디지털 인증과 접근권한 관리

In 어드바이저리

ID 및 액세스 관리(IDM)는 모든 정보 보안 프로그램의 기본 요소이며 사용자가 가장 많이 상호작용하는 보안 영역 중 하나입니다.

EY는 이렇게 도와드립니다

인증 및 접근권한 관리(IAM)는 전사적 자원에 대한 접근을 관리하는 업무입니다.

과거 IAM은 접근권한 관리 및 관련 컴플라이언스 요구를 지원하는 기능구축에 중점을 두었습니다. 이 솔루션은 권한설정 기술에 초점을 맞추었고, 그 결과 제대로 도입되지 않았습니다.

또한 높은 비용에 비해 가치는 제한적이었습니다. 당시 조직들은 컴플라이언스 준수 요구사항을 충족시키기 위해 많은 어려움을 겪었으나, 이 솔루션은 극소수의 애플리케이션 및 시스템만 관리할 수 있었습니다.

위험과 비용은 줄이면서 운영 효율성을 향상할 수 있는 중앙집중식 표준화된 자동 인증관리 서비스는 구현이 어려웠습니다. 그러나 이제는 많은 조직이 고유의 컴플라이언스 요건을 이해할 뿐 아니라 충족하고 있기 때문에 가능합니다.

컴플라이언스는 여전히 IAM 업무의 핵심요소이지만, 최근 IAM은 자격관리(entitlement)와 논리적 접근 통제에 중점을 둔 위험 기반 프로그램으로 진화하고 있습니다.

IAM 수명주기단계

인증과 접근승인 관리는 세 단계로 나눌 수 있습니다.

  • 1. 사용자 접근 요청과 승인

    목표

    업무상 필요한 애플리케이션과 시스템, 데이터 접근권한 획득

    공통과제
    • 프로세스는 지역과 사업단위, 자원에 따라 다릅니다.
    • 승인권자는 사용자 접근권한이 필요한 상황에 대한 정보가 부족합니다. 해당 사용자에게 개인 또는 기밀정보 접근권한이 정말 필요합니까?
    • 사용자들은 필요한 접근권한 요청이 어렵다고 호소합니다.
  • 2. 권한 조정

    목표

    시스템 접근요청을 기승인된 접근수준과 비교해 접근권한 실행

    공통과제
    • 시스템상 실제 권한이 기존 승인되거나 허가된 수준을 초과합니다.
    • 임직원과 외부인에 대한 단일 권한 인증 저장소가 없습니다.
  • 3. 검토 및 검증

    목표

    사용자 접근권한을 정기적으로 검토해 직무권한이나 역할과 일치시킵니다.

    공통과제
    • 프로세스는 수작업으로 이루어지며 지역과 사업단위, 자원에 따라 다릅니다.
    • 검토자는 반드시 수차례, 반복해서, 세부사항까지 접근권한 검토를 완료해야 합니다.
    • 검토자는 사용자 접근권한이 필요한 상황에 대한 정보가 부족합니다.
차세대 IAM 참고 아키텍처

차세대 IAM 아키텍처는 전체 IAM 생태계와 수명주기(즉, 인증 거버넌스와 관리, 접근권한 관리, 특수권한, 고객인증관리)를 통합 관리하도록 설계되었습니다.

EY의 차세대 IAM 아키텍처는 IAM 구현의 복잡성을 낮추고, 기존 및 신규 IAM 적용사례를 처리하고, 중대한 조직 변화(예: 디지털 전환, 기술 업그레이드, 인수합병, 관리형 서비스 전환 등)에 신속하게 대처할 수 있습니다.

IAM의 주요 역할

기업의 IAM 혁신 계획에는 다음 내용이 포함되어야 합니다.

  • 규칙 마이닝 툴을 사용한 직무 또는 애플리케이션 접근권한 매트릭스
  • 직무 또는 애플리케이션 접근권한 매트릭스와 업무분장 점검을 통한 업무흐름도 기반 자동화된 접근권한 요청과 승인 프로세스
  • 자격관리 웨어하우스 솔루션
  • 접근권한 프록시 솔루션과 인증 통합관리(애플리케이션, 호스트, DB 레이어)
  • 리스크 기반 인증 솔루션
  • 데이터 손실 방지(Data Loss Prevention; DLP), 보안정보 및 이벤트 관리와 통합된 인증 애널리틱스 및 행동분석 서비스
  • HR, 애플리케이션 담당자, 정보보안과 IAM 이해관계자를 포함하는 데이터와 접근권한 관리 프로세스 거버넌스 프로그램
  • 통합솔루션(페더레이션 솔루션)
  • 논리적 보안과 물리적 보안을 결합하는 새로운 솔루션
  • 미래 확장성 요건을 고려해 설계한 솔루션

대부분 조직은 사이버 보안에 필요한 역량과 자원이 턱없이 부족합니다. EY는 관련 자원을 교육하고, 육성한 뒤 배치까지 진행해 EY의 풍부한 사이버 보안 경험을 기업에 내재화시킴으로써 기업이 장기적으로 자체적인 보호 역량을 갖추도록 도와드립니다.

문의하기

도움이 되셨나요? EY 전문가에 문의해 더 자세한 이야기를 알아보세요.