[데이터넷] 개인정보 유출 사고가 잇달아 발생하고 있다. ‘인싸 앱’으로 인기를 끌었던 클럽하우스에서 130만명의 고객정보가 유출됐으며, 페이스북은 5억3300만여명, 링크드인 5억여명 개인정보가 지하시장에 매물로 나온 사실이 공개됐다. 사고를 당한 기업들은 고객정보를 해킹당한 것이 아니라 공개된 데이터를 해커가 수집한 것으로, 사용자 이름, 아이디, SNS 계정명 등 단순한 프로필 정보 수준이며 민감한 데이터는 유출되지 않았다고 항변한다.

민감한 개인정보가 포함되지 않았다 해서 고객정보가 지하시장에서 판매되고 있다는 사실에 대한 ‘면죄부’가 될 수 없다. 해커들은 여러 플랫폼에서 정보를 수집해 결합하면서 고급 정보를 완성해낸다. 사용자들은 하나의 ID/PW를 사용하거나 유사한 문자·숫자의 조합을 사용한다. 이를 업무 계정에서도 사용하기 때문에 해커들은 미리 입수한 계정정보를 웹서비스에 입력해 로그인한 후 추가 정보를 입수하고 다양한 사기 행각을 벌인다. 이렇게 정제된 개인정보는 각종 피싱 범죄에 활용될 뿐 아니라 기업·기관을 대상으로 한 맞춤형 공격에도 사용된다.

고객정보 보호를 위해 고객에게 길고 복잡한 문자·숫자로 조합된 비밀번호를 사용하며 정기적으로 바꿀 것을 권고한다. 그러나 지능형 봇으로 정보를 스크래핑하고, 사용자 단말에서 정보를 직접 빼가는 공격에 복잡한 비밀번호는 무용지물이다. 오히려 사용 편의성을 해쳐 소비자들이 해당 서비스를 이탈하게 만들 수 있다.

고객이 자신의 정보를 잘 관리하지 못해 민감한 개인정보를 공개된 상태로 방치하거나 다른 사이트에서 유출된 ID/PW를 계속 사용해 개인정보 유출 사고가 잇따르고 있다는 것은 부인할 수 없다. 그렇다 해서 개인정보 유출 사고의 책임을 소비자에게 떠넘겨서는 안된다. 서비스를 제공하는 조직은 고객이 자신의 정보를 안전하게 지킬 수 있는 기술적·정책적 대안을 마려할 의무가 있다. 고객이 세심하게 자신의 정보를 보호하려는 노력을 하지 않아도 고객정보를 안전하게 보호할 수 있는 ‘CIAM(Consumer Identity and Access Management)’이 필수로 요구된다.

고객정보 보호, 기업 생존과 직결

CIAM은 고객의 계정과 접근통제를 관리하는 솔루션으로, 확장성과 유연성, 개발 용이성을 갖추고 있어야 한다. 대고객 서비스를 위한 웹·애플리케이션은 수시로 수정·개편되며, 새로운 서비스도 빠르게 개발·제공되는데, 이 때 개발조직이 모든 서비스마다 CIAM을 따로 개발하도록 하는 것은 비효율적이다.

CIAM에 대한 이해가 낮은 개발자들이 속도가 중요한 클라우드·애플리케이션 환경에서 제대로 된 CIAM을 개발할 수 없다. 특히 중소 개발사, 새로운 아이디어로 시작한 스타트업이 CIAM에 대한 전문성이 없어 고객정보를 제대로 관리하지 못하고 유출사고를 일으키게 했다면 큰 타격을 입을 수 있다.

따라서 CIAM은 보안과 효율성, 고객 편의성과 함께 개발 편의성을 반드시 갖춰야 한다. 데브옵스에 통합될 수 있으면서 개발자 친화적인 프로세스를 통해 누구나 쉽게 CIAM을 적용하고, 안전하게 운영될 수 있도록 해야 한다.

정광연 옥타코리아 전무는 “고객정보를 안전하게 관리하는 것은 기업의 생존과 직결되는 문제가 될 수 있다. 사소한 고객정보 유출 사고로도 큰 피해를 입을 수 있으며, GDPR·개인정보 보호법 등 규제준수 위반으로 막대한 벌금을 물게 될 수 있다. 그렇다 해서 강력하지만 복잡하고 불편한 고객정보 관리 방안을 마련하면 고객 편의성이 낮아져 고객들을 떠나게 만들 수 있으며, 서비스 개발이 늦어져서 시장 상황에 맞는 서비스를 제공할 수 없게 된다”며 “개발자 친화적이면서 고도의 유연성과 편의성을 갖춘 CIAM이 필수”라고 말했다.

개발자 친화적 솔루션 제공

옥타는 IDaaS(Identity as a Service) 전문기업으로, 클라우드 기반 아이덴티티 관리 서비스 기업 어스제로(Auth0)을 인수하면서 CIAM 플랫폼을 한층 강화했다. 옥타의 CIAM은 개발자 친화적인 솔루션으로, CIAM에 대한 전문지식이 없어도 쉽게 서비스에 CIAM을 적용할 수 있게 한다. 특히 옥타 CIAM은 1만5000 사용자 규모의 서비스를 무료로 제공해 모든 서비스에 쉽게 적용할 수 있게 한다.

옥타 CIAM은 어도비, MLB 등 유명 기업의 CIAM으로 선택돼 고객을 보호하고 있으며, 클라우드로 서비스 돼 고객이 갑자기 늘어나는 환경에서도 고객정보를 안전하게 관리할 수 있도록 도와주며, 세분화된 보안정책을 통해 개별 고객 환경과 상황에 맞는 계정 및 접근제어를 제공할 수 있다.

유연한 ID 기반 정책엔진과 API 제공을 통해 여러 애플리케이션과 서비스에 일관된 사용자 경험을 제공하고 등록과 인증을 단순화 해 고객 편의성을 증가하며, 중앙집중식 관리를 통해 관리·운영 복잡성을 제거한다.

정광연 전무는 “서비스를 개발·수정할 때 마다 그에 맞는 로그인 페이지를 만들고 고객 인증과 접근제어를 적용하는데 상당한 시간이 걸린다. 이 때문에 서비스 출시가 늦어지면 경쟁력을 확보할 수 없으며, 잘못 설계된 인증 프로세스로 인해 고객정보가 유출되는 피해를 입을 수 있다”며 “옥타는 기업·기관이 본연의 서비스에 보다 집중할 수 있도록 고객 인증·접근제어를 쉽게 적용할 수 있도록 한다”고 설명했다.

모든 환경에서 계정·접근권한 관리

옥타의 솔루션은 고객정보를 관리하는 ‘CIP(Customer Identity Products)’와 엔터프라이즈를 위한 IAM ‘WIP(Workforce Identity Products)’로 구성된다. 회사의 모든 디지털 리소스를 안전하고 편리하게 연동할 수 있도록 하며, 싱글사인온(SSO)과 적응형 다중요소인증(Adaptive Multi-Factor Authentication)을 통해 편리하면서도 강력한 접근통제를 지원한다.

모든 사용자와 그룹, 장비를 한 곳에서 관리하는 유니버설 디렉토리(Universal Directory)와 사용자의 전입·이동·전출 등을 자동으로 관리하고, API로 보안 정책을 확장해 다양한 애플리케이션에 동일한 사용자 경험을 유지할 수 있도록 한다. 제로 트러스트 기반 접근관리를 클라우드 인프라로 확장하고 패스워드 없는 실시간 인증을 지원한다.

옥타는 내년 1분기 IGA(Identity Governance and Administration) 솔루션 출시를 예고했으며, 특권권한관리(PAM) 영역에서도 한층 더 강력한 경쟁력을 보일 것이라고 밝혔다. IGA, PAM 및 접근통제를 통해 VPN 없이 원격·재택근무와 클라우드 보안을 지원할 수 있으며, RPA, IoT·스마트팩토리까지 영역을 넓힌다는 계획도 밝혔다.

정광연 전무는 “전 산업에서 디지털 트랜스포메이션이 가속화되면서 사람이나 기기 등 연결되어야 하는 계정이 급증하고, 이를 관리하는 일은 더욱 더 어렵고 복잡한 일이 되고 있다. 옥타는 ‘계정’과 관련된 모든 요구를 수용할 수 있는 플랫폼으로 진화해 모든 환경에서 계정과 접근권한을 안전하게 관리할 것”이라고 말했다.

김선애 기자 다른기사 보기