Offcanvas

보안 / 애플리케이션

"현업 권한 강화·IT 비용 절감"··· 캐피타의 '싱글사인온' 도입 효과

2018.07.05 Scott Carey  |  Computerworld UK
아웃소싱 전문업체 캐피타(Capita)가 신원 인증 플랫폼 업체인 옥타(Okta)의 기술을 활용해 큰 효과를 보고 있다. 수백 개까지 늘어났던 인증용 액티브 디렉터리(AD)를 없애고 직원 보안을 강화했다. 필요없는 세일즈포스(Salesforce) 라이선스 비용도 줄였다.

캐피타가 옥타 솔루션을 도입한 것은 지난 2017년 8월이다. 보안 포탈을 통해 새 IT 애플리케이션과 서비스에 싱글사인온(single sign-on)을 제공하기 위해서였다. 이렇게 하면 7만 명에 달하는 캐피타의 직원이 IT 부서의 처리를 기다리지 않고도 애플리케이션에 접속할 수 있다.

캐피타는 존 루이스(John Lewis), BBC, 런던 교통 공사 등을 고객사로 거느린 유명 비즈니스 프로세서 아웃소싱 업체다. 문제는 지난 4년간 20개 이상의 기업을 사들이면서 시작됐다. 공격적인 인수합병은 레거시 IT 관련해 다양한 문제를 발생시켰다. 특히 여러 사업부에 걸쳐 200개 이상의 AD가 중구난방 운영되는 심각한 상황이었다.



캐피타의 글로벌 테크놀로지 어드바이저 롭 샌섬은 최근 열린 옥타 포럼 행사에서 "AD가 늘어나는 것을 막아야 할 상황이었다. 더 근본적으로는 온프레미스 AD에 대한 의존을 줄여야 했다. 하루 아침에 달성할 수 있는 것은 아니고, 아직도 우리의 주요 목표 중 하나다"라고 말했다.

이번 프로젝트의 시작은 3년전 오피스 365를 전사적으로 도입한 시점까지 거슬러 올라간다. 온프레미스 (AD 페더레이션 서비스) 인프라와 함께 단일 AD를 통해 인증을 처리하는 방식이었다. 그는 "가장 큰 문제가 IT 인프라 내에서 섬처럼 변한 신원인증이었다. 이 때문에 보안 거버넌스를 적용하거나 장애에서 복구할 때 모두 수작업으로 처리해야 했다"라고 말했다.

당시 캐피타는 기존 AD를 온프레미스로 모두 통합하는 것까지 검토했다. 그러나 비용과 시간이 많이 들고 너무 복잡한 프로젝트여서 적합하지 않았다는 결론이었다. 설사 통합한다고 해도 캐피타의 성장에 도움이 될 것이라는 보장이 없었다.

샌섬은 "대신 우리는 오피스 365에 사용되는 단일 온프레미스 AD와 연동해 단일 옥타 테넌트를 구축했다. 지금은 이것을 점점 더 많은 애플리케이션에서 신원을 확인하는 단일 경로로 사용하고 있다. 새 애플리케이션은 무엇이든 이 옥타 테넌트에서 시작한다"라고 말했다.

혜택
직원 신원을 확인하는 단일 소스를 확보하면 다양한 장점을 누릴 수 있다. 무엇보다 직원에 대한 보안을 강화하고 사용자 만족도를 높일 수 있다. 기업내 SaaS 활용에 대한 더 상세한 시야를 확보할 수 있는 것도 장점이다.

샌섬은 "퇴사자 관련해서 거버넌스가 개선되는 것을 체감하고 있다. 일단 회사를 그만두면 그의 모바일 기기는 자동으로 사용할 수 없는 상태가 된다. 다른 시스템을 이용해 별도로 비활성화 작업을 할 필요가 없다. 서비스 데스크 팀은 그만큼 번거로운 관리 작업을 줄이고, 대신 더 보람 있고, 가치 있는 일에 집중할 수 있다"라고 말했다.

캐피타는 경계 기반 보안 모델을 사용하고 있다. 그는 "그러나 오늘날에는 이동하며 일하는 직원이 많아 이것이 예전만큼 유효하지 않다. 그래서 우리는 보안을 강화하기 위해 온프레미스 시스템 대신 이중 인증을 도입했다. 주로 옥타 버리파이(Okta Verify) 앱을 이용한다. 모바일 방식으로 기기에 대한 신뢰를 확보함에 따라 사용자는 자유롭게 로그인할 수 있다. 예를 들면 옥타 인증 기기를 통해 오피스 365를 이용할 수 있게 됐다. 현재는 데스크톱까지 이를 확대하는 작업을 하고 있다"라고 말했다.

또한, 프로젝트 이후 옥타 직원들은 스스로 암호를 초기화할 수 있고, 사업부 팀장에 애플리케이션에 대한 접속 인증 권한을 부여했다. 이를 통해 IT팀은 관련 업무에 쓸 시간과 노력을 줄일 수 있게 됐다. 샌섬은 "시스템과 서비스에 대한 접근이 편리하다는 좋은 평가가 많이 나왔다. 그동안 많은 사용자가 ID와 암호를 10여 개씩 기억해야 했고 암호를 쉽게 만들면서, 오히려 IT팀이 보안을 관리하기 더 힘든 측면이 있었다. 심지어 모든 직원의 노트북 암호를 관리하는 스프레드시트를 만들기도 했다"라고 말했다.

그러나 지금은 직원이 옥타 싱글 로그인을 이용해 애플리케이션이 접속하는 데 익숙해졌다. 샌섬은 "문의 버튼을 클릭하면 기술팀 대신 이 애플리케이션을 총괄하는 사업부로 연결된다. 그러면 사업부에서 수분 내에 승인 여부를 알려준다. 며칠씩 걸리던 것은 이제 과거가 됐다"라고 말했다.


라이선스 관리에도 옥타 활용
캐피타는 프로젝트 이후 새로운 가시성도 확보할 수 있었다. 즉, 옥타를 SaaS 애플리케이션용 포탈로 이용하면서 이 서비스가 모든 부서에서 얼마나 사용하고 있는지 곧바로 확인할 수 있게 된 것이다. 샌섬은 "그동안은 수많은 부서가 SaaS 애플리케이션을 얼마나 사용하고 있는지 통합적인 시야를 확보하기가 쉽지 않았다. 그러나 이제는 세일즈포스 같은 특정 서비스의 중복 테넌트 수까지 파악할 수 있게 됐다"라고 말했다.

이는 곧 더 효율적인 라이선스 관리가 가능해졌다는 의미다. 샌섬은 "그동안은 누가 어떤 서비스를 사용하는지 전혀 파악하지 못했다. 그러나 지금은 명확한 근거를 확보할 수 있으므로 소프트웨어 라이선스를 더 효율적이고 효과적으로 관리할 수 있다"라고 말했다. 옥타를 이용하면 통합된 애플리케이션의 활용률도 볼 수 있다. 그는 "이런 자료를 이용하면 특정 테넌트의 통합 필요성을 판단할 수 있다. 라이선스 비용을 절감할 수 있는 것은 물론이다"라고 덧붙였다.

캐피타는 향후 12개월 동안 애플리케이션 통합에 주력할 계획이다. IT가 아닌 현업이 이들 애플리케이션에 대한 접속 승인권을 갖도록 하는 현업 주도 환경으로의 전환도 지속적으로 추진한다. 샌섬은 "아직도 할일이 많다. 통합해야 할 애플리케이션도 많다. 그러나 이것은 IT팀이 사업에 더 많은 가치를 제공할 수 있는 핵심 업무이기도 하다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.