박형근 한국IBM 보안사업부 실장

▲ 박형근 한국IBM 보안사업부 실장

[컴퓨터월드] 기업 경영 환경에서 혁신적인 고객이나 상품 개발을 위해, 혹은 시장의 파괴적인 변화에 적응하거나 주도하기 위해 IT 기술을 적극적으로 도입한다는 의미로 사용되는 ‘디지털 트랜스포메이션(Digital Transformation)’은 아직 현재 진행형의 뜨거운 경영 화두 중 하나다.

그러나 디지털 트랜스포메이션이 단순히 기존 프로세스나 비즈니스 모델 중 하나의 컴포넌트를 IT화한다거나, 혹은 IT 자동화만을 의미하는 것은 아니다. 물론 고객 경험을 향상시키면서 기존 프로세스의 효율성을 극대화하고, 여기에 부가해 비용까지 절감할 수 있는 RPA(Robot Process Automation)의 대두와 도입은 IT 자동화를 통한 성공적인 디지털 트랜스포메이션의 사례다. 인공지능 혹은 IT 자동화를 통해 기존 비즈니스 프로세스의 가치를 높임으로써 시장의 파괴적인 변화와 변화하는 고객의 요구사항에 대응하려는 것이다.

이러한 사례를 포함해 디지털 트랜스포메이션의 논의는 IT 기술 개발의 여부를 떠나 창의적인 IT 기반의 아이디어와 서비스를 어떻게 빨리 기존 전통적인 비즈니스 모델이나 프로세스에 융화시킬 수 있느냐가 핵심이라고 하겠다.

그런 관점에서 더 이상 IT를 소유하지 않고, IT를 소비하는 방향으로 변화할 것이라는 것을 쉽게 예측할 수 있다. 이를 통해 본래 목적하고자 했던, 보다 빠른 디지털 트랜스포메이션의 성공적인 적용과 비즈니스 가치 실현을 달성하려고 할 것이다. 이른바 클라우드 퍼스트(Cloud-First) 전략은 아마존의 디지털 트랜스포메이션 성공 사례이기도 하다. 아마존의 클라우드 서비스인 AWS의 매출은 2016년 대비 2017년에 약 30% 이상 성장했다.

대표적인 CRM 서비스형 소프트웨어(SaaS) 회사인 세일즈포스닷컴은 연간 평균 20% 이상의 성장율을 보였다. 또한, 시장조사기관인 가트너가 예측한 2018년도 국내 퍼블릭 클라우드 최종 사용자의 지출 비용은 전년 대비 21.4% 증가한 1조 5,263억 원으로 예측했다.

서비스형 인프라(IaaS), 서비스형 개발 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)에서 클라우드 서비스 공급회사들은 빅데이터, 인공지능(AI), IoT 등 최근 IT 동향에 따라 다양한 컴포넌트와 서비스 품목들을 개발해 제공했다. 따라서, 보다 빨리 이러한 기술 요소들을 도입하고자 하는 비즈니스 요구사항을 충족하기 위해 클라우드 서비스의 도입은 더욱 가속화될 것으로 보인다.


클라우드 서비스를 도입할 때 문제점은?

그러나, 클라우드 서비스를 도입하기 위해서는 가장 먼저 해결해야 할 문제점이 있다. 그것은 바로 임직원이든 고객이든 사용자 정보를 어떻게 관리하거나 동기화해야 하느냐는 점이다.

전통적인 IT 관점에서 새로운 솔루션이든 서비스든 이를 사용하기 위해서는 필요한 사용자 정보, 특히 아이디와 패스워드를 어떻게 처리해야 하느냐가 결정돼야 한다. 중앙 집중적인 사용자 정보 저장소를 연동해 활용할 수도 있고, 사용자 정보가 개별적으로 관리 운영된다면 해당 정보가 배포되거나 동기화돼야만 한다.

그러나 두 가지 방식 모두 지금까지 해왔던 방식과는 다르게 접근해야 한다. 특히 커스터마이징에 익숙한 국내 IT 환경에서, 커스터마이징이 거의 불가능한 클라우드 환경에서는 국제 혹은 산업 표준 기반의 연동을 우선 고려해야만 한다.

예를 들면 중앙 집중적인 사용자 정보 저장소를 활용하려고 한다면, 외부에서 서비스 가능한 혹은 클라우드 상에서 접근 가능한 LDAP(Lightweight Directory Access Protocol) 기반의 디렉토리 서비스를 활용해야 한다. IBM, 오라클 등의 상용 디렉토리 서비스나 마이크로스프트 사의 액티브 디렉토리 서비스가 그 예다.

다음으로 사용자 정보가 개별적으로 관리 운영된다면, 사용자 정보를 배포하거나 동기화하기 위해서는 전통적인 계정 및 권한 관리 솔루션을 활용할 수 있다. 그러나 글로벌 공급회사 간의 협력이 필요하므로, 보다 보편적인 방향이라면 중앙 집중적인 사용자 정보 저장소를 활용하는 방안이 더 권장되며 경우에 따라서는 하이브리드 구성도 가능하다.

다음으로 고려해야 할 사항으로는 기업 내에서 싱글사인온(Single Sign On)을 통한 사용자 경험의 단절이나, 서비스를 사용하기 위한 프로세스가 인증 때문에 중단되지 않도록 할 수 있는 방법이다. 아무리 좋은 서비스라도 매번 사용할 때마다 여러 번의 인증이 필요하다면, 고객이나 사용자 관점에서 매우 불편한 일이다. 보안 관점으로도 서비스에 접근할 때마다 인터넷 구간 상에서 HTTPS나 TLS와 같은 암호화 채널이긴 하지만, 아이디/패스워드를 주고받는다는 것은 그리 권할만한 사항은 아니다.

그렇다면 어떻게 해야 할까? 바로 디지털 패스포트를 활용하는 것이다. 디지털 패스포트란 비유적으로 표현한 것으로 웹 서비스 표준 방식의 인증 방법과 이와 관련된 인증 체계를 말한다.

웹 서비스 표준 방식의 인증 방법이란 SAML, OAuth, OpenID 등을 말한다. 일반적으로 클라우드 서비스 상의 사용자 인증에 사용되는 방식이 SAML이고, API 인증에는 OAuth가 흔히 사용된다. 또한 이러한 웹 서비스 표준 인증 방식을 활용해 싱글사인온을 구현하는 것을 페더레이션(Federation) 기반 싱글사인온이라고 한다.

가트너의 계정 및 권한 관리 기술 동향에서는 페더레이션이 국제적으로는 이미 충분히 확산된 기술이라 2017년도부터는 제외한다고 밝혔으나, 국내에서는 페더레이션이라는 용어 자체도 아직 충분히 확산되지 않았다.

▲ 아이덴터티 프로바이더의 역할

클라우드 서비스 도입시 보안 문제점 해결 위한 베스트 프랙티스는?

지금까지 논의해온 클라우드 서비스 도입 시의 두 가지 문제점을 해결하기 위한 베스트 프렉티스는 무엇일까? 그것은 바로 아이덴터티 프로바이더(Identity Provider)를 이용하는 것이다. 서비스를 제공하는 측을 서비스 프로바이더(Service Provider)라 하고, 서비스 프로바이더를 위해 사용자의 인증 정보를 제공하고 웹 서비스 표준 인증 토큰을 발행하는 측을 아이덴터티 프로바이더라고 한다.

즉, 세일즈포스닷컴, 마이크로소프트(MS) ‘오피스365’, 워크데이(Workday), 컨커(Concur) 등과 같이 클라우드 서비스를 제공하는 공급회사들이 바로 서비스 프로바이더의 예이다. 반면에 이 회사들의 서비스 활용에 필요한 인증 토큰과 사용자 정보를 제공하는 솔루션을 아이덴터티 프로바이더라고 하는데, 설치형 소프트웨어로도 존재하고 서비스형 소프트웨어인 IDaaS(IDentity as a Service)로도 제공된다.

특히 앞서 소개했던 가트너의 계정 및 권한 관리 솔루션의 기술 동향에서 향후 3년 이내에 기업들이 도입할 것으로 예상했던 기술은 바로 서비스형 아이덴터티 관리 서비스(IDaaS)로, 그 가운데 중요 컴포넌트 중 하나는 바로 아이덴터티 프로바이더다. 또한 아이덴터티 프로바이더로부터 받은 SAML과 같은 웹 서비스 표준 인증 토큰의 사용은 사용자와 서비스 프로바이더가 인터넷 구간상에서 아이디/패스워드를 주고 받는 문제점을 해결한다.

그러나 사용자와 아이덴터티 프로바이더의 인터넷 구간 상에서 여전히 아이디/패스워드를 주고 받는 문제점이 남는다. 이에 대해 아이덴터티 프로바이더에 대한 사용자 인증은 단지 아이디/패스워드가 아닌 모바일 OTP(One Time Password)나 생체인증 시스템과의 결합을 통해 인터넷 구간 상의 아이디/패스워드 배포 문제를 이차(2-factor) 혹은 멀티 인증 강화로 해결할 수 있다.

또한, 정보보안의 관점으로도 언제 어디서든 접속이 가능한 클라우드 서비스에 대한 사용과 통제에 대한 이슈에 대해서도 매우 중요한 시사점을 제공한다.

▲ 아이덴터티 프로바이더는 기존 보안상 문제들을 해결할 수 있다.

글로벌 선도기업인 IBM은 어떻게 할까?

국내외 여러 선도 기업들이 벤치마킹하고 있는 IBM은 블루ID(BlueID)라는 단일한 인증 체계와 프로세스 하에 고객과 파트너, 그리고 임직원에 대한 계정과 권한을 관리하고 있으며 싱글사인온 서비스를 제공하고 있다. IBM의 블루ID는 지난해 온프레미스 형태에서 아이덴터티 관리 서비스(IDaS)로의 전환을 마쳤다.

이로써 IBM은 전 세계 60만 명 이상의 임직원과 협력직원들이 요청하는 초당 12,000개 이상의 인증 요청을 처리하고 있다. 또한 1,650개 이상의 SaaS와 비즈니스 애플리케이션이 연계돼 있으며, 기존보다 100배 빠르게 새로운 비즈니스 애플리케이션을 연동하고 서비스할 수 있다.

또한 전 세계 어디에서든, 디바이스가 무엇이든 간에 간편하게 사용 가능하다. IBM은 비즈니스 애플리케이션으로 세일즈포스닷컴(Salesforce.com), MS ‘오피스365’, 워크데이, 컨커 등을 활용하고 있어 비용 절감과 함께 비즈니스 요구사항을 빠르게 반영하고 있다.

▲ IBM이 제공하는 w3id 서비스 홈페이지

기업 경영 환경에서 혁신적인 고객이나 상품 개발을 위해, 혹은 시장의 파괴적인 변화에 적응하거나 주도하기 위해 IT 기술을 적극적으로 도입한다는 의미의 디지털 트랜스포메이션도 결국은 사람(디지털 아이덴터티), 프로세스의 혁신, 그리고 이를 실현하는 여러 기술과 서비스의 조화를 어떻게 달성하느냐 하는 문제다.

이런 관점에서 서로 다른 기업의 서비스 융합을 지원하는 기반인 아이덴터티 프로바이더의 구현과, 이를 지원하는 차세대 계정 및 권한 관리 고도화가 이 시점에서 강하게 요구되고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지