권한 있는 액세스 관리란 무엇인가요?

권한 액세스 관리(PAM)는 복잡한 하이브리드 인프라 전반에서 관리 액세스를 용이하게 합니다. PAM을 사용하면 동적 정책을 적용하여 실시간 액세스 요구 사항을 반영하는 ID 기반 보안 제어를 통해 권한 있는 ID를 식별하고 관리할 수 있습니다. 권한 활동을 모니터링하면 침해 위험을 줄이고 거버넌스 및 규정 준수 이니셔티브를 지원할 수 있습니다.

OpenText™ NetIQ™ Access Manager 는 조직이 보다 효과적이고 효율적인 방식으로 제로 트러스트 전략을 구현할 수 있도록 지원합니다.

NetIQ Access Manager 를 사용하면 됩니다:

• 권한 있는 계정 관리 
• 보안 제어 적용
• 권한 있는 사용자 활동 감독
• 포괄적인 보고 및 감사 제공

권한 있는 ID란 무엇인가요?

권한 있는 ID를 가진 사용자는 일반적으로 중요한 데이터, 시스템 또는 민감한 정보에 대해 어떤 형태로든 관리 액세스 권한을 가지고 있습니다. 이러한 유형의 ID에는 직원, 컨설턴트, 파트너, 고객이 포함되지만 애플리케이션, 서비스, 사물, 디바이스도 포함될 수 있습니다.

---

최소 권한 원칙(POLP)이란 무엇인가요?

최소 권한 원칙이란 ID가 기능하는 데 필요한 권한과 권한만 부여하는 것을 말합니다. 권한 있는 자격 증명을 관리하고 보호하는 간단하고 중앙 집중화된 방법은 물론, 사이버 보안 및 규정 준수 요구 사항과 운영 및 최종 사용자 요구 사항의 균형을 맞추기 위한 유연한 제어가 필요합니다.

---

권한 있는 사용자는 누구인가요?

권한이 있는 사용자 또는 계정은 권한이 없는 계정에 부여된 권한을 초과하는 액세스 권한과 권한을 부여합니다. 권한 있는 사용자에는 IT 관리자/이사, 시스템/데이터베이스 또는 애플리케이션 관리자, 개발/엔지니어링, 감사 또는 컨설턴트, 최고 경영진 또는 기타 임원이 포함됩니다. 이러한 사용자는 레거시, 기술 또는 역할에 따라 더 많은 액세스 권한을 갖습니다.

---

권한 있는 액세스를 관리할 때 규정 미준수로 인한 위협과 위험은 무엇인가요?

전문가들은 전체 보안 침해의 절반 정도가 내부자 활동의 결과로 발생한다고 추정합니다. 내부자 위협은 필요 이상으로 높은 액세스 권한을 가진 직원과 관련된 경우 특히 심각합니다.

권한 오용이 직원의 실수로 인해 발생하든, 내부자의 자격 증명을 활용하여 IT 네트워크에 액세스한 사이버 범죄자의 소행이든, 수퍼유저나 데이터베이스 관리자 등 권한 있는 사용자가 자신의 권한으로 수행하는 작업을 면밀히 제어하고 모니터링하면 이러한 위험을 가장 효과적으로 관리할 수 있습니다.

하이브리드 클라우드, 모빌리티, 빅 데이터, CIAM, IoT, 디지털 혁신과 같은 트렌드는 모두 권한과 관련된 복잡성, 새로운 위협, 위험 수준을 야기합니다. 이제 ID는 사람뿐만 아니라 디바이스나 사물이 될 수도 있으며, 모든 ID에는 어떤 형태로든 권한이 있습니다.

IT 부서는 매일 생산성이라는 명목으로 ID에 더 높은 권한을 부여하고 있으며, 이로 인해 권한 액세스와 관련된 세 가지 유형의 위험이 발생합니다: 외부 위협, 내부 위협, 규정 미준수입니다. 이러한 유형의 계정은 모두 중요한 시스템과 정보에 액세스할 수 있기 때문에 취약하며, 결과적으로 회사를 위험에 노출시킵니다.

외부 위협

정교한 해커들은 재무, 지적 재산, 고객 데이터, 공식, 제조 프로세스 등에 액세스할 수 있는 경영진, 시스템 관리자, 네트워크 관리자, 엔지니어, 보안 담당자 등 높은 수준의 액세스 권한을 가진 사람들을 대상으로 피싱 공격을 감행합니다. 해커나 위협 사냥꾼은 어떤 ID가 어떤 정보에 액세스할 수 있는지 알지 못할 수도 있지만, 네트워크 내에 숨겨진 보안 위험을 적극적으로 검색할 것입니다.권한 있는 사용자의 자격 증명에 액세스하는 공격자는 몇 달 동안 탐지되지 않은 채 잠복하면서 기업의 시스템을 학습하고 무엇을 훔칠지 결정할 수 있습니다. 또한 숙련된 해커는 고아 또는 권한이 없는 디바이스/사물을 해킹하여 관리자 액세스 권한을 얻을 수 있습니다. 이들은 전체 데이터베이스의 콘텐츠를 훔치고 로그를 쉽게 삭제하여 자신의 활동을 숨길 수 있습니다.

내부 위협

조직은 악의적이든 우발적이든 내부자 위협으로부터도 보호해야 합니다. 고의든 아니든, 높은 수준의 액세스 권한을 가진 자격 증명을 부여받거나 도용한 사용자는 네트워크를 쉽게 다운시키고 기밀 정보를 노출하는 등 조직에 수백만 달러의 생산성 손실, 매출 손실, 규정 준수 벌금 등의 비용을 초래할 수 있습니다. 직원이나 계약업체가 악의적인 행위를 하는 경우도 있지만, 대부분의 경우 사람의 실수나 부주의로 인해 발생합니다. 회사가 우수한 사용자 경험과 적시에 적절한 액세스를 제공하지 않으면 고도로 기술적이고 신뢰할 수 있는 권한 사용자라도 보안을 희생하면서까지 업무를 처리할 방법을 찾게 됩니다. 조직은 누가 또는 어떤 권한을 가지고 있는지 파악하고 영향을 최소화하기 위해 이들이 수행할 수 있는 작업을 제어해야 합니다.

규정 미준수로 인한 위험

데이터 액세스와 관련하여 GDPR, HIPPA, PCI 등 기존의 많은 규정 준수 표준이 있으며, 앞으로 더 많은 표준이 도입될 것으로 예상됩니다. 이러한 규정의 대부분은 규범이 아닌 설명적 규정이기 때문에 정책 시행에 있어 해석의 여지가 있습니다. 정책이 해석의 여지가 있으면 본질적으로 위험에 노출될 수 있습니다. 정책을 표준화하면 규정 준수 전략의 보안 및 ID 관리 부분을 충족할 수 있습니다. 규정 준수 및 내부 거버넌스 요건이 계속 엄격해지고 감사가 더욱 까다로워지면서 조직은 직원의 생산성 유지와 ID 기반 보안 제어 시행 사이에서 균형을 잡아야 한다는 압박을 받고 있습니다. 많은 조직이 감사관에게 필요한 표준을 구현했음을 증명할 수 있는 능력을 통해 조직이 직면한 위험을 완화할 수 있는 빠른 방법을 찾고 있습니다.

조직의 가장 중요한 자산은 적절한 사람에게 적시에 액세스 권한을 부여하는 권한 있는 ID와 액세스 정책으로 보호되어야 합니다. 대부분의 조직은 권한 문제를 무시하거나 어디서부터 시작해야 할지 모르거나 수동 프로세스만 사용합니다.

---

권한 액세스 관리가 중요한 이유는 무엇인가요?

IT 리더들은 위험을 줄이는 가장 빠르고 효과적인 방법 중 하나가 권한 있는 ID(일명 수퍼유저)를 더 잘 관리하는 것임을 알고 있습니다. 대부분의 침해 사고는 시스템과 데이터에 대한 무제한 액세스를 제공하기 때문에 권한 있는 자격 증명에 대한 액세스 권한 획득과 관련되어 있으며, 이는 보안 및 규정 준수와 관련된 주요 문제를 야기합니다. 악의적이든 실수로든 가장 큰 피해를 입힐 수 있는 사용자의 액세스를 효과적으로 관리하는 것은 조직 보안을 위한 논리적 단계입니다.

---

권한 있는 사용자 활동에 대한 가시성과 제어 기능을 어떻게 제공할 수 있나요?

대부분의 침해 사고는 시스템과 데이터에 무제한으로 액세스할 수 있는 권한 있는 자격 증명에 대한 액세스 권한 획득과 관련되어 있어 보안 및 규정 준수에 큰 문제를 야기합니다.

권한 있는 계정은 반드시 필요하지만 기본 도구로는 제대로 관리할 수 있는 경우가 드물기 때문에 관리하기가 어렵습니다. 권한 있는 ID는 조직 내 모든 곳에서 찾을 수 있으며 보안 표준은 거의 모든 상황에서 다릅니다. 애플리케이션, 서비스, 서버, 데이터베이스, 디바이스, 사물 등에서 권한을 찾을 수 있습니다. 

또한 권한이 있는 계정의 사용자, 종속성 및 활동에 대한 인사이트가 부족합니다. 권한이 여러 사람에게 공유되는 경우가 많기 때문에 IT 부서가 수행한 작업에 대해 책임을 묻기가 거의 불가능합니다. 또한 대부분의 조직은 기존 인증 또는 권한 부여 정책을 Linux나 UNIX와 같은 플랫폼이나 클라우드 서비스로 확장할 수 없습니다. 

권한과 관련된 위험을 최소화하기 위해 조직은 모든 권한 액세스를 관리, 보호 및 완화하는 등 몇 가지 과제를 극복해야 합니다.

권한 있는 자격 증명 관리

많은 IT 조직은 권한 있는 자격 증명에 대한 액세스를 관리하기 위해 수작업이 많고 오류가 발생하기 쉬운 관리 프로세스에 의존하고 있습니다. 이는 비효율적이고 위험하며 비용이 많이 드는 접근 방식입니다. 복잡한 하이브리드 환경에서는 높은 권한을 가진 모든 ID를 찾아내는 것이 어려울 수 있으며 때로는 거의 불가능할 수도 있습니다. 예를 들어, 가장 널리 사용되는 운영 체제인 Microsoft Windows에서는 사람이 아닌 시스템과 애플리케이션에 의해 실행되는 서비스 계정을 사용할 수 있습니다. 

계정은 사람만을 위한 것이 아닙니다. 계정은 시스템, 디바이스 또는 기계의 IoT 센서가 보유할 수도 있습니다. 중요한 시스템에 액세스할 수 있는 모든 것이 권한 있는 계정이며, 때로는 권한 있는 계정이 액세스해야 하는 각 시스템(Windows, Linux, UNIX 등) 내에서 중복되는 경우도 있습니다. 많은 수의 권한 계정을 보유하는 것은 정상이지만, 대부분의 조직에서는 필요 이상으로 많은 수의 권한 계정을 보유하고 있습니다. 또한 ID가 변경되면 액세스 권한을 다시 프로비저닝하는 프로세스를 항상 따르지 않습니다.

많은 조직이 얼마나 많은 권한 계정을 보유하고 있는지, 또는 악용될 수 있는 비어 있거나 고아 계정이 있다는 사실조차 인지하지 못하고 있습니다. OpenText™ NetIQ™ 안전하고 유연한 솔루션인 Privileged Account Manager를 사용하면 모든 하이브리드 IT 환경에서 관리자 계정을 중앙 집중식으로 쉽게 관리할 수 있습니다. .

안전한 역할과 책임

복잡한 하이브리드 환경에서는 권한 관리 전략을 실제로 구현하는 것이 큰 과제입니다. 조직이 성장함에 따라 조직이 확장함에 따라 시스템이 권한 있는 사용자에 대해 필요한 액세스 제어 기능을 제공하지 못한다는 사실을 알게 됩니다. 아무리 좋은 프로세스와 정책이라도 일관되고 효과적인 방식으로 시행을 자동화할 수 없다면 아무 소용이 없습니다. 

규정 준수 및 거버넌스 요건을 충족하기 위해 대부분의 조직은 "권한 크리프"라는 문제에 직면하기 때문에 적응형 액세스 제어를 마련해야 합니다. 이는 조직 내에서 사람들이 역할을 변경할 때 더 이상 필요하지 않은 권한을 제거하지 않고 현재의 요구 사항을 반영하여 새로운 권한을 확장할 때 발생합니다. 

조직은 종종 클라우드 플랫폼, SaaS 애플리케이션, 소셜 미디어 등에 대한 권한 있는 사용자의 액세스를 효과적으로 제어하는 데 어려움을 겪으며 규정 준수 위험과 운영상의 복잡성을 야기합니다. 모든 권한 있는 사용자에게 최소 권한 원칙을 적용하는 것이 중요합니다. 

비밀번호를 공유하거나 중요한 시스템에 대한 루트 수준의 액세스를 과도하게 제공하면 공격 범위가 넓어지고 시스템 복잡성이 증가하여 침입자를 발견하기가 더 어려워집니다. 대부분의 사용자는 업무를 수행하기 위해 일부 관리 권한만 필요하지만, 기본 도구에서는 세분화된 제어를 허용하지 않을 수 있으므로 기본적으로 전체 관리 권한이 사용자에게 부여됩니다. 즉, 사용자는 필요 이상으로 많은 권한을 갖게 되어 불필요한 위험과 잠재적으로 규정 준수의 악몽을 겪을 수 있습니다. 

권한 있는 활동 완화 및 추적

제어 기능이 구축되면 조직은 권한 활동을 추적하고 ID의 전체 수명 주기 동안 이를 모니터링하여 잠재적인 위협을 식별하고 실시간으로 위협을 해결하며 원활한 감사를 보장해야 합니다. 이 작업을 수동으로 수행하면 오류가 발생하기 쉽고 시간이 많이 소요되며 시간이 지남에 따라 액세스 요구 사항이 변경되고 새 ID가 지속적으로 프로비저닝되기 때문에 관리가 거의 불가능할 수 있습니다. 이는 특히 복잡한 하이브리드 환경을 갖춘 대규모 IT 조직의 경우 권한 있는 ID를 관리하는 효율적이거나 지속 가능한 방법이 아닙니다. 

많은 조직이 내부 ID 거버넌스 전략의 일환으로 정기적인 증명 또는 액세스 인증에 의존하지만, 이러한 인증은 대개 IT 부서에서 수작업으로 진행하는 프로세스입니다. 또한 모든 권한 활동을 추적하고 기록하지 않을 가능성이 높습니다. 

조직은 감사나 사고가 발생할 때까지 기다렸다가 조사를 시작할 것이 아니라 권한 오용을 포착하고 이를 즉시 중단할 수 있는 방법이 필요합니다. 모든 조직은 네트워크 사고, 내부 및 외부 감사 실패, 규정 미준수 벌금, 보안 침해로 인한 추가 위험을 최소화하기 위해 권한 액세스에 대응할 수 있는 전략을 세워야 합니다.

이러한 모든 문제는 고통스러운 감사를 유발하거나 침입자가 악용할 수 있는 이상적인 기회를 제공할 수 있습니다. 조직은 과도한 권한을 가진 사람을 자동으로 식별하고 더 이상 필요하지 않은 권한을 취소하거나 조정할 수 있는 기능이 있어야 합니다.

---

권한 있는 액세스 관리 모범 사례에는 어떤 것이 있나요?

악의적이든 실수로든 조직에 해를 끼칠 가능성이 있는 사용자의 액세스를 관리하는 것은 조직의 보안을 보장하는 데 있어 핵심입니다. 다음 단계를 따르면 위험과 복잡성을 줄일 수 있습니다: 검색, 제어 및 모니터링

권한 있는 ID 찾기

권한 있는 ID와 해당 종속성에 대한 포괄적인 기준을 확인하세요.

권한 관리의 첫 번째 단계는 어떤 ID(사용자, 서비스, 디바이스, 사물 등)에 높은 액세스 권한이 있는지, 어떤 종속성이 존재하는지 파악하여 정책을 간소화하고 구현하는 데 필요한 인사이트를 확보하는 것입니다. 권한 있는 ID와 해당 종속성을 파악하여 권한 있는 ID의 기준선을 설정하세요.

권한 있는 계정 및 서비스 알아보기

사용자 환경에서 앱과 서비스에 대한 권한을 승격시킨 사람과 권한은 무엇인가요? 관리자가 너무 많아서 감사에 실패할 위험이 있나요?

모든 종속성 식별

내 모든 권한 있는 아이디가 서로 또는 서비스에 어떻게 종속되어 있나요? 정리 또는 간소화 프로세스 중에 서비스가 중단되지 않도록 하려면 어떻게 해야 하나요?

필수적이지 않거나 고아가 된 그룹 정책 탐지

고아 계정이나 그룹 정책이 있나요?

제어 권한

ID 기반 권한 관리를 구현하여 위험 감소

ID 기반 권한 관리를 구현함으로써 제어는 속성에 따라 실시간으로 권한을 조정하는 정책을 적용하여 위험을 줄입니다. '최소 권한' 원칙은 모든 사람이 업무를 수행하는 데 필요한 만큼만(더도 말고 덜도 말고) 액세스하도록 보장합니다.

• 최소 권한 위임을 구현할 수 있나요?
• 온-윈도우 및 클라우드 리소스로 인증을 확장할 수 있는 AD 브리징 기능이 있나요?
• 자격증명 볼트를 사용하여 하드코딩된 사용자 이름과 비밀번호를 제거하시겠습니까?
• 권한 있는 액세스를 위해 멀티팩터 인증을 사용할 수 있나요?
• 적응형 속성 프로비저닝을 사용하시나요?
• 권한 있는 세션 관리는 어떻게 처리하나요?
• 그룹 정책 관리는 어떻게 하나요? Office 365 라이선스 프로비저닝은 어떻게 처리하나요?
• UNIX 루트 위임이 필요하신가요?
• 워크나우 자동화를 통해 권한 액세스를 어떻게 처리하나요?

권한 있는 활동 모니터링

변경 사항을 감지하고 권한 있는 활동을 추적하여 거버넌스 및 규정 준수를 지원하세요.

변경 사항을 식별하고 권한 활동을 추적하여 거버넌스 및 규정 준수를 지원합니다. 제어가 완료되면 전체 ID 수명 주기 동안 변경 사항 및 권한 활동을 모니터링하여 잠재적인 위협을 식별하고 거버넌스 및 규정 준수를 보장합니다.

무단 변경 모니터링

정책을 벗어난 변경 사항을 어떻게 발견하나요? 무단 변경이 이루어졌을 때 알림을 받나요?

위협 식별 및 액세스 차단

권한 오용을 실시간으로 식별할 수 있나요? 권한 오용이 확인된 후에는 어떻게 조치를 취하나요?

감사인을 위한 보고서 생성

권한 사용자의 모든 활동 로그에 액세스할 수 있나요? 증명 보고를 얼마나 쉽게 완료할 수 있나요?

---

왜 NetIQ 권한 액세스 관리인가요?

• 검색, 제어 및 모니터링을 위한 검증된 방법론
• 전체 권한 있는 ID 수명 주기에 대한 가시성 확보
• ActiveView 모델을 통한 독보적인 권한 세분화
• 지원되는 시스템 및 애플리케이션의 폭이 매우 넓습니다.
• 비침입 권한 세션 모니터링으로 더 나은 경험 제공
• 안전하고 효율적이며 일관된 기본 제공 워크플로 자동화 기능
• 하이브리드 환경 전반의 단일 공급업체 지원
• 감사 및 증명 보고에 소요되는 시간 단축