 |
디지털 아이덴티티와 액세스 권한 관리는 클라우드 도입이 가속화되고, 환경과 위협이 점점 더 복잡해짐에 따라 더 어려워지고 있는 중요한 과제다. 오늘날 많은 조직이 IGA의 세 가지 핵심 비즈니스 요소인 규정 준수, 수명 주기 관리, 보안을 지원하는 데 고군분투하고 있다.
최근 정보보호최고책임자(CISO) 설문 조사의 인사이트는 그들이 직면한 어려움을 보여준다.
먼저, 사용자접근리뷰(UAR)는 리소스 집약적이며 규정 준수 문제로 가득 차 있다. 접근 리뷰는 거의 모든 조직에서 점점 더 중요해지는 컴플라이언스 요건이다. 이 과정에 참여하는 사람이라면 누구나 방대한 권한 데이터를 감사자가 만족할 만큼 수집, 리뷰 및 검증하는 것이 얼마나 힘들고, 시간이 많이 소요되는지 잘 알고 있을 것이다. 이는 인간과 머신 사용자 모두에게 권한이 정당하고, 과도하지 않도록 확인해야 하기 때문이다.
이 작업은 단일 팀에만 전가되지 않는다. 컴플라이언스 관리자, 애플리케이션 및 데이터 소유자, 그리고 인사 관리자 모두 하나의 규제 요건에 따라 단 하나의 UAR을 준비하고, 완료하는 데 상당한 노력을 기울인다.
이러한 과제는 요구되는 광범위한 컴플라이언스 범위로 인해 더 확대된다. CISO의 80%는 UAR 관련 규정을 두 개 이상 준수해야 한다고 답했고, 절반 이상(55%)은 다섯 개 이상을 준수해야 한다고 말했다. 대부분의 CISO는 앞으로 이에 대한 명확한 해결책이 없을 것이라고 예상했고, 84%는 향후 3년 내에 컴플라이언스 의무가 더 강화될 것이라고 전망했다.
또한 사용자 프로비저닝은 여전히 느리고, 수동적인 과정(프로세스)이다. 효과적인 라이프사이클 관리, 즉 사용자가 조직에 가입하거나 내부 이동 또는 퇴사할 때 적절한 자격을 부여받도록 보장하는 것은 필수적이지만, 이는 빠르고 간단한 문제가 아니다. 직원과 계약직은 업무 시작에 필요한 액세스 권한을 얻기 위해 기다리는 경우가 많고, 설문조사에 따르면 조직의 55%는 프로비저닝에 평균 7일 이상 소요되는 것으로 나타났다. 이는 모든 직원 또는 계약직이 새로운 역할에 적응하기 위해 기다리는 동안 일주일(또는 그 이상)의 생산성을 상실한다는 것을 의미한다.
이 같은 대기 시간은 팀이 지체 없이 운영돼야만 하는 비즈니스 관리자들에게 심각한 좌절감을 안겨준다. 반대로, 프로비저닝을 빠르게 처리하려는 시도는 때때로 과도한 사용자 프로비저닝을 초래해 의도치 않게 새로운 보안 위험을 야기할 수도 있다.
뿐만 아니라 접근 자격 7개 중 1개는 부적절하다. 과도한 권한부터 휴면 또는 악성 계정까지, 위험한 액세스 권한이 수개월 동안 지속되는 경우가 많아 조직을 피할 수 있는 아이덴티티 기반 위협에 노출된다. 조직은 평균적으로 사용자 접근 권한 리뷰 과정에서 부적절하다고 판단되는 모든 전사적 자격의 13.7%를 취소해야 한다. 즉, 급격한 비즈니스 변화로 인해 권한 7개 중 1개는 과도한 자격을 갖게 된다는 뜻이다.
중견기업과 대기업의 경우 매 분기마다 기업 전체에 걸쳐 수천, 수만 개의 애플리케이션이나 인프라 자격을 취소해야 한다는 것을 의미한다. 이는 그 자체만으로 엄청난 작업이다.
아이덴티티 거버넌스는 왜 이렇게 어려울까? 이러한 어려움에도 불구하고 많은 조직들은 여전히 온프레미스 환경에 맞게 설계된 수십 년 된 IGA 시스템을 사용하고 있다. 한편, 이들은 클라우드 서비스와 수백 개의 새로운 SaaS 애플리케이션(수백만 개 자격 포함)에 크게 의존해 사업을 발전시키고 있다. 이는 아이덴티티 관련 문제와 위험에 대한 최악의 상황을 유발한다.
조직의 82%는 애플리케이션 온보딩에 어려움을 겪고 있다. IGA 배포의 가치는 배포에 온보딩되는 애플리케이션 수에 비례한다. 예를 들어, 애플리케이션이 온보딩되지 않은 경우 IGA 라이프사이클 관리가 해당 애플리케이션에 프로비저닝 또는 프로비저닝 해제를 제공할 수 없다. 안타깝게도 기존 IGA 솔루션은 새로운 애플리케이션을 온보딩할 때 속도가 느리고, 번거롭기 때문에 비즈니스 속도와 클라우드 규모의 요구사항을 충족시킬 수 없다.
약 84%는 사용자 액세스 리뷰 및 프로비저닝을 위해 주로 수동 프로세스에 의존한다. IGA 프로세스는 기업 전반에 걸쳐 수백 명 또는 수천 명의 이해관계자를 포함한다. 이러한 이해관계자가 권한 요청, 승인, 구현, 리뷰 또는 취소 자격 같은 수동 작업에 휘말리면 비즈니스 프로세스가 느려지고, 짐이 되며, 비용이 많이 소요된다. 현재 IGA 프로세스를 완전하게 자동화했다고 보고한 기업은 6%에 불과하며, 이는 개선의 여지가 많다는 것을 의미한다.
유용한 역할 집합을 정의하고, 유지하는 데 성공한 조직은 10%에 불과하다. 대부분의 조직에서 롤 베이스 접근 제어(Role-Based Access Control, RBAC)는 제대로 작동하지 않는다. 롤이 거버넌스 프로세스를 크게 간소화할 수 있다는 것은 잘 알려진 사실이다. 그러나 여러 애플리케이션에서 특히 비즈니스 또는 기능적 롤을 정의하는 일은 쉽지 않다. 게다가 중앙 집중화된 롤 관리 팀은 일반적으로 이를 제대로 수행할 수 있는 환경이 부족하다.
오늘날 클라우드 도입으로 컴퓨팅 환경은 점점 더 분산화되고 있으며, 애플리케이션 소유자, 관리자, 그리고 비즈니스 데이터 소유자는 누가 자신의 앱과 데이터를 사용할 수 있고, 사용해야 하는지에 대한 많은 정보를 보유하고 있다. 중앙 집중화된 롤 팀이 이러한 정보를 종합해 적절한 롤을 정의하더라도, 이를 관리할만한 롤 소유자를 찾는 것은 쉽지 않다.
이제 IGA에 대한 스트레스는 떨쳐내고 인공지능(AI)의 힘을 활용해 비즈니스 속도에 맞춰 아이덴티티 거버넌스를 조정해야 할 때다.
자동화를 통한 IGA 혁신이 주목을 받는 이유다. 20년 전만 해도 IGA에서 효과적이었던 방식은 오늘날에 더 이상 작동하지 않는다. 기업이 복잡한 아이덴티티 정보 환경에서 특권의 급격한 증가 문제를 해결하면서 최신 IGA 기능은 디지털 자산을 보호하고, 비즈니스 민첩성을 유지하는 데 매우 중요해졌다.
이러한 변화의 중심에는 애플리케이션 통합을 간소화하고, IGA 비즈니스 프로세스를 혁신하며, 롤 정의 및 유지보수를 간소화하는 자동화가 있다. 이를 실현하기 위해 사용자 액세스 리뷰 프로세스와 자동화가 각 단계를 어떻게 변화시켜 인적 작업을 최대 80%까지 줄일 수 있는지 분석해 보자.
1단계로, '캠페인 준비'가 있다. UAR 프로세스는 모든 관련 시스템에서 자격 데이터를 수집해 캠페인에 필요한 해당 자료를 가져오고, HR 애플리케이션 및 사용자 디렉터리에서 수집한 사용자 아이덴티티와 자격을 연관시킨 후, 관리자와 앱 소유자를 대상으로 개별 리뷰를 기반으로 캠페인을 준비한다.
자동화는 앱 통합 프로세스를 획기적으로 간소화 시켜줄 뿐만 아니라, 리뷰어가 리뷰 내용을 쉽게 이해할 수 있도록 앱 데이터를 최신 설명과 함께 정리해 캠페인 준비 과정도 단순하게 만들어 준다.
2단계로는 '리뷰'가 중요하다. 리뷰는 종종 반복적이고 번거로운 작업이다. AI 기반 자동화는 리뷰 전에 사전 승인된 접근 권한을 설정해 리뷰 규모를 줄일 수 있어 이를 통해 리뷰 항목 목록을 대폭으로 축소하고, 각 리뷰어의 사용자 경험을 개선할 수 있다.
3단계로는 '해지'를 주목해야 한다. 해지를 자동화하고, 폐쇄형 루프 추적을 제공하면 규정 준수 증명 제공에 필요한 시간과 노력이 크게 줄어든다.
4단계에서는 '감사 준비'가 필요하다. 자동화는 감사자를 위해 증거를 사전 패키징함으로써 감사 준비를 한 단계 더 끌어올린다. 캠페인 관리자가 감사자를 만족시켜야 하는 부담을 안고 있거나, 감사자가 IGA 시스템 트롤링을 기대하는 대신, UAR의 완전성과 정확성에 대한 감사자의 요구사항을 충족하기 위해 패키징된 증거 파일이 생성된다.
마찬가지로, 느리고 매우 복잡한 프로비저닝 프로세스를 자동화하면 조직은 티켓을 60% 줄일 뿐만 아니라 위험하고, 과도한 자격 부여를 평균 20% 낮춰 온보딩을 가속화할 수 있다. 또한 롤 정의와 유지 보수는 사전 승인된 액세스 권한을 관리하고, 참여자와 이동하는 사람의 프로세스를 간소화하는 AI로 대체할 수 있다.
이 새로운 AI 및 자동화 중심 접근 방식은 시장에서 매우 성공적으로 입증됐다. 이 방식은 빠른 가치 실현 시간 제공과 IGA 배포를 수백 개의 애플리케이션으로 빠르게 확장할 수 있도록 지원한다.
원활한 아이덴티티 거버넌스를 달성하는 것이 마지막 단계다. '사이버아크 2025 아이덴티티 보안 보고서(CyberArk 2025 Identity Security Landscape)'에 따르면, 현재 거의 절반(49%)에 가까운 기업들이 전체 클라우드 환경의 자격과 권한에 대한 완벽한 가시성을 확보하지 못하고 있다. 아이덴티티 제어가 존재하는 경우에도 적용 범위가 불균등해 클라우드 인프라 및 워크로드에 대한 적용 범위를 보고하는 기업은 40% 미만에 불과하다. DevOps 환경(35%), AI 및 LLM(32%), 서비스 계정(23%)에 대한 제어는 가장 빠르게 증가하는 위험 영역임에도 불구하고 제어 수준이 더욱 감소하고 있다.
점점 더 복잡해지는 생태계 전반에 걸쳐진 일관성 없는 감독을 고려할 때, 32%의 조직은 올해 아이덴티티 거버넌스와 IGA에 투자할 계획이다. 더 빠르고 적응력이 뛰어난 IGA 솔루션으로 현대화하는 것은 전반적인 가시성을 개선하고 거버넌스를 쉽고, 직관적이며, 포괄적으로 만드는 데 필수적이다.
물론, 최신 IGA는 포괄적인 아이덴티티 보안 전략의 필수 요소 중 하나일 뿐이다. IGA는 아이덴티티 및 액세스 관리(IAM) 및 특권 액세스 관리(Privileged Access Management, PAM)와 함께 동작해 규정 준수를 보장하고, 최소 권한 액세스를 지원하며, 제로 트러스트 원칙을 준수한다. 또한 IGA는 수동 작업을 줄이고, 생산성을 향상시키며, 보안 팀의 부담을 덜어주는 동시에 컴플라이언스를 충족할 수 있도록 지원한다.
이제 IGA에 대한 스트레스는 그만하고 AI의 힘을 활용해 비즈니스 속도에 맞춰 아이덴티티 거버넌스를 조율해야 할 때다.
최장락 사이버아크코리아 이사
<기고와 칼럼은 본지 편집 방향과 무관합니다.>
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.