[데이터넷] 코로나19 이후 조명 받는 보안 업계 화두를 꼽는다면 단연 ‘제로 트러스트’가 포함될 것이다. 기존에는 임직원들이 ‘사무실에서 사내 인프라에 접속’을 했기에 인증 강화에 대한 요건이 제한적이었다.

그러나 코로나19와 함께 원격 근무·재택근무를 하는 임직원 수가 늘어나면서 사내 전산 시스템뿐만 아니라 퍼블릭 클라우드와 같은 사외 인프라 활용이 증가했다. 또한 ERP/CRM/HR 등 중요한 정보가 포함된 솔루션도 클라우드 기반의 SaaS 서비스로 이용되고 있다.

따라서 임직원 개개인에 대한 신원 확인 및 계정 인증 강화에 대한 요건이 높아지는 상황에서 ‘제로 트러스트’가 화두로 떠오른 것은 자연스러운 움직임이다.

빠르고 편리한 서비스 환경 지원 MFA 도입

핀테크 기업이자 마이데이터 사업자인 한국신용데이터는 빠르게 성장하는 기업이다. 2017년 4월 출시된 경영 관리 서비스 ‘캐시노트’는 출시 4년여 만에 전국 약 80만개 사업장에 서비스를 제공하고 있다. 캐시노트는 매출, 매입 등 소상공인이 중요하게 여기는 정보를 다룬다. 따라서 편리한 서비스를 제공하기 위해 민첩하고 유연하게 운영하는 동시에, 높은 수준의 보안 레벨을 유지하고, 금융기관의 컴플라이언스를 준수해야 하는 상황이다.

한국신용데이터는 임직원의 계정을 탈취해 정상 사용자로 위장해 접근하는 공격자를 인식하는 것을 중요한 보안 과제로 설정했다. 이 과제를 해결하기 위해 RSA의 ‘시큐어ID MFA(SecurID MFA)’를 도입해 임직원들의 계정 인증 강화를 성공적으로 이끌어냈다.

다양한 환경 지원하는 MFA

한국신용데이터가 임직원 계정 인증 강화를 위해 다중인증(MFA) 솔루션을 도입하면서 고려했던 점은 크게 세 가지였다.

• 다양한 SaaS 애플리케이션과의 손쉬운 연동

한국신용데이터는 빠른 성장과 함께 도입하는 애플리케이션 수가 늘어났고, 임직원들이 새롭게 도입하는 애플리케이션들을 업무 영향 없이 빠르게 사용하는 것이 중요했다. 때문에 다양한 애플리케이션, 특히 SaaS 서비스 기반으로 제공되는 다수의 애플리케이션과의 연동, MS 애저(Azure) AD SSO와의 연동, MDM/MAM과의 연동, 비정상 로그인 시도를 실시간 모니터링 할 수 있도록 SIEM과의 연동이 필요했다.

RSA 시큐어ID는 다중 인증 솔루션 분야 세계 최초 원천 기술을 보유하고 있으며, 전 세계 1위 시장점유율을 가지고 있는 표준 솔루션으로서 자리매김하고 있다. 이에 다수의 애플리케이션들은 RSA 시큐어ID와의 연동 테스트를 완료한 후 시장에 출시되고 있고, 한국신용데이터가 필요로 하는 쉽고 빠른 애플리케이션과의 연동 요건을 충족할 수 있었다.

이는 기업들이 신규 애플리케이션 도입 시, 혹은 기존 도입한 애플리케이션 업데이트 시에도 다중 인증 솔루션 제조사의 연동을 위한 추가 개발을 기다려야 하는 불편함을 없애고 임직원들의 업무 연속성을 제공하는 이점이 있다.

• 클라우드와 온프레미스 환경까지 모두 지원

한국신용데이터는 이미 상당 부분의 인프라를 클라우드로 전환했으며, 망분리된 내부망에 온프레미스 인프라를 보유하고 있다. 그래서 한국신용데이터에서는 클라우드뿐만 아니라 온프레미스 상의 애플리케이션까지 유연하게 지원할 수 있는 다중 인증 솔루션을 필요로 했다. RSA 시큐어ID는 온프레미스, 클라우드, 하이브리드 등 기업의 다양한 인프라 환경을 모두 지원해 한국신용데이터의 요건을 충족할 수 있는 유일한 다중 인증 솔루션이었다.

다른 다중 인증 솔루션들은 정전이나 네트워크 문제 등으로 인증센터 장애 시 기업 임직원들의 업무 연속성이 중단되는 리스크가 있지만, RSA 시큐어ID는 오프라인 상에서도 인증할 수 있는 유연한 옵션을 제공하는 것도 매력적인 요소였다.

• 다양한 디바이스를 통한 인증 지원

상당수 기업의 임직원들은 데스크톱, 랩톱, 태블릿, 스마트폰, 스마트워치 등 다양한 디바이스를 이용해 업무를 하고 있다. RSA 시큐어ID는 이러한 다양한 디바이스를 이용한 계정 인증을 지원하며, 다양한 운영체제 (OS)까지 지원하고 있다. 안드로이드, iOS, 윈도우, 블랙베리 등 현존하는 모든 스마트 기기 운영체제를 지원하며, 윈도우, 리눅스, 맥, AIX 등 기업의 모든 인프라 운영체계 또한 지원하고 있다.

‘시큐어ID’, 제로 트러스트 인증 강화 ‘최적’

RSA 시큐어ID MFA는 한국신용데이터의 다중인증 솔루션 도입 시 고려요소를 모두 충족할 수 있었으며, 임직원의 업무 생산성을 저해하지 않으면서 동시에 보안성을 만족시켰다. ID/PW 인증 방식에 익숙한 임직원들에게 추가로 계정 인증 절차를 거치는 것이 불편하게 느껴질 수 있었지만, 추가인증 자체가 쉽게 진행되기 때문에 임직원의 MFA에 곧 익숙해졌다.

전해성 한국신용데이터 CISO는 “안 쓰던 근육을 사용하는 것이 처음에는 불편하지만 곧 익숙해진다. MFA 적용 초기에는 몇몇 중요한 시스템과 애플리케이션 접속 시에만 적용했는데, 오히려 임직원들로부터 다중 인증 솔루션 적용 대상 시스템 확대에 대한 건의를 받았다. 보안에 대한 인식이 긍정적으로 변화했다”고 말했다.

RSA 시큐어ID MFA가 상기 언급된 다중 인증 솔루션 도입 시 고려 요소들을 충족하며 간편한 계정 인증 강화를 지원한 것도 있지만, 임직원들이 실제 다중 인증 솔루션을 쉽게 활용할 수 있도록 지원을 아끼지 않은 한국신용데이터 정보보안팀의 노력이 함께 어우러진 결과이기도 하다.

한국신용데이터 정보보안팀의 노력과 임직원들의 긍정적인 인식 변화로 인해 한국신용데이터에서는 이후 공동체 회사(계열사 및 자회사)까지 확대를 검토하고 있으며, 타 기업들이 ‘제로 트러스트’를 위한 계정 인증 강화 프로젝트 검토 시 조언을 아끼지 않을 계획이다.

RSA는 1982년 설립 후 40여년간 전 세계 보안 기술 시장의 진보를 이끌어왔다. RSA 알고리즘을 개발해 공개하면서 암호화 역사에 한 획을 그었으며, 세계 최대 정보보안 컨퍼런스인 ‘RSA 컨퍼런스’를 매년 개최하면서 글로벌 보안 기술 및 시장 트렌드를 주도하고 있다.

OTP 원천기술 보유한 RSA

RSA는 ‘비즈니스 중심 보안(Business-Driven Security)’이라는 사상으로 기업 보안 사고와 침해행위에 직관적이고 효과적으로 대응하고 있으며, 이러한 리스크가 기업에 미치는 비즈니스 영향도를 분석해 기업들이 비즈니스 우선 순위에 맞춰 더 나은 보안 전략을 세우고 실행하는데 기여하고 있다.

RSA는 거버넌스, 리스크, 컴플라이언스(GRC) 솔루션 ‘아처(Archer)’, NDR·XDR 및 통합 보안 관제플랫폼 ‘넷위트니스(NetWitness)’, 인증 강화 솔루션 ‘시큐어ID(OTP, MFA)’ 등을 제공하고 있다. 주요 고객사로는 가장 높은 수준의 보안성을 요구하는 전 세계 각국 정부기관 및 군, 방산업체, 전 세계 10대 금융기관, 전세계 20대 제조기업을 비롯한 포춘100대 기업의 97%, 500대 기업의 94% 등이며, 국내에서도 주요 대기업 및 공공기관, 금융기관 뿐 아니라 소기업 및 스타트업까지 솔루션 및 서비스를 제공하고 있다.