Customer (또는Consumer) Identity and Access Management (CIAM)는 고객의 신원확인과 접속관리를 위한 시스템으로, 2014년에 언급되었으나, 고객정보의 마케팅적인 활용측면에서 성숙도가 낮았던 시기로 당시에는 크게 부각이 되지 못했었습니다. 하지만, 유럽의 GDPR에 따라 개인정보 보호에 대한 컴플라이언스가 강화되고, 고객의 구매형태나 쇼핑정보 등의 정보를 통한 새로운 서비스 창출의 기회가 커짐에 따라, CIAM에 대한 중요성이 다시 떠오르고 있습니다.
CIAM은 큰 범위에서 IAM에 속하지만, 현재의 IAM이 기업의 임직원을 위한 ID 인증 및 접근통제로 통용되고 있어 고객을 위한 IAM(고개 IAM)과 직원을 위한 IAM(직원 IAM)으로 구분할 필요가 있습니다. 하지만, 국내에는 아직 두 용어에 대한 정의가 확립되지 않은 상태로, 일단 CIAM을 고객 IAM으로, IAM을 직원 IAM으로 구분하기로 하겠습니다.
CIAM과 IAM간의 차이점
둘간의 근본적인 차이점은 관리하는 속성 및 대상이 고객인지 또는 직원인지에 따라 구분됩니다. 즉, 고객의 속성과 직원의 관리속성에 따라, 둘간의 기능성이 달라지게 됩니다. 또한, 관리대상에 대한 정보의 활용성에 따라 관리 목적이 달라지게 됩니다. 마지막으로는 사용자 수에 따른 요구되는 시스템의 성능차이라고 볼 수 있습니다. 다음은 두 시스템간에 차이점에 대한 항목과 내용 입니다.
|
구분
|
IAM
|
CIAM
|
|
관리대상
|
기업내 직원 ID
|
웹, 모바일, IoT 등 다양한 채널에서의 고객 ID
|
|
데이터 관리
|
HR 또는 IT 부서에서 생성 및 관리
|
사용자 스스로 등록 및 관리
|
|
인증방식
|
HR 또는 내부 디렉토리 서비스를 통한 인증
|
SNS, OpenID 등 공용서비스, 디렉토리 서비스와 외부 인증정보를 통한 인증
|
|
신원 추측 여부
|
내부 직원에 대한 정보를 활용해 ID를 통한 신원 추측이 가능
|
여러 개의 위장 계정을 생성하며, 특정 사용자에 대한 신원 추정 불가
|
|
정보활용
|
접근통제 목적으로 활용
|
고객 프로필 및 행위 분석을 통한 마케팅, 신사업 개발 등에 활용
|
|
인증시간
|
인증시간 지연으로 인한 직원 불만 외에 큰 문제는 없음
|
인증시간 지연은 고객이탈 등의 사업적 이슈가 될 수 있음
※ 웹 페이지 로드시간 2초 지연시 이탈률 103% 증가 (Akamai 조사결과)
|
|
시스템 성능
|
기업의 임직원 및 파트너사, 협력사 등으로 제한된 ID 개수 처리
|
고객수의 증가에 따른 제한없는 ID 개수 처리
|
|
컴플라이언스
|
기업환경에서 직원 개인에 대한 데이터 보호
|
개인정보 라이프사이클(수집, 활용동의, 가공, 보관, 폐기)에 따른 데이터 보호 등 광범위한 컴플라이언스 준수
|
강력한 CIAM은 고객 등록, 셀프 계정관리, 동의 및 선호도 관리, SSO, MFA, 접근관리, 디렉토리 서비스, 데이터 접근 거버넌스 등의 기능을 제공하며, 고객이 접하게 되는 디지털 환경(웹, 모바일, IoT 등)에 상관없이 안전하고 끊임없는 서비스를 제공해야 합니다. 또한, CIAM은 on-premise, private cloud, IDaaS 플렛폼 등 어느 환경에서나 동작이 가능해야 하며, 우수하고 강력한 보안환경을 제공해야 합니다. ‘2019 Ping Identity report’에 따르면, 81%의 사용자는 데이터 침해사고를 당한 기업 또는 서비스를 사용하지 않을 것이라고 응답 했습니다.
언택스 시대의 디지털 환경으로의 전환함에 따라, 기업은 고객의 정보를 수집 및 분석을 통해 다양한 서비스 및 맞춤형 서비스 제공, 신상품 개발, 마케팅 제공 등의 활동이 증가 되고 있습니다. 이에 따라, 고객의 정보를 안전하게 보관 및 관리하는 것 외에, 크리덴셜 스터핑과 같은 공격으로 부터 고객의 인증정보를 보호하는 환경을 제공함으로써, 고객에게 기업 및 서비스의 신뢰성을 제공하는 것 역시 무엇 보다도 중요 합니다. 기업은 이러한 고객의 요구사항에 따라, 기업환경에 적합한 CIAM 에 대한 자체적인 도입·운영 계획을 수립하고, 디지털 전환 계획과 함께 진행 할 필요가 있습니다.
