전 세계 조직은 ID 및 액세스 관리(IAM) 시스템 내에서 무단 액세스와 규정 준수 격차에 점점 더 취약해지고 있으며, 디지털 자산을 보호하기 위해서는 사전 예방적 접근 방식이 필수적이다.

인포테크 리서치 그룹(Info-Tech Research Group)은 보안 목표를 규제 요구 사항과 일치시키는 포괄적이고 시기적절한 IAM 개선 전략을 제공하기 위해 ‘종합적인 IAM 개선 전략 개발’에 대한 보고서를 발표했다.

인포테크 리서치 그룹 수석 연구 책임자인 미셸 에베르(Michel Hébert)는 “종합적인 IAM 프로그램을 구현하기 위해서 실무자들은 이해관계자들과 협력하여 시스템, 애플리케이션, 디렉터리를 통합하고, 기술 부채와 노후 인프라를 해결하고 강력한 보안 조치와 원활한 사용자 경험의 균형을 맞추는 것이 필요하다.”고 설명했다.

인포테크의 보고서는 IAM 프로그램 관리에서 기업들이 직면한 주요 과제로 복잡성 관리, 확장성 확보, 부서 간 협업을 지적했다. 특히 대규모 IT 환경을 가진 조직의 경우 여러 시스템과 애플리케이션, 디렉터리 통합이 어려운 것으로 나타났다. 조직이 발전함에 따라 IAM 시스템은 더 많은 사용자, 변화하는 액세스 요구 사항, 클라우드 서비스 및 모바일 장치와 같은 새로운 기술을 지원하기 위해 확장해야 한다.

미셸 에베르는 “기업들은 IAM 과제 해결을 위해 자동화와 셀프 서비스를 핵심 솔루션으로 주목하고 있다. 사전 정의된 역할을 통한 사용자 프로비저닝 자동화, 활동량이 특정 임계값 미만이거나 퇴사 시 자동 접근 해제 등을 통해 효율성을 높일 수 있다. 또한 분산형 신원확인(DID)이나 자체 신원확인(SSI) 솔루션을 통한 사용자 권한 부여로 IAM 프로그램을 강화하고 신원 관리를 간소화할 수 있다.”고 강조했다.

IAM 전략 구축을 위한 4단계 프로세스

인포테크는 4단계 프로세스를 통해 기업이 보안 강화, 프로세스 최적화, IAM 이니셔티브와 비즈니스 목표 연계를 달성할 수 있다고 설명했다.

⦁1단계, 요구사항 평가: 효율성 향상, 규정 준수 보장, 위험 감소를 위해 IAM 목표와 비즈니스 목표를 연계한다.

⦁2단계, 격차 분석 수행: 종합적인 IAM 평가를 실시해 강점, 격차, 개선 기회를 파악한다.

⦁3단계, 정책 및 워크플로우 개발: 프로그램 요구사항 기반을 마련하고 충족되는지 확인하기 위해 신원 수명주기 워크플로우를 수립한다.

⦁4단계, 프로그램 로드맵 구축: IAM 이니셔티브의 우선순위를 설정하고, 명확하고 실행 가능한 로드맵을 통해 이해관계자에게 이점을 전달한다.

인포테크에 따르면 보안 리더들은 SSO(Single Sign-On), MFA(Multifactor Authentication), PAM(Privileged Access Management) 등과 같은 사후 대응적 솔루션보다는 선제적 IAM 현대화에 주력해야 한다고 설명한다. 더 포괄적인 접근법을 취함으로써 조직은 장기적인 보안 및 비즈니스 목표에 부합하는 탄력적인 IAM 시스템을 구축할 수 있다.

인포테크는 IAM 프로그램이 시간을 두고 단계적으로 가치를 창출해야 하는 만큼, 성공적인 구현을 위해서는 명확한 의사소통과 이해관계자 참여가 매우 중요하다고 강조한다.