2019.12.04

'1천여개 협력사에 SSO 제공'··· 플렉스의 계정 관리 사례 분석

Jaikumar Vijayan | CSO
플렉스(Flex Ltd.)는 세계 최대의 IT 기업을 포함해 1,000곳이 넘는 고객사를 거느린 위탁 제조업체다. 기업 가치가 250억 달러에 달하는 이 기업은 몇 년 전 협력업체가 자사 시스템에 액세스하는 것을 더 안전하게 관리할 방법이 필요했다.
 
ⓒ Getty Images Bank

플렉스의 협력업체는 전 세계적으로 수천 곳에 달한다. 지메일 주소 하나가 전부인 소규모 자영 업체부터 글로벌 대기업에 이르기까지 매우 다양하다. 플렉스에 있는 앱에 액세스할 때 복수의 계정과 시스템을 이용하는 업체가 많았고, 플렉스는 비밀번호를 관리하거나, 계정의 프로비저닝 및 디-프로비저닝을 제어하는 중앙화된 방식이 없었다. 또한, 플렉스는 협력업체와 관련된 ID 및 액세스 환경이 매우 산만해서 의심스러운 비정상 활동을 감지할 역량도 모자랐다.

IAM 정비
이런 제약은 해커가 한 협력 업체의 네트워크 인증정보를 훔쳐 타깃(Target)에서 대규모로 데이터를 유출한 사건을 떠올리게 했다. 결국 플렉스의 경영진은 ID 및 액세스 관리(IAM) 인프라를 대대적으로 정비하기로 했다.

먼저 플렉스 임원진은 제품의 설계, 제작, 유통을 위탁한 고객사의 중요한 지적 재산과 데이터가 자사 시스템에서 안전하게 유지되기를 원했다. 또한 자사 클라우드 및 온-프레미스 앱에 액세스하는 도급 업체의 경험을 개선하고자 했다. 플렉스의 CISO이자 엔터프라이즈 정보기술 부사장인 프리츠 웨츠닉은 “가시성을 높이고, 협력사에 친화적인 환경을 제공하기 위해 정비가 필요했다”라고 말했다.

이를 위해 플렉스는 협력업체가 자사 시스템에 액세스하는 데 이용하는 복수 계정을 제거하고, 대신 최소 권한 액세스를 허용하는 SSO(Single Sign On) 프로세스를 구현하기로 했다. 웨츠닉은 “또한 액세스 로그에서 가시성과 투명성이 필요했다. 보안 관점에서 볼 때, 액세스 지점이 여러 곳이면 일탈 및 수상한 거동을 파악하기 어렵다. 따라서 중앙 로그를 유지하고자 했다"라고 말했다.

기술적 관점에서 볼 때, 플렉스의 요구는 명확했다. 전 세계에 퍼져 있는 협력업체에 자사 온-프레미스 및 클라우드 시스템으로의 SSO 액세스를 제공하는 SaaS 애플리케이션이다. 그러자면 SAML 2.0, 적응형 다요소 인증(MFA), 외부 이용자 ID의 자동 온보딩 및 오프보딩, 중앙 로그 수집을 지원해야 했다. 아울러 이는 제로-트러스트 인증 및 액세스 모델을 구현하는 플렉스의 장기 목표를 위한 ID 파운데이션이 될 수 있을 만큼 충분한 기능을 지원해야 했다.

플렉스는 새 IAM 플랫폼으로 오크타(Okta)를 선정했다. 웨츠닉에 따르면, 오크타의 기술은 플렉스가 요구하는 협력사 ID의 MFA, SSO, 중앙 디렉터리 관리 및 수명 주기 관리 기능을 모두 충족한다. 그는 “기존에도 액티브 디렉터리 연동 서비스(Active Directory Federation Services, ADFS)와 AD를 가지고 있었지만, 전부 온-프레미스였고, 우리 협력업체 가운데 20%는 SaaS 애플리케이션을 이용했다. 따라서 클라우드와 하이브리드 서비스의 시대에 온-프레미스 플랫폼을 지속하는 것은 타당하지 않다고 판단했다”라고 말했다.

단순 액세스 모델로 지원센터 통화 감소
이는 약 4년 전의 일이다. 이후 플렉스는 2만 곳이 넘는 전체 협력업체를 새로운 IAM 플랫폼으로 이동시켰다. 협력사의 직원은 간단한 웹페이지 로그인을 통해 플렉스 시스템에 액세스할 수 있다. 각 이용자는 자신이 액세스 권한을 가진 시스템으로 액세스하기 위한 단일 계정 및 인증 정보 세트를 갖는다. 다요소 인증은 필수이고 주로 이용자의 모바일 기기를 2차 인증 요소로 이용했다.

새 플랫폼에서는 이용자가 여러 비밀번호를 기억하거나 여러 계정으로 상이한 시스템에 액세스할 필요가 없었다. 웨츠닉은 “매우 간소한 프로세스였고, 이용자 경험이 전체적으로 크게 향상됐다. 지원센터 통화가 75~80%까지 줄었다. 플랫폼의 유효성이 증명됐다고 할 수 있다”라고 말했다.

운영 관점에서 볼 때, 이제 플렉스는 중앙 로그 리포지터리를 통해 협력업체가 자사 시스템과 고객사 데이터에 접근하는 것을 모니터링할 수 있다. 전적으로 웹에 기반한 접근법이기 때문에 협력업체가 VPN 액세스를 할 필요가 없어졌다. 중요한 것은 이제 플렉스가 협력업체 직원에게 액세스를 제공하고 끊는 훨씬 더 효과적인 방법을 갖게 됐다는 점이다.
 
외부자 액세스 위험 경감
다수의 기업이 외부자 액세스 때문에 보안에 취약해진다. 원 아이덴티티(One Identity)의 2019년 11월 보고서에 따르면, 설문에 응한 1,000명 이상의 IT 전문가 94%가 자신의 조직이 외부자가 조직 네트워크로 액세스하는 것을 허용한다고 답했고 이 가운데 다수는 특권 계정 액세스였다. 10명 가운데 6명 이상(61%)이 외부 이용자가 권한 없는 데이터에 무단으로 액세스했거나 액세스를 시도했는지 파악하지 못한다고 답했고, 21%만이 퇴사한 외부 이용자의 액세스를 즉시 취소하는 메커니즘을 가진 것으로 나타났다.

포레스터 리서치의 애널리스트인 앤드러스 크서는 “비밀번호 관리, 온보딩, 트랜스퍼, 오프보딩은 협력업체 액세스를 처리할 때 어쩔 수 없이 마주치는 어려움이다. 외부 협력업체는 자신의 전체 시스템에서 직원의 액세스를 제어해야 한다. 이는 연동 파트너의 앱으로의 액세스를 관리하는 신원 서비스 제공업체와 시스템을 포함한다”라고 말했다. 협력업체는 직원의 퇴사 시 액세스를 적시에 종료하지 않는 경우가 빈번하고, 따라서 퇴사한 직원은 협력업체의 앱이나 비즈니스 파트너의 앱에 계속해서 액세스할 수 있다.

오크타의 플랫폼은 플렉스가 파트너의 ID 관리 시스템에 직접 통합되도록 지원한다. 따라서 외부업체 직원이 퇴사하거나 해고되면 이 이용자는 협력업체 포털에서도 자동으로 액세스가 종결된다. 파트너에게 ID 관리 시스템이 없는 경우 오크타가 자체 ID를 저장하고 관리할 수 있는 중앙 공간을 제공한다.

플렉스는 성공적인 B2B 출시에 이어, 오크타를 통해 전 세계에 있는 자사 제조 설비에서 일하는 10만 명이 넘는 노동자의 액세스를 간소화하기로 했다. 플렉스의 지식 노동자와 달리, 공장 노동자가 액세스할 필요가 있는 앱의 종류는 매우 적다. 예를 들어 시간 및 출근과 관련된 앱, 일반 회사 정보와 관련된 앱 같은 것이다.

액세스 자체가 한정적이므로 플렉스는 각 공장 노동자의 AD 계정을 설정하기를 원치 않았다. 웨츠닉은 “공장 노동자에게 AD 계정을 지급하지 않았다. 비용 효율적이지 않기 때문이다. 공장에서 일한다면 앱 액세스는 많아야 한 달에 1~2회다”라고 말했다.

대신, 공장 노동자에게 오크타 모바일 앱을 제공해 웹 로그인을 통해 애플리케이션에 액세스할 수 있도록 했다. 오크타는 한정적 액세스에 대해 최적의 가격을 책정하는 가격 모델을 갖고 있다. 또한 플렉스는 공장 안에 키오스크를 설치해 공장 노동자가 초과 근무 및 출근 정보, 그리고 다른 데이터에 액세스하는 데 이용할 수 있도록 했다.

향후의 과제: API 액세스 관리
플렉스는 현재 새 플랫폼을 전사적으로 전개하며 직원, 협력업체, 생산 위탁 고객사를 위해 IAM을 간소화했다. 이제 가장 큰 문제는 온-프레미스로 유지하는 것과 클라우드로 이전할 수 있는 것 사이의 적절한 균형을 찾는 것이다.

이를 위해 업체는 앞으로 몇 년 동안 오크타를 통해 API 액세스 관리를 지원할 계획이다. 이렇게 되면 외부업체가 새로운 애플리케이션과 서비스를 제작, 액세스하는 것이 한층 용이해진다. 회사의 제조 설비 역시 갈수록 자동화될 것이고, 플렉스는 조만간 로봇 및 여타 스마트 기기의 액세스를 식별하고 설정하는 새 방식을 찾아야 할 것이다.

이러한 변화의 과정에서, 플렉스에 남겨진 한 가지 큰 문제는 온-프레미스로 유지해야 할 것과 클라우드에 배치할 수 있는 것을 결정하는 것이다. 웨츠닉은 “사람들이 구형 애플리케이션을 적절히 평가하지 않는 것 같다. 이들이 특정한 방식으로 설치되고, 복잡해진 데에는 그럴만한 이유가 있다”라고 말했다.

실제로 온-프레미스 환경에서 문제없이 작용하던 것이 클라우드에서 복제하기 어려운 경우가 종종 있다. 웨츠닉은 “90%의 애플리케이션이 클라우드로 이동할 것이라거나, 95%가 클라우드로 이동할 것이라는 보고서가 많다. 그러나 개인적으로 그렇게까지 생각하지는 않는다. 구형 앱과 클라우드 네이티브 앱은 저마다 용도가 있다”라고 말했다. ciokr@idg.co.kr



2019.12.04

'1천여개 협력사에 SSO 제공'··· 플렉스의 계정 관리 사례 분석

Jaikumar Vijayan | CSO
플렉스(Flex Ltd.)는 세계 최대의 IT 기업을 포함해 1,000곳이 넘는 고객사를 거느린 위탁 제조업체다. 기업 가치가 250억 달러에 달하는 이 기업은 몇 년 전 협력업체가 자사 시스템에 액세스하는 것을 더 안전하게 관리할 방법이 필요했다.
 
ⓒ Getty Images Bank

플렉스의 협력업체는 전 세계적으로 수천 곳에 달한다. 지메일 주소 하나가 전부인 소규모 자영 업체부터 글로벌 대기업에 이르기까지 매우 다양하다. 플렉스에 있는 앱에 액세스할 때 복수의 계정과 시스템을 이용하는 업체가 많았고, 플렉스는 비밀번호를 관리하거나, 계정의 프로비저닝 및 디-프로비저닝을 제어하는 중앙화된 방식이 없었다. 또한, 플렉스는 협력업체와 관련된 ID 및 액세스 환경이 매우 산만해서 의심스러운 비정상 활동을 감지할 역량도 모자랐다.

IAM 정비
이런 제약은 해커가 한 협력 업체의 네트워크 인증정보를 훔쳐 타깃(Target)에서 대규모로 데이터를 유출한 사건을 떠올리게 했다. 결국 플렉스의 경영진은 ID 및 액세스 관리(IAM) 인프라를 대대적으로 정비하기로 했다.

먼저 플렉스 임원진은 제품의 설계, 제작, 유통을 위탁한 고객사의 중요한 지적 재산과 데이터가 자사 시스템에서 안전하게 유지되기를 원했다. 또한 자사 클라우드 및 온-프레미스 앱에 액세스하는 도급 업체의 경험을 개선하고자 했다. 플렉스의 CISO이자 엔터프라이즈 정보기술 부사장인 프리츠 웨츠닉은 “가시성을 높이고, 협력사에 친화적인 환경을 제공하기 위해 정비가 필요했다”라고 말했다.

이를 위해 플렉스는 협력업체가 자사 시스템에 액세스하는 데 이용하는 복수 계정을 제거하고, 대신 최소 권한 액세스를 허용하는 SSO(Single Sign On) 프로세스를 구현하기로 했다. 웨츠닉은 “또한 액세스 로그에서 가시성과 투명성이 필요했다. 보안 관점에서 볼 때, 액세스 지점이 여러 곳이면 일탈 및 수상한 거동을 파악하기 어렵다. 따라서 중앙 로그를 유지하고자 했다"라고 말했다.

기술적 관점에서 볼 때, 플렉스의 요구는 명확했다. 전 세계에 퍼져 있는 협력업체에 자사 온-프레미스 및 클라우드 시스템으로의 SSO 액세스를 제공하는 SaaS 애플리케이션이다. 그러자면 SAML 2.0, 적응형 다요소 인증(MFA), 외부 이용자 ID의 자동 온보딩 및 오프보딩, 중앙 로그 수집을 지원해야 했다. 아울러 이는 제로-트러스트 인증 및 액세스 모델을 구현하는 플렉스의 장기 목표를 위한 ID 파운데이션이 될 수 있을 만큼 충분한 기능을 지원해야 했다.

플렉스는 새 IAM 플랫폼으로 오크타(Okta)를 선정했다. 웨츠닉에 따르면, 오크타의 기술은 플렉스가 요구하는 협력사 ID의 MFA, SSO, 중앙 디렉터리 관리 및 수명 주기 관리 기능을 모두 충족한다. 그는 “기존에도 액티브 디렉터리 연동 서비스(Active Directory Federation Services, ADFS)와 AD를 가지고 있었지만, 전부 온-프레미스였고, 우리 협력업체 가운데 20%는 SaaS 애플리케이션을 이용했다. 따라서 클라우드와 하이브리드 서비스의 시대에 온-프레미스 플랫폼을 지속하는 것은 타당하지 않다고 판단했다”라고 말했다.

단순 액세스 모델로 지원센터 통화 감소
이는 약 4년 전의 일이다. 이후 플렉스는 2만 곳이 넘는 전체 협력업체를 새로운 IAM 플랫폼으로 이동시켰다. 협력사의 직원은 간단한 웹페이지 로그인을 통해 플렉스 시스템에 액세스할 수 있다. 각 이용자는 자신이 액세스 권한을 가진 시스템으로 액세스하기 위한 단일 계정 및 인증 정보 세트를 갖는다. 다요소 인증은 필수이고 주로 이용자의 모바일 기기를 2차 인증 요소로 이용했다.

새 플랫폼에서는 이용자가 여러 비밀번호를 기억하거나 여러 계정으로 상이한 시스템에 액세스할 필요가 없었다. 웨츠닉은 “매우 간소한 프로세스였고, 이용자 경험이 전체적으로 크게 향상됐다. 지원센터 통화가 75~80%까지 줄었다. 플랫폼의 유효성이 증명됐다고 할 수 있다”라고 말했다.

운영 관점에서 볼 때, 이제 플렉스는 중앙 로그 리포지터리를 통해 협력업체가 자사 시스템과 고객사 데이터에 접근하는 것을 모니터링할 수 있다. 전적으로 웹에 기반한 접근법이기 때문에 협력업체가 VPN 액세스를 할 필요가 없어졌다. 중요한 것은 이제 플렉스가 협력업체 직원에게 액세스를 제공하고 끊는 훨씬 더 효과적인 방법을 갖게 됐다는 점이다.
 
외부자 액세스 위험 경감
다수의 기업이 외부자 액세스 때문에 보안에 취약해진다. 원 아이덴티티(One Identity)의 2019년 11월 보고서에 따르면, 설문에 응한 1,000명 이상의 IT 전문가 94%가 자신의 조직이 외부자가 조직 네트워크로 액세스하는 것을 허용한다고 답했고 이 가운데 다수는 특권 계정 액세스였다. 10명 가운데 6명 이상(61%)이 외부 이용자가 권한 없는 데이터에 무단으로 액세스했거나 액세스를 시도했는지 파악하지 못한다고 답했고, 21%만이 퇴사한 외부 이용자의 액세스를 즉시 취소하는 메커니즘을 가진 것으로 나타났다.

포레스터 리서치의 애널리스트인 앤드러스 크서는 “비밀번호 관리, 온보딩, 트랜스퍼, 오프보딩은 협력업체 액세스를 처리할 때 어쩔 수 없이 마주치는 어려움이다. 외부 협력업체는 자신의 전체 시스템에서 직원의 액세스를 제어해야 한다. 이는 연동 파트너의 앱으로의 액세스를 관리하는 신원 서비스 제공업체와 시스템을 포함한다”라고 말했다. 협력업체는 직원의 퇴사 시 액세스를 적시에 종료하지 않는 경우가 빈번하고, 따라서 퇴사한 직원은 협력업체의 앱이나 비즈니스 파트너의 앱에 계속해서 액세스할 수 있다.

오크타의 플랫폼은 플렉스가 파트너의 ID 관리 시스템에 직접 통합되도록 지원한다. 따라서 외부업체 직원이 퇴사하거나 해고되면 이 이용자는 협력업체 포털에서도 자동으로 액세스가 종결된다. 파트너에게 ID 관리 시스템이 없는 경우 오크타가 자체 ID를 저장하고 관리할 수 있는 중앙 공간을 제공한다.

플렉스는 성공적인 B2B 출시에 이어, 오크타를 통해 전 세계에 있는 자사 제조 설비에서 일하는 10만 명이 넘는 노동자의 액세스를 간소화하기로 했다. 플렉스의 지식 노동자와 달리, 공장 노동자가 액세스할 필요가 있는 앱의 종류는 매우 적다. 예를 들어 시간 및 출근과 관련된 앱, 일반 회사 정보와 관련된 앱 같은 것이다.

액세스 자체가 한정적이므로 플렉스는 각 공장 노동자의 AD 계정을 설정하기를 원치 않았다. 웨츠닉은 “공장 노동자에게 AD 계정을 지급하지 않았다. 비용 효율적이지 않기 때문이다. 공장에서 일한다면 앱 액세스는 많아야 한 달에 1~2회다”라고 말했다.

대신, 공장 노동자에게 오크타 모바일 앱을 제공해 웹 로그인을 통해 애플리케이션에 액세스할 수 있도록 했다. 오크타는 한정적 액세스에 대해 최적의 가격을 책정하는 가격 모델을 갖고 있다. 또한 플렉스는 공장 안에 키오스크를 설치해 공장 노동자가 초과 근무 및 출근 정보, 그리고 다른 데이터에 액세스하는 데 이용할 수 있도록 했다.

향후의 과제: API 액세스 관리
플렉스는 현재 새 플랫폼을 전사적으로 전개하며 직원, 협력업체, 생산 위탁 고객사를 위해 IAM을 간소화했다. 이제 가장 큰 문제는 온-프레미스로 유지하는 것과 클라우드로 이전할 수 있는 것 사이의 적절한 균형을 찾는 것이다.

이를 위해 업체는 앞으로 몇 년 동안 오크타를 통해 API 액세스 관리를 지원할 계획이다. 이렇게 되면 외부업체가 새로운 애플리케이션과 서비스를 제작, 액세스하는 것이 한층 용이해진다. 회사의 제조 설비 역시 갈수록 자동화될 것이고, 플렉스는 조만간 로봇 및 여타 스마트 기기의 액세스를 식별하고 설정하는 새 방식을 찾아야 할 것이다.

이러한 변화의 과정에서, 플렉스에 남겨진 한 가지 큰 문제는 온-프레미스로 유지해야 할 것과 클라우드에 배치할 수 있는 것을 결정하는 것이다. 웨츠닉은 “사람들이 구형 애플리케이션을 적절히 평가하지 않는 것 같다. 이들이 특정한 방식으로 설치되고, 복잡해진 데에는 그럴만한 이유가 있다”라고 말했다.

실제로 온-프레미스 환경에서 문제없이 작용하던 것이 클라우드에서 복제하기 어려운 경우가 종종 있다. 웨츠닉은 “90%의 애플리케이션이 클라우드로 이동할 것이라거나, 95%가 클라우드로 이동할 것이라는 보고서가 많다. 그러나 개인적으로 그렇게까지 생각하지는 않는다. 구형 앱과 클라우드 네이티브 앱은 저마다 용도가 있다”라고 말했다. ciokr@idg.co.kr

X