클라우드 보안, 시작은 아이덴티티 관리부터
이 기사는 지난 1일 바이라인플러스가 주최한 웨비나 ‘클라우드 네이티브 보안과 SASE(Secure Access Service Edge)’에서 옥타아이덴티티코리아 기술총괄 장희재 상무가 진행한 세션발표를 정리한 기사입니다.
옥타는 모든 기업이 다양한 기술에 쉽고 안전하게 연결되는 세상을 만드는 것을 비전으로 하는 기업이다. 2009년 설립됐으며, 2017년 나스닥에 상장해 지난해 약 8억달러의 매출을 기록했다. 대기업에서부터 스타트업까지 전세계 1만여곳 이상의 고객사를 다양하게 보유하고 있다. 클라이언트들은 업무 시스템 접속을 옥타로 하고 있어 500만명 이상의 일일 접속자를 기록 중이며, 7000여개의 쉬운 인증이 가능한 사전 정의된 연동 커넥터를 준비 중이다. 현재 가트너 매직 쿼드런트(MQ) 계정 및 접근관리(IAM) 분야 리더로 인정받았다.
제품은 총 두가지로, 기업이 IT 리소스에 쉽게 접속하도록 하는 워크포스 아이덴티티(Workforce Identity), 웹서비스나 웹 앱 개발 시 인증과 고객 관리를 API를 통해 개발할 수 있도록 하는 커스터머 아이덴티티(Customer Identity)가 있다. 두 제품 모두 아이덴티티 중심 접근으로 제로 트러스트 보안 실현을 도와주도록 설계돼 있다. 현재 해외에서는 1만 개 이상의 기업이 옥타를 사용 중이다. 국내에서 잘 알려진 사례로는 나이키, 나스닥, 히타치, 어도비, MLB 등이 있다.
클라우드 환경 아이덴티티 관리의 문제
기업의 IT 리소스는 현재 기업 내부는 물론 클라우드에도 다양한 위치에 존재한다. 단순히 앱 뿐만 아니라 인프라와 API도 마찬가지다. 사용자 역시 과거에는 회사 내부 네트워크·정해진 장비·직원들만 접근할 수 있었으나 현재는 재택근무, 임시 액세스가 필요한 파트너, 회사 B2C 시스템에 접근하고자 하는 고객 등으로 다양해지고 있다. 이러한 환경에서는 기업 자체 네트워크로만 보안을 확보하기 어렵다. 따라서 최근 데이터 유출 사고 원인은 압도적으로 아이덴티티 보안이 미비한 경우가 많다. 네트워크는 더 이상 안전한 경계가 아니므로 아이덴티티 보안이 필수 사항이다.
이러한 환경에서 대두된 새로운 보안 환경이 제로트러스트다. 적합한 사용자만이, 적합한 권한으로, 적절한 자원에 적합한 맥락에서 접근하고 있느냐를 말하는 것이며, 이러한 조건을 지속적으로 검증하는 것을 말한다. 특히 이러한 보안에 대한 고려가 사용자 편의성을 해치지 않아야 한다.
따라서 제로 트러스트 보안의 핵심이 아이덴티티 보안이다. 기업 IT 리소스 접근을 다양한 경로에서 검증하기 위해 여러 클라우드 보안 솔루션을 도입 가능하지만, 사용자 아이덴티티 통합 관리가 이뤄지지 않는다면 보안 솔루션이 검증하는 맥락을 확인할 수 없기 때문이다. 따라서 아이덴티티는 전체 보안을 하나로 묶어주는 출발점 역할을 한다.
Secure Access Service Edge(이하 SASE)는 네트워크 보안의 개념을 크게 확장해 WAN과 네트워크 보안을 융합한 개념이다. 2019년 가트너에서 포레스트 제로 트러스트와 경쟁하듯 내놓은 개념이지만 대치된다기보다는 상호 보완하는 개념에 가깝다. 제로 트러스트 개념을 이용해 사용자와 리소스가 어디에 존재하든 엔드투엔드 보안을 제공하는 것이 SASE의 목표이기 때문이다. SASE 구성의 접근 결정 기반은 아이덴티티로 결정된다.
클라우드 환경도 그간 많은 변화가 있었다. 과거 기업 IT 시스템은 몇몇 특정 벤더의 대형 프로젝트에 의해 결정되는 것이 일반적이었다. 시스템과 앱 역시 맞추는 것이 일반적이었는데, 디지털 전환기에 이러한 모델은 비즈니스 니즈를 충족시키지 못하고 있다. 기업은 생산성 향상과 경쟁력 확보를 위해 필요한 솔루션을 바로 도입해야 한다. 그 결과, 고도로 전문화된 벤더들이 분야별 특화 솔루션을 SaaS 형태로 제공 중이며, 몇 년단위가 아닌 몇 주단위로 혁신 기능을 선보이고 있다. 대형 시스템 교체는 3~5년이 걸리는 반면, 몇 주만에 최신 시스템을 구축하는 기업은 경쟁력 면에서 커다란 우위를 갖는다.
문제는 각각 SaaS 솔루션이 특정 분야에만 특화돼 있다 보니 도입해야 할 솔루션이 늘어난다는 것이다. 예를 들어 팀즈를 포함한 오피스 365가 전반적으로는 좋지만 협업 툴 면에서는 슬랙이, 화상 회의 면에서는 줌이 빠르게 발전하고 있다. 세일즈포스와 서비스나우 역시 치열하게 경쟁 중이다. 따라서 기업들이 평균적으로 사용하는 SaaS 앱 숫자는 88개에 이르며, 지속적으로 증가하는 추세다. 사업 부문으로는 기술 기업들이 평균 155개, 에너지 가장 낮은 에너지 기업들도 평균 54개를 사용한다.
이렇게 SaaS 앱 사용이 증가하며 사용자 피로도와 보안 문제가 증가하고 있다. 비밀번호의 수가 늘어나고, 권한 신청을 해야 하는 것이 늘어난다. IT 관리자 입장에서도 사용자 계정 관리 작업량이 증가하고, 각 앱에 대한 권한 설정을 다르게 해야 하는 등 업무량이 늘고 있다. 또한, 누가, 언제, 어떤 앱에 접속하는지에 대한 보안 가시성과 운영 효율성 가시성 문제도 있다.
옥타의 모범 사례
옥타는 사용자 인증과 정보관리를 클라우드로 제공하는 아이덴티티 클라우드 서비스다. 옥타가 가장 중요하게 생각하는 것이 안전성과 보안성이다. 99.99%의 SLA(Service Level Agreement, 서비스 수준 규약)를 제공하며, 모든 서비스가 무중단으로 제공된다. 서비스 기반인 옥타 아이덴티티 클라우드는 세계 최고 수준의 보안 감사와 통제를 통해 최고 수준의 보안을 제공한다. 실시간 수요 변화에 대해서도 문제없이 대응하는 확장성을 갖추고 있다.
최근의 업무환경에서는 다양한 형태로 기업의 네트워크에 접속하게 되는데, 모든 기업 내 사용자에게 장소에 구애받지 않는 업무환경을 제공한다. 그 기반에 옥타 SSO(Single Sign On) 제품이 적용되며, 클라우드 SASE 뿐만 아니라 SAML, OIDC 등 모든 IT 리소스를 커버할 수 있다. 또한, 기업 내 레거시 온프렘 인증도 클라우드 앱과 동일한 서비스를 제공한다. 기업 API나 서버 인프라 역시 제로 트러스트 접근을 지원한다.
옥타의 SSO는 사내 리소스의 로비와 같은 역할을 한다. 한번의 인증으로 모든 앱에 접근할 수 있는 앱 대시보드를 사용할 수 있다. 한번의 인증을 통해 구글 워크스페이스, JIRA 등 다양한 앱에 접근 가능하다. AWS 등 특정 앱에 대해서는 별도의 접근 권한까지 연동할 수 있다. 관리자 입장에서는 SaaS 앱이 추가될 때마다 클라우드 시스템에 연동하는 것이 쉽지 않은 일이었다. 그러나 옥타 서비스를 사용하면 사전 정의된 커넥터를 통해 SAML 등에 대한 지식 없이도 쉽게 서비스를 추가할 수 있다. 가이드에 따라 앱이 어떤 절차에 따라 어떤 정보를 입력하는지를 확인하며 추가하면 된다.
앱 연동 이후에도 각 앱에서 사용자 정보를 관리하는 것은 IT 부서의 업무량을 늘리는 주요 원인이 된다. 특히 새로운 입사자가 조직개편, 퇴사자 등이 발생할 때 사용자 권한 관리에 대한 업무량이 늘어나게 된다. 옥타를 사용하면 각 사용자가 어떤 권한을 갖고 있는지 유니버설 디렉토리에서 쉽게 관리할 수 있다. 통합 사용자 정보를 바탕으로 연동 애플리케이션 내에서 권한 생성 및 삭제 등을 할 수 있다.
그룹 정책에 따라 생성된 사용자를 구글 워크스페이스와 아틀라시안에 할당하는 장면이다. 각 앱에서도 같은 정보를 확인할 수 있다. 같은 방식으로 사용자를 비활성화할 수도 있다.
멀티팩터 적용도 마찬가지다. MFA는 단순히 패스워드에 추가 팩터를 적용해 패스워드가 탈취되면 접근 차단만을 하는 정도로 생각하는 경우가 많다. 그러나 옥타는 사용자가 어떠한 맥락에서 접속하는지에 따라 접근을 차단 또는 허용하거나 어떠한 팩터를 추가적으로 묻는지 유연하게 설정할 수 있다.
자체 팩터인 옥타 Verify를 통한 패스워드 인증 데모다. 옥타 ID 입력 후 핸드폰에서 버튼 클릭 한번이나 Face ID 한번으로 옥타에 접근 가능하다. 이 과정에서 소속된 그룹이나 접근하는 맥락 등에 따라 인증 정책 메뉴에서 설정 가능하다. 예를 들어 사외에서 접근을 차단하도록 설정하거나, 패스워드 없이 접근할 수 있도록 사용할 수 있다. 패스워드 외에 추가 팩터를 묻는 방식을 설정해 그룹에 따라 여러 단계를 통해 인증하도록 할 수 있다. 이 모든 기록은 맥락, 시간 등을 통해 자세하게 로그 기록된다. 로그는 API를 통해 제공되므로 스플렁크, 수모로직, 데이터독 등과 연동된다.
SASE와 제로 트러스트 개념 하에서 클라우드 보안 솔루션을 도입할 때 통합 인증 솔루션으로 옥타를 사용할 수 있다. 또한, 클라우드 앱과 그 안의 데이터 사용 패턴을 모니터링하고 보안 정책을 설정하는 DLP 등을 사용하기 위해 CASB 등도 쉽게 연동할 수 있다. 옥타-CASB-클라우드 앱의 구조로 연동하는 것을 통해 기업은 클라우드 앱 접근은 물론 앱 내부 사용자 활동과 보안에 대한 가시성을 높일 수 있다.
VPN을 대체하는 차세대 기술로 주목받는 클라우드플레어(Cloudflare)는 엣지를 통한 안전한 사내 리소스 접근 및 시큐어 웹 게이트웨이로 웹 접근 트래픽 관리를 할 수 있는데, 옥타와의 연동을 통해 SASE 개념을 모든 사용자에게 빠르게 적용할 수 있다. 클라우드플레어 접근 권한을 옥타가 IdP로 수행하는 개념이다.
시작을 위한 제언
자사의 아이덴티티 인증 수준이 어느 정도인지를 알고 있지 못하다면 옥타의 사이트에서 간단하게 테스트할 수 있다. 자사가 클라우드 시대 보안에 얼마나 준비돼 있는지 현황 파악 및 진단이 가능하다. 30일동안 주요 기능을 평가판으로 제공하므로 체험 후 구매해 사용하면 된다.
글. 바이라인네트워크
<이종철 기자> jude@byline.network
