아이덴티티 보안 용어집

Microsoft Windows를 비롯한 여러 Windows 애플리케이션에 인증 및 권한 부여 리소스를 제공하는 Microsoft 애플리케이션입니다.

Bring Your Own Application의 약자로, 직원이 직장에서 개인적으로 사용하는 애플리케이션 계정(예: Facebook, LinkedIn, TripIt)에 액세스할 수 있도록 허용하는 정책을 말합니다.

Bring Your Own Device의 약자로, 직원이 개인적으로 소유하고 있는 모바일 기기(노트북, 태블릿, 스마트폰)를 직장에 가져와, 이를 사용해 특수 권한이 있는 회사 정보와 애플리케이션에 액세스할 수 있도록 허용하는 정책을 말합니다.

쉼표로 구분된 값(CSV) 파일은 테이블 목록 형태로 구조화된 데이터를 디지털로 저장하는 데 사용되는 데이터 파일입니다. 그룹 내 각 항목(멤버)은 해당 집합의 다른 항목들과 함께 쉼표로 구분되어 저장되어 있습니다.

연방 리스크 및 인증 관리 프로그램(FedRAMP)은 미국 정부 기관에서 사용하는 클라우드 서비스 및 솔루션의 보안을 위해 마련되었습니다.

HIPAA 위반은 1996년 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)에 정의된 규칙을 준수하지 않을 경우 발생합니다. 이 규칙은 환자의 보호대상 건강정보(PHI) 보호에 중점을 둡니다.

유럽 연합 최초의 사이버 보안 지침인 NIS 지침의 두 번째 버전으로, 더 많은 산업 분야를 포함하며 EU 회원국 전체에서 통일적 구현을 위한 가이드라인도 제공합니다.

일반적으로 NIST라고 불리는 미국 국립표준기술연구소(National Institute of Standards and Technology)는 미국 상무부의 산하 기관입니다. NIST 사이버 보안 프레임워크는 미국의 중요 인프라, 즉 필수적인 것으로 간주되는 자산, 시스템, 기능의 보안을 강화하기 위해 마련되었습니다.

권한 부여를 위한 개방형 표준으로, 클라이언트가 리소스 소유자(예: 다른 클라이언트, 최종 사용자)를 대신하여 서버 리소스에 액세스할 수 있는 방법을 제공합니다. 또한 최종 사용자가 사용자 에이전트 리디렉션을 사용해, 자격 증명(일반적으로 사용자 이름과 비밀번호)을 공유하지 않고도 서드파티가 서버 리소스에 액세스하도록 승인할 수 있는 절차를 제공합니다.

신뢰 당사자(RP)라고 하는 서드파티 서비스를 사용하여 사용자를 인증하는 방법을 설명하는 개방형 표준입니다. 조직이 자체 인증 시스템을 마련할 필요 없이 사용자가 디지털 아이덴티티를 통합할 수 있습니다.

OpenID와 동일한 작업을 많이 수행하지만, API 친화적이며 네이티브 및 모바일 애플리케이션에서 사용 가능한 개방형 표준입니다. 이 표준은 OAuth 2.0 프로토콜 기반의 간단한 아이덴티티 계층으로, 클라이언트가 권한 부여 서버에서 수행한 인증을 기반으로 최종 사용자의 아이덴티티를 확인하는 것은 물론, 상호 운용 가능하고 REST와 유사한 방식으로 최종 사용자에 대한 기본 프로필 정보를 얻을 수 있습니다.

보안 어설션 마크업 언어(SAML)는 보안 도메인 간, 즉 아이덴티티 공급자(어설션 생성자)와 서비스 공급자(어설션 소비자) 간 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 표준입니다.

2002년 제정된 미국 연방법인 사베인스-옥슬리법(SOX)을 준수하는 것으로, 투자자와 고객을 기업의 사기적 관행으로부터 보호하는 것을 목표로 합니다.

애플리케이션을 공급업체 또는 서비스 제공업체가 호스팅하고 인터넷을 통해 고객에게 제공하는 소프트웨어 배포 모델로, 일반적으로 사용량 기반 요금제(pay-as-you-go) 방식으로 제공됩니다. SaaS 소프트웨어는 하나 이상의 서비스 제공업체가 원격으로 소유, 제공, 관리합니다.

기록 및 활동을 독립적으로 검토하고 조사하는 활동으로, 시스템 제어의 적정성을 평가하고, 확립된 정책 및 운영 절차의 준수를 보장하며, 통제, 정책, 절차에서 필요한 변경을 권고합니다.

IT 통제가 효과적이지 않다는 감사자의 판단을 말합니다. 이 용어는 보통 SOX 감사에서 회사의 외부 재무 데이터를 신뢰성 있게 보고하는 능력에 부정적인 영향을 미칠 수 있는 통제 결함을 알리는 데 사용됩니다.

시스템 또는 애플리케이션 내에서 발생한 이벤트를 기록하는 로그입니다. 예를 들어, 감사 로그에는 시스템의 모든 로그인, 로그인한 사람의 이름, 로그인 시간 등이 포함될 수 있습니다.

조직을 지휘, 평가, 통제하는 규칙, 관행, 프로세스 시스템을 말합니다.

미국에서 모든 의료 관련 데이터의 전자 데이터 교환(EDI), 보안, 기밀 유지에 대한 표준화된 메커니즘을 확립하기 위해 제정된 연방법입니다. HIPAA는 개인을 식별하는 정보의 기밀성과 데이터 무결성을 보장하는 보안 메커니즘을 규정합니다.

PCI 표준 위원회에서 결제 계정 데이터 보안을 강화하기 위해 개발한 표준으로, 보안 관리, 정책, 절차, 네트워크 아키텍처, 소프트웨어 설계 등 기타 중요 조치를 포함하는 12가지 핵심 요구 사항으로 구성됩니다.

디렉토리 정보에 액세스하기 위한 프로토콜 집합입니다. LDAP를 사용하면 사실상 모든 컴퓨터 플랫폼에서 실행되는 대부분의 애플리케이션이 디렉터리 정보를 얻을 수 있습니다.

연결된 시스템에서 인증을 관리하는 프로세스 집합으로, 주로 사용자 계정을 생성하거나 삭제하는 작업이 포함됩니다.

역할 기반 액세스 제어에서 역할 계층은 역할 간의 상속 관계를 정의합니다. 예를 들어, 은행의 역할 구조는 모든 직원을 ‘직원’ 역할의 구성원으로 취급할 수 있습니다. 그 위에는 ‘부서 관리자’나 ‘회계사’ 역할이 있으며, 이러한 역할은 ‘직원’ 역할의 모든 권한을 상속받습니다.

조직을 떠난 사용자의 계정을 말합니다. 고아 계정은 직원의 퇴사나 직무 이동 시 액세스 특수 권한을 제거하지 못함으로써 발생하는 직접적인 결과로, 보안 리스크를 점검하는 IT 감사자가 자주 주목하는 대상입니다.

비즈니스 파트너와 관련된 리스크를 식별, 평가, 완화, 관리, 모니터링하는 데 사용되는 프레임워크입니다.

여러 사람이나 컴퓨터 사용자가 함께 사용하는 시스템 또는 애플리케이션의 로그인 ID입니다. 특수 권한이 있는 계정은 관리자(예: root, sa, Administrator)가 공유하는 경우가 많습니다.

정책 위반 등 규정 준수 문제를 해결하는 행위 또는 프로세스입니다.

클라우드에서 사용자 관리를 간소화하기 위해 사용자와 그룹을 표현하는 스키마와 모든 필수 CRUD(생성, 읽기, 업데이트, 삭제) 작업을 위한 REST API를 정의한 개방형 표준입니다.

정의된 정책에 따라 정보 리소스에 대한 액세스를 허용하거나 거부하는 프로세스입니다.

조직이 정부, 기관, 무역 단체 등 다양한 기관에서 정한 법률, 규정, 표준, 지침, 사양을 따르는 것을 말합니다.

조직에서 정의하거나 규제 의무의 결과에 따라 규정될 수 있는 일련의 가이드라인입니다.

미국에서 금융 기관이 개인의 개인정보를 처리하는 방식을 규제하기 위해 제정된 연방법입니다. GLBA는 금융 기관이 고객에게 정보 공유 관행을 설명하는 서면 개인정보 보호 고지를 제공하도록 요구합니다.

컴퓨터 시스템에 대한 액세스 제어를 간소화하기 위한 사용자 집합입니다. 전통적으로 그룹은 정적입니다. 즉, 그룹을 정의하려면 구성원을 개별적으로 선택해야 합니다. 그러나 동적 그룹에서는 지정된 검색 기준과 일치하는 모든 사용자가 이 동적 그룹의 구성원으로 간주됩니다.

조직이 사기를 예방하고 탐지하며, 민감한 자산을 보호하도록 설계된 프로세스입니다. 내부 통제는 보통 조직의 프로세스와 IT 리소스를 검토, 모니터링, 측정하는 수단으로 활용됩니다.

사기, 도난, 방해 행위, 개인정보 유출 등 조직 내부에서 민감한 애플리케이션과 데이터에 액세스할 수 있는 직원으로 인해 발생할 수 있는 잠재적 리스크입니다.

여러 요소를 요구하는 인증 프로세스입니다. 요소는 일반적으로 사용자의 지식 요소(비밀번호, 패스프레이즈, PIN), 소유 요소(토큰, 스마트 카드), ‘고유’ 요소(지문, 음성 지문 또는 망막 스캔) 등 세 가지 범주로 분류됩니다.

지표와 핵심 성과 지표(KPI)를 집계하고 표시하는 보고 메커니즘으로, 모든 사용자가 추가적인 비즈니스 인텔리전스(BI), 성과 관리(PM), 분석 도구를 통해 심층적으로 분석하기 전에 한눈에 성과를 확인할 수 있습니다.

수집에서 활용, 최종 폐기에 이르기까지 데이터가 존재하는 전체 과정을 관리하는 방법으로, 끊임없이 진화하는 기업을 지원하고, 이점을 제공하며, 보호합니다.

서버(예: 웹 서버, 애플리케이션 서버, 데이터베이스 서버), 스위치, 라우터, 데이터 저장 장치, 로드 밸런서, 와이어 케이지 또는 클로젯, 볼트, 랙 및 관련 장비 등 컴퓨터 시스템과 관련 구성 요소를 수용하는 데 사용되는 시설입니다.

허가받지 않은 당사자가 민감·기밀·비공개·보호 데이터를 노출, 유출 또는 손상시키는 사이버 보안 인시던트입니다.

공통 항목과 네트워크 리소스를 찾고, 관리하고, 운영하며 구성하기 위한 공유 정보 인프라로, 볼륨, 폴더, 파일, 프린터, 사용자, 그룹, 기기, 전화번호 등 다양한 객체를 포함할 수 있습니다.

개인이 소유한 아날로그 아이덴티티의 디지털 버전으로, 개인과 관련된 여러 계정, 자격 증명, 권한, 동작, 사용 패턴으로 구성됩니다.

시스템에서 사용자 계정을 삭제하는 프로세스입니다.

사용자 라이프사이클 변경 사항을 기반으로 대상 리소스에 변경 사항을 구현하는 프로세스입니다.

내부 네트워크의 웹 서버에 단일 인증 지점을 제공하는 소프트웨어입니다. 리버스 프록시 아키텍처는 각 웹 애플리케이션에 소프트웨어를 설치할 필요가 없다는 장점이 있습니다.

아이덴티티 관리 시스템에서 관리하는 시스템, 애플리케이션, 데이터베이스 또는 기타 객체입니다.

특정 위협 소스가 특정 정보 시스템 취약점을 실수로 유발하거나 의도적으로 악용할 가능성과 그로 인한 영향을 의미합니다.

리스크를 식별, 통제, 완화하는 전반적인 프로세스입니다.

리스크 관리 전략은 조직이 리스크를 평가하고, 식별된 리스크에 대응하며, 새로운 리스크를 지속적으로 감시하고, 알려진 리스크를 모니터링하는 방법을 다루는 프레임워크입니다.

특정 시스템에 대한 액세스가 시스템 침해로 이어질 가능성에 따라 인증 프로세스의 엄격성을 조정하는 방법입니다. 리스크 수준이 높아질수록 인증 프로세스는 더욱 포괄적이고 제한적이 됩니다.

위협의 가능성 또는 결과를 완화하는 프로세스입니다. 리스크 완화 옵션에는 취약성 제거, 내부 통제 강화, 부정적 영향의 규모 감소가 포함될 수 있습니다.

시스템 보안에 대한 리스크를 식별하고 발생 확률, 발생에 따른 영향, 이러한 영향을 완화할 추가 보완 조치를 결정하는 프로세스입니다.

애플리케이션 워크로드를 세분화하고 개별적으로 보안을 유지하여 네트워크를 더 작은 영역, 즉, 마이크로세그먼트로 나누는 네트워크 보안 관행을 말하며, 제로 트러스트 보안 접근 방식의 기본 요소입니다.

인공 지능(AI)의 하위 집합으로, 이를 통해 시스템이 자동으로 특징을 식별하고, 정보를 분류하며, 데이터에서 패턴을 찾고, 결정 및 예측을 수행하며, 통찰력을 발견할 수 있습니다.

2010년 1월 1일부터 시행된 이 규정은 미국 내 비공개 보험사가 금융 시스템 및 데이터의 무결성에 대한 효과적인 통제력을 보유하고 있음을 입증하도록 요구합니다. 사베인스-옥슬리법(Sarbanes-Oxley)과 유사하게, MAR는 투명성을 높이고, 내부 통제 준수를 강화하며, 기업 거버넌스를 개선할 것을 요구합니다.

바젤 은행감독위원회(Basel Committee on Bank Supervision)가 제시한 일련의 은행 규정으로, 국제적으로 금융 및 은행 업무를 규제합니다.바젤 II는 금융 기관의 최소 자본 요건을 설정하여 재무 및 운영 위험을 완화하고자 바젤 자본 기준을 국가 규정과 통합하려고 합니다.

비공개, 보호 또는 기밀로 설정된 논리적 IT 경계에 허가 없이 침입하여 디지털 데이터, 애플리케이션, 서비스, 네트워크, 기기에 무단 액세스가 발생하는 사고를 말하며, 궁극적으로 정보가 허가 없이 액세스되는 결과를 초래합니다.

보안 정보 관리(SIM)는 규정 준수 보고, 내부 위협 관리, 리소스 액세스 모니터링을 지원하기 위해 로그 관리(로그 데이터 수집, 보고, 분석)를 제공합니다. 보안 이벤트 관리(SEM)는 보안 장치, 네트워크 장치, 시스템, 애플리케이션의 이벤트 데이터를 실시간으로 처리하여 보안 모니터링, 이벤트 상관 분석, 인시던트 대응을 제공합니다. 이 기술은 표적 공격이나 보안 유출과 관련된 활동을 발견하는 데 사용될 수 있으며, 다양한 규제 요건을 충족하는 데에도 사용됩니다.

개인의 과거, 현재, 미래의 신체적·정신적 건강 상태와 질환, 유전 정보와 관련된 데이터입니다.

2008년 초 승인된 북미 대규모 전력 시스템의 지속적인 안정성을 보호하고자 개발된 프레임워크입니다. CIP 표준은 유틸리티 회사가 중요 사이버 자산을 식별하고 보호하도록 요구합니다.

시스템 서비스에 대한 액세스를 제어하는 데 사용되는 시크릿 인증 데이터의 한 형태로, 이를 통해 전자 식별자의 소유자가 자신이 해당 식별자의 발급 대상자임을 확인할 수 있습니다. 오직 사용자만 알고 있으며, 인증자가 확인할 수 있는 자격 증명입니다.

시스템 전반에서 비밀번호를 제어, 설정, 재설정, 동기화하는 프로세스를 자동화하는 것을 말합니다.

사용자의 비밀번호를 가져와 다른 리소스의 비밀번호를 해당 비밀번호와 동일하게 변경하는 솔루션입니다.

비밀번호를 잊어버렸거나 계정이 잠금 처리된 사용자가 대체 방법으로 인증한 후 새 비밀번호를 정의할 수 있는 프로세스 또는 기술입니다.

비밀번호 생성, 저장, 사용과 관련된 요구 사항의 집합으로, 종종 비밀번호의 여러 특성을 제한합니다.

재난, 비상사태 등 예상치 못한 사건으로 조직 운영에 심각한 지장이 발생하는 경우, 필수 운영 업무를 지속할 수 있도록 사전에 계획하고 준비하는 것을 말합니다.

‘공개기업 회계 개혁 및 투자자 보호법(Public Company Accounting Reform and Investor Protection Act)’으로도 알려진 이 법은 기업 재무 공시의 정확성과 신뢰성을 개선하여 투자자를 보호하기 위해 2002년에 제정되었습니다. 이 법은 미국 증권거래소에 상장된 모든 기업에 적용됩니다.

온프레미스, 클라우드, 하이브리드 환경 전반에서 여러 리소스에 대한 사용자의 디지털 아이덴티티와 액세스 특수 권한을 동시에 생성, 유지, 업데이트, 삭제하는 과정입니다.

컴퓨터 시스템, 디지털 기기, 네트워크에 대한 무단 액세스로, 데이터, 애플리케이션 등 디지털 자산을 변경, 차단, 제어, 삭제, 파괴, 비활성화, 방해, 노출, 조작, 도용하려는 행위를 말합니다.

정보 또는 정보 기술의 기밀성 또는 무결성이 손상될 때 발생하며, 재정적 손실과 운영상 부정적인 영향을 초래할 수 있습니다. 또한 시스템, 조직, 정부, 개인에게 피해를 입힐 수도 있습니다.

다양한 도구, 시스템, 관행, 프로세스, 절차를 포괄하는 용어로, 디지털 리소스(예: 하드웨어, 소프트웨어, 네트워크, 데이터)를 외부 사이버 위협 및 방해 행위, 악의적인 내부자, 부주의한 사용자로부터 보호하기 위해 서로 통합되어 활용됩니다.

조직의 사이버 보안과 사이버 리스크에 대한 포괄적인 평가 및 분석입니다.

조직이 사이버 위협으로부터 정보와 정보 시스템을 보호할 수 있는 능력을 평가하는 것을 말합니다.

리소스에 설정된 정책 정의에 따라 필요한 인증 수준을 결정하는 방법입니다. 정책 평가에 따라 사용자는 특정 리소스에 액세스하기 위해 인증 수준을 상향해야 할 수 있습니다(예: 다단계 인증 사용).

신원 확인 또는 검증 목적으로 사용할 수 있는 신체적 또는 행동적 특성입니다.좋은 생체 인식은 개인마다 고유하고, 시간이 지나도 안정적이며, 제시하고 검증하는 절차가 빠르고 쉬워야 할 뿐만 아니라, 인위적인 수단으로 쉽게 복제될 수 없어야 합니다.

조직 내에서 IT 부서에 알리지 않고 사용되는 디지털 시스템, 기기(예: 개인용 컴퓨터(PC), 노트북, 태블릿, 스마트폰), 소프트웨어, 애플리케이션(보통 기성 패키지 소프트웨어), 서비스(주로 SaaS(서비스형 소프트웨어), PaaS(서비스형 플랫폼), IaaS(서비스형 인프라))를 의미합니다.

벤더, 파트너, 서비스 제공업체, 공급업체, 계약업체 등 외부 비즈니스 파트너로부터 발생하는 리스크를 조직이 식별, 평가, 통제하는 프로세스입니다.

보안이 필요한 경우, 한 시스템에서 다른 시스템으로 액세스를 부여하기 위해 애플리케이션 간 통신에 사용되는 공유 계정의 한 유형입니다.

클라우드에서 호스팅되고, 클라우드 서비스로 제공되며, 타사 서비스 제공업체에서 관리하는 IAM 소프트웨어입니다.

사용자가 셀프서비스 인터페이스를 사용해 리소스 액세스를 요청하면, 워크플로가 이를 적절한 관리자에게 전달하여 승인받도록 하는 프로세스입니다.

디지털 아이덴티티와 관련된 하나의 정보 요소입니다. 속성의 예로 이름, 전화번호, 기관 소속 등을 들 수 있습니다.사용자에 대한 각 식별 정보는 해당 사용자의 속성으로 간주할 수 있습니다. 사용자는 아이덴티티 속성을 가지며, 각 속성은 하나 이상의 대상 시스템에 저장될 수 있습니다.

부서, 위치, 관리자, 시간 등의 특성을 기반으로 정책을 설정하고 시행하는 권한 부여 방법론입니다.

EU 회원국의 모든 보험사에 적용되는 리스크 기반 규제 프레임워크로, 2012년에 발효되었습니다. 솔벤시 II는 유럽 보험 사업의 거버넌스, 운영, 의사 결정 과정에 리스크 관리 의식을 심어주는 것을 목표로 합니다.

사용자 액세스 권한, 역할 정의 같은 아이덴티티 아티팩트에 대한 요청된 변경 사항에 대해 권한이 있는 사용자로부터 승인을 수집하는 작업을 자동화하는 비즈니스 프로세스입니다.

특정 아이덴티티 속성에 대한 명확한 온라인 값을 포함하는 시스템입니다. 어떤 경우에는 시스템이 값(예: 직원 ID 번호)을 생성하기 때문에 신뢰할 수 있는 출처로 간주되기도 합니다.사용자가 정보(예: 휴대전화 번호)를 입력해야 하는 시스템이기 때문에 신뢰할 수 있는 출처로 간주되는 경우도 있습니다.

사용자가 하나의 ID와 비밀번호를 입력하여 기업 내 여러 리소스에 액세스할 수 있는 인증 프로세스로, 개별 애플리케이션과 시스템에 별도로 인증하고 로그인할 필요가 없습니다.

중요 애플리케이션과 데이터에 대한 사용자 액세스를 관리하고 제어하기 위한 규칙, 관행, 프로세스를 자동화하는 아이덴티티 관리 소프트웨어입니다. 아이덴티티 거버넌스를 통해 조직은 책임 추적성과 투명성을 개선하고, 규정 준수 권한 요건을 충족하며, 위험을 보다 효과적으로 관리할 수 있습니다.

주체(사용자, 서비스 또는 시스템)의 아이덴티티 정보를 생성, 유지 관리, 관리하는 시스템으로, 페더레이션 또는 분산 네트워크 내의 다른 서비스 공급자(애플리케이션)에 주체 인증을 제공합니다.

개인, 시스템, 기기 등 디지털 엔터티에 대한 권한을 확인하고 할당하는 데 사용되는 보안 솔루션입니다.

전자 아이덴티티와 관련 액세스 권한을 관리하는 데 필요한 비즈니스 프로세스를 자동화하는 소프트웨어입니다. IAM을 통해 정책 해석에 따라 액세스 특수 권한이 부여되며, 모든 개인과 서비스가 적절하게 인증되고 권한 부여와 감사 절차를 거치게 됩니다.

아이덴티티 정보를 유지 관리하는 시스템입니다. 아이덴티티 저장소는 포함된 일부 정보의 신뢰할 수 있는 출처인 경우가 많습니다.

각 아이덴티티와 관련 액세스 및 속성을 다차원적으로 보여주는 구조입니다.

아이덴티티 저장소에서 각 아이덴티티를 고유하게 식별하기 위해 사용되는(보통 생성되는) 단일 값입니다.

사용자가 애플리케이션을 둘러보거나 다운로드할 수 있는 서비스입니다.

파일, 애플리케이션, 시스템, 기기 등 조직 내 리소스에 대한 인증과 권한 부여를 제어하는 데 사용되는 시스템 또는 프로세스입니다.액세스 관리는 종종 역할 및 규칙 평가 시스템에 따라 조직 내 객체에 대한 액세스를 부여하거나 거부합니다.

조직 내 리소스에 대한 새 액세스 요청, 기존 액세스 변경, 액세스 제거 등에 사용되는 시스템 또는 프로세스입니다.

사용자가 시스템 리소스에 대해 갖는 액세스 권한으로, 그 예로 액세스, 조회, 수정, 생성, 삭제 등의 권한이 있습니다.

돌이킬 수 없는 피해가 조직에서 허용할 수 있는 오류나 사기의 수준을 초과하는 경우, 한 사람이 단독으로 작업을 수행하지 못하도록 업무를 최소 두 사람 이상으로 나누어 처리하는 것을 말합니다.

검토자 또는 승인자가 정해진 기간 후에도 요청에 응답하지 않을 경우 경고하거나, 알리거나, 작업을 위임하는 프로세스입니다.

역할은 아이덴티티가 조직 내 리소스에 액세스하고 특정 작업을 수행할 수 있는 권한이나 기타 역할의 집합입니다. 단순 역할은 단일 시스템 내에서 정의된 자격의 집합입니다. 역할은 자주 사용되는 자격 집합을 하나로 묶어 사용자에게 패키지로 할당하여(개별 할당하지 않음) 시스템 및 애플리케이션의 보안 관리를 간소화하는 데 사용됩니다.

역할과 역할 할당이 오랫동안 정적 상태로 유지될 가능성은 낮습니다. 이 때문에 역할과 관련된 자격을 검토하고 업데이트해야 하며, 암묵적이든 명시적이든 역할이 할당된 사용자는 검토와 변경을 거쳐야 합니다. 역할 관리에는 이러한 검토와 변경을 수행하는 데 사용되는 비즈니스 프로세스가 포함됩니다.

조직 내 사용자 역할에 따라 사용자 액세스를 제한하는 모델입니다.

역할 생성, 수정, 삭제, 승인, 인증, 분석을 자동화하는 프로세스입니다.

역할을 도식적으로 설명한 것으로, 역할과 역할 계층, 사용자 역할 활성화, 사용자-객체 중재, 사용자/역할 멤버십 및 역할 집합 활성화에 대한 제약을 정의합니다. 역할 모델은 역할 정의와 암묵적 또는 명시적 역할 할당의 집합입니다.

역할 모델 내에서 역할을 정의하고 비즈니스 프로세스 및 직무에 따라 해당 역할을 적절한 액세스 특수 권한 집합에 매핑하는 프로세스입니다.

역할에 적절한 액세스 특수 권한을 포함하고 있는지, 역할 구성원이 올바른지 확인하기 위해 역할을 주기적으로 검토하는 프로세스입니다. 역할 인증은 일반적으로 내부 통제 수단으로 사용되며 역할 확산을 방지하는 방법입니다.

사용자에게 역할을 부여하는 프로세스입니다. 역할은 사용자에게 암묵적으로 할당될 수 있습니다. 즉, 일부 데이터베이스에는 ‘X 요건을 충족하는 사용자에게 역할 Y가 자동 할당되어야 함’과 같은 규칙이 포함되어 있습니다.

여러 데이터 소스의 아이덴티티 데이터를 하나의 아이덴티티를 나타내는 공통 스키마로 결합하는 프로세스입니다. 아이덴티티 연계 규칙을 사용하면 애플리케이션 계정 및 액세스 권한에 자동으로 연결할 수 있고, 도구를 통해 올바른 연결 관계를 수동으로 설정할 수도 있습니다.

정부 정보 및 운영을 보호하기 위한 지침과 보안 표준을 정하는 미국 법률입니다.

조직이 비즈니스에 부정적인 중대한 영향을 미칠 수 있다고 판단한 원하지 않는 이벤트, 오류 등 기타 발생을 예방하기 위해 사용되는 내부 통제입니다.

직원, 계약자, 파트너, 고객 등 사용자가 조직을 떠날 때 액세스 권한을 제거하는 프로세스입니다.

신규 직원, 계약직, 파트너, 고객 등의 사용자가 조직에 합류할 때 액세스 권한을 부여하는 프로세스입니다.

클라우드 서비스 제공업체 같이 원격 시설이 아닌, 소프트웨어를 사용하는 개인 또는 조직의 시설(건물) 내 컴퓨터에 설치되어 실행되는 소프트웨어입니다.

검토자 또는 승인자가 자신의 결정 권한을 다른 사용자에게 일시적 또는 영구적으로 전달할 수 있는 프로세스입니다.

사이버 범죄자가 컴퓨터 시스템 및 네트워크에 권한 없이 불법적으로 액세스하기 위해 사용하는 방법이나 메커니즘입니다.

네트워크, 시스템, 민감한 데이터가 손상되기 전에 악의적인 활동을 식별하고 제압하거나 완화하기 위한 사이버 보안 관행 및 도구의 집합입니다.

보안 통제가 무력화되어 시스템이나 애플리케이션에 대한 무단 침투가 발생하거나, 특정 시스템의 통제가 침해되어 정보 자산 또는 시스템 구성 요소가 부당하게 노출될 수 있습니다.

‘액세스 인증’을 확인하세요

청구인이 제시한 식별자의 유효성을 신뢰할 수 있음을 확인하는 프로세스로, 대체로 정보 시스템의 리소스에 대한 액세스를 부여하기 위한 전제 조건입니다.

사용자가 상호 작용을 통해 컴퓨터 소프트웨어를 사용할 수 있는 기술로 디스플레이 화면, 키보드, 마우스, 바탕 화면의 구성, 문자, 색상, 도움말 메시지 등이 포함됩니다.

조직이 온라인에서 소비자로부터 수집한 개인 데이터를 처리하고 사용하는 방식을 통제하기 위해 제정된 법률입니다.

한 번의 로그인 세션 또는 트랜잭션에만 유효한 비밀번호로, 사용자가 인증할 필요가 있을 때 알고리즘으로 생성됩니다. OTP는 보통 사용자의 모바일 기기 또는 보안 토큰으로 전송됩니다.

계정 속성에 대한 특정 값으로, 일반적으로 그룹 멤버십 또는 권한을 말합니다. 보안 자격은 특정 시스템의 사용자 계정에 부여되어 일부 데이터나 기능에 액세스할 수 있는 권한입니다.

사용자에게 권한을 부여할 수 있는 애플리케이션과 서비스를 중앙에서 정의하는 메커니즘입니다. 세밀한 액세스 자격('권한 부여', '특수 권한', '액세스 권한', '권한' 및/또는 '규칙'이라고도 함)을 부여, 해결, 시행, 취소, 관리하는 프로세스입니다.

주장된 아이덴티티를 인증하는 수단으로, 일반적으로 쌍으로 구성된 아이덴티티 정보에서 비공개 부분을 의미합니다(사용자 ID는 일반적으로 공개 부분임).자격 증명은 시간이 지나면서 변경될 수 있으며, 해지될 수도 있습니다.

근로자가 이동, 승진 또는 단순히 정상적인 업무 과정을 통해 시간이 지남에 따라 액세스 특수 권한을 누적함에 따라 발생하는 액세스 제어 취약점입니다. 근로자가 실제 업무 수행에 필요한 것 이상의 자격이 누적되면 조직은 불필요한 비즈니스 위험에 노출됩니다.

작업 수행에 대한 책임을 다른 사람에게 이전하는 작업입니다.

리스크를 식별, 평가, 대비, 해결하기 위한 전략적 접근 방식입니다.

업무 수행을 위한 권위 있고 규정된 일련의 규칙으로, 조직에서 정의하거나 규제 요구 사항의 결과로 정의될 수 있습니다.

조직에서 정의된 정책을 준수하도록 자동으로 시행되는 예방적·탐지적 제어의 집합입니다.

작업을 허용하기 전에 정책 위반 여부를 검사하여 정책을 자동으로 시행하는 규칙입니다.

사용자가 기업 네트워크 내부에 있든 외부에 있든 관계없이, 데이터와 애플리케이션에 액세스하기 전과 액세스하는 중에도 모든 아이덴티티(사용자로 지정된 사람, 기기, 기타 엔티티)가 인증, 권한 부여, 지속적 검증을 거쳐야 하는 IT 보안 프레임워크입니다.

아이덴티티 관리 솔루션의 아이덴티티 데이터를 실제 관리되는 리소스의 데이터와 주기적으로 비교하는 프로세스입니다. 조정을 통해 계정 데이터를 연계하고 차이점을 식별하며, 워크플로로 알림을 보내거나 데이터를 변경할 수 있습니다.

특정 아이덴티티나 그룹 구성원 등임을 주장하는 것을 말합니다. 보통 자격 증명(즉, 사용자 ID와 비밀번호)을 통한 증명이 필요합니다.

IT 통제에 심각한 결함이 있다는 감사자의 판단을 말합니다. 이 용어는 일반적으로 SOX 감사에서 재무제표의 중대한 허위 진술을 예방하거나 감지할 수 없음을 나타내는 데 사용됩니다.

증명(Attestation)은 액세스 인증을 말하는 또 다른 용어입니다. 사용자 액세스 특수 권한을 주기적으로 검토하는 방법으로, 이를 통해 해당 특수 권한이 사용자의 직무와 부합하고 정책 지침을 준수하는지 확인합니다.

컴플라이언스를 일회성 이벤트로 취급하지 않고, 자동화되고 일관적이며 예측 가능한 방식으로 프로세스와 도구를 활용해 컴플라이언스 요건을 충족하는 것을 말합니다.

한 사람이 하나 이상의 중요한 비즈니스 거래에 과도한 통제권을 갖는 것을 금지하여 사기를 방지하도록 고안된 내부 통제입니다. 상호 배타적인 액세스나 역할을 의미하며, 어떠한 개인도 단독으로 시스템을 손상시킬 수 없도록 민감한 정보나 위험한 행위에 대한 책임을 분담하는 것을 포함합니다. 이 원칙의 주요 목표는 사기 및 오류를 방지하는 것입니다. 그 예로 은행 수표에 두 개의 서명을 요구하거나, 한 사람이 자신의 워크플로 요청을 승인하지 못하도록 하는 경우가 있습니다. 때때로 업무 분장이라고도 합니다.

엔터프라이즈 애플리케이션의 아이덴티티 데이터를 중앙 아이덴티티 데이터 저장소로 수집하고 연계하는 작업입니다.

업무 수행에 필요한 최소한의 권한만 가지도록, 사용자의 액세스(예: 데이터, 애플리케이션) 및 액세스 유형(예: 읽기, 쓰기, 실행, 삭제)을 제한하는 개념입니다.

명확하게 정의된 사양, 정책, 표준 또는 법률을 준수하는 것을 말합니다. 정책은 내부 지침, 절차, 요구 사항이나 외부 법률, 규정, 표준, 계약에서 파생될 수 있습니다. 이러한 법률은 형사 또는 민사상 처벌을 수반할 수 있으며, 규정 형태로 존재할 수도 있습니다.

규칙 및 거버넌스 정책을 준수하는 데 사용되는 모든 도구, 시스템, 인력, 프로세스를 포괄하는 용어입니다.

인터넷을 통해 제공되는 컴퓨팅 서비스로, 세 가지 특징을 가지고 있습니다. 첫째, 서비스는 온디맨드로 제공됩니다. 둘째, 서비스가 탄력적이어서, 사용자는 언제든지 원하는 만큼 서비스를 이용할 수 있습니다. 셋째, 서비스는 서비스 제공자가 전적으로 관리하기 때문에, 소비자는 웹 브라우저만 있으면 됩니다.

기업이 비즈니스에 중대한 영향을 미치는 것으로 판단한 이벤트(원했거나 원하지 않았던 이벤트), 오류 등 발생한 사건을 식별하는 데 사용되는 절차로, 자동화를 통해 지원할 수 있습니다.

정보 시스템에 액세스하기 위한 인증 수단으로 사용되는 소프트웨어 또는 하드웨어입니다. 하드웨어 토큰은 일반적으로 신용카드나 키팝(key fob) 크기의 소형 장치로, 일회용 비밀번호를 생성합니다. 소프트웨어 토큰은 사용자가 이미 보유한 기기(예: 휴대전화, 태블릿)에 소프트웨어로 설치된다는 점을 제외하면 하드웨어 토큰과 동일한 기능을 수행합니다.

책임 추적성, 리스크 관리, 공동 의사 결정에 필요한 모든 정보가 충분히 제공되는 상태를 의미합니다.

특수 권한이 있는 계정은 일반 사용자보다 더 강력한 액세스 권한을 부여하는 시스템 또는 애플리케이션의 로그인 ID입니다. 일반적으로 이러한 계정은 시스템 관리자가 시스템을 관리하거나 시스템에서 서비스를 실행할 때, 혹은 한 애플리케이션이 다른 애플리케이션에 프로그래밍 방식으로 연결할 때 사용됩니다.

일반 대중에게 공개되고 기업 방화벽 외부의 인터넷을 통해 제공되는 클라우드 컴퓨팅 환경입니다. 퍼블릭 클라우드 컴퓨팅은 클라우드 컴퓨팅 기술을 활용해 공급업체 조직 외부의 고객을 지원합니다. 퍼블릭 클라우드 서비스를 사용하면 여러 형태의 규모의 경제와 리소스 공유를 통해 비용을 절감하고 기술 선택의 폭을 넓힐 수 있습니다.

조직이 별도의 조직에서 제공하는 인증을 신뢰하고 해당 인증 결과에 따라 권한을 부여할 수 있는 일련의 계약입니다. 페더레이션의 목표는 사용자가 여러 조직의 리소스에 원활하게 액세스할 수 있도록 하는 것입니다.

인증, 권한 부여, 액세스 제어, 침입 탐지 및 방지 시스템(IDPS), 서비스 제공업체 등 여러 구성 요소를 결합하여 안전한 사용자 액세스를 간소화하는 솔루션입니다.

한 조직에서만 사용되거나, 조직의 클라우드가 다른 조직과 완전히 격리되도록 설계된 클라우드 컴퓨팅의 한 형태입니다. 서비스 제공업체가 퍼블릭 클라우드 리소스를 사용해 프라이빗 클라우드를 만들면 이를 가상 프라이빗 클라우드라고 합니다.

고유한 사용자 아이덴티티를 기반으로 시스템, 애플리케이션, 데이터베이스에 대한 사용자 액세스 권한을 부여, 변경, 제거하는 프로세스입니다. 자동 사용자 프로비저닝은 사용자 및 액세스 특수 권한 관리를 빠르고 간편하게 수행하도록 설계되었습니다. 온보딩, 퇴사 등 비즈니스 프로세스를 자동화하고 체계화하여, 이를 여러 시스템에 연결함으로써 구현됩니다.

하이브리드 IT는 조직이 일부 정보기술(IT) 리소스를 온프레미스 환경(데이터 센터)에서 제공하고 관리하면서, 나머지 리소스는 클라우드 기반 서비스를 사용하는 엔터프라이즈 컴퓨팅 방식입니다.

개방형 표준 XML 기반 언어로, 웹 서비스, 디지털 권한 관리(DRM), 엔터프라이즈 보안 애플리케이션의 보안 정책 및 정보 액세스 권한을 표현하도록 설계되었습니다.

시스템 또는 애플리케이션에서 수집된 로그 데이터를 사용해 사용자 작업(예: 시스템 액세스, 데이터 수정)을 모니터링하는 방법입니다.

인증 과정에서 검토자가 내린 결정에 따라 사용자로부터 지정된 역할이나 권한을 회수하는 행위입니다.