[데이터넷] CIAM에서 요구되는 많은 기능은 IAM과 유사하며, 점점 더 중복되는 기술로 발전하고 있다. 그래서 고객 계정 관리뿐 아니라 임직원, 파트너, 계약직원을 위한 IAM에도 CIAM이 접목되고 있다. 다만 CIAM은 IAM에 비해 더 광범위한 사용자를 유연하게 지원할 수 있으며, 쉽게 개발되고 다른 서비스와 연동된다.

CIAM에서도 제로 트러스트 개념을 적용해 소비자는 최소한의 정보만을 제공해 회원가입과 로그인 할 수 있도록 해 고객 편의성은 개선하고 보안성은 높이는 방법을 필요로 한다. 예를 들면, 회원가입 시 생년 월일과 이메일 주소 혹은 휴대폰 번호 등 개인을 식별할 수 있는 최소한의 정보만을 입력하거나 본인확인 서비스를 이용해 본인확인 후 가입하게 된다. 서비스 기업은 민감한 고객정보를 보유하지 않아도 돼 고객정보 보호 부담을 덜 수 있다.

고객이 직접 관리해야 하는 비밀번호를 제거(Pass wordless)하고 생체인증 등 비밀번호 대체수단을 적용하면 고객 편의성과 보안성을 한층 더 높일 수 있다. 최근 다양한 사설인증서가 등장해 비밀번호를 대체하고 있다. 예를 들어 사용자가 스마트폰의 인증서 앱을 열고 화면을 바라보거나(얼굴인식), 지문을 인식시키 는 것만으로 인증이 완료될 수 있다.

여러 애플리케이션에 대한 ID 연계(ID Federation)와 싱글사인온(SSO)으로 인증 과정을 단순화하면서 모든 서비스에 대한 중단없는 접근통제를 제공해야 하는데, 동시에 최소권한 원칙에 따라 한 번 인증에 성공 했을 때 중요도가 높은 다른 서비스까지 인가되지 않도록 하는 것도 필요하다.

CIAM이 놓쳐서는 안 되는 필수 항목이 보안과 컴플라이언스다. 고객정보는 개인정보 보호 규제에 따라 최소한의 범위로 수집해야 하는데, 서비스를 제공하는 지역, 국가별, 산업별 개인정보 수집과 활용 범위가 다르기 때문에 컴플라이언스 요건을 잘 살펴야 한다. 개인정보 수집 동의 여부, 보호와 활용 방법 등이 다를 수 있기 때문에 그에 맞는 관리 체계를 자동으로 적용 해야 한다.

고객정보는 암호화 해 보관하며, 고객정보 활용 기록을 모두 남겨 고객이 열람을 요청했을 때 즉시 제공 해야 한다. 암호화된 고객정보는 강력한 키관리와 접근통제 정책을 통해 보호해야 하며, 키 혹은 마스터키 는 HSM 등을 통해 안전하게 보호해야한다.

고객정보 보호에 실패했을 때 벌금, 과징금 등 금전적 손해만 입는 것이 아니라, 고객의 대규모 이탈이 발생할 수 있다. 핑아이덴티티 조사에 따르면 고객의 55%는 허가없이 개인 데이터를 공유하는 기업에 더 실망하고 다시 그 회사 제품을 사용하지 않을 가능성 이 높은 것으로 나타났다. 또 63%의 소비자는 회사가 고객 데이터를 보호할 책임이 있다고 답했다.

고객경험 개선으로 소비자 충성도 높여야

고객경험 개선은 CIAM에서 매우 중요한 항목인데, 사용자가 원하는 인증 수단을 선택할 수 있도록 하는 것이 필수다. 은행 거래 시, 공인인증서와 여러 간편인증 중 사용자가 자유롭게 선택할 수 있도록 한 것이 그 대표적인 예이다.

고객경험이 개선된 CIAM은 CRM이나 다양한 마케팅 툴에도 활용 가능하다. 고객의 상황이나 습관, 민감한 개인정보에 대한 접근 방법들을 분석하고 고객 에 대한 맞춤형 서비스가 가능하다. 포레스터의 ‘포레스터 웨이브: CIAM, 2020년 4분기’ 보고서에서 이 내용이 포함돼 있는데, CIAM에 인증, 권한부여, CRM, 웹 분석, 개인정보 관리 등 다양한 솔루션이 통합되고

있다고 설명한다. 또 개인화를 통해 다른 채널에서 수 집한 선호도를 활용해 모든 채널에서 더 나은 경험을 교차 판매하고 홍보할 수도 있다고 소개한다.

사용자 경험을 고도화 할 때, MFA는 반드시 필요하 다. 결제 혹은 민감한 개인정보 입력 등 보안 수준이 높은 접속을 시도할 때, 혹은 평소와 다른 접속 정황이 나타났을 때 보안 수준이 높은 추가 인증 수단을 요구해야 한다. OTP, SMS·SNS 인증, ARS 인증, 생체인증 등 MFA를 이용할 수 있다. MFA를 위한 인증수단 역시 보안 수준에 따라 고객이 선택할 수 있어야 한다.

다양한 애플리케이션에서 쉽고 유연하게 CIAM을 적용하기 위해서는 광범위한 API 지원과 개발자 친화 적인 환경을 마련하는 것이 필요하다. 애플리케이션 시대로 접어들면서 서비스는 수시로 변경된다. 모든 서비스의 개발·수정·변경마다 CIAM을 일일이 개발하 는 것은 공수가 너무 많이 든다. CIAM에 대한 전문성 을 갖지 않은 개발자들이 다수이기 때문에 모든 서비 스에 제대로 된 CIAM을 적용하기도 어렵다.

애플리케이션 개발사의 대부분은 중소·영세한 사업자, 스타트업이기 때문에 CIAM 개발을 위한 전문가 를 고용하거나 비용을 쓸 수 없다. 잘못 설계된 CIAM으로 인해 개인정보 유출 사고가 발생하거나 컴플라이 언스 위배가 발생하면 비즈니스를 중단하게 될 수 있으며, 고객환경을 제대로 갖추지 못하면 고객을 유치 할 수 없다.

IAM 전문기업 옥타가 제품·엔지니어링 리더를 대상으로 조사한 결과, 응답자의 80%가 CIAM을 새로 운 애플리케이션과 통합하는데 한 달 이상 걸려 시장의 변화에 신속하게 적응할 수 없다고 답했다. 조직 의 41%는 CIAM 전담팀이 없으며, 개발자의 34%는 CIAM 솔루션이 새로운 애플리케이션을 시작하거나 이전 애플리케이션을 업데이트할 때, 원하는 기능을 개발하지 못했다고 답했다.

개발자 친화적 CIAM 제공

개발자 친화적이면서 보안·컴플라이언스를 만족시킬 수 있는 솔루션으로 옥타의 ‘CIP(Customer Identity Products)’가 있다. 옥타 CIP는 클라우드 기반 아이덴티티 관리 서비스 기업 어스제로(Auth0)을 인수하면서 CIAM 역량을 한층 강화했으며, CIAM 전문지식이 없어도 쉽게 서비스에 CIAM을 적용할 수 있게 한다. 특히 1만5000 사용자 규모의 서비스를 무료 로 지원해 예산이 충분하지 않은 스타트업도 CIAM을 통해 고객을 보호할 수 있게 한다.

옥타 CIP는 어도비, MLB 등 유명 기업의 CIAM으 로 선택돼 고객을 보호하고 있으며, 클라우드로 서비 스 돼 고객이 갑자기 늘어나는 환경에서도 고객정보를 안전하게 관리할 수 있도록 도와주며, 세분화된 보안 정책을 통해 개별 고객 환경과 상황에 맞는 계정 및 접 근제어를 제공할 수 있다.

유연한 ID 기반 정책엔진과 API 제공을 통해 여러 애플리케이션과 서비스에 일관된 사용자 경험을 제공 하고 등록과 인증을 단순화 해 고객 편의성을 증가하 며, 중앙집중식 관리를 통해 관리·운영 복잡성을 제거 한다.

정광연 옥타코리아 전무는 “서비스를 개발·수정할 때 마다 그에 맞는 로그인 페이지를 만들고 고객 인증 과 접근제어를 적용하는데 상당한 시간이 걸린다. 이 때문에 서비스 출시가 늦어지면 경쟁력을 확보할 수 없으며, 잘못 설계된 인증 프로세스로 인해 고객정보가 유출되는 피해를 입을 수 있다”며 “옥타는 기업·기관이 본연의 서비스에 보다 집중할 수 있도록 고객 인증·접 근제어를 쉽게 적용할 수 있도록 한다”고 설명했다.

한편 옥타는 IDaaS(Identity as a Service) 전문기업 으로, 회사의 모든 디지털 리소스를 안전하고 편리하 게 연동할 수 있도록 하며, 싱글사인온(SSO)과 적응 형 MFA를 통해 편리하면서도 강력한 접근통제를 지 원한다.

옥타 솔루션은 CIP와 IAM 솔루션 ‘WIP(Workforce Identity Products)’이 있으며, 내년 1분기 ‘IGA (Identity Governance and Administration)’ 솔루션을 출시하고 특권권한관리(PAM) 시장에도 진출할 계획이다.