IGA 거버넌스 보고 · 2026
의사결정 아키텍처 검증 게이트
임원 의사결정 보고

카드사 IGA
구축 전략

계정 생성 도구를 넘어, 직무·권한·승인·감사증적을 하나의 통제 체계로 연결하는 금융권 온프레미스 거버넌스 구축안

2026-07-14 3-AI 교차검토(Claude·GPT·Gemini) 기반 의사결정
관리 신원
5,000
임직원 2,000 + 외주 3,000
1차 연동 범위
30시스템
대표 2~3개 선검증 후 확산
예산 한도
10억원
글로벌 상용안 예산초과
구축 체계
6
AI 코딩 적극 활용
운영 체계
3+ 개발 2명
코어 개발자 2명 잔류 확보
핵심
요약

감사대응보다 실질 관리효용을 1순위로 둔다. 직무별 권한을 중앙관리하고 팀변경·퇴사·법령변경을 일괄 반영한다.

망분리 준수 온프레미스와 망별 게이트웨이를 채택한다. 자격증명은 망 외부로 반출하지 않으며 SaaS는 배제한다.

8~12주 검증 게이트 통과를 본 구축의 선행조건으로 한다. 실패 시 사전비용 없이 midPoint 폴백을 발동한다.

01 — 의사결정 기록

확정 의사결정
9개 항목

논쟁 가능한 선택지를 하나의 운영 원칙으로 고정했다. 향후 설계·개발·감사의 기준선이며, 변경 시 경영 의사결정 이력을 남긴다.

01
목표
실질 관리효용 — 감사 대응은 결과이며, 직무·권한 관리의 정확성과 변경 대응력을 우선한다.
02
범위
신원 5,000명·1차 30개 시스템. 외부인력의 기준 원장은 협력사 관리시스템으로 둔다.
03
아키텍처
내부망 코어 + 망별 게이트웨이 + 양방향 망연계. 모든 작업은 서명·멱등·정기대사를 적용한다.
04
권한 모델
업무역할 → IT역할 → 개별 권한의 3계층과 정책 태그. 민감권한은 사전승인 카탈로그로 통제한다.
05
직무분리
절대규칙 5개는 집행하고, 그 밖의 규칙은 탐지모드로 운영해 오탐과 업무중단을 제어한다.
06
생명주기
발령예정 사전수신·효력일 실행·긴급차단. 회수 유예는 일반 3일, 민감 1일로 한다.
07
승인
IGA 자체 승인엔진으로 통일하고 위험등급별 3형 결재선을 적용한다. 전결규정에 IGA 명문화가 필요하다.
08
시스템 경계
IGA는 정책·승인·증적 허브. 통합인증(SSO) 공존, 하이웨어 1차 읽기연동. 특권계정관리(PAM) 부재는 별도 로드맵으로 보고하며 IGA는 특권계정 목록·소유자·재인증만 관리한다.
09
감사·개인정보
추가전용 감사저장소 이중화. 주민번호 복제 금지, 사번 기반 식별. 퇴직 이력은 5년 보존 후 파기한다.
02 — 망분리 아키텍처

망을 넘는 것은
자격증명이 아니라 지시다

코어는 내부업무망에서 정책과 결정을 통제한다. 개발망·DMZ(외부연결 구간)의 실제 접속정보는 로컬 볼트에만 남고, 망연계 구간에는 서명된 작업지시와 결과만 이동한다.

망분리 프로비저닝 아키텍처

양방향 망연계 · 서명 검증 · 멱등 실행 · 결과 회수 · 정기 대사

온프레미스
서명된 작업지시 실행결과 회수 정기 대사 금지 자격증명 망외 반출 · SaaS
03 — 권한 모델

사람이 아닌
직무에 권한을 연결

개별 사용자에게 권한을 직접 붙이는 관행을 줄인다. 정책 태그는 권한의 의미를 기계가 판단할 수 있게 만들고, 승인·직무분리(SoD)·법령변경을 자동화한다.

3계층 권한 모델

상위 직무가 바뀌면 하위 시스템 권한까지 추적 가능한 구조

권한 모델
L1

업무역할 직무

예: 카드심사 담당 · 고객상담 관리자 · 개발운영 담당

L2

IT역할 시스템별 권한 묶음

예: 심사시스템 조회자 · 상담시스템 승인자 · 배포 운영자

L3

개별 권한 세부권한

메뉴 · API · DB Role · AD Group · 서버 계정의 최소 단위

정책 태그 엔진

권한 등록 시 자동부여, 정책 변경 시 일괄 재평가

자동
개인신용정보 행위: 조회 행위: 변경 위험도: 민감 법령 ID 직무분리 그룹 특권 여부
자동 분류권한 의미와 위험등급 산정
결재선 구동등급별 승인자 자동 선택
정책 집행직무분리·유예기간·재인증 주기 결정
법령 일괄적용법령 ID 단위 영향권 재평가

정책 태그가 통제를 구동하는 관계

권한 카탈로그의 메타데이터가 승인·집행·감사의 공통 언어가 된다.

권한 카탈로그 업무역할 · IT역할 · 세부권한(Entitlement) 민감권한 사전승인 자동 태깅 정책 태그 단일 판단 기준 위험등급별 결재선 직무분리 충돌 집행·탐지 유예·재인증 주기 법령변경 일괄적용 통제 결과 설명 가능 · 추적 가능
04 — 입사·이동·퇴사

발령 효력과 권한 효력을
같은 시점에 맞춘다

발령예정 정보를 사전 수신하되 실제 권한은 효력일에 부여한다. 이동 시 과도한 권한은 유예 후 회수하고, 퇴사와 직무분리 충돌은 즉시 차단한다.

J
입사(Joiner)

첫날부터 준비 완료

  • 발령예정 정보 사전수신
  • 정책·직무분리 사전 검증
  • 효력일에 자동 부여
M
이동(Mover)

추가와 회수를 동시 계산

  • 신규 직무권한 자동 산정
  • 일반 3일 · 민감 1일 유예
  • 직무분리 충돌은 즉시 회수
L
퇴사(Leaver)

즉시 차단, 이력은 보존

  • 효력 시점 즉시 접근 차단
  • 계정 비활성 상태로 보존
  • 퇴직 이력 5년 후 파기
T
기간제 · 겸직·파견

기간이 끝나면 자동 종료

  • 기간제 직무로 별도 부여
  • 시작·종료일 기반 실행
  • 연장은 신규 근거 재승인
긴급차단 이벤트 승인 대기·유예 생략 → 즉시 차단
05 — 위험기반 승인

권한의 위험도가
결재선을 결정

요청자가 결재선을 선택하지 않는다. 태그가 자동으로 승인자를 정하고, 실행 직전 인사(HR) 상태·직무분리·정책을 다시 검증해 승인 이후의 변화를 차단한다.

태그 평가

저위험L1
민감정보L2
직무분리·특권L3
저위험
부서장
실행 직전
정책 재검증
민감
부서장 시스템 오너
HR · 직무분리 · 태그
재검증
직무분리 예외·특권
부서장 시스템 오너 보안부서
예외기간 포함
실행 직전 재검증

공존 영역

기존 시스템의 역할은 유지

통합인증 · 인증 및 세션 하이웨어 · 1차 읽기연동 대상 시스템 · 권한 실행

IGA 책임 경계

정책·승인·증적의 단일 허브

신원 생명주기 · 권한 카탈로그 위험기반 승인 · 직무분리 정책 프로비저닝 지시 · 정기 대사 재인증 · 감사증적 · 설명 가능성

별도 로드맵

IGA가 대체하지 않는 통제

특권계정관리 · 세션통제 명령어 기록·비밀번호 회전 특권 자격증명 관리
특권계정관리 공백은 별도 경영 로드맵 보고
06 — 검증 게이트

본 구축 전에
가장 어려운 것을 증명

화면 시연이 아니라 운영 실패 시나리오를 수직 슬라이스로 검증한다. 대표 시스템 2~3개에서 정확성·복구성·설명 가능성을 통과해야 30개 확산을 승인한다.

수직 슬라이스 8–12 주 · 대표 시스템 2~3개
입사·이동·퇴사(JML) 정정소급 발령·취소·정정 시 최종 상태 정확성
승인 중 인사변동승인 후 실행 전 조직·재직상태 재검증
중복·역순 이벤트멱등키와 버전으로 중복·역전 방어
부분 실패다중 권한 중 일부 실패의 재처리와 보상
대사 수렴실제 계정과 기대 상태의 차이 탐지·해소
근거 설명누가·왜·어떤 정책으로 부여했는지 재현
장애 재처리망연계·대상 장애 후 안전한 이어하기
성능·운영성5천 신원·30개 시스템 운영부하 검증
보안 검증서명·자격증명 격리·감사 무결성 확인
통과

조립형 자체구축 확정

검증된 표준 패턴을 기준으로 본 구축에 착수하고 30개 시스템까지 단계 확산한다.

폴백

midPoint 전환

검증 실패 시 사전비용 0원으로 폴백을 발동하고, 발동 시 Evolveum 구독을 적용한다.

07 — 구축 전략

구매도, 맨땅 개발도 아닌
검증된 부품의 조립

차별화 가치가 낮은 워크플로·커넥터는 검증된 오픈소스를 활용하고, 정책·증적·망분리 실행의 핵심만 직접 소유한다.

대안
비용 적합성
운영 지속성
리스크
글로벌 상용 12~25억원 · 예산초과 기각
낮음
높음
중간
조립형 자체구축 선택 표준 엔진 + 자체 정책·증적 계층
높음
높음
통제 가능
완전 밑바닥 자체개발 운영리스크 기각
중간
낮음
매우 높음
midPoint 폴백 · 발동 시 Evolveum 구독
높음
높음
중간
08 — 감사 증적

감사는 로그가 아니라
결정의 재현

누가 클릭했는지를 넘어 당시 인사정보, 정책 버전, 승인 근거, 실행 결과를 하나의 체인으로 보존한다. 현재 규칙이 아니라 당시 규칙으로 결정을 설명한다.

01 · 입력 요청·HR 상태

요청자, 대상자, 조직, 직무, 효력일을 시점 고정

02 · 정책 정책 판단

태그, 직무분리 결과, 위험등급, 정책 버전을 기록

03 · 승인 승인 근거

결재선 산정과 승인·반려·예외 사유를 보존

04 · 실행 서명된 지시

멱등키, 서명, 게이트웨이 실행 시각을 연결

05 · 증적 결과·대사

대상 결과, 실패·재처리, 최종 수렴 상태를 확정

추가전용 이중화감사저장소를 분리·이중화하고 기존 기록의 수정·삭제를 통제
주민번호 복제 금지IGA 내부 식별은 사번 기반, 원본 개인정보의 불필요한 복제 차단
퇴직 이력 5년보존기간 만료 시 승인된 파기 절차와 파기 증적을 남김
09 — 성립 조건·미해결 과제

성공 조건은
기술보다 운영에 있다

인력과 정확성 검증은 이미 구축비에 포함해야 한다. 동시에 원장 자격·발령예정 데이터·기존 IM의 실제 역량을 게이트 기간에 확정한다.

성립 조건

  • 코어 개발자 2명 잔류 — 확보 완료, 운영 이후 정책·연동 변경의 내재화 담당
  • 정확성 검증 공수 30% — 개발량이 아닌 정정·역순·부분실패·대사 수렴에 집중
  • 코드 단순성 원칙 — 작은 모듈, 명시적 상태, 교체 가능한 표준 부품 유지

경영 조치 필요

  • !특권계정관리 공백 별도 로드맵 — 특권 세션·명령기록·자격증명 회전은 IGA 범위 밖
  • !전결규정 개정 — IGA 자동 결재선과 실행 효력을 공식 규정에 명문화
  • !운영 3명 + 개발 2명 — 정책관리·대사·장애대응·연동변경의 역할 분리
미해결 과제 01

협력사 관리시스템
원장 자격

계약종료일이 실제로 갱신되고 신뢰 가능한지, 누락·지연 시 보완 통제가 가능한지 검증한다.

미해결 과제 02

HR 발령예정 정보
제공 가능 여부

발령 효력 전 데이터 제공 범위·시점·정정 이벤트·보안 절차를 인사부서와 확정한다.

미해결 과제 03

기존 IM 솔루션
실사

재사용 가능한 커넥터·원장·계정 데이터와 제거해야 할 중복 기능·기술부채를 실측한다.

승인
요청

10억 한도 내 조립형 자체구축 방향과 8~12주 검증 게이트 착수 승인. 본 구축 확정은 게이트 결과 연동.

착수 범위 · 대표 시스템 2~3개 통과 시 · 30개 시스템 확산 실패 시 · midPoint 폴백