1

EAM/IAM 솔루션의 동향 및 도입필요성EAM/IAM 솔루션의 동향 및 도입필요성

May, 2006

2006-05-192

I. EAM I. EAM II. IAM II. IAM

2006-05-193

I. EAM 동향 및 도입필요성

2006-05-194

I. EAM 동향및도입필요성

1.1 비즈니스환경의변화

인터넷 보급으로 인한 웹 환경 확산

장점 : 다수의 접근 용이성

단점 : 차별화된 “인증” 및 “접근제어” 장치 필요

점차 늘어나는 사용자 계정

평균 6개, 최대 20개

늘어나는 사용자 계정의 관리비용 증가

실시간 계정 관리 솔루션 부재로 보안 허점 발생

2006-05-195

1.2 EAM의필요성

Why EAM ?Why EAM ?

•

•

사용자

•

•

•

••

관리자

•

•

개발자

I. EAM 동향및도입필요성

2006-05-196

1.2 EAM의필요성(계속)

1) 이대리가 퇴직할 경우 어떻게 모든 시스템에서 이대리의 계정 및 사용권한을 일괄적으로 제거할 것인가 ?

2) 김과장이 한달 동안 출장으로 자리를 비울 경우 다른 사람이 김과장의 계정을 부당하게 이용하는 것을 전체 시스템에

걸쳐 어떻게 막을 것인가?

3) 박과장의 부당한 행위를 발견했을 때, 모든 시스템에 걸쳐 어떻게 박과장의 모든 사용권한 및 현재 세션을 즉각적으로

종료 시키고 그 동안 이용했던 모든 로그를 종합적으로 분석할 것인가?

4) 계약직 사원을 채용한 경우, 특정 시간, 특정IP, 특정 기간동안 특정 서비스만을 이용하도록 제한해야 할 경우 이것을

어떻게 제한할 것인가?

1) 이대리가 퇴직할 경우 어떻게 모든 시스템에서 이대리의 계정 및 사용권한을 일괄적으로 제거할 것인가 ?

2) 김과장이 한달 동안 출장으로 자리를 비울 경우 다른 사람이 김과장의 계정을 부당하게 이용하는 것을 전체 시스템에

걸쳐 어떻게 막을 것인가?

3) 박과장의 부당한 행위를 발견했을 때, 모든 시스템에 걸쳐 어떻게 박과장의 모든 사용권한 및 현재 세션을 즉각적으로

종료 시키고 그 동안 이용했던 모든 로그를 종합적으로 분석할 것인가?

4) 계약직 사원을 채용한 경우, 특정 시간, 특정IP, 특정 기간동안 특정 서비스만을 이용하도록 제한해야 할 경우 이것을

어떻게 제한할 것인가?

실제발생될수있는관리상의문제 (예)

점점 늘어나는 시스템/사용자를 소수의 관리자가 일괄적으로 관리해야 할 필요성 대두

I. EAM 동향및도입필요성

2006-05-197

1.3 기업이필요로하는솔루션

• 통합인증(SSO : Single Sign On)

• 모든 업무에 ID정책,PWD정책,인증방법을

중앙에서 결정,적용,관리할 수 있는 시스템

• PWD/Profile Self Service

• 권한정책을 전사에 걸쳐 일관성 있고 유연

하게 적용할 수 있는 편리한 툴

• 기존 Legacy를 포함, 다양한 플랫폼에 적

용 가능한 권한 관리 인프라

• 자동화된 업무 화면 개인화

• 권한 위임 서비스

• 3A 모든 기능을 관리할 수 있는 일원화된

관리 툴

• 전 업무의 인증/권한 Logging, Audit,

Reporting 툴

• 웹 기반의 접근성이 용이한 GUI

• 여러 플랫폼에 걸쳐 자동화된 계정 생성,

관리 기능 및 자동화된 Workflow

(결재,공지 등)

• 계정관리에 필요한 자원의 자동화된 Sync

Authentication Provisioning

Administation

Identity

And

Access

ManagementAuthorization

I. EAM 동향및도입필요성

2006-05-198

1.4 EAM/IAM 솔루션의주요기능

SSOProvisioning

권한관리

WorkFlow

ID Management

EAM

IAM

I. EAM 동향및도입필요성

2006-05-199

1.5 EAM 솔루션의주요기능

사용자 Access 서비스

AccessDB

Access 서비스

AccessDB

Access 서비스

AccessDB

업무 자원업무 자원

업무 자원업무 자원

사용자

사용자

사용자

사용자

사용자

업무 자원업무 자원

관리 툴

관리 툴

관리 툴

SSO서비스

Access DB

업무 자원업무 자원

업무 자원업무 자원

업무 자원업무 자원

사용자

사용자

사용자

사용자

사용자

사용자

관리 툴

통합인증 (Single Sign On)

I. EAM 동향및도입필요성

2006-05-1910

1.5 EAM 솔루션의주요기능{계속) 권한관리 (Access Control)

I. EAM 동향및도입필요성

2006-05-1911

1.6 EAM의도입효과

적용솔루션Pain 기대효과

업무 어플리케이션 별로

ID/Password를 생성, 기억, 관리해야

하는 부담

사용자 정보 업데이트 (신규등록,

변경, 폐기)에 따른 Help Desk 업무

증가로 시스템 운영업무의 생산성

저하

통합 사용자 정보관리와 통합 인증

시스템 및 체계적인 전 시스템 접근

관리 체제의 부재

Single Sign-On

Centralized Management Tool

Authentication : PKI…Authorization : ACL…Centralized Mgmt

Encryption

* EAM : Extranet Access Mgmt

사용자

운영자

관리자

어플리케이션 신규/추가 개발 시

업무량 증가 및 중복 투자

Single Sign-OnAuthentication, AuthorizationMiddleware Security Tool

개발자

한번의 로그인으로허가된 시스템 사용으로

편의성 증대

중앙 집중식 사용자인증 및 통합 권한관리로 인한 생선성

향상

체계적인 보안 인프라를

통한 보안성과 안정성

획득

개발 전문성 효율 증가개발 비용 절감

EAM시스템

I. EAM 동향및도입필요성

2006-05-1912

1.6 EAM의도입효과(계속)

ROI 기대효과 Model 1

EAM 솔루션 도입 시 ROI 분석(권한정책관리, 계정/PWD관리, 인증관리)

•사용자 수 : 5만명

•어플리케이션 : 10종 (web)

•도입/이용기간 : 3년

<IT <IT 환경환경>>

[Source:Gartner 2002.10]

0.71 yearPayback Period

324 %ROI over 3 years

$ 4,447,407Net Present Value

$ 4,775,303Total (net)

생산성증가

$420,924개발비용

$1,774,759Help Desk

$2,579,600계정/보안관리

비용 절감액

(3년간)

$1,048,0063년간 S/W, H/W총 투자비용

I. EAM 동향및도입필요성

2006-05-1913

1.7 EAM의시장전망

3A

PKI

AdvancedAuthentication

SecurityManagement

Internet Security Software

Authorization AdministrationAuthentication

Web SSO

Host SSO

Legacy

Worldwide Security 3A Software Revenue by Segment, 2001-2006 ($M)

[Source:IDC 2002]

Authorization:LegacyAuthorization:Web SSOAuthorization:Host SsoAuthentication:PKIAuthentication:AdvancedAdministration:Security Management

2001

757.0315.871.1

330.9187.3550.6

2002

763.6463.479.0

389.7221.2715.0

2003

750.1708.686.7

478.6244.1945.1

2004

734.91,027.3

90.9592.7264.7

1,242.0

2005

720.21,440.4

94.6734.9284.2

1,625.9

2006

705.31,894.8

97.4898.6298.9

2,084.2

01-06CAGR(%)

-1.443.16.5

22.19.8

30.5

Total Growth (%)

2,212,7NA

2,633.119.0

3,212.322.0

3,951.223.0

4,899.424.0

5,977.322.0

22.0

Key Assumptions :• Web SSO will be the fastest-growing segment of Security 3A software over the 01-06Message in the Data :• Security management will be the largest segment of Security 3A software in 2006

CAGR : Compound Annual Growth Rate

• Web SSO : Web based Application and Service를위한 SSO (Web Service에서중요한보안요소)• Host SSO : Unix,Linux,Windows등 Host Operation 환경을위한 SSO (Web based or MainFrame환경은제외)• Legacy : IBM’s RACF, CA’s Top Secret, ACF2등의 MainFrame환경을위한 SSO

Platform SM

Pure Play SM

Provisioning

I. EAM 동향및도입필요성

2006-05-1914

1.8 EAM의시장현황(국내)

영역

공공

기업

금융

2002.8

20

19

8

2002.12

25

21

11

2003.6

31

32

14

0

5

10

15

20

25

30

2002.8 2002.12 2003.6

금융

공공

기업

• 6개업체대상으로조사한데이터임. (국내솔루션 5개 + 외산솔루션 1개)• 2001년상반기정도까지는 SSO 위주의 EAM 구축프로젝트였으나점차적으로전시스템의 EAM 프로젝트형태가됨•다양한어플리케이션연동이중요한포인트임 : SAP, Oracle, Domino Notes, C/S 환경의연동등.•사용자인증방식의경우 PKI 기반의인증방식을사용하는경우가많아짐. •초기에는 Authentication + Authorization 기능이주된기능이었으나 2002년하반기부터는 Administration도중요한포인트가됨.

계 47 57 77

I. EAM 동향및도입필요성

2006-05-1915

1.9 EAM의활용사례

Smart Card( with 인증서)

ID/PASSWORD 인증

인증방식

2) 내부일반사용자의인트라넷(웹단말시스템, CRM) 접속시통합인증및권한관리(EAM)

1) 인터넷뱅킹, 포탈, E-CRM을위한 대고객웹서비스통합인증(Single Sign-On)

적용범위

K은행은국내최초의성공적인 EAM 구축사이트로 1차웹단말시스템구축시내부직원의보안강화를위해 PC보안솔루션과접목된통합인증및권한관리솔루션(EAM)을도입하였으며, 이후 2차로 CRM 부문에대한세밀한접근제어적용또한 EAM을통해통합구현되었다. 현재전점으로 확산구축되어사용중에있다.국내메이저급대부분의은행들이 K은행을벤치마킹하여 EAM을도입하였거나도입검토중에있다.

•구축효과

Smart Card 사용으로인증서이동성보장, 인증보안성강화및편의성증대기간시스템접근권한통제관리가단일화되어업무효율성증가

단일로그인수행으로사용자편의성증가

사용자 ID/PWD 분실등인증관련 Help desk 처리비용절감

• EAM 연계대상시스템

신영업점시스템, 인사정보, 영업정보,종합여신, 종합수익관리,예산자산관리, 급여 ,CRM 등다수

금융권 활용사례

I. EAM 동향및도입필요성

2006-05-1916

1.10 EAM의활용사례(계속) 공공권 활용사례

1차:ID/PASSWORD 인증2차:인증서인증(USB Key 사용)

3) 내부특정사용자의경마보안시스템접속시통합인증및권한관리(EAM)

ID/PASSWORD 인증

ID/PASSWORD 인증

인증방식

2) 내부일반사용자의인트라넷접속시통합인증및권한관리(EAM)

1) 외부고객의인터넷을통한대고객웹서비스통합인증(Single Sign-On)

적용범위

• EAM 연계대상시스템EP, 통합자원정보, 그룹웨어, EDMS, 전자입찰, ERP(SAP), CRM외다수

•구축효과

복합인증방식수용으로사용자인증강화

기간시스템접근권한통제관리가단일화되어업무효율성증가

단일로그인수행으로사용자편의성증가

사용자 ID/PWD 분실등인증관련 Help desk 처리비용절감

A고객은내외부프로세스혁신을통한고객지향적인시스템을구축하고자전사업무및데이터를통합할수있는통합정보시스템구축을결정하였다. 이통합정보시스템의가장큰특징은전응용시스템의웹환경재개발과 IT 인프라아키텍처를재구축하는대규모시스템구축사업으로전응용시스템을통합적으로인증하고접근제어할수있는 권한관리인프

라구축이그핵심수행기능중하나였다.

I. EAM 동향및도입필요성

2006-05-1917

1.10 EAM의활용사례(계속) 기업권 활용사례

H기업은기존에기구축및운영되고있는여러기간시스템에대한통합인증및권한관리를위해 EAM 전용솔루션을도입한사이트로기존 Web 및 C/S application에대한적용작업이다수발생하였다. 현업직원과의유기적인 Co-Work 으로인증및권한정책이수립되고전사시스템에성공적으로적용되어현재서비스수행중임

인증서인증(USB Key 사용)

ID/PASSWORD 인증

인증방식

2) 내부직원, 대리점, 협력사사용자의내부시스템접속시통합인증및권한관리(EAM)

1) 홈페이지및쇼핑몰대상대고객서비스통합인증(Single Sign-On)

적용범위

• EAM 연계대상시스템Droplet 개발시스템(신인사시스템, 신영업시스템, 신구매시스템), SRP(C/S), ERP(SAP), 그룹웨어(domino) 등

•구축효과

대리점, 협력사직원들의인증서인증으로외부접속인증강화기간시스템접근권한통제관리가단일화되어업무효율성증가

단일로그인수행으로사용자편의성증가

사용자 ID/PWD 분실등인증관련 Help desk 처리비용절감추가서비스개발시인증및권한관리부문개발비용절감

I. EAM 동향및도입필요성

2006-05-1918

II. IAM 동향 및 도입필요성

2006-05-1919

II. IAM 동향및도입필요성

2.1 EAM의발전방향

전직원 공유 자료(G/W,전자결재 등)

미국지사미국지사

영업담당영업담당

기술담당기술담당

CEOCEO

EAM 영역

Application 영역통합관리

IM 영역

Directory Service

EAM 연동되지않은시스템

Mid Range/OS

DBsIdentity 영역통합관리

통합 Management 필요

Provisioning

Workflow

Policies

Integration

Self-Services

Audit

2006-05-1920

User Provisioning & Automated Workflow

• 사용자의 권한 및 정해진 업무 규칙에 맞게 사용자 계정이 자동적으로 생성/변경/삭제

• 사용자 계정의 생성/변경/삭제 요청에 대한 승인/거부/통지 등의 작업 절차 자동화

-신규입사자, 퇴사자, 업무 배치 변경 시에 업무 생산성을 높이는 핵심적인 기능

-확실한 ROI 보장

Identity정책의 중앙 통제

• 모든 어플리케이션의 Identity관리 일체의 기능을 중앙 관리 툴을 통해 적용/통제 가능

- ID정책 : ID최대/최고 실이 지정, 제한 문자열 지정 등

- PWD정책 : 최대/최소 유효기간, 계정 일시 Locking, 길이제한 등

- 인증정책 : ID/PWD 기반, 인증서기반, NTML 등

• 위의 ID/PWD, 인증정책이 별도로 없는 업무에도 일관된 정책을 적용할 수 있는 기능

(Authentication Hosting Service)

Identity정책의 중앙 통제

• Authentication / Authorization / Provisioning 의 전체 기능에 대한 통합적이고 상세한

Logging 및 이를 이용한 고차원의 감사/통계/리포팅 기능 제공

II. IAM 동향및도입필요성

2.1 EAM의발전방향(계속)

2006-05-1921

EAM/IAM 솔루션시장영역의변화

II. IAM 동향및도입필요성

2.1 EAM의발전방향(계속)

2006-05-1922

2.2 IAM의필요성

1. Company Employee Account (PeopleSoft Server)2. Email Account (Express Outlook)3. Window NT Network Account (MS Window NT)4. Siebel CRM User Account (Siebel Server)5. Sales Product Configuration Server Account (IIS Web Server)6. Oracle Financial Account (Entering Sales Order)7. Employee 401K Retirement Account (External Prudential Insurance Co)8. Company Sales Central Account (Price Books, Product Info, Customer Info Web Server)9. Company Corporate Intranet Account (Web Server)10. Medical and Dental Insurance Account (External)11. MCI Long Distance Phone Account and Card Issuance (External)12. American Express Corporate Credit Card (External Account)13. Company ID Card for Building Entrance (Security Date System)14. Company Phone Voice Mail Account (Internal PBX Account)

1. Company Employee Account (PeopleSoft Server)2. Email Account (Express Outlook)3. Window NT Network Account (MS Window NT)4. Siebel CRM User Account (Siebel Server)5. Sales Product Configuration Server Account (IIS Web Server)6. Oracle Financial Account (Entering Sales Order)7. Employee 401K Retirement Account (External Prudential Insurance Co)8. Company Sales Central Account (Price Books, Product Info, Customer Info Web Server)9. Company Corporate Intranet Account (Web Server)10. Medical and Dental Insurance Account (External)11. MCI Long Distance Phone Account and Card Issuance (External)12. American Express Corporate Credit Card (External Account)13. Company ID Card for Building Entrance (Security Date System)14. Company Phone Voice Mail Account (Internal PBX Account)

실환경에서의 IM 필요성

계정 관리 프로세스를 자동화 함으로서 비즈니스 효율화 극대 필요

II. IAM 동향및도입필요성

2006-05-1923

2.3 IAM의주요기능

HR DB

인사 관리인사 관리

사용자 추가

인증DB

인증DB

인증DB

EPR

전자결재

GroupWare

자동추가관리자

추가완료 통지

홍길동입사

홍길동

홍길동

홍길동

Provisioning & WorkFlow

II. IAM 동향및도입필요성

2006-05-1924

2.3 IAM의주요기능(계속) ID Management

•ID/PWD기반의 기본 인증

•HTTP Digest

•HTML Form

•NTLM/Kerberos

•HTTPS X.509 인증서

(over SSL)

•공인인증서 / 사설인증서

•지문인증

•기타 생체 인증 등

•패스워드 내용관리

포함하는 문자, 숫자의 최소 개수

포함된 단위 항목의 최대 반복 횟수

포함되어서는 안 되는 내용

패스워드 최소 길이, 최대 길이

•패스워드 유효기간

유효기간 설정

유효기간 경과 후 사용 제한 기능

패스워드 변경 후 일정 시간 내 변경 불가

•패스워드 History 관리

최근에 사용된 패스워드와 동일한

패스워드 설정 금지

•패스워드 오류

연속 오류에 대한 계정 잠금

연속 오류에 대한 일시 계정 잠금

•로그인 ID 구성

영문만

숫자만

영문+숫자

영문+숫자+특수문자

•아이디 길이

•첫글자 규칙

영문만

숫자만

제한 없음

•제외글자 규칙

인증 방법Password 관리ID 관리

II. IAM 동향및도입필요성

2006-05-1925

2.4 IAM의구조

Directory ServicesCore Layer

Integrated Agents• Metadirectory

• virtual directory• EAI tools

• Connectors

Workflow &automation

Policies & profiles• logic for process• framework for Access rights

Delegated Administration& Self service

Middle Layer(Utility & Connection

Services)

Outer Layer(Business Benefit

- Application)

Outer Layer(Business Benefit

- Application)SSOSSO Access ControlAccess Control ProvisioningProvisioning PersonalizationPersonalization

ManagementFunctions

ManagementFunctions

Identity & Access Management

II. IAM 동향및도입필요성

2006-05-1926

2.5 IAM의도입효과

내용적용기능 기대효과

EAM

Provisioning

Single Sign-OnAccess ControlAudit

RBAC 기반의 권한 관리

자동화된 계정 관리

계정 관리에 대한 프로세스 정의

EAM으로 연동된 시스템의사용자 편의성 제고/

관리자 운용성 증대/비용 감소

체계적이고 일관된 사용자 관리 가능

사용자 계정 보안 관리 강화

IAM솔루션

Workflow

계정 관리의 프로세스 자동화

계정에 대한 생성,변경,승인,거부

등의 작업 절차 정의

(가능한 부분 모두 자동화 처리)

계정관리에 대한 운영자 업무 로드 감소

사용자 계정 생성/권한부여 등의

처리속도 향상

Security Policy

& Audit

모든 시스템 계정 및 DB, Appl.의

사용자 정보 통합 관리

계정 관리 정보에 대한 통합 Audit

보안 정책의 일관된 적용 가능

내/외부 감사를 위한 자료 활용 가능 및

불법적 접근에 대한 방안 수립 용이

Self-Service

& Delegation

사용자 본인 정보 직접 관리

관리 권한 위임

Help Desk 비용 감소

효율적인 사용자 정보 관리 가능

II. IAM 동향및도입필요성

2006-05-1927

2.5 IAM의도입효과(계속)

[Source:Gartner 2002.10]Model 2

IAM (EAM + Provisioning) 적용 시의 ROI 분석

•사용자 수 : 5만5천명

•어플리케이션 : 14종

(non-web 4종, web 10종)

•도입/이용기간 : 3년

<IT <IT 환경환경>>

$ 7,749,384Net Present Value

0.62 yearPayback Period

$ 8,305,870Total (net)

$1,846,870생산성증가

$833,392개발비용

$2,161,670

$3,464,386

Help Desk

383 %ROI over 3 years

계정/보안관리

비용 절감액

$1,605,1653년간 S/W, H/W총 투자비용

II. IAM 동향및도입필요성

2006-05-1928

2.6 IAM의시장동향

• Integrated product Portfolios, partnership, federated service 등을통한확산가능성•여태까지는 Security가주요한선도주자였으나이제 business issues, application 등의가세하고있는추세임• Netegrity는 WebSSO를기반으로 provisioning 시장까지영역확대 -> CA에인수• WebSSO, Provisioning 회사의 Partnership (Oblix and BMC, Entrust and Waveset)으로이어졌으나

HP,Oracle,SUN등의서버및 DB 기반의전문업체에서인수하여 Release•현재시장을주도하고있는업체는인수합병등을통하여관련솔루션을확보하고있는 Oracle,CA,SUN,IBM,HP등의외산소프트웨어업체

업체 동향

• 2005년도국내 IAM 시장은대기업을중심으로각영역별솔루션이지속적으로성장한한해•일부기업에서적용검토가이루어지고있으며일부도입해서구축중임• 2006년도각종어플라이언스이슈를배경으로본격적인확산기에접어들것으로예상• Federated Identities – SAML, Liberty Alliance …. XACML, WS-Federation, MS TrustBridge•국내의환경에적응하기위해외산소프트웨어업체와국내업체와의제휴등을통해연합하는형태로제안되고있음

시장 동향

II. IAM 동향및도입필요성

2006-05-1929

2.7 IAM 구축방안-단계적접근필요

II. IAM 동향및도입필요성

2006-05-1930

2.8 결론

•국내 EAM 시장은 2000년을시작으로계속적으로활성화되고있는상황

•초기에금융권시장을중심으로 EAM 시장이형성되었으나현재는기업/공공시장이활성화되고있음

• WebSSO시장을중심으로한 EAM 시장은앞으로도확대

•다양한인증방법과중앙집중식권한관리로기능적확대

• SAML 기반의 ID Federation 시장도확대되기시작함.

•앞으로는WebSSO, Provisioning이 Identity Management Infra 시장에서큰두개의축이될전망임.

• EAM이나 Provisioning은각각솔루션을가지고있으며, ROI 역시각각도입시에도상당히좋은것으로

판단되나, 두개의기능이 integration 되었을때가장좋은 ROI가기대됨.

II. IAM 동향및도입필요성