모든 조직구성원들의 적절한 참여를 이끌어내라

IAM 보안 기능, 사용자 인증ㆍ허가 및 감사와 관련 코딩 업무 줄여

IAM은 사실상 조직의 모든 구성원에게 영향을 미친다는 점에서 IT팀과 경영진은 물론이고 최종사용자 집단까지 다양한 구성원들을 대표할 수 있는 프로젝트 팀이 필요한 것은 당연한 일이다. 그런 이유로 IAM 구현을 위해서는 다양한 구성원을 아우르는 포용적인 접근방식이 중요하다.

■ 경영진 및 비즈니스 담당자

어떤 IT 프로젝트도 경영진과 비즈니스 조직 임원들의 지원 없이는 오래갈 수 없다. 필요한 예산을 확보하기 위해서도 그렇지만, 솔루션 구현 과정에서 필요한 권한을 부여 받기 위해서도 이들의 지원은 필수적이다.

IAM은 기업 보안의 토대이며 IAM 프로젝트는 기업의 데이터, 특히 고객 데이터 관리가 중요하다는 사실을 이해하고 이를 관련자들에게 인식시킬 수 있는 고위경영진을 한 사람 이상 확보해야 한다. 그리고 IAM 프로젝트는 다양한 비즈니스 영역에 영향을 미치기 때문에 광범한 지원을 확보하는 것이 부서별 경계를 뛰어넘는 전사적인 프로젝트 진행에 도움이 된다.

또한 프로젝트의 성공을 위해서는 비즈니스 담당자들의 적극적인 참여도 필요하다. 가령  IAM은 사내의 다양한 기능에 대한 역할을 만들어내고 사람들의 업무 방식을 변화시킬 수도 있다. IT 조직만으로는 이와 같은 역할이나 프로세스 변경을 정의할 수 없기 때문에 해당 영역에 대해 가장 잘 아는 비즈니스 담당자들의 참여가 필요하다.

■ 애플리케이션 책임자

궁극적으로 IAM 솔루션은 회사를 움직이는 다양한 애플리케이션에 대한 액세스 권한을 제공한다. 따라서 IAM 프로젝트의 초기 단계부터 이와 같은 애플리케이션을 책임지고 있는 비즈니스 담당자 및 IT 담당자와의 협의가 이루어져야 한다.

IAM 프로젝트의 평가 단계 및 계획 수립 단계는 애플리케이션 책임자들의 참여와 지원을 이끌어낼 좋은 기회가 된다. 이들에게 계정(ID) 관리 및 보안과 관련된 어려움이 무엇인지 묻고, IAM 프로젝트가 이와 같은 어려움을 완화하는 데 어떻게 도움이 되는지 다음과 같이 설명해야 한다.

▲ IAM은 본질적으로 보안 기능을 개별 애플리케이션으로부터 분리시키기 때문에 사용자 인증ㆍ허가 및 감사와 관련된 코딩 업무가 줄어든다.

▲ IAM의 통합 기능을 통해 최종사용자(직원, 고객, 비즈니스 파트너 포함)는 하나의 사용자 ID로 필요한 모든 애플리케이션에 액세스할 수 있고 전사적으로 다양한 애플리케이션에 대해 SSO(Single Sign-On) 기능을 활용할 수 있다.

▲ 각 부서별 및 애플리케이션별 지원 인력의 ID 관리 부담을 완화한다.

▲ IAM이 제공할 수 있는 직접적인 편익에 대해 이해하고 나면 비즈니스 담당자들이나 IT 담당자들 모두 강력한 지지를 보낼 것이며, 이 같은 지지는 IAM 솔루션에 대한 비즈니스 케이스를 입증하고 장기적인 예산을 확보하는 데 큰 도움이 될 것이다.

■ 마케팅

IAM 프로젝트의 혜택은 사내의 모든 조직에게 돌아간다. IAM 프로젝트가 소기의 성과를 거두지 못하는 경우는 대개가 이와 같은 혜택을 다양한 조직들에게 명확하게 설명하지 못했기 때문이다.

명확한 설명과 충분한 홍보가 이루어졌을 때에만 다양한 조직들이 IAM 프로젝트로 인한 변화를 이해하고 이를 수용할 수 있다. 이런 홍보 역할은 마케팅 조직이 적임자로 IAM 프로젝트 관리자는 사내의 마케팅 조직이나 외부의 마케팅 업체로부터 전문적인 도움을 구해야 한다.

프로젝트 전략을 수립하고 경영진의 지원을 확보하는 동시에 홍보 작업을 시작하는 것이 가장 이상적이다. 홍보 과정에서는 항상 기술적인 측면이 아니라 편익에 초점을 맞춰야 한다. 즉 사용자들이 어떤 기능을 통해 각자의 업무를 보다 신속하고 효과적으로 수행할 수 있게 될 것인지를 설명해야 한다. 또 과대광고에 대한 유혹을 이겨내야 한다. 기대에 못 미치는 것보다는 지킬 수 있는 것만 약속하고 목표를 초과 달성하는 편이 더 낫다.

■ 최종사용자

최종사용자는 궁극적으로 IAM 시스템의 영향을 가장 많이 받게 되는 당사자들이기 때문에, 프로젝트의 범위를 설정할 때 최종사용자 집단의 의견이 충분히 반영되어야 한다. 최종사용자들이 다양한 애플리케이션을 어떻게 사용하고 있는지 정확하게 파악할 수 있도록, 각 부서별로 최종사용자의 참여를 이끌어내야 한다. 이를 통해 최종사용자들이 IAM 솔루션 도입으로 인한 변화에 어떻게 대응할 것인지 명확하게 파악할 수 있다.

■ 전담 인력ㆍ시간 확보

구성원들의 적절한 참여를 이끌어내는 것만큼이나 중요한 것이 프로젝트가 완료될 때까지 이들이 일정한 시간을 할애해야 한다는 사실을 주지시키는 일이다. IT 조직의 경우에도 마찬가지이다. IAM 프로젝트가 진행되는 동안에는 그때그때 긴급하게 해결해야 할 일들이 끊임없이 이어지기 때문에 업무 시간 중 일정한 시간을 할애하여 프로젝트 관리를 전담할 직원들을 지정해야 한다. 또 프로젝트 단계에 따라서는 비즈니스 프로세스 변경 등의 업무를 처리할 수 있도록 비즈니스 조직에도 전담 직원을 요청해야 한다.

이와 같은 전담 인력이 확보되지 않을 경우, 프로젝트는 좌초되기 쉽다. 일례로 호주의 한 기업은 IAM 전문 벤더가 진행하는 IAM 프로젝트에 착수하면서 프로젝트를 총괄할 담당자로 IT 직원 1명을 지정했다. IAM 벤더는 일주일간 이 회사에 나와 프로젝트를 진행했지만 그 IT 담당자는 회의에 불참하기 일쑤였고 참석하더라도 잠깐씩 얼굴만 비칠 뿐이었다. 그는 프로젝트가 완료되자 프로젝트 책임자로 나섰지만 새로운 기술에 대해 제대로 이해하지 못하고 있었다. 결국 이 회사는 6개월 뒤에 프로젝트를 다시 실행해야 했다.

[글ㆍ조상원 한국CA 보안 시니어 컨설턴트 Sangwon.cho@ca.com]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>