정보보호 커뮤니티인 시큐리티플러스(SecurityPlus)는 최근 ‘통합 계정 및 권한 관리 참조 가이드라인: 표준 제안 요청서’를 연구 및 저작해 발표했다.

차세대 자동화 보안 인프라스트럭처가 정보보호의 핵심이 되고 있지만, 통합 계정 및 권한 관리 시스템 솔루션 도입에 있어 각 산업별 공통으로 참고할 수 있는 마땅한 실무 가이드라인이 없었기 때문에 이 자료는 유용해 보인다.

이번에 발표된 가이드라인에서는 통합 계정 및 권한 관리의 핵심 기술 요구 사항으로 ▲대상 시스템 통합 관리를 위한 연계 방안, ▲사용자 셀프 서비스, ▲접근 권한 정책 준수 강제화, ▲접근 권한 신청 승인과 프로세스 자동화, ▲감사 추적과 보고, ▲관리 위임, ▲역할 기반 혹은 요청 기반의 접근 관리, ▲법적 요구사항 준수 등 여덟 가지를 제시했다.

박형근(한국IBM 보안컨설턴트) 시큐리티플러스 대표 운영자는 “본 가이드라인 발표를 통해 보안 관리의 첫 번째이며, 모든 정보처리 시스템 및 정보보호 시스템의 보안 통제 정책 기반인 전사 계정 및 권한 관리에 대한 프로세스 혁신 및 자동화에 도움 되길 바란다”며 “이를 통해 전반적인 IT 보안 관리의 생산성, 효과성 및 효율성 향상을 이루어 보다 혁신적인 정보 위험 관리를 수행할 수 있기를 바란다"고 말했다.

시큐리티플러스에서는 본 가이드라인의 폭넓은 활용을 위해 CCL 방식의 저작권을 따라배포한다고 밝혔다.

해당 자료는 http://cafe.naver.com/securityplus/12217 페이지에서 무료로 다운로드 받을 수 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>