Offcanvas

보안 / 애플리케이션

GE가 7개의 IAM을 하나로 통합한 이유

2019.07.23 Jaikumar Vijayan  |  CSO
GE는 과거 파편화되어 있던 신원 및 접근 관리(Identity and Access Management, IAM) 인프라를 중앙에서 통합함으로써 상당한 비용 효율과 실적 혜택을 거두었다. 2014년부터 시작해 거의 5년 동안 GE는 여러 사업부에서 따로 관리했던 7개의 다른 신원 관리 시스템을 하나의 단일 플랫폼으로 통합해 현재 200만 명의 직원 및 협력업체가 GE 애플리케이션에 접근하는 것을 감독하고 있다. 
 
ⓒ Getty Images Bank 

GE의 ID 관리 서비스 총괄인 폴 베일리는 새 시스템이 값비싼 중복을 없앴고, GE가 전사적 애플리케이션 액세스를 위한 표준화된 규칙 세트를 수립할 수 있게 해주었다고 주장했다. 중앙화된 인프라에 의해 GE는 IAM 프로그램을 실행하는데 필요한 인력의 수를 250명으로부터 절반으로 줄였다. 또한 세계적으로 액세스 감사 관리 팀을 25명에서 단 2명으로 줄일 수 있었다. 

베일리는 "더 중요한 것은 GE의 새로운 신원 관리 플랫폼은 새로운 애플리케이션을 탑재하고, 이용자 액세스를 허용하고 관리하고 종료하고, 신원이 규제적 요건을 준수하며 관리하는 것을 더욱 쉽게 해뒀다는 점이다"고 말했다.

 
GE가 신원 관리 인프라를 통합하게 된 배경 

GE의 현재 거의 완수된 거대한 작업은 IAM 기능을 진화시켜 변화하는 비즈니스 요구와 여타 경향에 어떻게 보조를 맞출 수 있는지를 보여주는 실례이다. 

가트너에 따르면, 클라우드 및 마이크로서비스 아키텍처의 도입, 증가된 디지털화, 그리고 이에 따른 사이버 위협의 급증에 의해 IAM에 대한 진화된 접근법을 이용하는 사례가 급속히 확장되고 있다. 

가트너는 IT 리더들이 지난 몇 해 동안 보안 및 사기 검출 시스템과 ID 시스템을 보다 밀접하게 연결하고, IAM 모듈 사이의 통신과 자동화의 수준을 높이고, 고객의 동의를 보다 존중하는 데이터 관리 정책을 구현할 필요가 있음을 알게 되었다고 지적했다. 

또한 "현대 ID 환경의 범위와 복잡성이 증대되면서 평범한 방식으로 관리하는 것이 너무 어려워졌다"면서, “이 경향은 IT 리더들이 ID 및 접근 관리 환경을 진화시키도록 요구한다”고 말했다. 

베일리는 GE의 ID 통합 프로젝트가 더 큰 확장성, 유연성, 속도에 대한 필요로부터 생겨났다고 말했다. GE는 항공, 의료, 에너지, 캐피탈, 오일/가스, 전력 등 다양한 업종에서 사업을 영위한다. 회사가 사업을 영위하는 몇몇 분야는 IAM에 대해 엄격한 요건을 규정한다.  

예를 들어, GE의 항공 및 에너지 사업은 통제되는 소프트웨어, 기술, 서비스를 미국 외부로 판매 또는 이전하는 것을 규정하는 미국 수출 통제 법규를 준수해야 한다. 이의 일부로서 적정 허가를 득한 사람만이 국방부 데이터가 포함된 시스템에 접근하도록 보장해야 한다. GE는 SOX, HIPAA, FDA와 관련된 여타 사업 영역에서도 유사한 요건을 준수해야 한다. 


파편화된 신원 관리 인프라의 문제점  

5년 전, GE의 신원 관리 인프라는 오라클의 기술을 기반으로 했다. 플랫폼은 수명이 거의 다되었고, GE의 진화하는 신원 관리 프로그램 요건을 지지할만한 확장성과 유연성을 갖고 있지 않았다. 

그 당시, GE의 각 사업부는 별개의 신원 관리 시스템을 가지고 있었고, 전부 합쳐 7개에 이르렀다. 상이한 팀이 상이한 프로세스를 이용하며 이들을 관리했다. 베일리는 “이 7개의 인스턴스에 걸쳐 수많은 사람이 여러 동일한 기초 기능을 처리하였다. 이는 비용 효율적이지 않았다”고 말했다. 그 당시 GE에는 표준 IAM 구성이 없었기 때문에 중앙화된 규칙을 정의하고 활용할 방법이 없었다. 

베일리는 "새로운 ID 관리 시스템을 물색할 때 GE의 주요 요구사항 가운데 하나는 확장성이었다"고 말했다. GE는 7개의 상이한 신원 관리 시스템을 중앙에서 관리할 수 있는 단일 플랫폼으로 통합할 수 있는 무언가를 원했다. 

또한 GE는 개별 ID에 대해 사업에 특화된 규칙을 보다 쉽게 설정할 수 있는 시스템을 원했다. 회사는 각종 사업들의 고유한 액세스 요건을 수용할 수 있는 유연성을 필요로 했다. 예를 들어 항공 사업부는 국방부의 액세스 제한을 준수해야 했다. 베일리는 "이들 비즈니스 규칙을 신원에 삽입하려면 오라클의 경우 수많은 어려운 코딩 작업이 필요했다"고 말했다. 

GE의 신원 관리 프로그램은 5년 전만 해도 매우 파편화되어 있었기 때문에 새로운 앱을 전사적으로 도입하는 것 역시 어려웠다. 때에 따라 5개월이 소요되기도 했다. 따라서 GE는 새 ID 플랫폼이 새 애플리케이션을 신속히 탑재할 수 있는 기능을 지원하기를 원했다.  


새로운 ID 관리 플랫폼의 효과  

GE의 새로운 IAM 인프라는 세일포인트 테크놀로지스(SailPoint Technologies)의 기술에 기반한다. 세일포인트의 아이덴티티IQ 플랫폼은 통합 플랫폼을 물색할 때 GE가 염두에 두었던 모든 요건을 지원한다고 베일리는 말했다. 

이는 확장성이 있고, 액세스 규칙을 손쉽게 구성할 수 있고, 중요하게도, 엔터프라이즈 앱, 클라우드 호스팅 애플리케이션, 데이터베이스, 디렉토리로 신속히 연결하는 이른바 ‘커넥터’를 통해 신속한 애플리케이션 탑재라는 GE의 요건을 지지했다. 오라클 환경에서 GE는 새 애플리케이션을 통합하기 위해 자체적으로 커넥터와 웹 서비스를 구축해야 하는 경우가 빈번했다. 이는 앱 탑재 시간을 지연시켰다. 

다른 혜택 또한 있었다. GE는 이제 사람들이 언제, 어떻게, 어디서 애플리케이션과 서비스에 액세스하는 지에 관해 향상된 가시성을 갖게 되었다. GE 관리자들은 애플리케이션에 액세스하는 사람이 규제를 준수하고 완전히 감사가 가능한 방식으로 액세스하고 있는지를 신속히 검증할 수 있다. 

예를 들어, GE 의료 사업부의 직원은 특정한 종류의 보호 데이터에 접근하려면 FDA가 규정한 교육을 받아야 한다. 과거에 ID 관리 직원은 이러한 데이터에 접근하는 사람이 규정된 교육을 받았는지, 또는 규정을 충족하지 않고 이에 접근하는지 검증하는데 어려움을 겪었다. GE는 이제 API 기반의 프레임워크를 삽입해 IAM 팀을 GE의 교육 환경으로 직접 연결해 정확한 교육 과정을 이수했는지 검증할 수 있다고 베일리는 말했다. 

미래에, 베일리와 그의 팀은 세일포인트의 신원 애널리틱스 기능을 활용해 역할 관리, 역할 발굴을 하고, 액세스 감사를 이행하고, 위험을 관리하는 등의 일을 할 수 있기를 바란다. 또한 GE는 앱이 신원 관리 서비스를 자동화된 형식으로 소비하는 자동 서비스 모델로 근접해지는 것을 추구한다고 베일리는 말했다.
 
세일포인트의 최고 제품 임원인 폴 트럴러브는 "비즈니스 성장, 엔터프라이즈 디지털 트랜스포메이션 노력, 규제 준수 요건은 레거시 IAM 시스템의 역량을 넘어섰다고 말했다. 여러 조직이 업그레이드를 강요받고 있다"며, "GE는 현재의 상용 내지 자체 신원 관리 솔루션으로 한계에 부딪친 수많은 회사와 유사하다"고 설명했다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.