[글=지정권 | 세일포인트 코리아 지사장]
jeonggwon.jee@sailpoint.com
오늘날 기업이 관리해야 하는 파트너, 공급업체, 계약직, 계열사 등 외부 직원 아이덴티티는 점점 증가하고 있다. 여기에 포함되는 서비스 계정, 봇, 스마트 기기처럼 인간이 아닌 기술(머신)의 비율도 늘어나고 있어 효율적으로 각 아이덴티티에 알맞은 네트워크 및 자원 액세스를 제공하는 것이 새로운 과제로 떠오르고 있다.
비직원 아이덴티티 관리의 어려움
기존 내부 직원들의 아이덴티티는 관리하기가 쉬운 편이다. 대부분 조직은 인사팀 같은 단일 부서를 통해 직원들의 아이덴티티와 액세스 주기를 관리, 추적, 문서화해 직접적으로 통제할 수 있다. 이는 채용 공고가 올라가는 순간부터 후보자 선정, 채용, 온보딩을 거쳐 승진, 전근 및 해고에 이르는 직원의 회사 생활 전반에 해당된다.
그러나 비상근 직원과 공급업체 소속 직원 같은 외부 직원 아이덴티티의 액세스 관리는 훨씬 어렵고 복잡하다. 유수의 대기업들조차 외부 직원을 대상으로 하는 정식 온보딩 절차와 아이덴티티 관리 절차가 없는 경우가 많으며 관련 업무가 여러 부서에 분산되어 책임 소재가 명확하지 않다. 이렇듯 단절된 관리 프로세스와 외부 직원 아이덴티티에 대한 투명성 부족으로 인해 많은 기업들이 부적절한 액세스, 과도한 권한 부여, 소유자가 없는 계정 등의 문제에 특히 취약한 편이다.
사실 사이버 침해는 외부 직원 액세스가 제대로 관리되지 않았을 때 발생하는 가장 대표적인 문제다. 관리가 제대로 이뤄지지 않을 경우 외부 직원이 회사 모르게 공급업체와의 계약을 종료하거나 다른 고객사로 이직했음에도 회사 시스템 접속 권한을 그대로 가지고 있는 상황이 발생할 수도 있다.
반면 과도한 권한 부여는 외부 직원에게 너무 많은 권한을 허락해 사이버 공격의 빌미를 제공하기도 한다. 따라서 기업 보안 차원에서 반드시 원칙에 기반한 외부 직원 리스크 관리 솔루션을 도입해야 한다.
비직원 아이덴티티 관리를 시작하는 프로세스
첫 번째, 공급업체의 수를 정확하게 파악해야 한다. 많은 기업들은 여전히 중앙 통제형 시스템이 없어 자사의 공급업체 수를 제대로 파악하지 못하고 있다. 이로 인해 유동적으로 변하는 공급업체와의 사업 관계에 따른 액세스 권한 조정도 제대로 수행되지 않고 있다.
두 번째, 조직 내 외부 직원 사용자들의 수를 확인해야 한다. 기업에는 많게는 수백 또는 수천 명의 사용자들이 있으며 헬스케어, 제조업과 같은 특수 산업 분야에서는 그 수가 늘어날 수밖에 없다. 이런 상황에서 외부 직원의 수를 제대로 파악하지 못한다면 신규 계약 및 이직 등으로 인한 인력 변화를 반영해 권한을 조절하기가 상당히 어려워진다.
마지막으로, 외부 협력업체와의 신규 계약은 곧 새로운 외부 직원에 대한 액세스 권한 온보딩, 관리, 변동 등으로 추가 비용이 발생할 수 있음을 의미한다. 직원이 아닌 사용자들을 기존 절차대로 온보딩할 경우 이들의 액세스 권한을 인증 및 변경하고 컴플라이언스 요건 충족 여부를 확인하는 데 상당한 시간이 소요될 수밖에 없다.
통합 솔루션의 중요성
외부 직원에 의해 발생할 수 있는 아이덴티티 리스크와 비용을 최소화하는 동시에 효율적으로 조직을 운영하기 위해서는 통합적인 아이덴티티 솔루션이 꼭 필요하다. 임시방편 성격이 짙은 인사팀 중심의 기존 솔루션 대신 각 목적에 충실하게 외부 직원 아이덴티티 및 액세스 관리를 가능케 하는 통합적인 솔루션의 도입이 절실하다. 또한, 조직에서는 지속적으로 외부 직원 정보 등록을 위해 내부 및 외부에서 접속 가능한 포털을 제공한다는 장점도 있다.
이런 통합적인 솔루션은 내부 직원과 외부 직원 각각의 개별적인 아이덴티티별 위험 수준을 동시에 관리하고 아이덴티티 및 외부 직원의 위험 관리를 위한 이상적인 방안을 제시한다. 독립 계약자, 프리랜서, 파트너 등의 외부 직원에서 로봇 및 서비스 계정, IoT 장치 등의 비인간 계정에 이르기까지 다양한 산업 분야, 인수·합병 등의 전문적인 활용 사례 지원도 포함해야 한다.
앞으로 기업들은 액세스 권한을 정기적으로 모니터링하고 검토할 수 있는 외부 직원 아이덴티티 관리 솔루션을 도입해 업무 효율성을 개선하는 동시에 과도한 권한 부여와 시기적으로 적절치 못한 권한 회수를 방지해 리스크를 줄여 나가야 한다. 이제는 모두가 외부 직원 아이덴티티를 투명하고 확실하게 관리해 관련 비용을 절감하고 제3자에 의한 침해에 제대로 대비할 때다.
