• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[IAM-5]사전에 명확한 로드맵 수립이 중요 2008.12.23

단계식 접근법에 따라 점진적으로 구현


IAM 솔루션을 기존의 기업 애플리케이션과 완벽하게 통합하고 IAM의 기능을 100퍼센트 활용하는 데 필요한 프로세스 변경 작업을 모두 완료하는 데에는 수개월이 소요될 수도 있다. 하지만 그렇다고 해서 이런 과정이 모두 끝날 때까지 기다려야만 IAM 프로젝트의 투자 효과를 체감할 수 있다는 뜻은 아니다. 사전에 명확한 로드맵만 수립한다면 단계식 접근법에 따라 점진적으로 솔루션을 구현할 수 있다. 다음과 같이 그러한 방법론을 제시한다.


■ 시작은 작게

IAM 기술이 사내의 모든 구성원에게 영향을 미친다는 점을 감안하면, 처음 구현할 때부터 올바른 솔루션 구현을 보장할 수 있어야 한다. 이를 위한 가장 좋은 방법은 가능한 한 작은 규모로 시작하는 것이다.


가장 먼저 구현할 기능을 선택할 때는 가치 실현 기간을 염두에 두고, 즉각적이고 명백한 편익을 제공할 수 있는 기능을 골라야 한다. 이 같은 기능의 가장 전형적인 예는 바로 셀프서비스 패스워드 재설정 기능이다. 패스워드 재설정 문제를 최종사용자가 스스로 해결할 수 있게 해줌으로써 헬프데스크 및 보안 관리자의 업무 부담을 줄이고 최종사용자와 IT 조직의 생산성을 단기간 내에 높일 수 있기 때문이다. 60~90일 내에 투자 성과를 입증하는 것을 목표로 삼는다.


■ 범위 확대

성공적인 초기 구현을 통해 어느 정도 자신감을 얻고 나면 규모를 점점 더 늘려가며 단계식 구현에 착수한다. 소규모 부서에 먼저 솔루션을 구현한 후, 그 다음에는 보다 규모가 큰 부서를 대상으로 삼는 식이다.


■ 기능성 추가

후속 단계에서는 지금까지 구현한 시스템에 더 많은 기능을 추가하는 데 초점을 맞춘다. 중요한 것은 역할 설계를 통해 직원들의 다양한 역할 및 각 역할에 필요한 IT 자원을 정의하는 일이다.


IAM 솔루션의 가치를 실현하기 위해서는 정확한 역할 정의가 무엇보다 중요하다. 정의된 역할에 따라 자원 프로비저닝 및 디프로비저닝을 자동화하게 되기 때문이다.


신입사원이 입사하더라도 그 직원이 담당하게 될 직무 기능이 무엇인지만 알면 필요한 모든 자원을 프로비저닝할 수 있다. 최종적으로는 그와 같은 프로비저닝 과정에 IT 조직이 개입할 필요조차 없게 될 것이다. 프로비저닝 프로세스가 자동화되면 인사 담당자나 관리자가 모든 조치를 취할 수 있기 때문이다.


■ 동시 진행

정확한 역할 정의를 위해서는 비즈니스 조직과 IT 조직 간의 긴밀한 협력이 요구되지만, 엄밀히 말하자면 역할 정의는 비즈니스 조직이 주도적으로 나서야 할 영역이다. 개별적인 비즈니스 역할에 대해 소상히 알고 있는 것은 비즈니스 담당자들이기 때문이다.


따라서 역할 정의에는 상당한 시간이 소요된다. 하지만 역할 정의 과정은 다른 프로젝트 단계와 동시에 진행이 가능하고 또 동시 진행이 필요하다. 관건은 회사와 최종사용자에게 편익을 제공할 수 있는 프로젝트 요소를 단계적으로 완료하여 프로젝트 전체의 가치 실현 기간을 개선하는 것이다.


이와 같은 단계식 프로젝트 진행을 위해서는 강력한 프로젝트 관리 기능이 필요하다. IT 조직의 인원이 한정돼 있다는 점을 감안하면, IT 담당자 개개인에게 동시에 너무 많은 작업을 요구하는 과부하 사태가 발생하지 않도록 신중을 기해야 한다.


■ 다층적 접근방식

IAM 프로젝트에 다층적 접근방식을 도입하여 효과를 보는 기업들도 적지 않다. 즉 다음과 같이 다층적으로 프로젝트를 구성하는 방식이다.


▲ 전사적 사용자 리파지토리(repository)

각기 다른 애플리케이션 및 플랫폼과 연계된 다양한 사용자 스토어에 포함된 ID에 링크할 수 있는 전사적 사용자 리파지토리를 하나 구현하고 필요한 모든 사용자 속성을 포함시킨다. 이 사용자 리파지토리는 ID 관리의 토대가 된다.


이후 각 이 전사적 사용자 리파지토리를 사용할 수 있도록 각 애플리케이션의 구성을 변경해나가면서 여타의 사용자 리파지토리는 점진적으로 폐기한다.


▲ 감사 추적 기능

ID를 생성, 변경, 삭제할 때마다 상세한 변경 내용이 포함된 로그 기록이 생성되도록 감사 추적 기능을 구현한다.


마찬가지로 사용자들이 다양한 자원에 로그온하고 액세스할 때마다 사용자 개개인이 어떤 자원에 액세스하고 무엇을 변경하는지 추적할 수 있어야 한다. 감사 추적 기능은 각종 규제에 대한 컴플라이언스를 보장하며, 기업이 법적 조사를 받게 되는 경우 전자 증거 수집(e-discovery)에도 도움이 된다.


▲ 역할 관리 기능

앞에서 설명한 바와 같은 역할 관리 기능을 구현하되, 최종적인 목표는 사용자 ID를 생성할 때 대부분의 액세스 권한이 자동으로 생성되도록 만드는 것이어야 한다.


■ 지능적인 구현 전략

프로젝트의 각 단계를 구현할 때마다 그에 대한 홍보 노력도 동시에 병행해야 하며, 헬프데스크 담당자들이 프로젝트 구현으로 인해 발생한 예기치 않은 문제를 처리할 수 있도록 준비시켜야 한다. 물론 빠른 시간 내에 지속적으로 투자 효과를 확인할 수 있도록 점진적으로 구현해야 한다.

[글ㆍ조상원 한국CA 보안 시니어 컨설턴트 Sangwon.cho@ca.com]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>