ID 및 액세스 관리(IAM)란 무엇입니까?

ID 및 액세스 관리(IAM) 시스템은 사용자 ID를 확인하고 사용자 권한을 관리합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 컴퓨팅 컨텍스트에서 'ID'의 의미를 알아보세요.
  • 사용자 액세스를 이해하세요.
  • 클라우드에 ID 및 액세스 관리가 중요한 이유를 알아보세요.

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

ID 및 액세스 관리(IAM)란 무엇입니까?

ID 및 액세스 관리(IAM 또는 IdAM)는 사용자가 누구인지와 사용자가 어떤 권한을 갖고 있는지 알려주는 방법입니다. IAM은 출입 가능자와 VIP 지역에 출입할 수 있는 자의 명단을 갖고 나이트클럽에서 문을 지키는 경비원과 유사합니다. IAM은 또한 ID 관리(IdM)라고도 합니다.

ID 및 액세스 관리 IAM - Bouncer는 클라우드 앞에 위치합니다

보다 기술적으로 설명하면, IAM은 주어진 사용자의 디지털 ID와 ID별로 연계된 권한을 관리하는 수단입니다. IAM은 이 동일한 기본 기능을 실행하는 다양한 제품을 아우르는 포괄적인 용어입니다. 조직 내에서의 IAM은 단일 제품일 수도 있으며, 개별 사용자가 액세스할 수 있는 조직 데이터에 대해 관리자에게 가시성과 컨트롤을 제공하는 프로세스, 소프트웨어 제품, 클라우드 서비스, 하드웨어의 조합일 수도 있습니다.

컴퓨팅의 맥락에서 ID란 무엇입니까?

한 사람의 신원에 대한 정보를 모두 컴퓨터에 업로드하고 저장할 수는 없기 때문에, 컴퓨팅의 맥락에서 "ID"는 편리하게 측정하고 디지털로 기록할 수 있는 특정 속성을 의미합니다. 신분증이나 여권을 생각해보시기 바랍니다. 한 사람의 모든 정보가 신분증에 기록되지는 않지만, 신분증에는, 기록된 내용과 일치하는지를 신속하게 확인해 개인의 신원을 확인할 수 있도록 개인적인 특성이 충분히 담겨 있습니다.

컴퓨터 시스템은 ID를 확인하기 위해 해당 사용자 고유의 특징을 평가합니다. 특징이 일치하면 사용자의 ID가 확인됩니다. 이러한 특징은 "인증 요소"로도 알려져 있습니다. 자신임을 증명하려는 사용자를 인증하는 데 도움이 되기 때문입니다.

가장 널리 사용되는 3대 인증 요소:

  • 사용자가 아는 것
  • 사용자가 갖고 있는 것
  • 사용자인 것

사용자가 알고 있는 것: 이 요소는 사용자 이름과 비밀번호 조합처럼, 한 사람의 사용자만 알 수 있는 지식입니다.

John이 집에서 업무용 이메일을 확인하려 한다고 가정하겠습니다. John은 우선 자신의 신원을 확인한 후 이메일 계정에 로그인해야 합니다. John이 아닌 다름 사람이 John의 이메일에 액세스할 경우, 기업 데이터가 유출될 수 있기 때문입니다.

John은 이메일 john@company.com과 자신만이 알고 있는 “5jt*2)f12?y” 같은 비밀번호로 로그인합니다. 이메일 시스템은 John 외에는 이 비밀번호를 알고 있는 사람이 없다는 가정 하에, John을 인식하고 이메일 계정에 액세스할 수 있게 허용합니다. 다른 사람이 이메일 주소 “john@company.com”을 입력하여 John으로 가장하려 해도 비밀번호 “5jt*2)f12?y”를 알지 못하면 성공할 수 없습니다.

사용자가 갖고 있는 것: 이 요소는 인증 사용자에게 발행된 물리적 토큰을 말합니다. 이 인증 요소의 가장 기본적인 예는 물리적인 열쇠를 이용하여 집에 들어가는 것입니다. 집을 소유하거나, 임대하거나, 기타 방법으로 집에 출입할 수 있는 사람만 열쇠를 갖고 있습니다.

컴퓨팅의 맥락에서, 물리적인 요소는 전자 열쇠, USB 장치, 스마트폰 등이 될 수 있습니다. John의 조직이 하나가 아니라 두 가지 인증 요소를 사용하여 모든 사용자의 ID를 확인하려 한다고 가정해보겠습니다. 이제 John은 사용자가 알고 있는 것, 즉 비밀번호를 입력하는 것뿐만 아니라, 다른 누구도 갖고 있지 않은 것을 본인이 갖고 있다는 점을 이메일 시스템에 보여주어야 합니다. John은 세계에서 자신의 스마트폰을 소유하고 있는 유일한 사람이기 때문에, 이메일 시스템은 John에게 일회용 코드를 문자로 보내고 John은 코드를 입력하여 스마트폰을 갖고 있다는 것을 증명합니다.

사용자인 것: 이것은 사용자의 신체적 속성을 의미합니다. 실제 사용되는 이 인증 요소의 일반적인 예는 안면 인식으로서, 최신형 스마트폰이 많이 제공하는 기능입니다. 지문 스캔도 그러한 예입니다. 고도의 보안이 필요한 일부 조직에서는, 드물긴 하지만 망막 스캔과 혈액 테스트 같은 방법을 사용하기도 합니다.

John의 조직이 두 개가 아닌 세 개의 요소로 사용자를 확인하여 보안을 더욱 강화하기로 했다고 가정해보겠습니다(이것은 드문 경우입니다). 이제 John이 비밀번호를 입력하고, 스마트폰 소유를 확인하고, 지문을 스캔해야, 이메일 시스템은 진짜 John임을 확인합니다.

요약: 실제 세계에서 사람의 신원은 개인적인 특성, 역사, 위치, 기타 요소가 복잡하게 결합되어 있습니다. 디지털 세계에서 사용자의 ID는 ID 데이터베이스에 디지털로 저장된 세 가지 인증 요소의 일부 혹은 전부로 구성됩니다. 컴퓨터 시스템은 범죄자가 진짜 사용자의 ID를 도용하지 못하도록 ID 데이터베이스와 대조하여 사용자의 ID를 확인합니다.

액세스 관리란 무엇입니까?

"액세스"는 사용자가 로그인한 후 볼 수 있는 데이터와 실행할 수 있는 작업을 의미합니다. John은 이메일에 로그인한 후, 자신이 주고받은 이메일을 모두 볼 수 있습니다. 하지만 동료 Tracy가 주고받은 이메일은 볼 수 없어야 합니다.

다시 말해서, 사용자 ID가 확인됐다고 해서 사용자가 시스템이나 네트워크 내 모든 것을 이용할 수 있는 것은 아닙니다. 예를 들어, 기업 내 하위 직원은 기업 이메일 계정에 액세스할 수 있어야 하지만, 급여 기록이나 기밀 HR 정보를 액세스할 수 있으면 안 됩니다.

액세스 관리는 액세스를 관리하고 추적하는 프로세스입니다. 시스템 내 사용자마다 각자의 필요에 따라 해당 시스템 내 권한이 다릅니다. 회계 담당자는 급여 기록을 액세스하고 편집해야 하기 때문에 ID를 확인한 후, 이메일 계정을 액세스하는 것은 물론 급여 기록을 조회하고 변경할 수 있어야 합니다.

클라우드 컴퓨텅에 IAM이 매우 중요한 이유는 무엇입니까?

클라우드 컴퓨팅에서는 데이터가 원격 저장되고 인터넷을 통해 액세스됩니다. 사용자가 거의 모든 장소와 모든 장치에서 인터넷에 연결할 수 있기 때문에, 대부분의 클라우드 서비스는 장치와 위치에 기반하고 있지 않습니다. 사용자는 이제 사무실에 있거나 기업 소유 장치를 사용하지 않아도 클라우드에 액세스할 수 있습니다. 또한, 원격 근무 인력이 보편화되고 있습니다.

따라서, 액세스 관리에 있어 네트워크 경계가 아니라, ID가 가장 중요한 포인트가 됐습니다.* 장치나 위치가 아닌 사용자의 ID가 사용자가 액세스할 수 있는 클라우드 데이터와 사용자의 액세스 권한을 결정하는 것입니다.

ID가 매우 중요한 이유를 이해하기 위한 그림이 있습니다. 해커가 기업 데이터 센터의 민감한 파일에 액세스하려 한다고 가정하겠습니다. 클라우드 컴퓨팅이 널리 채택되기 이전 시대의 해커는 건물에 침입하거나 내부 직원을 매수하여 내부 네트워크를 보호하는 기업 방화벽을 통과하거나 물리적으로 서버에 액세스해야 했습니다. 해커의 주목적은 네트워크 경계를 통과하는 것이었습니다.

하지만, 클라우드 컴퓨팅 환경에서는 민감한 파일이 멀리 떨어진 클라우드 서버에 저장되어 있습니다. 기업 직원이 파일에 액세스하려면 브라우저나 앱을 통해 로그인해야 합니다. 해커도 직원 로그인 정보(사용자 이름 및 비밀번호)와 인터넷 연결만 있으면 파일에 액세스할 수 있으며, 이제 네트워크 경계를 통과하지 않아도 됩니다.

IAM은 권한 상승(비인가 사용자가 너무 많은 권한을 가진 경우)으로 인한 ID 기반 공격과 데이터 침해를 방지하는 데 도움이 됩니다. 따라서, IAM 시스템은 클라우드 컴퓨팅과 원격 근무 조직 관리에 필수적입니다.

*네트워크 경계는 내부 네트워크의 가장자리로서, 안전하지 않으며 통제되지 않는 인터넷으로부터 안전하게 관리된 내부 네트워크를 분리하는 중요한 경계선입니다. 사무실 내 모든 컴퓨터와 사무실 프린터 등 네트워크에 연결된 장치는 이 경계 내에 있지만, 전 세계에 분산된 데이터 센터에 있는 원격 서버는 그렇지 않습니다.

클라우드 아키텍처에서 IAM의 위치는?

IAM은 사용자가 조직의 나머지 클라우드 인프라에 접속하기 위해 통과해야 하는 이 클라우드 서비스의 형태가 되는 경우가 많습니다. 내부 네트워크 상에서 조직의 사업장에 배포되는 경우도 있습니다. 마지막으로, 일부 퍼블릭 클라우드 업체는 IAM을 다른 서비스에 포함시키기도 합니다.

멀티클라우드하이브리드 클라우드 아키텍처를 사용하는 기업은 IAM을 위해 별도 업체를 사용할 수도 있습니다. IAM을 다른 퍼블릭 또는 프라이빗 클라우드 서비스에서 분리하면 유연성이 강화됩니다. 클라우드 업체를 변경해도 ID를 유지하면서 데이터베이스에 액세스할 수 있는 것입니다.

ID 공급자(IdP)는 무엇입니까?

ID 공급자(IdP)는 ID 관리에 도움을 주는 제품이나 서비스입니다. IdP는 실제 로그인 프로세스를 처리하는 경우가 많습니다. SSO(Single Sign On) 제공자가 여기에 속합니다. IdP가 IAM 프레임워크의 일부일 수도 있지만, 일반적으로 사용자 액세스 관리에 도움이 되지는 않습니다.

서비스형 ID(IDaaS)란?

IDaaS(Identity-as-a-Service)는 ID를 확인하는 클라우드 서비스입니다. 클라우드 업체가 제공하는 SaaS로서 ID 관리를 부분적으로 아웃소싱하는 방법입니다. IDaaS와 IdP가 본질적으로 교환 가능한 경우도 있지만, IDaaS 업체가 ID 확인 및 관리 이외의 추가 역량을 제공하는 경우도 있습니다. IDaaS 업체가 제공하는 역량에 따라, IDaaS는 IAM 프레임워크의 일부가 될 수도 있고, 전체 IAM 시스템이 될 수도 있습니다.

Zero Trust 자격 증명 및 IAM

Zero Trust 보안은 사용자나 장치가 네트워크 경계 내에 있든, 외부에 있든, 사설 네트워크상의 리소스에 연결하는 모든 사용자와 장치 ID를 엄격하게 확인하는 모델입니다.Zero Trust는 자격 증명을 확인하고 액세스를 제한하기 때문에 IAM과 밀접하게 얽혀 있습니다.

Zero Trust는 다단계 인증(MFA)을 사용하여 위에 나열된 ID 요소를 하나가 아니라, 두세 개 확인합니다.또한 액세스 제어에 대한 최소 권한 원칙도 구현해야 합니다.가장 중요한 것은 개인의 신원을 확인했더라도 Zero Trust는 계속 개인의 행동을 자동으로 신뢰하지 않는다는 것입니다.그러는 대신, Zero Trust는 모든 요청을 개별적으로 모니터링하고 손상된 활동이 있는지 검사합니다.Zero Trust에 대해 자세히 알아보세요.

Cloudflare는 IAM과 클라우드를 어떻게 지원합니까?

Cloudflare Access는 IAM 제품으로서, Cloudflare에 호스팅된 도메인, 앱, 경로에 대한 사용자 액세스를 모니터링합니다. SSO 제공자와 통합하고, 관리자는 이를 통해 사용자 권한을 변경하고 설정할 수 있습니다. Cloudflare Access는 온프레미스 내부 직원과 원격 근무 인력 모두에 보안 정책을 실행하는 데 도움을 드립니다.

기업은 Cloudflare를 다양한 클라우드 인프라 설정 앞에 배포하여, IAM 제공자를 포함하는 멀티클라우드나 하이브리드 클라우드 배포로 유연성을 강화할 수 있습니다.