카카오뱅크, 사내 시스템에 제로트러스트 인증 적용
카카오뱅크가 사내 시스템 접근에 제로트러스트 기반 적응형 인증을 적용했다. 카카오뱅크는 8일 서울 코엑스에서 열린 ‘닷핵 컨퍼런스 2026’에서 ‘문 열어주던 보안에서, 문 앞에서 질문하는 보안으로의 대전환’을 주제로 제로트러스트 인증 적용 사례를 소개했다.
카카오뱅크는 사용자와 단말 상태, 접속 맥락, 자산 중요도를 함께 고려해 통합로그인(SSO), 추가 인증, 차단을 다르게 적용하는 적응형 인증 체계를 사내 업무 환경에 도입했다고 밝혔다. SSO는 한 번의 사용자 인증을 통해 연결된 여러 개의 독립적인 소프트웨어 시스템이나 웹사이트에 자동으로 접속할 수 있게 해주는 기술이다.
김태홍 카카오뱅크 매니저는 “기존 인증 체계는 로그인 시점의 정보만으로 세션을 만들고 이를 일정 시간 신뢰하는 구조”라며 “제로트러스트 관점에서는 사용자가 지금 어떤 상태인지, 어떤 단말로 접근하는지 계속 확인할 필요가 있다”고 말했다. 카카오뱅크는 이런 문제의식에 따라 로그인 정보만 보지 않고, 접속 시점의 사용자와 단말 상태를 함께 반영하는 제로트러스트 기반 인증 체계를 설계했다.
로그인 후에도 지속 검증
카카오뱅크는 임직원과 외부 인력의 사내 시스템 접근에서 최초 로그인한 뒤 세션을 계속 신뢰하는 방식으로는 현재 위험 상태를 반영하기 어렵다고 봤다. 로그인 당시에는 정상 사용자와 정상 단말이었더라도, 이후 악성 코드가 유입되거나 정보 탈취 같은 위협이 생길 수 있기 때문이다. 같은 세션(로그인 뒤 일정 시간 유지되는 접속 상태)이 유지되는 동안 사내 다른 시스템에 추가 검증 없이 접근할 수 있는 점도 한계로 짚었다.
이에 카카오뱅크는 사내 서비스와 내부 시스템에 접근할 때마다 사용자와 단말 상태를 다시 확인하는 제로트러스트 기반의 적응형 인증 체계를 설계했다. 적응형 인증은 아이디와 비밀번호만 보는 것이 아니라 접속 시간, 접속 주체, 단말 상태 같은 맥락 정보를 함께 반영해 인증 강도를 조절하는 방식이다. 위험이 낮으면 통합로그인으로 처리하고, 위험이 높으면 ‘일회용 비밀번호(OTP)’나 ‘FIDO(생체 인식이나 보안 키를 활용해 비밀번호 없이 안전하게 온라인 서비스에 로그인하는 국제 인증 표준)’ 같은 추가 인증을 요구하거나 접근을 막는다.
새 제품보다 기존 체계 재설계에 초점
카카오뱅크는 제로트러스트 인증 도입을 새 보안 제품을 구매해야 하는 방식으로 접근하지 않았다. 기존 인증 환경을 제로트러스트 기준으로 다시 해석하고 단계적으로 고도화하는 데 무게를 뒀다. 제로트러스트 아키텍처(ZTA), 국가망보안체계(N2SF)를 참고했지만, 이를 그대로 옮기기보다 자사 환경에 맞게 적용했다는 설명이다.
김 매니저는 “무조건 새로운 제품을 도입해야 하는 줄 알았지만, 기존 보안 체계를 통합하거나 현재 체계를 단계적으로 고도화하는 방식으로 접근할 수 있다는 점을 알게 됐다”고 말했다. 이런 판단 아래 현재 인증 수준을 점검하고, 적응형 인증 체계로 넘어가기 위한 요구사항을 정리했다.
요구사항은 크게 두 가지였다. 하나는 ‘제로트러스트 원칙에 맞는 인증 체계를 만드는 것’이다. 이를 위해 신뢰 유지 시간, 자산별 인증 강도 차등화, 맥락 기반 위험 판단 요소, 최소 권한 부여 범위를 검토했다.
다른 하나는 ‘보안성과 사용성을 함께 맞추는 것’이다. 인증을 지나치게 자주 요구하면 업무 효율성이 떨어지는 만큼, 사용자 개입 없이 자동 수집할 수 있는 정보를 최대한 활용해 인증 강도를 조절하는 방향으로 설계했다.
점수제 대신 조건형 정책 매트릭스로 설계
카카오뱅크는 위험 판단 기준을 세 갈래로 나눴다. 단말 이상 행위, 단 보안 상태, 사용자 상태다. ‘엔드포인트 탐지·대응(EDR)’, ’모바일 기기 관리(MDM)’, ’인사 관리(HR)’ 시스템 등 기존 업무 환경에서 이미 확보하던 정보를 판단 기준에 반영했다.
처음에는 여러 항목에 점수를 매기는 ‘리스크 스코어링’ 방식도 검토했다. 하지만 최종적으로는 선택하지 않았다. 어떤 항목에 몇 점을 줄지 담당자 판단이 많이 들어가고, 보안 솔루션마다 정보가 들어오는 주기가 달라 실제 상태를 정확히 반영하기 어렵다고 봤기 때문이다. 대신 사용자와 단말 상태를 정상, 비정상, 고위험으로 나누고 여기에 자산 중요도와 사용자 유형을 결합해 인증 강도를 결정하는 ‘조건형 정책 매트릭스’를 만들었다.
예를 들어 임직원이 정상 상태로 일반 서비스에 접근하면 통합로그인으로 처리할 수 있다. 반면 외주 인력이 같은 상태로 접근하는 경우에는 비밀번호나 OTP, 푸시 인증을 한 번 더 요구할 수 있다. 같은 위험 신호가 잡혀도 민감도가 낮은 서비스와 높은 서비스의 대응을 다르게 두는 방식이다. 카카오뱅크는 이 구조가 점수제보다 기준이 더 분명하고 운영도 쉽다고 설명했다.
PIP·PDP·PEP로 나눠 구현
인증 방식 구현은 옥타(Okta)를 중심으로 진행했다. 전영신 카카오뱅크 매니저는 “옥타가 기존에 제공하던 기능들을 제로트러스트 관점으로 다시 해석하고 조합하는 방식만으로 충분히 구현이 가능했다”고 말했다.
카카오뱅크는 구조를 세 단계로 나눴다. 먼저 ‘정책 정보 제공 지점(PIP)’은 사용자와 기기 상태 같은 판단 재료를 모으는 단계다. ‘정책 결정 지점(PDP)’은 이 정보를 바탕으로 위험도와 인증 강도를 정하는 단계다. 마지막 ‘정책 집행 지점(PEP)’은 이 결과를 실제 로그인 과정에 적용하는 단계다.
문제는 옥타가 ‘엔드포인트 탐지·대응(EDR)’, ’모바일 기기 관리(MDM)’, ’인사 관리(HR)’ 시스템의 맥락 정보를 바로 받아들이지 못한다는 점이었다. 카카오뱅크는 이를 해결하기 위해 별도의 데이터 연계 경로를 만들었다. 여러 시스템에서 발생하는 이벤트를 수집한 뒤, ‘컨텍스트 브로커’라는 별도 시스템에서 인증 정책이 읽을 수 있는 형태로 표준화해 옥타 내부 속성값으로 업데이트하는 구조다. 이렇게 각 시스템에 흩어진 보안 신호를 한 곳에 모아 인증 여부를 결정하는 판단 기준으로 활용했다.
이후 판단 단계에서는 옥타의 규칙 엔진을 활용해 위험 시나리오를 정의했다. 예를 들어 근무 시간이 아닌데 위험도가 높은 단말에서 로그인하거나, 특정 보안 통제가 걸린 단말에서 접속하는 경우를 하나의 시나리오로 묶는 식이다. 그런 뒤 애플리케이션 중요도에 따라 인증 정책을 다르게 적용했다. 위험이 낮으면 통합로그인으로 처리하고, 위험이 높으면 비밀번호, OTP, FIDO 인증, 차단 순으로 인증 강도를 높였다.
실시간 반영 한계는 사후 검증으로 메워
카카오뱅크는 제로트러스트 기반 적응형 인증의 운영상 한계도 설명했다. 이 체계는 정보를 완전히 실시간으로 반영하지 않기 때문에, 보안 이벤트 발생 후 인증 시스템 업데이트 전까지 짧은 공백이 생길 수 있다. 이 구간에 로그인이 이뤄지면 과거 정보를 바탕으로 인증 기준이 결정될 수 있다는 것이 문제였다.
카카오뱅크는 이 공백을 완전히 없애기보다 사후 검증 절차를 추가하는 방식으로 대응했다. 맥락 정보가 바뀐 시점과 인증 시스템 반영 시점 사이의 간격을 확인하고, 그 사이에 로그인 시도가 있으면 별도 탐지 과정을 추가해 검증을 거치도록 했다.
제로트러스트, 완벽한 적용보다 작은 시도부터
카카오뱅크는 제로트러스트 기반의 인증 체계가 생각보다 불편하지 않았다고 했다. 정상 상황에서는 통합로그인을 기본으로 두고 위험할 때만 인증 강도를 높였더니, 오히려 평균 로그인 횟수가 줄고 사용자 경험도 단순해졌다는 것이다. 기존 인증 체계가 놓칠 수 있던 로그인 시도를 새로운 체계가 더 잘 걸러냈다는 점도 언급했다.
전영신 매니저는 “제로트러스트 인증 방식은 처음부터 완벽한 그림을 그리기보다, 작게 시작하고 실제로 사내 시스템에 적용해 본 후에 그 경험을 바탕으로 확장해 가는 방식이 더 현실적일 수 있다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
