Okta Identity Korea CIAM 웨비나 요약 및 후기
<웨비나 요약>
우리가 사용하는 id/pw의 시초는 1961년에 MIT의 페르난도 J. 코바트 교수에 의해서 제안된 CTSS(compatible time sharing system 호환 시분할 시스템)에서이고 이것은 오늘날 운영체제가 실행되는 로직체계의 기반이라고 할 수 있고, 순차적으로 실행되는 컴퓨팅 프로그램이 타임쉐어링을 통해 가용한 자원을 활용해서 다음 프로그램을 먼저 좀 실행하기 위해서 고안된 것으로,
컴퓨터에서 동시다발적인 어떤 프로그램이 필요하게 될 경우 사용한 것으로 예전에는 컴퓨터가 여러대가 있는게 아니라 한대를 많은 연구원들이 활용을 했기 때문에 아이디 즉 계정이라는 개념을 고안했고 이 계정에 대해서 접근통제를 하기위해서 패스워드를 만든것이 현대적 패스워드의 시초라고 할 수 있음.
요즘은 이 아이디 패스워드기반의 Framework가 인증서 기반, 간편인증 , Passwordless같은 Framework로 진화하고 있고 지금은 그 과도기에 있다고할 수 있음
지금 id/pw를 사용한 로그인은 4단계를 거치는데
(id /pw 를 입력하고(1,2단계) 그것을 서버에서 찾아서 기존 엔드유저와 지금의 엔드유저가 입력한 값이 맞는지 확인하고 그 확인 후(3단계) 로그인시킴(4단계))
이런 일련의 과정에 5가지 종류의 사람이 관여하고 있음
로그인 페이지를 만들고, 로그인에 어떤 개념을 넣어서 사용자가 인증을 하게 하고 그리고 사용자인증을 하는 수단은 어떤게 계정관리를 할지 또 네트웍 단에서 어떻게 보안화시켜서 이걸 엔드유저에게 서비스할 것인지 등를 고민하는 과정을 보면 웹개발자, 그 웹서버를 관리하는 서버인프라 관리자, 네트웍을 이용해서 http, https,ssl 등으로 서비스를 해야 하므로 네트워크 관리자, 정보를 저장해야 하므로 DB 관리자 , 그리고 이런 모든 보안사항을 총괄하는 보안관리자가 필요하고 이런 종류의 사람들이 다 관여해서 사용자 인증서비스를 만든다고 보면 됨
이런 인증서비스를 만들때 문제1) 최소한 8가지 ( 사용자 등록, 사용자 로그인, 간편인증, 패스워드 관리, 패스워드 변경, 암호를 잊은 사람들이 쉽게 암호를 변경할 수 있는게 절차, 문제계정을 락킹, 계정정보를 업데이트 )에 대한 고려가 필요한데 이런 8가지를 누가 구현할 것인가 ?
문제2) 또 이런 구현이 6개월짜리 프로젝트인데 인증서비스구현보다 더 중요한 비즈니스 로직 구현은 언제할 것인가?
문제3) 과연 인증서비스를 1주일내에 개발완료할 수는 없는것인가? 등에 대한 고민을 하게되었고 또 여기서 더 나아가
문제4) 특별한 피크타임에 로그인이 몰리는 경우는 어떻게 해결할 수 있는가 ? 에 대한 고민을 하게됨
한차원 더 사용자 인증의 확장성 차원에서 보면
문제5) 사용자가 충분한 정보를 입력하지 않았을 경우 고객정보가 있는 소셜 서비스의 정보를 좀 쉽게 가져올 수는없는지 또 그 소셜정보 인증정보를 마케팅과 개인화된 이벤트에 접목해서 사용할 수는 없는지에 대한 고민을 하게됨
다음으로 보안적인 측면에서
문제6) 크리덴셜 스터핑이나 Brute force 공격같이 수천개의 사용자 이름/암호를 조합한 공격이나 한 사용자의 암호를 여러번 시도한 공격 또 Fake Account Creation 공격같이 수천개의 계정을 생성해서 금전적 이익을 취하려는 공격 등 보안에 대한 문제까지 한번에 해결할 수는 없는 것인지에 대한 고민을 하게 되었음
마지막으로 이 모든 서비스를
문제7) 아무 문제없이 365일 24시간 연중 무중단으로 운영을 할 수는 없는지? 에 대해 고민하게 되었음
이런 모든 문제들을 해결해도록 가장 잘 구현된 솔루션이 Oka Auth0 인것임
- Okta Auth0는 사용자 편의성과 보안을 모든 고려하여 만들어졌고
Auth0는 클라우드 SaaS 형태(문제4번 해결)로 8가지 고민을 백앤드단에서 다 처리하고 그것을 api first 기반으로 플랫폼형태로 제공(문제1,2번 해결)되어 메소드만 가져다가 사용하면 되므로 구현이 쉽고(고객사례중 1주일만에 인증서비스를 구현해서 go live 한 경우가 있음- 문제3번 해결), 어떤 플랫폼에서 개발을 하던 간에 그 플랫폼에 맞는 api를 접목(65가지의 sdk 제공)을 시켜서 여러분이 서비스 대상으로 하고 있는 멀티채널 ,옴니채녈에 대한 디바이스라든지 , 웹포탈이라든지, api 라든지간에 인증, 인가서비스를 클라우드 SaaS형태로 쉽게 제공을 한다.
- 또, 모든것들은 ci/cd 를 제공하는 파이프라인에 녹일수 있어, 처음에테넌트를 만들고 사용자를 등록하고 거기에 연동하는 애플리케이션을 연계하는 것도 ci/cd형태로 제공을 해서 버젼에 대해 신경쓸 필요 없고 테스트도 쉬움(사용이 편리함)
- 또 백앤드단에 있는 CRM과 연동해서 거기에 저장된 정보나 50여개의 소셜로그인 정보를 쉽게 가져올 수 있는 api를 제공하여 사용자가 계정 등록시 정보를 덜 제공해도 나머지 정보를 가져올 수 있고, 이 인증정보를 백엔드 단에 암호화된 토큰 형태로 CRM에 전달해서 마케팅에 활용가능(문제5번 해결 가능)
- 다음으로 Auth0는 Okta 와 마찬가지로 제로트러스트 개념으로 설계되어 한번 인증한 사용자의 사용패턴이나 위치, 네트웍 정보 등에 대한 context기반으로 초기 인증값을 믿지않고 계속 검증하고 내부적으로 알려진 공격 수십가지에 대한 방어 모듈을 갖추고 있어 보안측면에서도 기존 id/pw와는 비교가 안될 정도로 강하고 현재까지 침해사고가 한번도 없었음(문제6번해결)
- 그리고 Auth0는 퍼브릭 클라우드 형태와 플라이빗 형태로 제공이 가능하고 퍼블릭 클라우드는 아마존에서 서비스되며 멀티 테넌트가 가능하고 성능은 100 RPS(Request Per Second)로 왠만한 기업에서도 사용하기에 충분한 성능을 제공하고, 프라이빗 클라우드로 제공되는 서비스는 고객이 직접할 필요없이 Okta에서 관리하는 관리형으로 서비스되고 프라이빗 클라우드 형태는 애저와 아마존 2군데에 deploy되어서 서비스되고 있고 100 RPS보다 더 성능이 좋은 Performance(500 RPS), Performance Plus(1,500RPS) 형태로 제공이되며 Performance 부터는 Geo-HA로 서비스가 가능해서 DB와 응용을 각각 다른 리전으로 분리도 가능하고 조만간에 이보다 더 성능좋은 서비스를 런칭할 계획이고 어떤 서비스도 SLA(Service Level Agreement)가 99.99 (실제로는 99.99999)로 가용성에 문제가 없게 제공이 가능함(문제7번 해결)
이와 같이 Okta Auth0를 도입하면 앞서 언급된 7가지의 문제를 모두 해결할 뿐만아니라 비용절감효과도 아주 큼.
그 예로 매달 로그인하는 사용자수가 15만명 되는 웹사이트를 만드는 프로젝트에서 Forrester 조사 사례(붙임 이미지 참조)가 있는데 이 사례의 데이터를 보면 총 투입 개발자 1,500명 중 Okta Auth0를 도입하므로서 약 50명의 개발자를 인증, 인가 서비스개발말고 본연의 목적인 비즈니스로직에 대한 개발에 재투자할 수 있었고 이로서 개발자 인건비 약 1.2밀리언(13억정도)을 절감했고 여기에 피크타임 인프라 관리나 어플리케이션 관리를 Okta Auth0에서 해줘서 기존대비 비용 10%를 또 절감할 수 있었고, 보안 테스트 및 패치 관리비용 2000달러를 더불어 절약할 수 있어서 전체적으로 30%이상 절감한 사례를 보면 비용절감효과도 얼마나 큰 잇점이 있는지 알 수 있음(추가 장점)
향후 Okta 와 Auth0는 계속 2가지 솔루션을 유지해 나갈것이며 지속적으로 10년 이상의 로드맵이 정리되어있고 매주 새로운 기능을 addon 해서 제공할 계획이며 따라서 웨비나도 때로는 Okta Workforce Identity에 관해서 하고 때로는 Okta Customer Identity에 관해서 하는 것임.
<웨비나 참석 후기>
솔루션데이때 작성한 내용은 "https://m.facebook.com/story.php?story_fbid=pfbid02RfXgx6hY4SBeRghLiE6rHWVhA6vG1zWKLfxXuZNXhxVdETsMA4rBaaGkb7VdGe5Sl&id=100001191293396"를 참조
Okta Identity Korea 솔루션데이때 한번 듣고 이번에 다시 한번 들으니 CIAM에 대해 더 자세히 알 수 있었고 또 이번 웨비나에서는 Okta APAC 정진용 상무님께서 솔루션데이때보다 더 실제 사례위주로 설명을 해주셔서 이해하는데 도움이 더 많이 되었던 것 같습니다.
또 이번 CIAM 웨비나에서는 Auth0를 활용하는 메소드에 대한 예시까지 들어주셔서 Okta Auth0를 기존 로그인 인증에 적용하거나 신규로 만들어 적용할 때 얼마나 쉽게 구현이 가능한지를 설명해 주셨고 이로서 Okta Auth0가 얼마나 사용하기 편리한지를 더욱 잘 알 수 있었습니다.
이에 따라 저두 이번 CIAM 웨비나의 요약은 웨비나의 단순 요약이 아닌 나름대로 정리해서 좀 더 논리적으로 작성할 수 있었던 것 같고 이로서 CIAM에 대해 깊이있게 들어가면 어렵겠지만 개념정리는 확실히 잘 된것 같아 기분이 좋았습니다.
끝으로 코로나에 감염되어 그 후유중이 아직 남아 있음에도 불구하고 웨비나의 주제에 대해 좀 더 이해하기 쉽고 누가들어도 논리에 딱 맞게 설명하려고 노력해 주신 Okta APAC 의 정진용 상무님께 다시한번 감사드립니다. 하루빨리 쾌차하시길 기원합니다. 또 이번 웨비나를 준비하는데 수고해 주신 모든 관계자 여러분들께도 감사드립니다.
댓글 없음:
댓글 쓰기