“온프레미스와 클라우드, 망분리된 내부망 모두가 인터넷에 연결돼 있다. 이 모든 접점에서 취약점이 발생하고 악의적 공격이 발생하고 있다. 또 기업내 모든 구성원들에게 정보는 동등하지 않다. 정보 접근에 있어 많은 권한을 가진 자와 그렇지 못한 자가 있다. 이런 상황에서 가장 중요한 부분이 바로 권한 계정 관리다. 온레미스, 클라우드, 가상화 시스템에서 복잡하게 얽혀 있는 계정들을 효율적으로 관리하고 보호하는 것은 이제 기업 정보보호에 있어 핵심적이 요소다.” - CA 테크놀로지 비크 만코티아 부사장-
 
23일 CA 테크놀로지 비크 만코티아 아태지역 부사장(사진)이 방한해 보안분야 기자들과 만남의 시간을 갖고 CA 계정 및 접근관리(IAM) 솔루션 사업 전략에 대해 발표하는 시간을 가졌다.
 
이 자리에서 비크 만코티아 부사장은 “기업의 주요 정보나 개인정보, 설계도면, 금융정보, 의료정보 그리고 국가간 첩보활동 등 다양한 이유로 사이버 공격이 발생하고 있고 정보유출 침해사고가 발생하고 있다”며 “대부분 사고들이 권한 계정관리에 충분한 주의를 기울이지 않아 발생하는 문제들”이라고 지적했다.
 
또 “온프레미스, 클라우드, 가상화 등 내부 시스템들은 이전보다 더욱 복잡하게 얽혀지고 있다. 이 과정에서 권한관리는 보안을 위해 핵심적인 요소”라며 “하지만 모든 임직원에게 동일한 인증방식을 요구할 필요는 없다. 운영 효율성을 고려해야 한다. 정보 접근에 대한 권한 정도에 따라 강화된 계정관리가 적용되도록 하면 된다”고 설명했다.
 
CA는 통합 계정 및 접근 관리 구축이 가능하도록 IAM과 관련된 모든 분야별 솔루션 포트폴리오를 구축하고 있다. 또 이 분야에서 글로벌 및 아태지역에서 선두업체로 경쟁우위를 점하고 있는 기업이다. 특히 한국에서는 국내 글로벌 기업과 금융기관, 일반기업 등 많은 레퍼런스를 확보하고 있다.
 
비크 만코티아 부사장은 “내부정보유출 방지는 내부자에 대한 인식이 근본적으로 바뀌어야 한다. 최근 발생하는 상당수 보안사고는 내부자에 의해 발생하고 있다. 결국 철저한 계정 및 역할 관리에 기초한 접근제어가 시스템적으로 정책 및 프로세스에 구현되어 사용자들이 그 틀 안에서 IT시스템을 사용하도록 해야 한다”고 강조했다.
 
이어 “CA는 보안사업 중에서도 내부자에 대한 IAM 솔루션에 초점을 맞춰 10년 이상 준비해 온 회사다. IAM 솔루션 전반에 걸쳐 확실한 비전과 전략하에 제품을 개발하고 통합하는 측면에서 다른 어떤 업체들보다 경쟁력을 가지고 있다”며 “한국에서도 애플리케이션과 서버를 위시한 IT 인프라 전반에 대한 IAM솔루션 영역에서 가장 많은 성공사례를 보유하고 있다”고 말했다.
 
CA테크놀로지 IAM 전략은, 그동안 CA 아이덴티티 매니저, CA 싱글사인온, CA 프리빌리지드 아이덴티티 매니저와 같은 솔루션을 통해 서버, 애플리케이션과 같은 IT 인프라를 보호해 왔다면, 향후 시장은 단지 IT 인프라에 대한 보호뿐만 아니라 데이터 자체에 대한 보호가 IAM솔루션과 통합될 것으로 전망된다.
 
이에 CA는 콘텐츠 인식 IAM 이라는 전략을 통해 기존 IAM 솔루션과 데이터유출방지(DLP) 솔루션을 하나로 통합, 고객 데이터를 안전하게 보호하면서도 사용자가 데이터를 사용하는데 불편함이 없는 솔루션을 제공한다는 전략이다.
 
또한 클라우드 시대에 맞춰 IAM 솔루션을 SaaS 형태로 제공해 고객이 쉽게 IAM 서비스를 이용할 수 있도록 CA 아이덴티티 매니저 SaaS도 제공한다고 밝혔다.
 
질의응답 시간에는 “최근 공격들이 권한 탈취에 성공후, 정상적인 사용자권한을 가지고 정보를 유출해가는 경우가 많다. 이에 대해 어떤 대비책이 있는지”에 대한 질문에 비크 만코티아 부사장은 “100% 막을 수는 없지만, 사용자에게 지속적인 권한 계정을 주지 않으면 된다. OTP 형식으로 한시간만 접근권한을 열어 준다든지 생체인식 등 멀티 팩터 인증 방식으로 아이덴티티 탈취를 예방하고 탈취 당하더라고 피해를 최소화 시킬 수 있는 방안들이 있다. 또 데이터를 카피해 가기 위해서는 더욱 복잡한 승인절차를 만들면 된다. 모든 보안은 결국 계정관리로 귀결된다. 이제 암호만으로는 보안을 확보할 수 없다. 생체인식 등 보다 확실한 방식들이 적용될 것”이라고 설명했다.
 
한편 CA는 지난 8월 온프레미스, 클라우드, 하이브리드 IT 환경을 보호하는 권한 계정 관리 솔루션 기업 ‘엑시디움’을 인수한 바 있다. CA와 엑시디움의 통합으로 권한 계정관리 분야에서 CA의 러더십이 한층 강화되고 고객에게 보다 유연하게 권한 계정 컴플라이언스와 위험을 관리하는 방식을 제공하게 됐다. CA는 엑시디움 인수로 보안 포트폴리오를 확장하고 외부 공격, 내부자의 실수 및 악의적 침해로 발생으로부터 IT 관리자 또는 권한을 가진 사용자 계정을 보호하고 통제하는데 포괄적 솔루션을 제공할 수 있게 됐다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com