현대적인 신원 관리 체계가 필요한 이유는 무엇인가요?

아이덴티티 프로그램은 컴플라이언스, 운영 효율성, 유저의 생산성이라는 세 가지 영역의 과제를 중점적으로 대응하고 있습니다. IAM(Identity Access Management, 신원 및 계정관리)을 위한 비즈니스 사례를 구축하기 위해서는 아이덴티티가 얼마나 효과적으로 이러한 과제들을 해결하였는지 증명하고 예상 수익을 바탕으로 비용의 정당성을 따져야 합니다. 보안 개선도 프로그램의 중요한 부분으로 모든 아이덴티티 비즈니스 사례에 포함되어야 하지만, 재정적 이점을 수치화하기는 어려울 수 있습니다. 다음 섹션에서는 아이덴티티 프로그램을 추구하는 기업들의 몇 가지 전형적인 과제들에 관해 설명합니다.

감사 및 컴플라이언스 요구사항 충족

기업들은 전반적인 사내 컴플라이언스를 데이터 프라이버시 보호 및 보안 관련 규제를 통해 지속적으로 향상하려 노력하고 있습니다. 그러나 클라우드 컴퓨팅과 같이 새로운 트렌드에 따른 규제가 많아지고, 유지해야 할 데이터의 양이 증가함에 따라 운영이 복잡해지면서, 보안 및 컴플라이언스를 개선하는 것 또한 어려워지고 있습니다. 아이덴티티 거버넌스(IGA) 체계는 엔드-투-엔드 가시성을 제공하고 조직 내 모든 시스템과 응용 프로그램 전반에 대한 제어를 자동화하도록 디자인되었습니다. 이를 통해 원하는 수준의 컴플라이언스 모델을 더 쉽게 비용 효율성을 유지하면서 구축 함으로써 효과적인 내부 통제를 가능하게 합니다. 액세스 및 액세스 권한에 대한 지속적인 검정, 정책 또는 역할 기반 액세스 제어(RBAC)와 같은 자동화된 아이덴티티 전략 통제 모델을 통해 효과는 극대화하고 리소스 소모는 감소시킵니다.

2016년에는 데이터 유출로 인해 42억 개 이상의 레코드가 유출되었습니다.

IT 및 헬프데스크 운영 비용 절감

대다수 기업들은 사용자에 대한 액세스 및 액세스 권한 추가, 변경, 제거를 위해 여전히 단편화된 수동 프로세스를 사용하고 있습니다. 그 결과 액세스 요청, 암호 재설정, 기타 액세스 권한의 변경 과정이 저효율, 고비용화 되었고 IT 및 헬프데스크 직원들의 업무 부담이 증가합니다. 이러한 수동 프로세스를 고수준으로 자동화하여 사용자의 요청과 권한 부여에 필요한 승인을 위해 IT 및 헬프데스크에 대한 호출을 줄일 수 있습니다.

비즈니스 시스템에 대한 액세스 제공 과정 간소화

오늘날 급변하는 비즈니스 환경 속에서 기업은 신원 관리에 대한 수요를 따라가는 동시에 컴플라이언스를

지켜야 하는 과제도 안고 있습니다. 비즈니스 사용자는 업무 수행에 필요한 시스템에 액세스 할 때까지 며칠 또는 몇 주를 기다릴 수 없습니다. 올바른 아이덴티티 거버넌스(IGA) 솔루션은 거버넌스 규칙과 컴플라이언스 정책을 지속적으로 시행하면서 사용자에게 필요한 액세스 및 액세스 권한 제공 과정을 간소화하고 시간을 단축합니다. 또한 비즈니스 사용자가 자신의 액세스와 암호를 관리하여 신원 관리 프로세스에 보다 능동적으로 참여할 수 있도록 합니다.

보안 보장 및 위험 감소

보안 위험은 모든 기업의 핵심적인 위협으로, 내부와 외부 위협으로부터 보호할 수 있는 통제 수단을 마련해야 합니다. 하지만 보안 리스크는 점점 더 확대되고 있습니다. RBS(Risk Based Security) 보고서에 따르면 2016년 한해간 4,149건의 데이터 유출 사고가 발생하여 42억건 이상의 기록이 유출되었습니다. 아이덴티티 거버넌스(IGA) 솔루션은 액세스 권한에 대한 오남용과 부적절한 사용자, 액세스 권한이 여전히 유효한 퇴사자, 직무 분리(SoD) 등과 같은 정책 위반과 제대로 관리되지 않는 액세스와 권한 등의 취약점을 찾아 해결할 수 있도록 지원합니다. 보안을 강화하는데 아이덴티티 거버넌스(IGA) 솔루션은 매우 중요한 역할을 합니다.

비즈니스역량개선을위한단계적접근방식

한정된 IT 예산으로 신원 관리 체계에 대한 재원을 확보하려면 신중하게 구성된 비즈니스 사례 선정이 필수적입니다. 비즈니스 역량 개선을 위해서 신원 관리 체계가 전달하는 가치에 따라 투자 예산을 조정하는데다음의네가지가정이도움이될수있습니다.

수요 평가

  • 신원 관리 체계가 해결해야 할 문제는 무엇입니까?
  • 가장 시급한 영역은 어디입니까?
  • 기업에 어떻게 가치를 제공합니까?

기준 수립

  • 신원 관리를 위한 컴플라이언스 비용은 얼마입니까?
  • 신원 관리에 헬프데스크 비용은 얼마나듭니까?
  • 신규 사용자 프로비저닝에 시간이 얼마나 걸립니까?
  • 효율을 저하시키는 요인은 무엇입니까?
  • 기업 감사 프로세스의 결함은 어디입니까?

목표 설정

  • 예상되는 개선사항은 무엇입니까?
  • 시간 절약?
  • 인건비 절감?
  • 위험 감소?

재무 모델 구축

  • 신원관리체계를통해절약할수있는비용과시간은얼마나됩니까?
  • 신원 관리 체계의 구매, 구현, 지원 비용은 얼마입니까?
  • 최종 결과는 어떻습니까?

1단계: 수요 평가

신원 관리 체계 구축 비즈니스 사례는 언제나 필요성에 대한 질문으로부터 시작합니다. 구체적으로 왜 필요한지, 아이덴티티 거버넌스(IGA)를 통해 어떤 비즈니스 문제를 해결할 수 있는지, 조직에 어떤 궁극적 가치를 제공할 수 있는지를 예로 들 수 있습니다. 따라서 비즈니스 사례를 구축하는 첫 번째 단계는 내부의 수요를 평가하고 가장 큰 가치를 창출할 수 있는 과제가 무엇인지 파악하고 우선순위를 정하는 것입니다. 이전 섹션에서 설명한 규제 준수, IT 운영, 사용자의 생산성, 보안 등에 관한 과제를 생각해 보았을 때, 이들 영역 중에서 기업이 당면하고 있는 과제가 무엇인지? 가장 시급한 과제는 무엇인지? 또한 비즈니스를 발전시킬 가능성이 가장 큰 과제는 무엇인지? 만약 해당 사항이 없다면, 비즈니스를 더 위험하게 만드는 과제는 무엇인지? 와 같이 문제점과 해결해야 할 부분에 대해서 구체적으로 표현해야 합니다.

다음은 기업의 수요를 평가하기 위한 몇 가지 질문입니다.

  • 컴플라이언스: 현재 컴플라이언스 비용은 얼마입니까? 현재 컴플라이언스 체계가 얼마나 효과적입니까? 감사 실패 사례가 있습니까? 감사를 통해 확인된 실패한 제어 부분은 구체적으로 무엇입니까? 향후 문제를 예방하는 데 도움이 될 만한 의견이나 권장 사항이 포함되어 있습니까?
  • IT 운영: 헬프데스크에 서비스 요청이 쇄도합니까? 오버로드가 발생하는 이슈를 정확히 문서화할 수 있습니까? 액세스 변경 요청입니까, 암호 재설정 요청입니까?
  • 사용자 생산성: 신규 사용자가 업무 수행을 위해 요구되는 액세스를 오래 기다려야 합니까? 직원들이 다양한 응용 프로그램에서 서로 다른 로그인 프로세스를 찾으며 시간을 낭비하고 있습니까? 헬프데스크의 지원을 기다리는 동안 사용자는 시스템 상에서 잠긴 상태에 있습니까?
  • 보안: 기업 의사결정 조직에서 보안 강화를 요구받고 있습니까? 최근 알려진 새로운 외부 위협에 대한 두려움이 있습니까? 여러 명의 슈퍼 사용자나 고아 계정과 같은 내부자 위협에 대한 실질 징후가 있습니까? 초과 권한을 가진 사용자가 있습니까?

컴플라이언스, 비용 절감, 비즈니스 지원, 위험 방지 등의 일반적인 조치는 잘 알려져 있지만 탄탄한 비즈니스 사례의 기반을 마련하기 위해서는 기업별로 필요한 조치를 파악하는 것이 필수적입니다. 프로세스의 나머지 단계는 모두 처음에 수행된 니즈 평가를 기반으로 합니다.

2단계: 기준 설정

기준을 설정하려면 현재 환경에서 효과를 보이는 것과 그렇지 않은 것을 분석해야 합니다. 예시는 다음과 같습니다. 액세스 제공에 문제가 있는 경우 현재 사용 중인 아이덴티티 프로세스는 무엇입니까? 사용자는 액세스를 어떻게 요청합니까? 헬프데스크에 작성해서 제출해야 하는 서식이 있습니까? 헬프데스크가 서식을 받으면 프로세스를 어떻게 시작합니까? 프로세스의 모든 내용(수동 작업, 자동 작업, 소요 시간 등)을 문서화하는 맵을 만들면 작업의 진행 방식과 비용을 파악할 수 있습니다.

유용한 기준을 설정하려면 프로세스에 참여하는 사람들을 파악해야 합니다. 프로세스에 영향을 받는 사람을 수를 추산하고 IT 운영팀, 헬프데스크 직원, 비즈니스 사용자 등 주요 참여자를 모두 파악하여 이들의 역할을 이해하는 것이

중요합니다. 또한 프로그램 재원을 확보하기 위해 주요 참여자들이 스스로 프로세스에서 어떤 역할을 하고 있는지에 대한 인식과 이슈를 문서화할 수 있어야 합니다.

현재 프로세스와 참여자를 문서화하면 이 정보를 사용하여 현재 접근 방식의 비용을 파악할 수 있습니다. 하드 코스트가 재무 모델에 가장 큰 영향을 미치더라도, 비즈니스 대상에게 훨씬 더 영향을 많이 주는 비용은 소프트 코스트입니다. 프로세스의 실패로 인해 겪는 고통과 좌절은 재정적으로 수치화하기 어렵지만, 자금 지원에 영향을 미칠 수 있는 참여자들에게 탄탄한 비즈니스 사례를 제시하는 데 도움이 될 수 있습니다.

기준은 GPS의 “현재 위치” 기능과 비슷합니다. 목표를 향한 길을 설계하기 위해서는 시작점이 있어야 합니다.

따라서 현재 상황(현재 역량, 프로세스, 참여자, 비용)에 대한 이해를 바탕으로 만들어진 다음 두 단계는 앞서 확인한 수요평가및기준설정을기반으로진행됩니다.

3단계: 목표 설정

설득력 있는 비즈니스 사례는 비즈니스 목표를 달성하기 위한 경로를 설명해야합니다. 당연한 것 같지만, 보통 기술적인 측면에 너무 매몰되거나 의사 결정자들이 자금 지원의 가능성이 있는 사업적 이익을 놓치기 쉽습니다. 자금 지원을 결정하는 사람들은 대부분 기술보다 비즈니스를 중심적으로 생각하여 구체적인 목표와 측정 기준을 듣고 싶어 합니다. 또, 기업에 미치는 전반적인 리스크 영향에도 관심을 가집니다.

따라서 특정 기술 솔루션의 선택은 아키텍처 또는 다른 기술적 측면에 의해 결정될 수 있지만, 비즈니스 사례에 대한 결정은 기업이 구매하는 솔루션의 종류, 비용, 최종 비즈니스 가치에 따라 결정됩니다.

목표를 세울 때 기억해야 할 두 번째는 명확하게 측정할 수 있어야 한다는 것입니다. 예를 들어 향후 5년 동안 1,000만 달러의 비즈니스 비용 절감을 예상했다면 목표와 관련된 구체적인 측정값을 보여줄 수 있어야 합니다. 마찬가지로 암호 재설정이나 프로비저닝 요청에 대한 헬프데스크 호출이 줄어들 것으로 예상했다면 감소량을 측정하는 방법을 제시할 수 있어야 합니다. 관련 정보를 파악할 수 없어 측정이 불가능하다면 비즈니스 사례에 목표를 포함하지 않는 것이 좋습니다. 

목표 설정을 위한 마지막 포인트는 현실적이어야 하는데, 이는 작게 시작해서 시간이 갈수록 증가하는 가치를 보여주어야 합니다. 팀이 기대 이익을 과장하지 않는다면 신뢰성을 확보할 수 있습니다. 예를 들어, 한 프로그램을 한 번에 수행하는 것이 아니라 여러 단계로 나눌 수도 있습니다. 첫 번째 단계가 성공하면 프로그램을 시작하게 된 가정을 문서화하고 검증하는 데 사용될 수 있으며, 예상되는 이점이 실제로 현실적이며 달성 가능하다는 것을 입증할 수 있습니다. 이는 향후 단계에 필요한 자금을 조달하는 데 도움이 될 수 있으며, 그렇지 않다고 해도 처음 금액보다 훨씬 더 많은 금액을 확보할 수 있습니다.

자동화는 프로비저닝 프로세스의 효율성과 정확성을 높이는 동시에 비용을 절감할 수 있는 중요한 도구입니다. 그러나 기업 전체의 모든 시스템과 프로세스를 자동화하려면 상당한 시간과 비용이 소요되어 이점이 없어질 수 있습니다. 작은 것부터 시작해 첫 성공을 기반으로 구축해 나가야 합니다.

4단계: 재무 모델 구축

비즈니스 가치를 계산할 때는 프로그램의 이익과 비용을 비교하도록 합니다. 비용 추정은 프로그램이 어떻게 전개될지, 그리고 프로그램의 모든 측면에서 어떤 비용이 발생할지 고려해야 합니다. 소프트웨어를 구입할 예정입니까? 하드웨어와 소프트웨어 모두 구매합니까? 프로그램을 배포하기 위해 구현 서비스가 필요합니까, 아니면 내부적으로 처리합니까? 후자라면 직원을 충원해야 합니까? 프로그램에 대한 지속적인 지원이나 유지관리가 필요합니까? 외부 서비스 공급업체가 필요합니까, 아니면 직원들과 내부에서 처리할 수 있습니까?

그다음 단계는 프로그램의 이점을 수치화하는 것입니다. 구체적인 개선 사항과 새로운 아이덴티티 거버넌스(IGA) 솔루션을 통해 비용을 절감할 방법에 대해 문서화해야 합니다. 컴플라이언스 비용을 절감하면 총비용을 얼마까지 절감할 수 있는지? 헬프데스크 업무를 줄이면 얼마나 절감이 가능한지? 사용자의 액세스 대기 시간이 얼마나 단축되는지?

다음은 프로그램의 재정적 이점을 수치화하기 위해 고려해야 할 기본 측정 지표들입니다.

보안 

  • 액세스검정보고서컴파일시간단축
  • 액세스검정검토및완료시간단축
  • 액세스정책위반감지및수정시간단축
  • 감사보고서컴파일시간단축

IT 운영 효율성

  • 암호와 관련한 헬프데스크 업무 감소
  • 액세스 요청 및 변경과 관련한 헬프데스크 업무 감소
  • 헬프데스크 해결 시간 단축
  • 헬프데스크의 업무 에스컬레이션 감소
  • 응용 프로그램 관리자가 직접 수행하는 액세스 변경 감소

사용자 생산성

  • 신입사원 프로비저닝 시간 단축
  • 임시 액세스 변경 및 프로비저닝 시간 단축
  • 변경 요청의 승인 시간 단축
  • 신속한 암호 문제(암호 분실, 재설정 등) 해결

보안 취약성 감소

  • 더 많은 응용 프로그램 및 사용자로 액세스 인증 적용 범위 확대
  • 퇴사자 프로비저닝 해제 시간 단축
  • 고아계정감지및삭제
  • 초과 권한 해지량 증가
  • 서비스 계정 및 중복 계정 해지량 증가
  • 암호 정책을 적용한 응용 프로그램 수 증가
  • 다중인증을 적용한 응용 프로그램 수 증가

프로그램과 관련된 비용과 이점을 파악한 후에는 여러 가지 방법으로 프로그램의 가치를 측정해야 합니다. 모든 기업마다 선호하는 측정 지표가 있습니다. 이때 투자 회수 기간, 즉 프로그램에 대한 투자를 몇 개월 또는 몇 년 단위로 얼마나 빨리 회수할 수 있는지를 기준으로 할 수 있습니다. 혹은 투자 수익률(ROI), 즉 투자한 시간과 리소스의 가치 측면에서 투자금을 얼마나 빨리 회수할 수 있는지를 기준으로 측정할 수도 있습니다. 경영진이 보게 될 벤치마크에 재무 모델을 맞추는 것이 핵심입니다. 투자 회수 기간과 ROI는 많은 기업에서 사용하는 일반적인 측정 기준이자 재무 모델에 포함할 수 있는 간편한 계산 방법입니다.

구체적인 측정 기준을 문서화하면 비용과 가치 측면에서 모두 재무 모델의 각 요소를 실제로 구축할 수 있습니다.

세일포인트가 도와드리겠습니다.

세일포인트의 개방형 신원 관리 플랫폼을 통해 컴플라이언스, 운영 효율성, 사용자 생산성, 보안 문제를 해결할 수 있습니다. 세일포인트의 아이덴티티 거버넌스(IGA) 솔루션을 사용하여 자동 액세스 검정과 정책 적용, 액세스 요청, 프로비저닝, 암호 관리의 이점을 강력한 ROI 기반으로 실현할 수 있습니다. 세일포인트가 제공하는 현대적인 접근 방식은 모든 신원 관리 체계의 장기적인 성공을 보장하는 것과 동시에 비용을 최소화하도록 디자인되었습니다.

컴플라이언스 요구사항 충족 및 감사 성능 개선

세일포인트의 강력한 컴플라이언스 프로세스는 감사, 보고, 관리 활동 전반을 자동화하고 액세스 검증이나 정책 적용 등과 같은 신원 관리 프로세스를 통합하여 감사팀이 요구하는 강력한 내부 통제 기능을 제공하는 것과 동시에 운영 효율성을 개선합니다.

세일포인트의 액세스 변경 및 암호 관리를 통해 IT 지원팀, 헬프데스크팀의 관리 업무 부하를 상당히 경감할 수 있습니다. 암호 관리와 액세스 요청을 최종 사용자가 셀프서비스를 통해 직접 작업할 수 있어 비용을 크게 절감합니다. 또한 프로비저닝과 관련한 대부분의 액세스 변경을 자동으로 처리할 수 있기 때문에 관리자의 수작업에 의존할 필요가 없습니다.

액세스 제공 간소화 및 사용자 생산성 개선

세일포인트의 암호 관리 기능을 통해 패스워드에 대한 재설정을 셀프서비스로 처리할 수 있습니다. 이를 위해 헬프데스크의 도움을 기다릴 필요가 없습니다. 세일포인트의 자동 프로비저닝 기능은 신규 사용자가 업무 시스템에 액세스 하는 것을 오래 기다리지 않게 합니다. 액세스 요청 기능은 기업 내부뿐만 아니라 전반적인 신원 관리 라이프사이클 이벤트에 대한 액세스를 외부 사용자에게도 빠르고 안전하게 제공합니다.

위협관리및보안강화

세일포인트의 자동 감지 및 예방 통제 기능을 통해 액세스 제어를 강화하고 보안 위협을 경함 할 수 있습니다. 강력한 암호 정책 적용, 자동 정책 검사, 정기적인 액세스 검정을 통해 올바른 인원이 올바른 리소스에 올바르게 액세스 하게 함으로써 기업의 리소스가 부정하게 사용되거나 부적절하게 남용되는 위협을 제거 합니다.

성공 실현

세일포인트는 컴플라이언스, 운영 효율성, 사용자 생산성, 보안에 대한 실질적인 이점을 경험하도록 수천의 고객을 지원해 왔습니다. 다음은 최근의 예시입니다.

보안: 초과 권한 제거

세일포인트의자동액세스검증을통해기업들에게가장도움이된결과중하나는사용자가보유한초과액세스 권한에 대한 수가 크게 줄었다는 것입니다. 한 국제 은행은 세일포인트를 통해 자동 검증을 시행한 첫 사이클 이후

액세스 권한이 총 50% 감소했다고 보고 했습니다. 일반적으로 20~40% 감소가 나타나지만, 최대 60%까지도 기록되었습니다.

컴플라이언스: 리소스 요구사항 감소

한글로벌보험회사는세일포인트의액세스검증과액세스정책적용자동화기능을통해제어테스트및프로세스 문서화에 필요한 감사 부서의 업무량을 감축하였고 이에 따라 연인원 50명가량의 직원 수요를 절감할 수 있었습니다.

컴플라이언스: 액세스 검토 효율성 개선

한 다국적 금융 서비스 공급업체는 세일포인트의 액세스 검정 자동화 기능을 통해 사용자의 액세스 검토와 검증에 걸리는 시간을 2/3까지 단축했습니다. 평균 3개월에 걸쳐 진행되던 사용자 액세스에 대한 검토가 이제는 4주 만에 완료됩니다.

액세스 요청 및 프로비저닝: 사용자 생산성 개선

한 대형 석유 가스 회사는 세일포인트의 액세스 요청 기능을 통해 평균 요청 처리 시간을 1주일에서 2시간으로 단축하였습니다. 프로세스 개선을 통해 현재는 많은 액세스 요청이 20분 만에 완료되고 있습니다.

프로비저닝: IT 운영 비용 감소

한 대형 프로세스 제조업체는 SailPoint를 사용하여 사내 전체에 셀프서비스 액세스 요청을 자동화하여 1년 만에 IT 운영 비용을 1,000,000달러까지 절감했습니다.

암호 관리: IT 헬프데스크 호출 감소 

한 글로벌 의류 및 신발 제조업체는 기존의 암호 관리 솔루션을 교체하여 IT 헬프데스크 호출을 60%까지 줄일 수 있었습니다.