IGA GOVERNANCE BRIEF · 2026
의사결정 아키텍처 검증 게이트
Executive Decision Brief

카드사 IGA
구축 전략

계정 생성 도구를 넘어, 직무·권한·승인·감사증적을 하나의 통제 체계로 연결하는 금융권 온프레미스 거버넌스 구축안

2026-07-14 3-AI 교차검토(Claude·GPT·Gemini) 기반 의사결정
관리 신원
5,000
임직원 2,000 + 외주 3,000
1차 연동 범위
30시스템
대표 2~3개 선검증 후 확산
예산 한도
10억원
글로벌 상용안 예산초과
구축 체계
6
AI 코딩 적극 활용
운영 체계
3+ 개발 2명
코어 개발자 2명 잔류 확보
Executive
Summary

감사대응보다 실질 관리효용을 1순위로 둔다. 직무별 권한을 중앙관리하고 팀변경·퇴사·법령변경을 일괄 반영한다.

망분리 준수 온프레미스와 망별 게이트웨이를 채택한다. 자격증명은 망 외부로 반출하지 않으며 SaaS는 배제한다.

8~12주 검증 게이트 통과를 본 구축의 선행조건으로 한다. 실패 시 사전비용 없이 midPoint 폴백을 발동한다.

01 — DECISION REGISTER

확정 의사결정
9개 항목

논쟁 가능한 선택지를 하나의 운영 원칙으로 고정했다. 향후 설계·개발·감사의 기준선이며, 변경 시 경영 의사결정 이력을 남긴다.

01
목표
실질 관리효용 — 감사 대응은 결과이며, 직무·권한 관리의 정확성과 변경 대응력을 우선한다.
02
범위
신원 5,000명·1차 30개 시스템. 외부인력의 기준 원장은 협력사 관리시스템으로 둔다.
03
아키텍처
내부망 코어 + 망별 게이트웨이 + 양방향 망연계. 모든 작업은 서명·멱등·정기대사를 적용한다.
04
권한 모델
비즈니스 롤 → IT롤 → 개별 권한의 3계층과 정책 태그. 민감권한은 사전승인 카탈로그로 통제한다.
05
SoD
절대규칙 5개는 집행하고, 그 밖의 규칙은 탐지모드로 운영해 오탐과 업무중단을 제어한다.
06
생명주기
발령예정 사전수신·효력일 실행·긴급차단. 회수 유예는 일반 3일, 민감 1일로 한다.
07
승인
IGA 자체 승인엔진으로 통일하고 위험등급별 3형 결재선을 적용한다. 전결규정에 IGA 명문화가 필요하다.
08
시스템 경계
IGA는 정책·승인·증적 허브. SSO 공존, 하이웨어 1차 읽기연동. PAM 부재는 별도 로드맵으로 보고하며 IGA는 특권계정 목록·소유자·재인증만 관리한다.
09
감사·개인정보
append-only 감사저장소 이중화. 주민번호 복제 금지, 사번 기반 식별. 퇴직 이력은 5년 보존 후 파기한다.
02 — NETWORK-SEPARATED ARCHITECTURE

망을 넘는 것은
자격증명이 아니라 지시다

코어는 내부업무망에서 정책과 결정을 통제한다. 개발망·DMZ의 실제 접속정보는 로컬 볼트에만 남고, 망연계 구간에는 서명된 작업지시와 결과만 이동한다.

망분리 프로비저닝 아키텍처

양방향 망연계 · 서명 검증 · 멱등 실행 · 결과 회수 · 정기 대사

ON-PREMISE
서명된 작업지시 실행결과 회수 정기 대사 금지 자격증명 망외 반출 · SaaS
03 — ENTITLEMENT MODEL

사람이 아닌
직무에 권한을 연결

개별 사용자에게 권한을 직접 붙이는 관행을 줄인다. 정책 태그는 권한의 의미를 기계가 판단할 수 있게 만들고, 승인·SoD·법령변경을 자동화한다.

3계층 권한 모델

상위 직무가 바뀌면 하위 시스템 권한까지 추적 가능한 구조

ROLE MODEL
L1

비즈니스 롤 직무

예: 카드심사 담당 · 고객상담 관리자 · 개발운영 담당

L2

IT롤 시스템별 권한 묶음

예: 심사시스템 조회자 · 상담시스템 승인자 · 배포 운영자

L3

개별 권한 엔타이틀먼트

메뉴 · API · DB Role · AD Group · 서버 계정의 최소 단위

정책 태그 엔진

권한 등록 시 자동부여, 정책 변경 시 일괄 재평가

AUTO
개인신용정보 행위: 조회 행위: 변경 위험도: 민감 법령 ID SoD 그룹 특권 여부
자동 분류권한 의미와 위험등급 산정
결재선 구동등급별 승인자 자동 선택
정책 집행SoD·유예기간·재인증 주기 결정
법령 일괄적용법령 ID 단위 영향권 재평가

정책 태그가 통제를 구동하는 관계

권한 카탈로그의 메타데이터가 승인·집행·감사의 공통 언어가 된다.

권한 카탈로그 롤 · IT롤 · 엔타이틀먼트 민감권한 사전승인 자동 태깅 정책 태그 단일 판단 기준 위험등급별 결재선 SoD 충돌 집행·탐지 유예·재인증 주기 법령변경 일괄적용 통제 결과 설명 가능 · 추적 가능
04 — JOINER · MOVER · LEAVER

발령 효력과 권한 효력을
같은 시점에 맞춘다

발령예정 정보를 사전 수신하되 실제 권한은 효력일에 부여한다. 이동 시 과도한 권한은 유예 후 회수하고, 퇴사와 SoD 충돌은 즉시 차단한다.

J
JOINER · 입사

첫날부터 준비 완료

  • 발령예정 정보 사전수신
  • 정책·SoD 사전 검증
  • 효력일에 자동 부여
M
MOVER · 이동

추가와 회수를 동시 계산

  • 신규 직무권한 자동 산정
  • 일반 3일 · 민감 1일 유예
  • SoD 충돌은 즉시 회수
L
LEAVER · 퇴사

즉시 차단, 이력은 보존

  • 효력 시점 즉시 접근 차단
  • 계정 비활성 상태로 보존
  • 퇴직 이력 5년 후 파기
T
TEMPORARY · 겸직·파견

기간이 끝나면 자동 종료

  • 기간제 직무로 별도 부여
  • 시작·종료일 기반 실행
  • 연장은 신규 근거 재승인
긴급차단 이벤트 승인 대기·유예 생략 → 즉시 차단
05 — RISK-BASED APPROVAL

권한의 위험도가
결재선을 결정

요청자가 결재선을 선택하지 않는다. 태그가 자동으로 승인자를 정하고, 실행 직전 HR 상태·SoD·정책을 다시 검증해 승인 이후의 변화를 차단한다.

태그 평가

저위험L1
민감정보L2
SoD·특권L3
저위험
부서장
실행 직전
정책 재검증
민감
부서장 시스템 오너
HR · SoD · 태그
재검증
SoD 예외·특권
부서장 시스템 오너 보안부서
예외기간 포함
실행 직전 재검증

공존 영역

기존 시스템의 역할은 유지

SSO · 인증 및 세션 하이웨어 · 1차 읽기연동 대상 시스템 · 권한 실행

IGA 책임 경계

정책·승인·증적의 단일 허브

신원 생명주기 · 권한 카탈로그 위험기반 승인 · SoD 정책 프로비저닝 지시 · 정기 대사 재인증 · 감사증적 · 설명 가능성

별도 로드맵

IGA가 대체하지 않는 통제

PAM · 세션통제 명령어 기록·비밀번호 회전 특권 자격증명 관리
PAM 공백은 별도 경영 로드맵 보고
06 — VALIDATION GATE

본 구축 전에
가장 어려운 것을 증명

화면 시연이 아니라 운영 실패 시나리오를 수직 슬라이스로 검증한다. 대표 시스템 2~3개에서 정확성·복구성·설명 가능성을 통과해야 30개 확산을 승인한다.

VERTICAL SLICE 8–12 주 · 대표 시스템 2~3개
JML 정정소급 발령·취소·정정 시 최종 상태 정확성
승인 중 인사변동승인 후 실행 전 조직·재직상태 재검증
중복·역순 이벤트멱등키와 버전으로 중복·역전 방어
부분 실패다중 권한 중 일부 실패의 재처리와 보상
대사 수렴실제 계정과 기대 상태의 차이 탐지·해소
근거 설명누가·왜·어떤 정책으로 부여했는지 재현
장애 재처리망연계·대상 장애 후 안전한 이어하기
성능·운영성5천 신원·30개 시스템 운영부하 검증
보안 검증서명·자격증명 격리·감사 무결성 확인
PASS

조립형 자체구축 확정

검증된 표준 패턴을 기준으로 본 구축에 착수하고 30개 시스템까지 단계 확산한다.

FALLBACK

midPoint 전환

검증 실패 시 사전비용 0원으로 폴백을 발동하고, 발동 시 Evolveum 구독을 적용한다.

07 — BUILD STRATEGY

구매도, 맨땅 개발도 아닌
검증된 부품의 조립

차별화 가치가 낮은 워크플로·커넥터는 검증된 오픈소스를 활용하고, 정책·증적·망분리 실행의 핵심만 직접 소유한다.

대안
비용 적합성
운영 지속성
리스크
글로벌 상용 12~25억원 · 예산초과 기각
낮음
높음
중간
조립형 자체구축 선택 표준 엔진 + 자체 정책·증적 계층
높음
높음
통제 가능
완전 밑바닥 자체개발 운영리스크 기각
중간
낮음
매우 높음
midPoint 폴백 · 발동 시 Evolveum 구독
높음
높음
중간
08 — AUDIT EVIDENCE

감사는 로그가 아니라
결정의 재현

누가 클릭했는지를 넘어 당시 인사정보, 정책 버전, 승인 근거, 실행 결과를 하나의 체인으로 보존한다. 현재 규칙이 아니라 당시 규칙으로 결정을 설명한다.

01 · INPUT 요청·HR 상태

요청자, 대상자, 조직, 직무, 효력일을 시점 고정

02 · POLICY 정책 판단

태그, SoD 결과, 위험등급, 정책 버전을 기록

03 · APPROVAL 승인 근거

결재선 산정과 승인·반려·예외 사유를 보존

04 · EXECUTION 서명된 지시

멱등키, 서명, 게이트웨이 실행 시각을 연결

05 · PROOF 결과·대사

대상 결과, 실패·재처리, 최종 수렴 상태를 확정

Append-only 이중화감사저장소를 분리·이중화하고 기존 기록의 수정·삭제를 통제
주민번호 복제 금지IGA 내부 식별은 사번 기반, 원본 개인정보의 불필요한 복제 차단
퇴직 이력 5년보존기간 만료 시 승인된 파기 절차와 파기 증적을 남김
09 — CONDITIONS & OPEN ITEMS

성공 조건은
기술보다 운영에 있다

인력과 정확성 검증은 이미 구축비에 포함해야 한다. 동시에 원장 자격·발령예정 데이터·기존 IM의 실제 역량을 게이트 기간에 확정한다.

성립 조건

  • 코어 개발자 2명 잔류 — 확보 완료, 운영 이후 정책·연동 변경의 내재화 담당
  • 정확성 검증 공수 30% — 개발량이 아닌 정정·역순·부분실패·대사 수렴에 집중
  • 코드 단순성 원칙 — 작은 모듈, 명시적 상태, 교체 가능한 표준 부품 유지

경영 조치 필요

  • !PAM 공백 별도 로드맵 — 특권 세션·명령기록·자격증명 회전은 IGA 범위 밖
  • !전결규정 개정 — IGA 자동 결재선과 실행 효력을 공식 규정에 명문화
  • !운영 3명 + 개발 2명 — 정책관리·대사·장애대응·연동변경의 역할 분리
OPEN ITEM 01

협력사 관리시스템
원장 자격

계약종료일이 실제로 갱신되고 신뢰 가능한지, 누락·지연 시 보완 통제가 가능한지 검증한다.

OPEN ITEM 02

HR 발령예정 정보
제공 가능 여부

발령 효력 전 데이터 제공 범위·시점·정정 이벤트·보안 절차를 인사부서와 확정한다.

OPEN ITEM 03

기존 IM 솔루션
실사

재사용 가능한 커넥터·원장·계정 데이터와 제거해야 할 중복 기능·기술부채를 실측한다.

APPROVAL
REQUEST

10억 한도 내 조립형 자체구축 방향과 8~12주 검증 게이트 착수 승인. 본 구축 확정은 게이트 결과 연동.

착수 범위 · 대표 시스템 2~3개 통과 시 · 30개 시스템 확산 실패 시 · midPoint 폴백