• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[IAM-3]현재 보안상태 ‘있는 그대로’ 파악해야 2008.12.15

현황과 목표를 명확히 인식하라


이번 장에서는 이전에 소개한 ‘성공적인 IAM 구현의 5가지 열쇠’라는 주제로 베스트 프랙티스 다섯 가지 중에서 첫 번째 항목이었던 ‘현황과 목표를 명확히 인식하라’를 상세하게 소개한다. 아울러 다음 장에서부터 기고되는 글들은 그러한 IAM 구현의 5가지 열쇠로 소개된 내용들을 차례로 상세하게 소개하는 것을 밝히며, 편집자 주는 생략함을 밝힌다. - 편집자 주 -

 

IAM 구현 프로젝트의 투자 가치를 극대화하기 위해서는 항상 최종 목표를 염두에 두고 프로젝트에 임해야 한다. 이를 위해서는 현재의 보안 상태를 ‘있는 그대로’ 파악하고, 현 상태와 목표 상태의 간극을 메울 수 있는 현실적인 계획을 수립해야 한다.


또한 IAM 프로젝트를 추진하게 된 비즈니스 동기가 무엇인지 이해하고 IT 전략이 비즈니스 전략에 부합하도록 보장해야 한다.


■ 비즈니스 관점의 필요성

IAM 프로젝트의 최종 목표나 장차 원하는 목표 상태를 정의할 때는 프로젝트의 가치를 조직 구성원들에게 입증할 수 있도록 비즈니스적 관점에서 정의해야 한다. 가령 패스워드 재설정 기능의 기술적 장점을 이야기할 것이 아니라, 그 기능이 어떤 생산성 개선 효과를 가져올 것인지 설명해야 한다.


최종사용자가 패스워드를 잊어버리더라도 온라인상에서 단 몇 초면 재설정이 가능하기 때문에 즉시 업무에 복귀할 수 있다는 점을 강조하는 것이다. 더 이상 헬프데스크에 도움을 요청하느라 15분 이상의 시간을 허비할 필요가 없다는 점을 설명해야 한다.


이는 다시 헬프데스크에 대한 서비스 수요를 경감시켜 IT 담당자들이 보다 중요하고 전략적인 업무에 더 많은 시간을 할애할 수 있게 해준다. 이와 같은 논의를 통해서만 비즈니스 조직 임원들의 지원과 관심을 이끌어낼 수 있고 IAM 프로젝트가 비즈니스 목표에 부합한다는 점을 확신시킬 수 있다.


물론 IAM이 단순히 패스워드 재설정 기능만 제공하는 것은 아니다. IAM은 자원 프로비저닝과 디프로비저닝(deprovisioning)을 지원하여 견실한 보안 태세의 기초를 확립하며, 앞서 언급한 바와 같이 비즈니스 인에이블러로써의 기능도 수행한다.


IAM 기술의 역할은 각 기업의 비즈니스 요구사항에 따라 달라지므로, IT 관리자는 자사의 비즈니스 요구에 가장 적합한 IAM 전략을 결정해야 한다.


■ 보안 성숙도 파악

최종 목표를 정의하는 것과 함께 현재의 보안 상태를 ‘있는 그대로’ 파악하는 것도 중요하다. 이를 통해 부족한 부분이 무엇이고 목표 상태를 달성하기 위해 필요한 조치는 무엇인지 정확하게 파악할 수 있기 때문이다.


이를 위해서는 현재의 보안 태세에 대한 솔직한 평가가 필요한데, 내부 직원의 입장에서는 이 같은 솔직한 평가가 쉽지 않을 수도 있다. 그럴 경우 외부의 서비스 제공업체에 의뢰하여 보안 태세에 대한 평가를 실시할 수도 있다.


이와 같은 평가는 현재의 보안 인프라에 대한 큰 그림과 장차 원하는 목표를 달성할 수 있는 방법에 대한 개략적인 청사진을 제공한다.


일례로 한 대형 제약회사는 보안 평가 단계에서 외부 서비스 업체의 도움을 받았고 서비스 결과에 만족했다. 이 같은 보안 평가를 통해 이 제약회사는 전체적이고 개괄적인 IAM 전략을 수립하고 보안 조직과 IT 조직을 개편했으며, 기존의 다양한 포인트 보안 솔루션을 모두 망라하는 통합된 로드맵을 개발할 수 있었다. 또한 이 회사는 5개년 프로젝트 계획 및 예산 수립에도 이 평가 보고서를 활용할 계획이다.


■ 비전에서 로드맵까지

궁극적으로 IAM 프로젝트 계획에는 다음과 같은 4가지 요소가 필요하다.


▲ 비전

기업의 전체적인 IT 전략 및 보안 전략의 일환으로 IAM 전략의 목표를 문서화한 것.


▲ 프로젝트의 사명(mission statement)

비전을 실현하는 과정에서 누구에게 어떤 권한을 부여할 것인가를 정의한 것으로, 고위경영진의 지지를 받아야 한다. 조직 구성원들이 각자의 사명을 수행할 수 있도록 IAM 전략을 구현하는 데 참여하는 모든 집단과 개개인에게 일정한 권한을 부여한다는 인식을 심어주는 것이 중요하며, 구성원들에게 경영진의 승인 및 지원 하에서 이루어지는 프로젝트라는 점도 주지시켜야 한다.


▲ 평가 척도의 정의

IAM 목표를 달성했을 때 이를 명확하게 입증할 수 있는 평가 기준으로, 객관적인 측정 및 수치화가 가능한 기준을 정의해야 한다.


▲ 프로젝트 로드맵

모든 프로젝트 단계와 결과물 및 일정 등, 어떤 방법으로 프로젝트 목표를 달성할 것인지를 정의한다. 특정 내부 프로세스에 대한 변경이 필요할 수 있으므로, 반드시 프로세스 변경에 대한 논의를 로드맵에 포함시켜야 한다.


이상에서 살펴본 바와 같이 IAM 프로젝트에 대한 계획을 수립하기 위해서는 전략적인 사고가 요구된다. 하지만 프로젝트를 수행하는 과정에서는 일련의 전술적인 조치도 필요하다.

[글ㆍ조상원 한국CA 기술부 차장, Sangwon.cho@ca.com]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>