서비스로서의 아이덴티티(IDaaS)

클라우드컴퓨팅 서비스는 일반적으로 IaaS, PaaS, SaaS로 구분되어 오고 있다.

IaaS(Infrastructure-as-a-service): 서비스로서의 인프라스트럭처 (사용자에게 클라우드 인프라 서비스 제공)
PaaS(Platform-as-a-service): 서비스로서의 플랫폼 (사용자에게 하드웨어와 소프트웨어 플랫폼 제공 클라우드 서비스)
SaaS(Software-as-a-Service): 서비스로서의 소프트웨어 (사용자에게 클라우드 애플리케이션과 기본 IT 인프라 및 플랫폼을 제공하는 클라우드 컴퓨팅 서비스)

처음 클라우드 서비스가 시작되었을 때는 주로 인프라를 빌려 쓰는 개념, 즉 IaaS가 주를 이루었지만, 퍼블릭 클라우드 서비스에서 점점 더 다양한 기능을 제공하게 됨으로써 단순 인프라를 쓰는 방식보다는 클라우드에서 제공하는 플랫폼 기능을 직접 활용하는 방향으로 발전하고 있다.

서비스로서의 플랫폼, 즉 PaaS, 또는 좀 더 나아가 서비스로서의 백엔드(BaaS) 활용이 보편화 되고 있다. 특정 기능 혹은 분야를 지칭하는 클라우드 서비스도 많이 활용되고 있다. 예를 들면, 서비스로서의 인공지능(AIaaS), 서비스로서의 통신(CaaS) 등 얼마든지 서비스 유형을 확장할 수 있게 되었다. 이를 통칭하는 것이 XaaS(Everyting as a Service, “서비스형 만물”)이다.

서비스로서의 아이덴티티(IDaaS)도 다양하게 전문화하는 클라우드 서비스의 한 유형이다. 온-프레미스 기반의 기존 IAM(ID 액세스 관리; Identity and Access Management) 솔루션이 제3자가 제공하는 서비스로 진화한 형태다. 사용자에 따른 접근 권한을 세분화하고, 강화된 여러 단계의 보안을 지원하며, 또한 사용자의 접속 모니터링 등 보다 전문적인 IAM 서비스를 위해 IDaaS를 사용하는 기관이 증가하고 있다.

IAM 주요 기능

신원 확인 및 접근관리는 목적에 따라 다양하게 이루어진다. IAM 대상이 되는 사용자를 기준으로 다음과 같이 분류할 수 있다.

서비스 최종 사용자인 일반 고객들을 대상으로 하는 IAM (CIAM)
내부  직원들이 조직 내 업무 서비스를 활용할 때 필요한 IAM (Workforce IAM)
기관 대 기관, 즉 비즈니스 파트너 또는 기업 고객을 대상으로 하는 IAM (B2B IAM)

위 각각은 접근 방식 및 필요한 기능도 다르다. 따라서 이를 활용하는 기업도 필요에 따라 각각 전문화된 다른 솔루션을 사용하거나 아니면 통합 제공되는 서비스의 일부 기능을 활용하는 방식으로 IAM을 구현한다.

 만일 IDaaS를 사용한다면 동일한 서비스를 통해 각각 다른 옵션을 선택하는 방식이 바람직하다. IDaaS는 다양한 사용자 타입, 즉 모든 IAM 유즈케이스에 대한 옵션을 제공하는 것이 일반적이다. 때에 따라서는 일부 IAM은 IDaaS로, 일부는 별도 솔루션을 온-프레미스로 구축하여 사용할 수도 있다. IAM에서 제공하는 주요 기능은 다음과 같다.

1. 다중 단계 인증(MFA: Multi-factor Authentication)

전통적인 사용자 아이디와 패스워드 방식에 더하여 추가의 인증단계를 거치는 것을 말한다. 1차 로그인을 완료한 후, 추가 정보를 요청하거나 알림 기능을 활용함으로써 아이디와 패스워드가 노출되어도 계정을 보호할 수 있는 안전장치를 제공하는 것이다.

복잡한 로그인으로 인한 사용성 불편을 줄이기 위해 항상 추가 인증을 요청하는 대신 등록되어 있지 않은 기기나 브라우저에서 접근하는 경우만 추가 인증을 강제하거나, 접근 목적, 또는 장소, 시간 등 상황에 따라 추가 인증을 생략할 수 있는 적응형 다중 단계 인증이 많이 쓰인다.

보안에 매우 민감한 접근 권한을 요청할 경우 오히려 추가 인증을 통해 보안을 강화하는 목적으로도 활용될 수 있다. 보통 2단계 인증이 많이 활용된다. 구글, 네이버와 같이 하나의 아이디로 여러 서비스를 사용하는 경우 사용자는 2단계 인증을 선택하여 자신의 계정을 보호할 수 있도록 하고 있다.

2. 싱글사인온(SSO)

한번 로그인한 것으로 해당 사용자의 모든 서비스 및 앱에서 요구하는 인증 절차를 생략할 수 있도록 하는 기능이다. SSO가 적용되는 범위는 업무용 계정일 때 기관 내 모든 업무 서비스가 될 수 있으며, 일반 사용자 서비스 계정이면 동일한 IAM 서비스와 연계된 모든 서비스 중 사용자가 승인한 서비스로 범위가 지정될 수 있다.

예를 들어 학교에서 교직원이나 학생들이 한 번만 로그인하면 학교에서 제공하는 다른 서비스 이용 시 추가 로그인을 할 필요 없이 바로 사용할 수 있도록 하는 것이다. 한 번의 로그인으로 많은 서비스를 추가 인증 없이 사용하는 것은 계정을 침탈당하는 사고 시 피해 규모도 클 수 있기에, 한 번 로그인 하면 일정 시간 동안만 SSO가 유효하도록 하는 것이 일반적인 활용 방식이다.

관리자 입장에서도 SSO를 활용하면 효율적으로 사용자 계정을 안전하게 관리할 수 있다. 서비스 종류나 개수와 관계없이 사용자 일 인당 계정 하나만 관리하기 때문에 특정 서비스에서 사용자 보안 문제가 발생할 경우, 모든 서비스로부터 해당 사용자를 한 번에 차단함으로써 다른 서비스로 위험이 전파되는 것을 방지할 수 있다.

3. 사용자 라이프사이클 관리 및 모니터링

등록된 사용자 계정을 편리하게 관리할 수 있는 도구가 IAM에서 제공되어야 한다. 특히 업무용 계정의 경우에는 입사와 퇴사, 조직의 변경과 관련하여 해당 계정의 라이프사이클 관리가 필요하다. 승진 및 업무의 변경에 따른 회사 내 주요 디지털 자산 접근 권한 변경도 이러한 관리 도구를 통해 수행된다. 업무용이 아닌 일반 사용자를 대상으로 하는 서비스의 경우에는 고객지원 창구를 통해 인입되는 사용자들의 계정 변경 요구사항을 심의하고 변경하는 것이 관리 도구의 주요 기능이다.

IAM에서 최근 중요한 관리기능으로 주목받는 것은 사용자의 접근 모니터링이다. 접근 권한에 따른 엄밀한 통제를 이행하는 것뿐만 아니라, 비정상적인 계정 활동, 또는 비인가된 접근 시도 등 잠재적 보안 침해 시도에 대한 활동을 지속해서 모니터함으로써 침해 사고를 예방하고, 규정준수 여부를 판단할 수 있다. IAM을 사용하는 조직 내 역할에 따른 접근 제어를 역할 기반 접근(Role-based Access)이라고도 하며 IAM의 핵심 기능 중 하나이다.

4. 생체 인증

사용자 신체의 고유 특징을 인증에 활용하는 방식으로, 이미 스마트폰을 활용한 인증에 많이 사용되고 있다. 지문이라든가, 얼굴, 홍채 인식, 또는 목소리 등 개개인의 생체 특성을 인증에 활용하여 별도의 사용자 아이디 패스워드 입력 없이 신원 확인이 가능하게 함으로써 사용자의 편의성을 증대하는 것이 1차 목적이면서, 동시에 본인 이외의 사람이 계정을 도용하는 것을 방지할 수 있게 한다.

5. 기타 

이 밖에도 IAM 솔루션별 차별화된 기능들이 제공되기도 하지만, 이러한 기능 중 특히 최근 들어 많은 관심을 끄는 것은 사용자 모니터링 및 분석이다. 보안체계에 가장 심각한 위협을 줄 수 있는 것은 특정 사용자의 권한을 몰래 취득하여 네트워크 및 시스템을 교란하거나 민감한 정보를 탈취하는 것이다.

앞서 언급했던 역할 기반 접근 제어를 통해 각 사용자는 자신이 가지고 있는 접근 권한에 바탕을 둔 일반적인 시스템 (또는 네트워크) 접근을 한다. 악의를 품은 해커가 가로챈 아이디의 경우 일상적인 접근 패턴을 벗어날 가능성이 높다. IAM의 실시간 모니터링 및 분석 기능은 이런 행위를 탐지하여 침입자로부터 시스템과 네트워크를 보호하기 위한 즉각적인 조치를 할 수 있도록 한다.

외부 침입자로부터의 방어뿐만 아니라 내부 사용자의 규정 준수(Compliance) 여부도 이러한 모니터링을 통해 판단할 수 있다. 회사 내부 규정뿐만 아니라, 법률 및 외부 규정을 준수하도록 함으로써 회사 내 사용자들로 야기되는 외부 리스크도 최소화할 수 있다. IAM에서 제공하는 계정별 실시간 활동 모니터링 기능이 없다면 일차적 위협요소를 탐지하지 못한 채 몇 달, 몇 년이 지나 돌이킬 수 없는 상황까지 갈 수 있다. 기업용 IAM 시장의 경쟁도 매우 뜨겁다. 가트너가 조사한 바에 따르면 옥타(Okta), 마이크로소프트, 핑아이덴티티(Ping Identity) 등이 IAM 시장을 이끌고 있다.

IAM 기업 상당수가 기존 온-프레미스 비즈니스에서 클라우드 기반 비즈니스, 즉 IDaaS로 전환하고 있다.

IDaaS

IDaaS(Identity as a Service)는 IAM 솔루션을 클라우드 기반의 서비스로 제공하는 것을 말한다. 신뢰할 수 있는 제3자가 제공하는 IAM 서비스를 일종의 SaaS(Software as a Service) 형태로 사용하는 것이다. 일반 SaaS 애플리케이션과는 달리 이를 사용하는 기업의 보안에 직결된 서비스인 만큼 이 서비스를 제공하는 기업에 대한 신뢰도가 다른 어떤 종류의 애플리케이션보다 높아야 한다. IAM에서 제공되는 주요 기능이 모두 제공된다.

IDaaS의 경우 특정 기업에 특화된 서비스만을 제공하는 것이 아니라 이를 필요로 하는 다양한 기업의 요구사항을 수용해야 한다. 따라서, 온-프레미스 IAM 대비 다양한 제3자 ID 또는 개방된 ID를 지원하는 것이 특징이다.

은행이나 정부와 같은 제3의 기관에서 확인된 ID를 이용하여 접근 권한을 부여할 수 있고, 오픈 아이디 코넥트(OIDC)와 같은 개방형 표준을 이용해 제3의 ID 공급자가 제공하는 인증 서버를 통해 로그인할 수도 있다.

구글 ID를 가지고 다른 서비스를 별도의 사용자 등록 없이 사용하게 하는 것이 이의 한 예이다. 이런 방식을 활용하면 회사 내에 자체 ID 관리를 위한 정보를 저장해 둘 필요가 없이 외부 IDaaS가 제공하는 안전한 API 호출만을 통해 모든 계정관리가 이루어진다. 이것이 IDaaS의 핵심이다.

한편, 이미 자체 온-프레미스 IAM 및 이를 위한 디렉토리를 가지고 있었다면, IDaaS로 전환 시 이를 그대로 활용할 필요가 있다. 특히 수만 또는 수십만 계정을 유지하고 있었다면 자동화된 디렉토리 관리기능은 필요하다. IDaaS로의 원활한 전환을 위해 이러한 디렉토리 기능이 활용되며, 추후 계속 온-프레미스 디렉토리를 사용할 수도 있고, 전체를 클라우드로 옮겨 사용하거나 혹은 내부 디렉토리와 외부 디렉토리를 회사의 접근 권한 수준에 따라 둘 다 사용할 수도 있다.

IDaaS에서 주목할 주요 기능은 계정 관리를 사용자가 직접 자유롭게 할 수 있도록 하는 것이다. 여기서 사용자란 도메인 대표 사용자, 즉 한 조직이나 기관의 접근 권한 정책을 실행하는 관리자급 사용자일 수도 있고, 일반 사용자일 수도 있다.

일반 사용자의 경우 흔히 상용 서비스에서 계정 및 보안 관리를 위한 다양한 설정을 수행하는 것과 마찬가지로 자신의 계정을 다양하게 설정할 수 있으며, 관리자급의 사용자는 회사 내 보안 기준에 맞게 전체 사용자 접근 권한을 다단계로 설정한다든가, 회사의 기본 보안 방침을 모든 계정에 일괄 적용하는 것도 가능하다. 이런 이유로 셀프서비스 계정관리 기능은 IDaaS에서 중요하게 여겨진다.

IDaaS가 특히 유용하게 사용되는 것은 회사 내 사용자가 내부 및 외부의 다양한 SaaS 서비스를 사용할 경우이다. 이는 사실 대부분 회사에서 일반적으로 나타나고 있는 현상이다. 과거 패키지 소프트웨어를 통한 업무에서 클라우드 기반 애플리케이션으로 전환이 많이 이루어짐으로써 다양한 제삼자 서비스를 쓰는 것이 보편화 되어있다.

이 경우 자체 온-프레미스 IAM을 사용한다면 일일이 애플리케이션마다 디렉토리를 연동하여 권한을 부여하는 복잡한 작업을 내부의 누군가가 해 주어야 싱글사인온(SSO) 구현이 가능하다. IDaaS를 활용할 경우 SAML, 오픈아이디 코넥트(OIDC) 등, 연합 인증을 위한 표준을 통해 싱글사인온(SSO)이 구현된다.

앞서 소개한 IAM 분야를 리드하고 있는 기업은 대부분 IDaaS로 비즈니스를 선회하고 있다. 이미 많은 기업이 퍼블릭 클라우드컴퓨팅을 본격적으로 도입하고 있고, 더 나아가 SaaS 기반의 서비스를 내부 업무용으로 활용하는 비중이 갈수록 높아지고 있기 때문에, ID와 접근 권한 관리도 자연스럽게 클라우드로 이전할 수밖에 없을 것으로 판단된다.

공공 서비스로서의 IDaaS

대규모 사용자를 보유하고 있는 대표적인 서비스를 들자면 단연 정부 서비스이다. 정부 서비스를 사용하기 위해서는 이를 사용할 수 있는 법적 권한을 부여받은 자로서의 신원 확인이 우선되어야 한다. 우리나라의 경우 “공인인증서”가 오랫동안 신원 확인의 유일한 수단으로 활용되어 오고 있었다. 최근에서야 공인인증서의 독점적 지위가 사라졌다.

그 대신 카카오나 네이버 같은 대형 서비스에서 제공하는 사설 인증서를 공공 서비스에서도 활용할 수 있게 된 것이다. 기존 공인인증서는 “공동인증서”로 이름이 바뀌어 여전히 주요 공공 서비스에서 필수로 요구된다. 은행권에서 발행하는 금융인증서는 좀 더 높은 보안 수준이 요구되는 공공 서비스에서 채택되기도 한다.

다양한 제3의 ID 제공자(카카오, 네이버, 은행 등)를 활용할 수 있도록 한 것은 분명 정부 서비스 사용성 관점에서 진일보한 것임은 틀림없다. 그러나 주무 관청이 다른 정부 서비스를 사용할 경우 한 ID로 연동하는 것은 여전히 어렵다. 심지어 동일 사이트에서도 기능에 따라 사용자 인증방식을 별도로 운영하고 있다.

예를 들어 홈택스에 등록한 인터넷 계정 아이디와 패스워드를 이용해 로그인하면 정보 조회 등의 업무는 가능하다. 그러나 전자세금계산서를 발행한다든가 할 경우엔 얘기가 다르다. 간편 인증으로는 불가능하고 아직도 이를 위한 별도의 유료 공동인증서를 발급받아 인증에 활용해야 한다. 한번 한 공공 서비스에 로그인했다가 다른 서비스로 들어가려면, 다시 또 로그인해야 한다. 정부 서비스 간 싱글사인온은 아직 안 되고 있다.

만일, 정부에서 IDaaS를 본격적으로 활용한다면 정부 서비스 사용성을 획기적으로 향상할 수 있다. 아마 지금보다 공공업무를 온라인으로 수행하는데 적어도 두 배 이상의 생산성을 기대할 수 있을 것이다.

디지털 전환 업무에 대한 국가 차원에서의 거버넌스가 비교적 잘 되고 있다고 인정되는 영국의 경우 GDS라는 내각부 산하 직속 조직에서 GOV.UK Verify라는 신원 확인 서비스를 범국가적으로 제공한다. 영국 국민이라면 GOV.UK Verify에 가입함으로써 정부의 모든 서비스를 이 한 계정으로 사용할 수 있다. 실제 신원 확인 및 인증 등 운영은 민간의 IDaaS 기업이 담당한다.

우리나라에서도 이미 활용되고 있는 다양한 인증방식을 더욱 효율적으로 활용하기 위해서는 정부 차원에서의 일원화된 관리체계를 수립하고, 안정적인 민간 IDaaS를 적극적으로 활용하는 것을 검토해야 한다. 이는 일반 시민 사용자 편의성 관점에서도 중요하지만, 일반 사용자를 대상으로 정부 서비스를 개발하는 민간기업에 의해 매우 유용하게 활용될 수 있다. 더 나아가 싱글사인온 지원을 통해 이제 모든 공공 서비스는 한 번의 로그인으로 일정 시간 내 재로그인 없이 사용할 수도 있다.

또한, IDaaS를 활용하면 모든 공무원 및 공공기관 근무자들에 대해서도 일원화된 신원 확인이 가능하다. 공직을 유지하는 한 계속 사용할 수 있는 동일 계정으로 공공기관 내 업무에 따른 적절한 접근 권한이 부여될 수 있다. 정부 차원의 플랫폼 서비스의 하나로 IDaaS는 매우 의미 있다. 물론 이를 실제 운영하는 것인 다수의 민간 서비스 기업을 통해 가능하다. 공공 서비스로서의 IDaaS는 국가 디지털 전환을 위한 주요 의제로 다루어질 필요가 있다.