정보보호의 목적은 정보에 대한 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이 의도적이거나 비의도적인 사용자의 행위에 의해 침해 당하는 것을 방지하는 것입니다.
이 목적을 달성하기 위한 방법론으로 간단하게 계정관리, 접근관리, 위협관리, 그리고 마지막으로 통합보안관리로 나눌 수 있습니다.
최근 대량의 고객 정보를 취급하는 대형 포털 사이트부터 공공기관에 이르기까지 곳곳에서 내부자에 의한 크고 작은 정보유출 관련 사고들이 연이어 발생하고 있습니다.
이와 같은 사고는 잘못된 계정관리나 접근 관리로 인한 문제가 대부분으로, 퇴사자의 계정 및 접근 관리를 제대로 하지 못하여 기업내의 정보가 유출 변조되는 경우입니다.
이런 사고를 막기 위해서는 계정의 생성, 변경, 삭제를 관리하는 계정관리와 사용자의 접근 제어를 관리하는 접근관리가 제대로 수행되어야 합니다.
또한 이런 계정관리와 접근관리가 제대로 수행하는 지를 감사하기 위한 통합보안관리도 반드시 함께 수행되어야 합니다.
계정/접근관리를 충분히 하게 되면 기존의 보안 사고들도 어느 정도 차단될 수 있을 것입니다.
이를 예방하기 위해서 주목 받는 것이 통합계정권한관리(IAM) 솔루션 입니다.
1IAM의 등장 배경
비즈니스 환경의 변화로 인해서 계정/접근관리의 부재로 인한 취약성이 급격하게 증가하고 있습니다.
또한 기존에는 사내 직원에 대한 계정 및 접근 관리 만이 주 사용자가 되었지만, 현재는 고객, 공급자와 파트너 등이 회사의 정보시스템에 대한 사용자로 개념이 크게 확장되고 있어 관리의 어려움이 증가하고 있습니다.
기존 EAM을 통해 어플리케이션의 개별 인증 작업은 불 필요해졌습니다.
하지만 모든 업무 어플리케이션은 여전히 내부 업무 처리를 위해 DB를 보유해야 하는 문제점이 있었습니다.