점점 늘어나는 SaaS 계정을 간편하게 관리하는 패스워드리스 적용 방안

점점 늘어나는 SaaS 계정을 간편하게 관리하는 패스워드리스 적용 방안

지난 2년여간의 코로나19 팬데믹 상황때문에 저를 비롯한 많은 직장인들은 사무실이 아닌 집에서 업무를 해야 했습니다. 불과 5년전만 하더라도 일이 많으면 주말에도 사무실에 출근해서 일을 했어야 했는데 아예 사무실이 폐쇄됐음에도 불구하고 많은 기업은 생산성 저하 없이 원활하게 비즈니스를 할 수 있었죠. 그 원동력은 클라우드이고, 그 중심에는 SaaS가 있습니다.



<이미지 출처 : FinancesOnline, 2021 SaaS Industry Market Report: Key Global Trends & Growth Forecasts>


시장 조사기관 FinancesOnline에 따르면, 지난 코로나19 팬데믹과 같은 비상 상황을 극복하고 기업의 비즈니스 목표를 달성하는 데에 가장 도움을 준 기업들이 무엇인지에 대한 조사에서 SaaS가 38%로 1위를 차지했습니다. 나머지 기술들도 4차 산업혁명의 대표적인 기술로써 소개되고 있는데, 그 보다 훨씬 먼저 알려진 기술인 SaaS가 1위를 차지한 것은 주목할 만 합니다.

재택근무 위주의 업무가 계속되는 동안, 직원들간의 협업을 통해 업무 생산성을 유지할 수 있었던 원동력은 다양한 SaaS로 인해 업무 처리에 문제가 없었기 때문입니다. 개개인의 업무 뿐만 아니라 동료들과의 커뮤니케이션도 SaaS 덕분에 사무실에 출근하지 않아도 원활히 처리할 수 있었죠. 그래서 많은 직장인들은 사무실로 다시 복귀하고 있는 요즘에도 업무에 상당히 많은 SaaS를 사용하고 있습니다.



<이미지 출처 : FinancesOnline, 2021 SaaS Industry Market Report: Key Global Trends & Growth Forecasts>


하지만 예상하지 못한 문제가 발생했습니다. 직원들이 업무에 사용하는 SaaS의 수가 많아지면서 기업 입장에서 관리해야 하는 SaaS가 너무나 많아진 것입니다. 관리해야 할 서비스가 많아짐과 동시에, 서비스 별 사용자가 증가할 수록 관리포인트 역시 기하급수적으로 증가했죠. IT 관리 인력은 한정적인데 관리해야 할 서비스와 계정의 수는 계속 증가하니 하나 둘 씩 문제가 생기기 시작했습니다.

FinancesOnline에 따르면, 위와 같이 작년 한해동안 기업들이 다수의 SaaS를 관리하면서 겪은 가장 문제점 3가지는 위와 같이 무분별하게 확장되는 SaaS(49%), IT팀 관리 밖에 있는 SaaS가 무엇인지 찾고(26%), 그에 대한 비용을 최소화(14%) 하는 것으로 나타났습니다. 




<이미지 출처 : Clockwise Software, The SaaS Business Model and How It Works>


피치 못할 사정으로 사무실에 나갈 수는 없고, 일은 해야겠고, 그래서 각자의 집에서 업무를 하거나 동료들과 협업을 하기 위해, 팀 단위로 혹은 개인적으로 사용하는 SaaS의 수가 많아졌습니다. 이때문에 IT팀의 직접적인 관리 범주안에 있지 않은 SaaS들이 늘어나기 시작한 것이 앞서 보신, 기업들이 직면한 문제의 시발점이지 않나 생각됩니다.

그리고 이렇게 늘어난 SaaS를 통해 생성된 데이터는 사내 데이터센터가 아닌 SaaS 서비스 회사의 데이터센터에 저장되고, IT팀 영향 밖에 있는 SaaS라면 데이터 백업도 요원하고, 사용자가 계정 관리를 제대로 하지 못해 해커에게 탈취라도 당하면 중요한 회사의 기밀 자료가 유출되는 사고까지도 발생할 가능성을 배제할 수 없게 되었습니다.



<이미지 출처 : CloudFuze, Understanding SaaS Security & it’s Reasons for Being Proactive>


그래서 이번 콘텐츠에서는, 쉐어드IT 회원 분들의 SaaS 사용 현황을 점검하고, 평소 이러한 SaaS들을 사용함에 있어서 계정 관리는 제대로 하고 있는지 살펴보려고 합니다. 더불어 무분별하게 증가한 SaaS를 IT팀이 중앙에서 보다 효율적으로 관리기 위해서 어떤 조치를 취해야 하는지 알아보고, 안전하게 SaaS 계정들을 관리해서 회사의 중요한 데이터가 유출되지 않도록 할 수 있는 방법도 함께 알아보겠습니다. 그리고 동시에, 이미 많이 사용되는 SaaS를 임직원들이 보다 편리하게, 그리고 안전하게 사용할 수 있는 방안도 함께 알려드리겠습니다.

주요 아젠다는 아래와 같습니다.




 아젠다

 1. 쉐어드IT 회원 대상 SaaS 사용 현황 설문조사 결과 정리

 2. SaaS 사용자와 관리자 모두에게 필요한, 보다 간편하게 서비스를 사용하고  안전하게 계정을 관리할 수 있는 방안

  • 아젠다 별 링크를 클릭하면 해당 내용의 첫 부분으로 이동합니다.

  • 마우스의 뒤로가기 버튼을 클릭하면 다시 아젠다로 돌아옵니다





백서 다운로드 이벤트 바로가기 
Okta의 백서(비밀번호의 한계를 넘다) 를 다운로드 하신 100분께 스타벅스 기프티콘을 보내드립니다. 


이 콘텐츠는 Okta의 지원으로 제작되었습니다.











1. 쉐어드IT 회원 대상 SaaS 사용 현황 설문조사 결과 정리




이번 설문은 위와 같이 6월 15일(수) ~ 17일(금)까지 딱 3일동안 짧고 굵게 진행됐고요. 다른 회사의 SaaS 사용 현황이 궁금하신 분들 총 xx명이 참여해 주셨습니다. 그럼 설문 결과를 토대로 쉐어드IT 회원분들은 SaaS를 얼마나 많이 사용하고 있는지, 어느 정도 구독 비용을 내고 있는지 알아볼까요?


 1) Saas 사용 현황 통계



먼저 설문에 참여하신 분들이 속한 회사의 업종을 물었습니다. SaaS를 어느 업종에서 많이 사용하고 있는지에 대한 지표로 봐도 될 것 같은데요. 이 설문에 참여하신 분들은 SaaS를 사용 중이시기 때문이죠. 업종 별 비중을 살펴보면 IT 서비스(37.5%), 제조(25%), IT솔루션 기업(15%), 교육(7.5%), 유통 및 물류(5%), 의료 및 헬스케어 (3.8%) 순이고 나머지 업종은 모두 1.3%로 동일했습니다.

IT 서비스 업종, 즉 IT 기술을 기반으로 기업 혹은 사용자에게 서비스를 제공하는 기업들이 SaaS를 많이 활용하고 있는 것으로 봐도 될 것 같고요. 쉐어드IT 회원 중 가장 높은 비중을 차지하는 제조업종 역시 SaaS 사용하는 기업들이 많은 것 같습니다. 

이어지는 설문 내용은 업종 별로 나눈 것이 아닌, 설문 참여자 전체 결과를 정리한 것입니다. 업종에 따라 설문 결과가 크게 차이가 나지 않았기 때문에 전체 결과로 정리했고요. 업종 별로 유의미한 결과가 나온 부분은 별도로 언급하겠으니 참고하시고 봐주시면 감사하겠습니다.



설문에 참여한 기업들의 35%는 SaaS를 2, 3개 사용하고 있었습니다. 그리고 1개만 사용하고 있다는 기업도 28.8%나 됐고요. 3개 ~ 5개 이 기업도 21.3%나 됐습니다. 즉, 5개 이하로 사용하고 있는 기업이 전체 응답자 중 85.1%나 된다고 볼 수 있습니다. 생각보다 많은 수의 SaaS를 사용하고 있는 것 같지는 않네요. 생각보다 SaaS 사용 수가 높지는 않은 것 같습니다. 전 지금 세어보니 10개를 사용하는군요.

반면 SaaS를 10개 이상 사용한다는 기업의 비중은 8.8%였는데요. 이 중 50개 이상 사용한다는 기업도 있었습니다. 기업 규모가 크고, 부서 별로, 그리고 업무 별로 사용하는 SaaS가 각각 다를테니 이 정도의 숫자가 아주 놀랍지는 않습니다만, 이 SaaS들을 중앙에서 관리해야 하는 IT담당자 분들의 업무는 걱정됩니다.



이번에는 기업에서 지불하는 SaaS의 월 구독료는 얼마인지 물었습니다. 온프레미스 기반의 라이선스와 SaaS의 가장 큰 차이라면, 역시 사용료를 월별로 지불한다는 것일텐데요. 30만원 이하로 지불한다는 기업이 32.5%로 가장 많았습니다. 앞서 살펴본 것과 같이, 1개만 사용하는 기업이 28.8%, 2개 ~ 3개를 사용하는 기업도 35%나 되는 만큼, 충분히 이해할 수 있는 결과입니다. 유료가 아닌 무료로 사용하는 SaaS도 있을 테니까요. 제가 사용하는 SaaS들의 월 구독료 합계는 대략 100만원 정도 되는 것 같네요.

100만원을 기준으로 보면, 100만원 이하는 62.5%, 100만원 이상은 37.5%입니다. 이 중 매월 SaaS 구독료로 무려 500만원 이상 지불하고 있는 기업이 15.8%에 1,000만원 이상만 놓고 보면 13.8%나 됩니다. SaaS의 수가 수십개가 넘어가면 매월 지불하는 구독료가 1,000만원 이상이 충분히 될 수 있겠죠. 1년에 억 이상의 비용을 SaaS 구독료로 내고 있는 것인데, 설치형 라이선스와 비교했을 때 이 정도면 부담 좀 큰 편이지 않나 싶습니다. 보통 고가의 SaaS들의 월 구독료가 유저 당 몇십만원 정도이고, 1년이면 수백만원을 넘는 수준일테니까요.



이번에는 어떤 SaaS를 많이 사용하는지 물었습니다. 예상대로 Microsoft 365가 38.5%로 압도적인 1위를 차지했군요. 회사 업무에 Microsoft Office를 사용하지 않는 기업은 없을 것이고, 최근 몇년 새에 Office 365 -> Microsoft 365로 전환하는 기업들이 부쩍 늘어난 만큼, 예상 가능한 수치입니다.

그 다음 협업 관련 SaaS가 36.7%로 두번째로 높은 비중을 차지했습니다.(그룹웨어 14.1% + 화상회의 11.5% + 협업, 프로젝트 관리 6.4%+ 메신저 5.1% = 36.7%) Microsoft 365로 업무하고 협업용 서비스로 동료들과 일하는 풍경은 더이상 낯설지 않죠? 아마 많은 분들이 이런 형태로 일하고 계시지 않을까 싶습니다.

다음으로 높은 비중을 차지한 서비스는 ERP, AutoCAD와 같은 도면관리 서비스로 6.4%를 차지했습니다. 이어서 ERP(5.1%), 인사관리(2.6%), 전자서명(2.6%) 순이었고, 나머지 서비스들은 1.3%로 동률입니다. 

이 통계를 업종별로 살펴봤을 때 Microsoft 365는 전 업종에서 1위였습니다. Microsoft 365를 제외한다면, 앞서 보셨던 업종 통계에서 가장 높은 비중을 차지했던 IT 서비스 업종의 경우 그룹웨어와 화상회의와 같은 협업 서비스를 많이 사용하는 것으로 나타났고, 제조업의 경우 도면 관리 서비스와 ERP를, 교육 업종이 인사관리를 특히 많이 사용하고 있었습니다.



이번에는 사용하고 있는 SaaS 중 월간 총 구독비용이 가장 비싼 것은 무엇인지에 대해 물었는데요. 역시나 사용자가 가장 많은 Microsoft 365가 가장 높은 비중을 차지했습니다. 다음으로는 서비스 이용 요금이 꽤 비싼 편인 ERP가 17.9%로 2위를 차지했고요. 그룹웨어(12.8%)와 화상회의(10.3%)의 경우 Microsoft 365와 마찬가지로 거의 전 임직원이 사용하는 서비스이기 때문에 월간 총 구독비용이 높게 나왔습니다.

대체적으로 SaaS 사용률에 따라 월간 총 구독비용도 많이 내는 것이 아닌가 라고 생각할 수 있겠으나, 몇몇 유독 구독 비용이 비싼 서비스들, ERP나 도면관리의 경우 상대적으로 사용자가 적음에도 높은 순위를 차지하고 있는 것이 인상적입니다.



바로 앞 설문에서 제가 언급했던, 구독 비용이 비싼 서비스는 무엇인지 알아보기 위해 이 질문을 던졌습니다. Microsoft 365가 가장 높게 나왔는데, 이것은 아마도 사용하는 SaaS가 Microsoft 365뿐이어서 이런 결과가 나오지 않았을까 싶고요. 그룹웨어 역시 비슷하게 해석할 수 있습니다.

예상하지 못했던 것은 ERP였는데요. 전 이 항목에서 AutoCAD와 같은 도면관리 서비스의 사용자 당 구독 비용이 가장 높지 않을까 싶었는데 ERP가 더 높다는 기업이 많았습니다. 월 4만원짜리 ERP서비스도 있지만 기업 규모가 크다면 전통적인 ERP회사들의 ERP 솔루션을 사용하겠죠. 그리고 이 벤더들의 솔루션을 SaaS로 전환하는 케이스가 많을 것이고요. 역시 ERP는 SaaS로 전환해도 사용료가 비싼 편인 것 같습니다.

여기까지 SaaS의 일반 현황에 대해 살펴봤고요. 지금부터는 이 많은 SaaS를 어떻게 관리하고 있는지에 대해 살펴보겠습니다.






 2) Saas 관리 현황 통계



어느 정도 예상은 했습니다. 응답자의 75.6%는 사용자 별로 할당된 계정 정보를 직접 입력해서 SaaS에 로그인하고 있다고 합니다. 저 역시 SaaS를 10개나 사용하지만 모두 직업 ID/PW를 입력하고 로그인을 합니다. 물론 한번 로그인 해 두면 다시 로그인할 일이 없긴 하기에 한 30분 정도 일하다 보면 크롬 탭이 10개가 훨씬 넘어가기 일쑤고, 탭을 넘나들며 일하다 보면 어떤 서비스는 로그인이 풀려 다시 ID/PW를 입력하고 로그인해야 하는 상황을 종종 접하게 됩니다.

반면, 겨우 24.4%의 응답자만 SSO를 사용하고 있었습니다. SSO를 사용할 경우 일일이 ID/PW를 입력하지 않아도 클릭 한두번으로 로그인할 수 있죠. 게다가 그룹웨어 혹은 디지털 워크플레이스 플랫폼과 연계해 SaaS를 사용한다면, 사용하는 서비스의 URL입력하지 않고 클릭 한번으로 로그인까지 끝낼 수 있어 매우 편리합니다. SSO를 사용하는 비율이 내년에는 더 늘어나기를 기대해 봅니다.



SSO를 사용하는 이유는 편리함도 있지만, 가장 중요한 것은 보안 때문일 것입니다. 이 설문결과를 보면 왜 SSO를 통한 보안이 중요한 지 알 수 있는데요. 무려 53.8%의 응답자가 SaaS 사용자들이 그들이 사용하는 서비스의 ID/PW를 기억해서 로그인을 하고 있다고 응답했습니다. 이렇게 관리하는 것은 SaaS의 수가 적을 때에는 별 문제가 되지 않지만, 5개 10개 15개 이렇게 SaaS의 수가 늘어날 수록 심각한 보안 구멍이 될 수 있습니다. 사람의 기억력에는 한계가 있기 마련이니까요. 

그래서일까요? 12.8%의 응답자는 SaaS ID/PW를 Excel, Word, 모메장 혹은 다양한 도구에 저장하고 있다고 응답했습니다. 저도 그룹웨어의 메모장에 저장해두고 사용했던 적이 있습니다. 이렇게 별도의 도구에 ID/PW를 저장해 두는 것은 사용하는 SaaS의 수가 많고, ID가 제각각이고, , PW 재설정 기간 및 생성 규칙이 서비스 별로 달라서, 이로 인해 많은 수의 서로 다른 PW를 사용할 수밖에 없기 때문입니다. 저는 지금 ID는 이메일주소를 사용하고, 만약 다른 ID를 사용한다면 PW 만큼은 모든 서비스의 PW 규칙을 커버하는 형태로 통일해서 사용 중입니다. 저와 같은 유형의 응답자로 10.3%나 되는군요. 마지막으로, ID/PW를 포스트잇에 적어 모니터에 붙여둔다는 응답자도 소수지만 있었습니다. 영화 '레디 플레이어 원'에도 이를 통한 해킹 장면이 나오죠? 

이렇게 SaaS의 수가 많아질 수록 ID/PW 관리는 복잡해지고 불편해질 수밖에 없습니다. 그리고 별도의 도구에 저장했다가 해당 데이터가 유출되기라도 하면, 내가 사용하는 SaaS에 저장된 데이터 역시 유출될 위험에 놓이게 됩니다. 그래서 SaaS를 많이 사용하는 기업이 SSO를 사용하면, 편의성과 보안 두 마리 토끼를 잡을 수 있습니다.



SaaS의 수가 많은 기업의 IT 담당자 입장에서는 SSO를 통한 사용자 편의성 및 보안성을 챙긴다 하더라도 추가로 고려해야 할 것이 있습니다. 바로 사용자 추가 및 삭제에 대한 관리 방안인데요. 위와 같이 64.1%의 응답자는 기업에 신규 입사자나 퇴사자 발생 시, IT 담당자가 SaaS 별로 계정을 생성하거나 폐기한다고 응답했습니다. 

만약 임직원 수가 많은 대기업이라면 수시로 신규 입사자와 퇴사자, 그리고 부서 이동으로 인한계정 생성 혹은 폐기 사례가 생길텐데요. 이 때마다 수동으로 계정을 만들고 지우는 것은, 가뜩이나 업무 과중으로 고생하는 IT 담당자 입장에서 또 하나의 업무 부담으로 다가올 수 있습니다. 계정을 생성했다면 해당 담당자에게 서비스 별 계정 정보와 함께 접속 정보도 알려줘야 할 테니까요. 임직원과 SaaS의 수가 많다면, 계정 생성 및 폐기만으로 하루를 다 보낼지도 모릅니다.

앞서 언급한 64.1%의 기업은 그나마 다행입니다. 계정 관리를 전담해주는 IT 담당자가 있으니까요. 15.4%의 기업은 SaaS 사용자가 직접 이용하려는 서비스의 계정을 생성하고, 더 이상 서비스를 사용하지 않게 될 경우 SaaS 별로 탈퇴해서 계정을 삭제하고 있다고 응답했습니다. 이 경우 신규 입사자라면 계정을 만들기만 하면 되니 별 문제가 생기지 않겠지만, 퇴사자가 발생할 경우 직접 스스로 서비스 탈퇴 후 계정을 삭제하는 경우는 드물 것입니다. 이런 기업이라면 회사가 모르는 비용이 SaaS 회사로 청구될 수도 있고, 퇴사자가 다른 회사에서 해당 서비스를 공짜로 이용할 수도 있게 됩니다. 그리고, 이직한 회사에서 퇴사한 회사의 정보를 유출할 위험도 생기겠죠.

하지만 20.5%의 기업은 다행스럽게도 별도의 계정 관리 솔루션을 통해 SaaS 계정을 한 곳에서 통합 관리하고 있다고 응답했습니다. IAM 솔루션을 사용하고 있다고 보면 될 것 같은데요. 별도의 IAM 솔루션을 통해 SaaS 계정을 관리하면 임직원과 SaaS 수가 많더라도, 신규 및 퇴사자가 많이 발생 하더라도 큰 부담 없이 계정을 생성하고 할당하고 폐기할 수 있습니다. 그리고 계정 관리 업무 편의성은 물론 앞서 살펴본 것과 같이 보안성도 챙길 수 있고요.



마지막 설문은 SaaS의 데이터를 정기적으로 백업하는지에 대한 질문입니다. 52.6%는 정기적으로 사내에 보유한 스토리지에 백업하고 있다고 했습니다. 왜 이런 작업이 필요할까요? SaaS를 통해 생성된 데이터는 SaaS 회사의 데이터 센터, 클라우드에 저장됩니다. 즉, 임직원들이 생성한 회사의 중요한 데이터, 자산이 우리 회사 스토리지가 아닌 다른 회사 스토리지에 저장된다는 것입니다. 

물론 데이터를 생성한 SaaS 사용자는 그 데이터에 언제든지 접근할 수 있지만, 문제는 해당 SaaS를 더 이상 사용하지 않게 됐을때입니다. 그 서비스를 이제 사용하지 않는데, 그 동안 만들어 낸 데이터를 그 서비스 회사의 데이터 센터에 남겨둘 수는 없는 노릇이죠. 그리고 또 다른 서비스 좋은 서비스가 생겼을 때 갈아타기 위해서라도 SaaS에 저장된 데이터를 백업하는 것이 좋습니다.

반면 30.8%의 기업은 정기 백업은 하지 않지만, 다행히도 서비스 해지 시에는 데이터를 백업한다고 응답했습니다. 이런 경우, 해당 SaaS에서 별도의 백업 서비스를 제공하는지 확인해 볼 필요가 있습니다. 제가 사용하는 SaaS의 경우 별도의 백업 서비스를 제공하는 것과 아닌 것의 비율이 5:5 정도였고요. 그래서, 백업 서비스가 없는 SaaS의 경우, 데이터(콘텐츠)가 생성될 때마다 제 PC에 저장해두고 있습니다. 아마 다른 분들도 비슷하게 관리하고 있지 않을까 싶네요.

마지막으로, 16.7%는 신경쓰지 않는다고 응답했는데요. 두 가지 유형으로 생각해볼 수 있습니다. 하나는, 내가 우리 회사에서 사용하는 SaaS를 전체적으로 관리하는 관리자가 아닌 그냥 단순한 SaaS 사용자일 경우라면, 어련히 IT 담당자가 데이터를 백업하고 있지 않을까라고 생각하는 유형입니다. 하지만 이 설문에 응답한 대부분의 쉐어드IT 회원은 IT 담당자이기때문에 SaaS 데이터 백업에 대해 고민하고 있을 가능성이 높죠. 그런데 신경쓰고 있지 않다면? 사용하는 SaaS의 수가 많지 않기 때문에 굳이 데이터 백업을 신경쓰지 않아도 별다른 문제가 생기지 않을 것이라고 생각하는 유형지 않을까요? 즉, 아직 사내 임직원들이 SaaS를 많이 사용하지 않는 기업의 종사자일 확률이 크다고 해석할 수 있을 것입니다.


여기까지, 쉐어드IT 회원들의 SaaS 사용 현황 및 관리 현황에 대한 설문 결과를 정리해 봤습니다. 이 설문 결과를 토대로 얻은 인사이트는, 가장 많이 사용하는 대표적인 SaaS는 Microsoft 365와 협업 도구이며, 사용하는 SaaS의 수가 많고 사용자 수도 많을 경우 사용자 편의성과 더불어 관리자의 원활한 업무 처리와 데이터의 안전한 보호를 위해서라도 SSO와 통합 계정 관리 기능을 제공하는 IAM 솔루션을 사용할 필요가 있다는 것입니다.

그래서, 지금부터는 Microsoft 365 및 글로벌 사용자가 많은 유명 협업 SaaS들의 계정을 한 곳에서 안전하게 통합 관리할 수 있는 방안에 대해 알아보겠습니다.









2. SaaS 사용자와 관리자 모두에게 필요한, 보다 간편하게 서비스를 사용하고 안전하게 계정을 관리할 수 있는 방안


컴퓨터 보안의 출발은 ID/PW와 함께 시작됐다고 해도 과언이 아닙니다. ID를 넣고 PW를 입력해 로그인하는 순간, 오롯이 나만 접근할 수 있는 화면이 모니터에 펼쳐지니까요. 하지만 앞서 설문조사 통계로 살펴본바와 같이, SaaS 활성화로 인해 입력해야 할 ID와 PW의 수가 늘어나면서 아래와 같이 문제가 생기기 시작했습니다.

  • 사용자는 여러 개의 PW, 비밀번호를 기억해야 함

  • 다수의 비밀번호를 별도의 도구로 관리함으로써 보안 취약점이 생김

  • 안전하지 못한 비밀번호로 인해 해커의 표적이 됨


때문에 최근에는 서비스를 이용하기 위해, 서비스에 로그인하는 과정에서 비밀번호를 없애야 한다는 주장이 부상하고 있습니다. 즉, 패스워드리스 방식의 인증이 주목받고 있는 것인데요. 왜 이런 주장이 나오게 되었는지에 대한 이유와 함께, 기업이 자사의 서비스나 타사의 서비스를 이용할 때 비밀번호가 필요 없는, 패스워드리스 인증을 구현할 수 있는 방안을 알아보겠습니다.


 1) 안전한 보안을 위해 비밀번호만으로 충분하지 않은 이유




Ponemon Authentication Report 2019에 따르면, 위와 같이 59%의 응답자가 피싱 또는 자격 증명 탈취로 인한 보안 사고를 경험했다고 밝혔습니다. 즉, 비밀번호가 해커들이 기업의 시스템에 접근할 수 있는 열쇠 역할을 하고 있다고 봐도 될텐데요. 이러한 공격을 막기 위해서는 MFA(Multi Factor Authentication), 다중 인증 방식을 사용해야 합니다. 비밀번호 입력 후 SMS나 OTP, 생체인증을 통해 한번 더 본인 인증을 거쳐 안전하게 서비스에 로그인하는 방식, 익숙하시죠? 하지만 문제는, MFA가 완벽한 것이 아니라는 것입니다.




자동차 주행 보조 시스템인 ADAS(Advanced Driver Assistance System)을 비롯한 다양한 자동차용 전자장비, 그리고 데이터 센터를 위한 랙 시스템과 통신 장비를 제조하는 기업인 Flex의 CIO GUS Shahin은, 위와 같이 자사의 해킹 관련 보안 사고 중 81%가 비밀번호 때문에 발생했다고 밝혔습니다. 

임직원들이 사용하는 비밀번호의 수가 늘어나면서 사용 편의성을 위해 단순한 비밀번호를 만들어 사용하는 경우가 많죠. 아니면, 복잡하지만 안전한 비밀번호는 기억하기 어렵기 때문에 별도의 도구를 통해 보관하는 케이스는 꽤 흔합니다 이 경우, 해커에 의해 비밀번호를 보관해 둔 문서가 유출되어, 결과적으로 계정 정보를 탈취당하는 일이 발생할 수 있습니다.



비밀번호의 위험성은 여기서 그치지 않습니다. 안전한 비밀번호를 위해 많은 서비스들이 주기적으로 비밀번호를 교체할 것을 권고하죠. 그래서 사용자들은 어쩔 수 없이 자주 비밀번호를 다시 생성해야 합니다. Ponemon Authentication Report 2019에 따르면, 설문에 응답한 사람들이 비밀번호 리셋에 소요되는 평균 시간을 계산해 보니 주 당 12.6분이나 되었습니다. 시간으로만 보면 그리 길지 않은 것 같지만, 매번 이런 작업으로 인한 짜증은 고스란히 사용자 몫이 됩니다. 급한 업무 처리를 위해 서비스에 로그인하려고 하는데 갑자기 비밀번호를 바꾸라고 한다면? 갑자기 밀려드는 짜증때문에 업무 처리에 지장을 줄 수도 있습니다.

더 큰 문제는 기업의 비즈니스에 악영향을 끼친다는 것입니다. 영국 옥스포드 대학에서 실시한 설문조사에 따르면, 온라인 상품 구매자의 약 1/3이 비밀번호를 기억하지 못해 사이트에 로그인할 수 없었고, 이로 인해 상품 구매를 포기한 경험이 있다고 답했습니다. 이는 고스란히 기업의 매출 하락으로 이어지겠죠. 

그리고, 잊어버린 비밀번호를 찾기 위해 사용자들은 콜센터에 전화합니다. 콜센터 직원들은 상품이나 서비스의 불편 사항을 처리해 주기도 바쁜데 이와 관련없는 기본적인 사이트 로그인을 위한 비밀번호때문에 시간을 허비하게 된다면? 이는 불필요한 상담이 늘어나는 것이니 때문에 콜센터 운영 효율이 떨어질 것이고, 이를 해결하기 위해 직원을 더 채용하면 기업 입장에서는 생각하지 않았던 추가 비용을 지불하게 될 지도 모릅니다.




따라서 기업은, 사용자들에게 좋은, 편리한 서비스 사용 경험을 제공함과 동시에 안전한 인증 방법을 제공함으로써 기업의 자산을 사이버 위협으로부터 안전하게 지킬 수 있는 방안을 찾아야 합니다. 위와 같이 비밀번호가 가진 한계를 극복하기 위해 2FA(Two Factor Authentication)이 추가되었지만, 익숙하지 않은 사용자는 불편해 할 수 있어 사용자 경험 측면에서는 마이너스입니다.

이를 해결할 수 있는 것이 생체 인식 인증입니다. 비밀번호보다 사용도 간편하고, SMS나 OTP와 같은 2FA보다 훨씬 친숙한 방식으로, 그리고 안전하게 서비스에 로그인할 수 있게 합니다. 하지만 이 방법 역시 생체 인식 인증 기능을 제공하는 특정 하드웨어에 종속된다는 것, 그리고 사용자의 생체 정보를 등록하는 작업이 추가로 필요합니다.

그래서 필요한 것이 비밀번호가 필요 없는, 패스워드리스 인증입니다. 






 2) 패스워드리스 인증 시작하기


앞서 살펴본, 비밀번호가 가진 다양한 한계를 극복하기 위해서는 비밀번호 자체를 없애야 합니다. 비밀번호 없이 본인 인증을 통해 서비스에 로그인할 수 있는 패드워드리스를 시작하기 위해, 기업은 아래의 사항을 고려하면 좋습니다.


  • 위협 : 자격 증명 위반, 중간자 공격, 브라우저 조작, 비밀번호 살포 및 무차별 대입 공격을 방어할 수 있는가

  • 기술 : 다양한 브라우저 지원 여부, 기술 활용을 위한 접근 방식의 형태, 자체 플랫폼 인증과 외부 인증 중 어느 쪽을 선택해야 하는가

  • 사용자 여정 : 등록, 인증, 복구 프로세스가 얼마나 간편하고 안전한가

  • 비즈니스 고려 사항 : 사용자 지원 체계 및 통합 관리가 가능한가, 기업이 보유한 모든 디바이스에 적용할 수 있는가, 기업의 자체적인 규정을 준수할 수 있는가

  • 구현 : 패드워드리스 구현을 위한 보안 및 규정 준수 요건은 무엇인가, 우리 웹사이트에서 적용이 가능한가


이러한 사항들에 대한 충분한 검토가 끝났다면, 이제 패드워드리스 인증 방식이 무엇이 있는지 알아볼 차례입니다.



  • 이메일 매직 링크



첫 번째 방식은 이메일 매직링크입니다. 이미 대부분의 직장인들이 사용하는 이메일의 본문에 인코딩된 OTP 토큰 기반의 링크를 추가하고, 이 링크를 클릭하면 바로 서비스에 로그인되는 형태이고요. 우리가 비밀번호를 재설정할 때 거치는 프로세스와 동일한 방식으로 작동됩니다.

예를들어, 사용자가 서비스 로그인을 위해 접속 요청을 한다고 해봅시다. 그럼 자신의 이메일로 고유한 접속 링크와 코드가 담긴 이메일을 받게 되고요. 메일 본문의 링크를 클릭하고, 전달받은 코드를 입력해 서비스에 로그인하는 형태로 작동된다고 보시면 됩니다. 우리가 비밀번호 재설정 요청을 하면 이메일을 받고, 해당 이메일의 링크를 클릭하면 특정 페이지로 이동해서 비밀번호를 새로 만들죠? 그 프로세스와 동일하다고 볼 수 있습니다. 차이점이라면, 비밀번호 재설정이 아니라 서비스에 로그인 한다는 것입니다.

이메일 매직 링크 방식은 비밀번호 기반의 외부 공격을 방지하는 효과가 있고, 사용자들이 이미 익숙한 방식이기 때문에  쉽게 사용할 수 있습니다. 그리고 PC화면과 모바일 모두 동일한 화면으로 구현합니다. 하지만 이 방식은 이메일 계정 자체가 안전하게 보호된다는 전자 하에 사용할 수 있습니다. 이메일 서비스의 보안이 취약하다면, 해커가 사용자를 사칭해 이 방법을 통해 로그인할 수 있을 테니까요. 그리고 매직 링크가 담긴 이메일을 다른 사용자에게 공유했을 경우, 이를 제어하거나 확인할 수 있는 방법이 없는 단점이 있습니다.



  • 인증요소 시퀀싱



두 번째 방식은 인증요소 시퀀싱으로, 정책 기반의 로그인 서비스를 제공합니다. 서비스 접속을 요청하는 사용자의 IP가 무엇인지, 어떤 기기를 사용하는지에 따라 2차 인증을 요구하거나 바로 로그인을 허용할 수 있고요. 가령 사무실에서 사내 네트워크를 통해 서비스에 로그인을 시도한다면 바로 로그인을 허용하고, 외부에서 외부 네트워크로 로그인을 시도하면 2차 인증을 요구하는 형태입니다. 무조건 MFA를 사용하게 되면 사무실에서 근무하는 임직원들의 사용자 경험을 떨어뜨릴 수 있기 때문에, MFA 인증 요구에 대한 예외 사항을 정책으로 관리하는 형태라고 보시면 됩니다.



이 인증방식은 위와 같이 다양한 형태로 사용자를 인증할 수 있습니다. 사용자가 외부에서 서비스 접속을 요청할 경우, 기업의 환경에 알맞게 다양한 인증 방식을 사용할 수 있고요. 예를 들어,  스마트폰을 통해 2차 인증을 요구할 경우 Okta 앱을 통한 Okta Verify Push를 사용하면 되지만, 스마트폰을 사용하지 않는 직원이라면 SMS OTP로 2차 인증을 요구할 수 있습니다. 지문인식 기능이 있는 기기를 사용한다면 지문인식을 요구할 수도 있겠죠.

이처럼 인증요소 시퀀싱 방식은 이메일 매직 링크가 가진 보안 취약점을 해결할 수 있지만, 사용자가 사용하는 하드웨어에 따라 인증 요소를 달리 사용해야 하는, 즉 하드웨어 종속성이 존재한다는 것이 단점입니다. 다수의 인증 요소를 사용한다는 것 자체가 기업 입장에서는 관리 포인트가 늘어나는 것과 동시에 보안 취약점이 증가할 수 있다는 것이니까요.


  • Webauthn



마지막 방법은 패스워드리스 표준 인증 프레임워크 방식인 Webauthn입니다. 웹 기반의 서비스에서 작동되며, 등록된 기기(스마트폰, 노트북 등)를 인증 요소로 사용하여 사용자 인증을 간소화함은 물론 안전하게 보호할 수 있습니다. 웹 브라우저 기반이기 때문에 범용적이고, 서비스에 등록된 기기를 기준으로 인증하기 때문에 사용자 경험 역시 간소화됩니다. 

작동 방식은 이렇습니다. 사용자가 PC에서 특정 서비스에 로그인을 요청합니다. 그럼 기 등록된 사용자의 스마트폰에 본인 인증 요청이 나타나고, 해당 화면에서 스마트폰에서 제공하는 지문인식 혹은 얼굴인식과 같은 생체 인증이나 코드를 입력해 인증합니다. 그럼 PC에서 인증이 완료됐다는 메시지가 나타나며 서비스에 로그인되는 방식입니다. Apple 기기에서 주로 사용되는 Touch ID나 Face ID, Android 기기의 패턴, Windows OS 기반 노트북의 IR 카메라를 활용한 Windows Hello가 인증 수단이 될 수 있다는 것입니다. 그리고 스마트워치나 보안 USB 등 다양한 기기를 인증 수단으로 활용할 수 있습니다.

Webauthn의 가장 큰 장점은 W3C 표준이기 때문에, 표준을 준수하는 어떠한 브라우저에서든 사용할 수 있다는 점입니다. 더불어 사용자는 매우 간편한 방법으로 서비스 로그인을 안전하게 할 수 있고, 관리자는 인증 요소 별로 관리할 필요가 없어 관리 편의성도 뛰어납니다. 웹 기반의 서비스, 즉 대부분의 SaaS가 Webauthn을 활용할 수 있는 조건은 이미 갖추었다고 볼 수 있기 때문에, 현재 사용하는 SaaS의 로그인 방식이 Webauthn을 지원하는지 확인해 보시기 바랍니다.







 3) Okta의 패스워드리스 인증 솔루션을 사용해야 하는 이유



지금까지 비밀번호 없이 서비스에 로그인할 수 있는 패스워드리스 방식에 무엇이 있는지 알아보았습니다. 해당 내용을 간단히 정리하면 위와 같습니다. 인증요소 유형의 다양성과 함께 인증 보장 수준, 즉 얼마나 안전하게 인증할 수 있는지에 따라 정리한 표이고요. WebAuthn이 현존하는 가장 편하고 안전한 방식임을 알 수 있습니다.

하지만 WebAuthn은 하나의 표준 방식이기 때문에 이 인증방식을 제공하는 다양한 서비스들이 이미 존재합니다. 이미 알게 모르게 우리는 WebAuthn을 통해 스마트폰의 다양한 서비스를 이용하고 있죠. Naver나 Google의 서비스에 로그인할 때 스마트폰을 통해 한번 더 인증하고, 해당 서비스 화면에서 '이 기기를 기억할까요?' 혹은 '이 기기(브라우저)에서는 2단계 인증 없이 로그인 합니다' 등 한번 인증을 시도한 다음에는 다시 인증 받지 않아도 바로 로그인할 수 있는 경험을 많이 해보셨을 겁니다. 즉, 우리는 이미 WebAuthn에 매우 익숙한 상태라고 할 수 있습니다.



<이미지 출처 : OKTA Passwordless MFA - Secret Double Octopus>


그렇다면 왜 Okta의 패스워드리스 WebAuthn 인증 솔루션을 사용해야 할까요? 현재도 많이 증가했고, 앞으로도 계속 그 수가 늘어날 것으로 예측되는 SaaS들을 Okta WebAuthn 인증 하나로 모두 로그인할 수 있습니다. 많은 SaaS가 이미 WebAuthn을 지원할 수도 있습니다. 하지만 SaaS마다 WebAuthn을 위해 기기를 등록하고 관리해야 하는 번거로움이 있죠. Okta를 사용하면, 연동된 모든 SaaS를 Okta WebAuthn 방식으로 간편하게 로그인할 수 있습니다. 심지어 그 SaaS가 WebAuthn을 지원하지 않더라도, Okta를 통해 구현하면 됩니다. 

사실, 글로벌 유명 SaaS 중에는 WebAuthn이 Okta의 솔루션으로 구현된 사례가 이미 많이 있습니다. Okta 기술로 구현됐지만, 로그인 화면에서 Okta의 로고가 없을 뿐이죠. Okta는 서비스 뒷단에서 안전하게 로그인할 수 있는 수단을 제공할 뿐, SaaS 서비스를 통해 Okta를 홍보하지는 않기 때문입니다.

그리고, Okta는 WebAuthn 뿐만 아니라 모든 SaaS 계정을 한 곳에서 통합 관리할 수 있습니다. 이미 글로벌 No.1 IAM 솔루션으로 자리매김했고, 수많은 기업들이 자신들이 보유한 계정을 Okta로 관리하고 있습니다. 새로운 신규 입사자가 생겼을 때 이 입사자가 사용해야 하는 서비스 별 계정을 일일이 서비스 별로 생성해서 안내해 줄 필요 없이, Okta에서 계정을 간편하게 생성하면 됩니다. 퇴사자 발생 시, 서비스 별로 계정 탈퇴 후 권한을 회수할 필요 없이, Okta에서 계정을 삭제하고 권한을 회수하면 됩니다.



<이미지 출처 : Okta | What is Passwordless?>


그래서 이번 콘텐츠의 결론은 이렇습니다. SaaS가 우리의 업무에 이미 깊숙히 침투했습니다. 그 침투율은 기업 규모나 업종 별로 차등이 있긴 하지만, 점점 높아지리라는 것은 쉽게 예측할 수 있습니다. 이렇게 업무에 사용하는 서비스가 늘어날 수록 기존의 방식, 즉 비밀번호를 입력하는 방식은 사용자 경험 측면에서도, 그리고 보안 측면에서도 불편함도 많고 한계가 명확합니다. 따라서 패스워드리스 방식으로 변경해야 하고, 기왕 변경할 거면 가장 안전하고 간편한 WebAuthn 방식으로 변경해야 합니다. 

그런데 WebAuthn을 적용해야 할 자사의 서비스도 많고, 개벌적인 WebAuthn을 가지고 있는 타사의 SaaS를 많이 사용하고 있다면? Okta 솔루션으로 이 모든 고민을 단번에 해결할 수 있다는 것으로 정리할 수 있겠습니다.


패스워드리스 방식에 대한 내용은 Okta 백서 '비밀번호의 한계를 넘다'의 내용을 정리한 것입니다. 아래와 같이 백서 다운로드 이벤트도 진행하고 있으니 관심 있으신 분들의 많은 참여 부탁드립니다.




이 콘텐츠가 이미 많은 SaaS를 업무적으로 사용하고 있어 계정관리에 어려움이 많은 담당자 분들, 그리고 사내 임직원들에게 보다 간편하고 안전한 로그인 환경을 제공하고 싶은 분들께 조금이나마 도움이 되었기를 바랍니다. 끝!

7개의 댓글이 있습니다.

일 년 이상 전

좋은 내용 많이 도움되었습니다. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

check

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

크롬 사용중입니다.
파일 다운로드가 안되서 보니, IE 모드에서는 다운로드가 되네요.
참고하세요. ^^

Reply

일 년 이상 전

감사합니다. 왜 안되나 했네요

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

참여 합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

좋은 내용 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입