면서 계정은 모든 비즈니스 업무의 핵심 자산으로 변하고 있음
• 계정관리란 기업에서 다수의 서로 다른 계정으로 구성된 그룹들의 관계를 구분하며 관리하는 것을 말한다. 일반적으로 기업에서는 계정관리를 위해 기업들은 여러 가지 방법들을 시도하고 있음

IAM 정의

IAM은 단순한 한가지 어플리케이션을 지칭하는 용어가 아니라 계정관리 전반 및 프로비저닝 기능을 포함한 포괄적인 의미의 계정관리 솔루션을 의미하며 이는 고객의 요구를 반영한 기능 조합 및 확장이 가능한 솔루션으로 단순 보안 솔루션의 개념에서 벗어나 업무 프로세스를 정의하고 관리하는 인프라로써 업무효율성, 생산성, 보안성의 극대화를 통해 확실한 이익창출을 보장하는 비즈니스 툴로 정의할 수 있다.

IAM Management Framework

EAM과 IAM의 차이점

EAM솔루션은 차등적 접근 제어를 구현하기 위해서 시스템 관리자가 직원들의 접근 권한을 수작업으로 입력해야 됨으로 시스템 관리에 소요되는 시간 및 비용 손실이 크기 때문에, 이러한 문제점을 해결하기 위해 기존 EAM에 자동적 권한 부여 및 관리 기능을 추가한 것이 IAM이다.

즉, 기존 EAM에 사용자 계정과 권한 관리를 위한 기술로 유저 프로비저닝(User Provisioning)과 전사적 접근관리, 분산관리, 패스워드 관리, SSO를 포함한 통합 보안 기술을 지칭한다.

구분 SSO EAM IAM
공통점 • 기업내 다양한 시스템의 접근 통합관리 보안 솔루션
관련기술 • PKI, LDAP • SSO, AC, LDAP, PKI, 암호화 • 통합자원관리+ Provisioning
특징 • 하나의 ID,PWD로 다양한 시스템 접근 • SSO+정책기반+접근제어 • 기업 업무프로세스 근거한 사용자관리 및 접근제어
장단점 • 권한에 따른 접근제한기능 없음 • 시스템관리(권한제어)의 비용/시간 손실 발생 • 자동화된 자원관리로 확장성 용이


EAM과 IAM 영역 비교

IAM 도입 효과

IAM은 기존의 EAM의 주요 기능에 자동적인 사용자 관리기능을 추가함으로써 업무 중심의 서비스 체계를 구현하여 관리 비용 및 효율적인 계정관리가 가능하게 된다.

구분 설명
통합적이고 중앙집중적인 계정관리 서비스 제공 • 일괄된 정책에 따라 사용자와 자원을 효과적으로 관리할 수 있는 통합관리 인프라 구축
• 전사적인 보안 정책과 표준 정립으로 기업 이미지 강화
• 통합적인 감사 및 리포팅 능력 강화
비용 대비 효율성 증가 • SSO구현으로 업무 시스템에 단일 로그인이 가능하여 사용자 만족도 및 생산성 향상으로 비용 절감 효과
• 자동화된 계정/자원 관리로 획기적인 생산성 향상
강력한 보안 체계 구현 • 어플리케이션 개발 시 공통적인 사용자 인증/자원관리 모듈 사용으로 어플리케이션 품질향상 및 중복 투자 방지
• 중앙 집중적인 권한 관리로 필요시 신속하게 권한 부여, 회수 등의 기능을 사용한 관리비용 절감
• 신속한 기밀 권한 회수 및 중앙 집중적인 감사로 기밀 유출 가능성 방지 및 해킹 사고 발생 시 추적 용이
• 일괄적인 ID/PWD 생성, 삭제 등으로 기밀정보 유출 가능성 감소


IAM 도입 효과

IAM의 주요 특징

IAM은 기본적으로 EAM 솔루션이 가지고 있는 주요 특징을 모두 가지고 있으며 추가적으로 다음과 같은 특징이 존재한다.

구분 설명
통합 저장소를 이용한 중앙 집중 관리
프로비져닝 기능을 이용한 자동 계정관리 • 조직내에 인사 이동이나 직무 변경이 발생해 사용자가 접근하는 자원의 범주가 변경됐을 경우 프로비저닝 기능을 이용하여 보다 원활한 계정관리 가능
- 유저 프로비저닝(User Provisioning): 새로운 사용자 발생 시 자동으로 계정을 발급하고 접근 권한을 부여하는 기능
- 유저 디프로비저닝(User De-Provisioning): 기존 사용자가 더 이상 계정을 사용하지 않는 경우 자동으로 계정을 소멸시키고 부여된 권한을 삭제하는 기능
워크플로우를 통한 계정관리 강화
기존 액세스 컨트롤 및 SSO 기능 지원 • 액세스 컨트롤 및 SSO는 기존의 EAM 솔루션과 동일한 기능으로 프로비져닝과 워크플로우, 정책관리에 의해 수립된 정보를 통해 사용자가 특정 어플리케이션이나 시스템의 자원 요청을 확인하고 조절함
강화된 감사•리포트 기능 지원 • IAM솔루션은 계정의 요청, 승인, 수정 및 삭제된 감사기록을 저장함으로써 이 과정에서 잘못된 요청, 중복된 인증, 인가 취소 등에 대해 담당자가 필요로 할 경우 언제든 가시화된 보고서로 제공하며 이러한 감사기록을 통해 현재 진행되고 있는 정책과 향후 계획에 대해 대처할 수 있음
사용자에 의한 패스워드 관리 • IAM 솔루션에서 사용자 자신이 패스워드를 관리하고 여러 시스템의 패스워드를 동기화할 수 있도록 함

IAM 주요 기능

계정관리 기능

IAM솔루션에서는 신규 사용자 설정, 접근취소, 신규 어플리케이션 승인에 소요되는 시간을 줄여주며, 자동 태스크로 계정관리 프로세스를 처리하게 된다. 이러한 자동 태스크를 통해 맞춤형 정책 적용이 가능 하며, 모든 접근 권한 관리를 이행하도록 설정될 수 있다.

구분 설명
인증관리 기능 • IAM 솔루션에서는 사용자의 인증을 위해 제품별 고유의 “인증 보안 메커니즘”을 사용하게 됨
• 이러한 메커니즘은 패스워드 모듈, 토큰, X.509 인증서, ID/패스워드& X.509 인증서와 폼 기반 인증의 조합 등 다양한 레벨의 광범위한 인증방법을 지원하며, 현재 대다수의 IAM 솔루션은 생체인식 및 스마트카드 같은 다른 보안 강도가 높은 인증 메커니즘을 지원함
ID 정책 다양한 조건의 사용자 ID 명명 규칙 적용
Password 정책 • 다양한 조건의 패스워드 적용 규칙 적용
인증방식 • 사용자 인증방식은 제조사별 고유 인증 메커니즘을 사용하고 있지만 일반적으로 다음과 같은 인증기법을 지원하고 있음
- Basic ID/Password Authentication, X.509 Browser Certificate Authentication, 국내/외 공인/사설 인증 지원
- HTML Forms-Based Authentication, NTLM(Kerberos) Based Authentication
- Digest Authentication, 기타 고객의 특수환경 별 인증 방식(생체인식 등)
프로비저닝 정책 • 프로비저닝 서비스는 IAM솔루션의 핵심 기능으로 어떤 사용자/그룹이 어떤 권한을 가지고 관리대상 시스템에 대해 계정이 생성되어야 하는지에 대한 정책과 실제 계정이 만들어 지는 프로세스를 정의/관리하는 기능임
• 프로비저닝은 다음과 같은 두가지 개념을 통해 정의할 수 있음
- Membership : 프로비저닝의 대상이되는 사용자로써 사용자 개인이 아닌 Access Rule에 따라 구성됨
- Entitlement : 사용자 계정이 추가되어야 하는 관리대상 서버로써 Entilement를 통해 관리대상 서버가 지정되면 Membership에 지정된 사용자만이 해당 관리 대상 서비스를 사용할 수 있도록 정책이 적용됨
워크플로우 적용 • 워크플로우는 사용자 계정을 관리하기 위한 작업 프로세스를 일련의 과정을 통해 자동화하는 것임
• 일반적으로 사용자 계정 생성/변경/승인에 대한 요청/승인/거부/시스템 반영 등의 작업 절차를 워크플로우에 정의함
Workflow diagram
User Self Service • IAM솔루션에서 관리하는 사용자는 자신의 정보(주소, 전화번호, 패스워드 등)를 직접 수정함으로써 관리자가 계정관리에 들어가는 노력을 최소화할 수 있음
• 일반적으로 사용자는 IAM솔루션을 통해 자신이 로그인할 수 있는 시스템의 패스워드를 직접 수정하며 수정된 패스워드는 관리대상 시스템으로 실시간 동기화됨
• 또한, 사용자에 의한 패스워드 변경 방법은 패스워드 분실 시 문/답 내용을 통한 변경 및 로그인 시 변경 등의 방법을 이용하게 됨

권한관리 기능

IAM솔루션에서는 권한관리를 위하여 중앙에서 관리자에 의한 일괄 적용 또는 ‘권한 위임’을 통하여 특정 중간관리자에게 위임할 수 있다. 대다수의 IAM솔루션에서는 권한관리를 위하여 RBAC에 기반을 둔 인증 프로세스를 제공하고 있다.

구분 설명
Role-Based Access Control • IAM솔루션에서는 사용자 역할을 기반으로 관리대상 시스템의 사용권한을 결정하며 관리자는 계층적으로 Organization 구성
• 계층적으로 구성된 Organization안에 Organization Role을 정의하게 되며 이러한 Role은 관리대상 시스템 별로 접근할 수 있는 사용자/그룹을 포함함
- RBAC : 서비스/자원에 임의적/직접적으로 사용자의 권한을 할당하는 개념에서 벗어나, “역할:role”이라는 Function Set에 사용자(User), 업무 수행에 필요한 서비스자원(Object), 권한(Permission)을 동적으로 부여하는 개념임
- RBAC과 관련된 세부 내역은 “KBSP-SEC-INF-008 허가서비스”에서 별도로 기술함
권한 위임 • IAM솔루션은 계층적인 구조의 조직 구조를 따라 Organization Unit을 작성할 수 있으며 Unit별로 중간관리자 설정
• 중간관리자는 기존의 관리자 권한을 가진 사용자에 의하여 관리권한을 위임 받으며 특정 사용자/그룹을 대상으로 모든 권한 / 일부권한을 부여 받게 되어 관리자의 역할 분담

기존 통합저장소 활용 기능

현재 출시되는 대다수의 IAM솔루션은 기존 디렉토리 및 사용자 정보 데이터베이스를 통합할 수 있기 때문에 기존 사용자를 재구성할 필요가 없다.

이러한 기존 통합저장소 활용 기능은 인증정보와 정책정보를 각각 다른 Repository를 이용하여 구성하게 되며 기존의 DB구조를 변경 없이 사용할 수 있으며 여러 이기종 DB(LDAP + RDB + Domino Directory 등)간의 연동이 가능하다.

Repository 구성 및 권한 위임

로깅, 감사, 리포팅 기능

IAM솔루션은 모든 작업에 대한 모니터링 및 로깅이 이루어 지고 있으며 다음과 같은 주요 기능이 존재한다.

시스템 구성요소 및 구성도

시스템 구성요소

IAM의 구성요소는 솔루션 업체에 따라 일부 다르게 구성될 수 있으나 일반적인 구성 요소는 다음과 같다.

구성요소 세부요소 내용
서버엔진 정책 엔진 • 사용자 계정 관리 및 인증
• 인증된 사용자에 대한 사용권한 검증
• 인증, 인가 서비스에 대한 요청/결과 정보 기록
관리 엔진 • IAM솔루션의 모든 구성요소 관리
• 보안정책 사용자의 계정 조직 구성/관리
• 사용자/자원에 대한 권한 정책 관리
DB Repository • 사용자정보 저장 및 정책정보 저장
에이전트 에이전트 • WEB, Application 서버 등에 설치되어 서버엔진에서 부여된 보안정책 실행

SafeIdentity 구성요소 -  소프트포럼 SafeIdentity 전체구성 아키텍처 – 소프트포럼

시스템 구성도

IAM솔루션은 일반적으로 서버엔진 및 에이전트, Repository로 구분되어 설치되며 서버엔진의 경우 시스템 성능을 고려하여 정책엔진과 관리엔진으로 분리하여 운영할 수 있다.
시스템 구성도