[보안_GPT] IAM / 접근통제란?

IAM(Identity & Access Management) / 접근 통제는 **“누가, 언제, 어디에, 어떤 권한으로 접근할 수 있는지 관리하는 보안 체계”**를 말해.
쉽게 말하면 정보와 시스템에 접근할 수 있는 사람과 권한을 철저하게 관리하는 활동이야.

네트워크·시스템·애플리케이션 보안과 연계되어 있고, 기업 보안에서 가장 기본이자 핵심인 영역이야.

---

🔑 IAM / 접근 통제의 핵심 개념

1️⃣ 사용자 식별 (Identity)

• 사람, 시스템, 서비스 계정 등 모든 접근 주체 식별
• 사용자 ID, 인증 수단(비밀번호, MFA)
• SSO(Single Sign-On) 적용 가능

➡️ “누가 접근하려 하는지 먼저 확인”

---

2️⃣ 인증(Authentication)

• 사용자 본인 여부 확인
• 비밀번호, OTP, MFA, 생체인식
• 토큰 기반 인증(JWT, OAuth)

➡️ “정말 접근 권한 있는 사람인지 확인”

---

3️⃣ 권한 관리(Authorization)

• 접근 가능한 리소스와 수행 가능한 행동 정의
• RBAC(Role-Based Access Control): 역할 기반 권한
• ABAC(Attribute-Based Access Control): 속성 기반 권한
• 최소 권한 원칙(Least Privilege Principle)

➡️ “접근 허용 범위를 최소화하여 위험 감소”

---

4️⃣ 계정 수명주기 관리 (Lifecycle)

• 계정 생성, 수정, 삭제 프로세스
• 퇴사·이동 시 접근 권한 즉시 회수
• 주기적 권한 검토(Audit)

➡️ “불필요한 계정이나 권한을 남기지 않음”

---

5️⃣ 접근 통제(Access Control)

• 네트워크, 서버, 애플리케이션, 데이터 접근 제어
• 방화벽, ACL, 보안 그룹 등과 연계
• MFA 적용, IP 제한, 시간대 제한

➡️ “누가 무엇에 접근할 수 있는지 실제로 막음”

---

6️⃣ 감사 및 모니터링(Audit & Monitoring)

• 접근 로그 기록 및 분석
• 이상 접근 탐지
• 규제 준수(GDPR, ISMS, ISO27001) 보고

➡️ “접근 내역을 추적 가능하게 만들어 문제 발생 시 대응”

---

🔍 IAM / 접근 통제 실무 예시

항목설명

계정 관리	직원 입사 시 계정 생성, 퇴사 시 즉시 삭제
역할 기반 권한	개발자, 운영자, 관리자 등 역할별 최소 권한 부여
MFA 적용	VPN, 중요 시스템, 클라우드 계정 등 필수
접근 로그	서버 접속 기록, DB 접근 기록, API 호출 기록
정기 검토	권한 과다 계정 삭제, 비활성 계정 정리

---

🎯 한 문장 요약

IAM / 접근 통제 = “누가, 언제, 어디에, 어떤 권한으로 접근 가능한지 관리·통제하고, 기록·감사하는 보안 체계”