보안 솔루션을 도입하는 것보다, 계정과 권한을 정리하는 게 더 어렵고 더 중요하다는 말을 실무에서 자주 느낀다.
실제 사고 사례를 보면 침해의 시작점이 “취약점”인 경우도 많지만, 확산과 피해 규모는 “권한”이 결정하는 경우가 많다.
그래서 보안 담당자 입장에서 가장 먼저 기본기를 점검한다면, 나는 IAM(Identity and Access Management)을 꼽고 싶다.
권한은 ‘누가 뭘 할 수 있나’가 아니라 ‘누가 뭘 못 하게 할 건가’다
권한 체계가 흔들리는 조직에는 몇 가지 공통점이 있다.
- 계정이 역할이 아니라 사람 단위로 부여된다
- 예외 권한이 회수되지 않는다
- 관리자 권한이 너무 넓게 퍼져 있다
- 시스템별로 계정 체계가 제각각이라 통제가 어렵다
이 상태에서는 보안 점검을 해도 체감 개선이 잘 안 된다.
왜냐하면 방어는 “최소 권한”이 아니라 “최대 권한”을 기준으로 무너지는 경우가 많기 때문이다.
RBAC만으로 부족한 순간이 온다
역할 기반 접근통제(RBAC)는 기본이다.
그런데 운영을 하다 보면 RBAC만으로 설명이 안 되는 케이스가 나온다.
예:
- 같은 역할인데 특정 시간대에만 필요한 권한
- 특정 프로젝트 기간에만 필요한 권한
- 특정 데이터셋에만 제한적으로 필요한 권한
이때 현실적인 대안은 다음 중 하나로 정리되는 경우가 많다.
- ABAC(속성 기반)로 정교화
- JIT(Just-in-Time) 권한 부여로 전환
- 승인 기반 임시 권한(시간 제한, 자동 회수) 프로세스 도입
모든 조직이 ABAC까지 갈 필요는 없지만, 최소한 “임시 권한을 어떻게 통제할지”는 정리되어야 한다고 느낀다.
IAM 점검 체크포인트(실무용)
이직 면접에서 “권한 관리 어떻게 할 건가요?” 질문이 나오면, 나는 아래부터 확인한다고 말할 것 같다.
- 계정 라이프사이클: 생성/변경/퇴사 회수 프로세스가 있는가
- 권한 기준: 역할 정의서가 있는가(업무 단위로)
- 관리자 권한: Admin 계정의 사용이력·승인·회수 체계가 있는가
- MFA: 관리자 계정과 원격접속 계정은 강제되는가
- 감사로그: 누가 언제 어떤 권한을 받았고, 무엇을 했는지 남는가
- 예외관리: ‘예외 권한’이 상시권한으로 굳어지는 구조를 막고 있는가
이 항목들이 정리되면 보안 솔루션 운영도 훨씬 정돈된 방향으로 흘러가는 경우가 많다.
개인정보 관점에서 IAM이 중요한 이유
개인정보는 시스템에만 있는 게 아니라 “접근 권한”에 의해 보호된다.
암호화가 되어 있어도 운영자·개발자 권한이 과도하면 실질적 보호는 약해진다.
그래서 개인정보 보호 담당자 입장에서도 IAM은 “보안 담당자의 영역”이 아니라 핵심 보호조치라고 생각한다.
마무리
보안 솔루션은 바꿀 수 있어도, 권한 체계는 한 번 어그러지면 되돌리기 어렵다.
그래서 처음부터 완벽하긴 어렵더라도, 최소한
- 기준을 만들고
- 예외를 통제하고
- 회수의 자동화를 걸어두는 것
이 세 가지는 빨리 잡아두는 게 맞다고 느낀다.