클라우드 확산, 원격근무 확대, AI 기반 공격의 고도화로 기존 경계 중심 보안은 더 이상 효과적이지 않다. 공격자는 합법적 계정과 정상적인 접근 흐름을 악용하며, 보안의 중심축은 자연스럽게 ‘신원(Identity)’으로 이동하고 있다.

이제 IAM만으로는 동적인 위협을 제어하기 어려워졌고, 정부 역시 N2SF를 통해 강화된 신원-자격증명-접근관리 체계를 요구하고 있다. 본 칼럼은 이러한 변화 속에서 ICAM이 왜 제로트러스트의 핵심 전략으로 부상했는지, 그리고 지금 조직이 ICAM 전환을 고민해야 하는 이유를 간결하게 제시하고자 한다.

1. 경계의 종말과 새로운 보안 패러다임, Zero Trust

클라우드 전환, 모바일 업무환경 확대, 원격 및 재택근무의 보편화, 생성형 AI의 급부상 등 우리가 일하는 방식과 기술환경은 크게 변화하고 있다. 이러한 변화 속에서 ‘내부망은 안전하고 외부망은 위험하다’는 기존 경계 기반 보안 모델은 이미 효력을 잃었다. 공격자들은 정교한 방식으로 경계를 우회하고, 한번 내부로 침투하면 신뢰를 기반으로 정상 계정처럼 자유롭게 활동하며 막대한 피해를 야기한다.

이러한 한계 속에서 ‘정체성에 대한 항상 검증’을 핵심 원칙으로 하는 제로트러스트가 주목받기 시작했다. 제로트러스트는 더 이상 네트워크의 위치를 신뢰의 기준으로 삼지 않고, 모든 접근 요청에 대해 사용자와 기기의 신원을 확인하고, 권한을 검증하며, 지속적으로 모니터링하여 위협에 대응한다.

이 과정에서 단순한 계정 관리(IAM)만으로는 대응이 어려워지고 있다. 이제는 ‘누가’ 접근하는지를 넘어서, ‘어떻게’ 신원을 증명하고, ‘어떤 조건에서 무엇을’ 할 수 있는지를 통합 관리하는 ICAM(Identity, Credential and Access Management)이 제로트러스트 아키텍처와 국가 망 보안체계(National Security Framework, 이하 N2SF)의 핵심 엔진으로 자리 잡고 있다.

정부에서 발표한 N2SF 가이드라인에서는 '오버레이(Overlay)' 개념을 통해 제로트러스트 원칙을 적극적으로 수용했다. 오버레이는 기존 N2SF의 보안통제 항목 위에 제로트러스트의 핵심 원칙과 기술을 덧씌워, 각 기관의 특성과 위협 환경에 맞는 보안 모델을 구현하도록 돕는다. 이는 N2SF가 단순히 규정을 나열하는 프레임워크가 아니라, 제로트러스트라는 최신 보안 철학을 실제 운영환경에 적용하기 위한 실행 전략임을 알 수 있다.

2. IAM에서 ICAM으로, 신원 관리의 진화

전통적인 신원 및 접근관리(IAM)는 조직 내 사용자의 계정을 생성하고, 역할에 따라 그룹에 할당하며, 그룹별로 부여된 정적인 권한을 통해 시스템 접근을 관리하는 데 중점을 두어 왔다. 이러한 방식은 기존 경계 기반 보안 모델에서는 비교적 효과적이었으나 최근의 환경에서는 다음과 같은 구조적 한계가 드러나고 있다.

- 정적인 권한 관리: 한번 부여된 권한은 사용자의 역할이 변경되거나 프로젝트가 종료되어도 즉시 회수되지 않는 경우가 많아 과도한 권한이 누적되는 ‘권한 비대화’ 문제 발생

- 제한된 인증 컨텍스트: 주로 ID와 패스워드 기반의 초기 인증에 의존하며, 사용자의 접속위치, 시간, 기기상태 등 동적인 컨텍스트를 충분히 고려하지 못함

- 자격증명 관리의 분리: 인증서, OTP, 생체 정보 등 다양한 인증수단(자격증명)이 개별 시스템이나 솔루션에서 파편적으로 관리되면서 통합적인 보안정책 적용에 어려움

- 사람 중심의 관리: 사용자의 신원 관리에 집중하며, 시스템에 접근하는 수많은 기기, 서비스, API 등 비인간 신원에 대한 관리 미흡

ICAM은 이러한 IAM의 한계를 보완하고 제로트러스트 환경에 최적화된 신원관리 프레임워크다. ICAM은 단순히 신원관리를 넘어 사용자 및 기기의 신원을 증명하는 ‘자격증명’과 ‘권한부여’, 그에 따른 ‘접근제어’를 유기적으로 통합하여 관리한다. ICAM의 핵심요소는 다음의 세가지로 정의할 수 있다.

- 신원(Identity): ‘누가/무엇이 접근하는가’ 사람 뿐만 아니라 접근을 요청하는 모든 개체, 즉 기기, 애플리케이션, 서비스, API 등을 포함하는 포괄적인 개념으로 대상 식별

- 자격증명(Credential): ‘그 신원을 어떻게 증명하는가’ 패스워드, PKI 인증서, OTP, FIDO 기반 생체정보 등 신원을 증명하는 데 사용되는 모든 수단을 의미하며, 자격증명의 발급, 관리, 폐기 등 전체 라이프사이클을 안전하게 관리

- 접근(Access): ‘검증된 신원이 무엇을 할 수 있는가’ 사용자의 역할, 기기의 보안상태, 접속 위치와 시간 등 다양한 컨텍스트 정보를 실시간으로 분석하여 동적으로 접근 권한을 부여하는 적응형 접근제어(Adaptive Access Control) 지향

기존 IAM이 ‘누가 들어올 수 있는가’에 집중했다면, ICAM은 ‘검증된 신원(Identity)이 신뢰할 수 있는 자격증명(Credential)을 통해, 정해진 조건 하에서만 최소한의 접근(Access)를 허용’하는, 훨씬 더 정교하고 동적인 보안 모델을 제공한다. 이는 N2SF 가이드라인이 요구하는 세분화된 보안통제의 근간이 된다.

3. N2SF 통합보안 전략의 중심축 ICAM

N2SF에서는 ICAM의 핵심요소를 구현하기 위한 기술적, 관리적 통제 요건들을 상세히 정의하고 있다. ‘신원검증’과 ‘식별자관리’는 신원(Identity), ‘인증’ 항목은 자격증명(Credential), ‘권한’과 ‘통제’ 항목은 접근(Access) 관리를 위한 요구사항을 포함한다.

1) 신원(Identity)

- 신원 검증(Identity Verification)

: 계정 생성 전 생성 ID 소유자가 실제로 누구인지 확인하는 신원증명(Identity Proofing) 절차

: 정보시스템 관리자 승인, 신원증거 제출 및 검증, 중요도에 따른 대면 및 영상 통화 검증, 절차 간소화를 위한 외부 신원검증 서비스 활용 등 포함

- 식별자 관리(Identifier Management)

: 검증된 신원에 고유 식별자를 부여하고, 식별자의 생성부터 폐기까지 전체 라이프사이클 관리

: 고유성 및 재사용 금지, 사용자 상태(활성/비활성/휴직) 및 속성 관리 등의 요구사항 포함

2) 자격증명(Credential)

- 다중요소 인증(Multi-Factor Authentication)

: 관리자 계정, 비인가 단말에서의 접근시 MFA 필수 적용, 인증요청 장치와 인증 수단의 물리적 분리, 통신경로 분리를 통해 보안성 강화

: 지식 기반(비밀번호, PIN), 소유 기반(OTP, 모바일 공무원증), 생체 기반(지문, 얼굴, 홍채 등) 적용

- 단말 인증(Device Authentication)

: 단말 식별 및 인증 기반 시스템 접근관리, 단말 무결성 검증, 비인가 단말 격리 등

- 인증수단 보호(Authentication Protection)

: 재전송 공격 방지로 인증정보 재사용 금지, 단말 내 생체정보 저장으로 생체 인증 공격 방지, 인증수단 하드코딩 내장 금지 등

3) 접근(Access)

- 최소 권한(Least Privilege)

: 역할기반접근통제(RBAC) 및 속성기반접근통제(ABAC) 적용, 관리자 권한 제한 및 모든 실행내역 로깅/감사, 권한의 주기적 검토 및 불필요 권한 즉시 회수 등

- 계정 및 세션 관리(Account Management, AC & Session)

: 인사시스템 연동 계정 관리 자동화, 고유 식별자 기반 세션 제어, 비정상 종료 시 세션 즉시 무효화, 일정시간 비활성 시 자동 로그아웃, 이상행위 탐지 및 대응 포함

4. 드림시큐리티의 Magic ICAM

드림시큐리티의 Magic ICAM 솔루션은 N2SF 가이드라인에서 요구하는 보안통제 항목을 충실히 반영하고, 당사가 축적해온 암호·인증 기술력을 기반으로 안전하고 신뢰할 수 있는 통합 신원·접근관리 환경을 제공한다. 또한 PKI, SSO, IAM, MFA, KMS 등 당사 핵심 제품군이 유기적으로 연동되어, 다양한 보안 기능을 하나의 통합 구조에서 운영할 수 있도록 지원한다.

Magic ICAM은 분산된 환경에서 모든 접근 주체를 지속적으로 검증하고, 최소 권한을 동적으로 부여하며, 잠재적 위협에 실시간으로 대응할 수 있도록 설계되어 있다. 제로트러스트의 핵심 구성 요소인 정책결정지점(PDP)과 정책시행지점(PEP)에 필요한 핵심 정보를 안정적으로 제공함으로써 N2SF 보안요건을 충족하고, 조직이 강력한 제로트러스트 보안체계를 구현할 수 있도록 돕는다.

맺음말

보안 패러다임은 이미 ‘경계’에서 ‘신원’ 중심으로 이동했다. 제로트러스트 모델의 확산과 함께 ICAM은 더 이상 선택이 아닌 필수 요소가 되었으며, 정부의 N2SF 보안 정책은 이러한 변화를 제도적으로 뒷받침하는 핵심 기반이 되고 있다. ICAM의 도입은 곧 제로트러스트의 실현이며, N2SF 기반 보안체계의 중심 축이다.

사이버 위협이 고도화된 지금, 신원은 가장 중요한 보안 자산이며 ICAM은 단순한 방어 도구를 넘어 비즈니스의 핵심 전략 요소로서 고려되어야 한다. 특히 공공기관과 중요 기반시설에서는 ICAM 기반 접근통제 체계가 시스템 권한 오남용과 내부자 위협을 방지하는 핵심 역할을 수행한다.

궁극적으로 잘 구축된 ICAM은 디지털 신뢰를 기반으로 조직의 보안성과 규제 준수 수준을 높일 뿐 아니라, 운영 효율성과 생산성을 향상시키고 디지털 비즈니스의 성장을 가속화하는 원동력이 될 것이다.