대형 보험 회사를 보안 혁신으로 이끄는 멀티 클라우드 여정

무한한 가능성을 향한 미래 설계

브루나이에서 대만, 그리고 인도에서 뉴질랜드에 이르기까지 아시아태평양 지역을 가장 적절하게 표현한 단어를 꼽으라고 한다면 다양성이 아닐까 합니다. 이 지역에는 문화와 언어, 민족, 종교가 다양하게 어우러져 있습니다.

현 시점을 기준으로 세계에서 가장 인구가 많은, 최대 규모의 아시아에는 전 세계 인구의 60%가 거주하고 있으며 지구 대륙의 1/3을 차지합니다. 북극권 한계선부터 아열대 정글에 이르기까지, 그리고 아라비아 사막부터 극동 지역의 화산섬에 이르기까지 크기도 어마어마합니다.

또한 서방 국가와 같은 민주주의에서부터 절대 군주제에 이르기까지 다양한 통치 체제가 공존합니다. 이렇게 세밀한 지리 정치적 균형이 국가 간 무역에서부터 디지털 커뮤니케이션에 이르기까지 모든 것에 영향을 미치고 있습니다. 아시아는 2030년까지 60%의 글로벌 성장을 기록할 것으로 예상됩니다. 또한 세계 2위와 3위의 경제 대국이 아시아에 자리하고 있으며, 미얀마나 스리랑카와 같은 국가들은 오늘날 빈곤에서 벗어나고 있습니다.

이렇게 흥미로우면서도 쉽지 않은 환경에서 AIA Group은 아시아태평양 지역에 집중적으로 투자한 끝에 최대 규모의 범아시아 보험회사로 성장했습니다. AIA는 100년 전부터 다양성의 보고인 아시아 지역에서 사람들이 꿈을 실현하고 미래를 설계할 수 있도록 지원하고 있습니다. 예를 들어 베트남에서 낮은 보험료로 제공하고 있는 생명 보험이나 싱가포르의 고액 자산가(UNHW)를 위한 자산 관리가 여기에 해당합니다.

AIA는 오랜 역사를 기리는 동시에 미래를 설계하여 앞으로도 새로운 100년의 역사를 성공적으로 써내려가야 한다는 사실을 잘 알고 있습니다. 2년 전에 100% 온프레미스에서 하이브리드 및 멀티 킅라우드 아키텍처로 전환하여 디지털 트랜스포메이션을 실현한 것도 광활하고 다양한 아시아 환경에 애플리케이션 기반의 애자일 에코시스템을 구현한다는 전략에서 비롯되었습니다. AIA 임원진들은 급변하는 시장에서 미래를 설계하는 데 필요한 무한한 확장성과 민첩성 및 회복 탄력성을 구현하려면 클라우드 환경만이 유일한 해답이라는 사실을 잘 알고 있었습니다.

하지만 꽤 어려운 문제가 생겼습니다. 그룹이 원하는 "은행 수준에 버금가는 보안"을 보장하는 동시에 원활한 클라우드 워크플로우와 데이터 공유(AIA의 아시아태평양 지역 계열사가 성장하는 데 필요한 핵심 요소)까지 보장할 수 있는 방법이 필요했던 것입니다. 그 밖에도 AIA는 앱 배포 및 업데이트 과정에서 일어나는 시스템 중단 현상을 완전히 없애야 했습니다.

유일한 해결책은 세계적인 수준의 IAM(Identity and Access Management) 솔루션이었습니다. 또한 그룹은 최첨단 인증 및 애플리케이션 통합 기술을 지원하는 클라우드 기반의 SaaS(Software-as-a-Service) 접근법이 안전한 미래를 설계할 유일한 방법이라고 생각했습니다.

AIA Group의 Identity and Access Management 부문 수석 관리자인 Roger Elliott은 "우리는 2년 전에 구형 인프라를 기반으로 새로운 시스템 환경을 구축하려고 했습니다. 당시 클라우드 컴퓨팅은 전무했고 SaaS 애플리케이션도 많지 않았습니다. 이러한 상황에서 비전을 실현하려면 회사의 클라우드 비전에 걸맞은 아이덴티티 플랫폼이 필요했습니다. 기존 솔루션은 번거로울 뿐만 아니라 효과가 보장되지도 않았습니다. 하지만 때마침 Okta Identity Cloud를 발견하여 무한한 가능성의 미래를 활짝 열 수 있었습니다."라고 당시를 떠올리며 말했습니다.

20,000명 이상의 아시아 지역 직원에게 애플리케이션 민첩성 및 통합 기능 지원

클라우드 혁신 과정에서 앱과 API는 모든 에코시스템 구성요소를 연결하는 생명선이나 다름 없습니다. 앱과 API가 안전하게 통합되어야만 회로가 막히는 현상을 사전에 방지할 수 있습니다. AIA에게 "안전하게"란, 직원 개인이 새로운 보안 경계가 되는 클라우드 환경에서 20,000명 이상의 아시아 지역 직원을 보호할 수 있는 다중 요소 인증(MFA)을 의미했습니다.

Roger에 따르면, AIA의 기존 SSO(Single Sign-On) 인증 공급업체는 그룹이 클라우드 혁신에 필요한 민첩성과 아이덴티티 기반의 보안을 전혀 제공하지 못했다고 합니다.

"번거로운" 인터페이스는 그렇다 쳐도 오랜 시간이 걸리는 변경 관리 프로세스 때문에 시스템 업그레이드 속도가 "끔찍할 만큼 느렸습니다". Roger는 SSO를 업데이트하려면 애플리케이션 마다 수 개월이 걸렸다고 말했습니다.

결정적으로 이전 솔루션은 MFA를 제공하지 않았기 때문에 계약이 연장되지 못했습니다. AIA는 아시아태평양과 같이 산발적인 지역에서 수백만 개의 중요한 데이터 포인트를 매 시간 처리하는 글로벌 보험업계에게 다중 요소 인증은 반드시 필요한 솔루션이라는 사실을 잘 알고 있었습니다. Roger는 기존 솔루션은 ServiceNow(엔터프라이즈 워크플로우 솔루션)나 Workday(HR 플랫폼)와 같은 주요 통합 기능을 처리하는 데 적합하지 않다고 생각했습니다.

Roger의 팀은 기존의 보안 공급업체에 다른 MFA 서비스를 추가하기 위해 9개월 동안 무수히 시도했지만 아무런 도움이 되지 않는다는 사실을 깨달았습니다. 그 이유는 MFA 솔루션이 다른 공급업체에 대한 호환성을 지원하지 않았기 때문입니다.

결국 수십억 달러 규모의 대형 보험 회사를 안전하게 보호할 수 있는 아이덴티티 솔루션을 모색해야 했습니다. Roger는 "그린필드" 혁신을 위한 권한을 부여 받았습니다. 여기서 그린필드 혁신이란, AIA의 미래를 안전하게 보호할 최상의 전략을 처음부터 다시 이행할 수 있는 혁신을 말합니다.

Roger는 우수한 Gartner 평가 결과를 보유하고 다양한 클라우드 공급업체에 대한 호환성과 SSO(Single Sign-On)를 고려한 Adaptive Multi-Factor Authentication을 지원하는 Okta로 눈을 돌렸습니다. 결과적으로 AIA의 IAM 기능이 즉시 업그레이드되었을 뿐만 아니라 아시아태평양 시장에서 보다 원활한 워크플로우를 지원할 수 있게 되어 직원들의 기대를 뛰어넘는 성과를 올렸습니다. 이는 인력에 대한 보안을 넘어서는 여정의 시작으로 고객 참여를 촉진하고 Zero Trust 전략을 수립할 새로운 토대를 마련한 셈입니다.

벤더 중립의 중요성: 민첩한 파트너를 통한 멀티 클라우드 트랜스포메이션

AIA는 클라우드 혁신을 계획하면서 다수의 공급업체 환경을 도입하여 다양한 플랫폼을 기반으로 여러 파트너들과 유연하게 협력할 수 있게 되었으며 동급 최고의 툴도 갖추게 되었습니다. 또한 일부 시스템은 온프레미스 방화벽 뒤에서 그대로 유지해야 했습니다.

AIA는 하이브리드 및 멀티 클라우드 환경을 구축하다 보니 서로 다른 환경 속에서 원활한 탐색을 보장하는 IAM(Identity and Access Management)이 필요해졌습니다. Roger는 "보안에 대한 접근법이 서로 다르다 보니 여러 플랫폼 사이에서 일관성을 유지하려면 쉽지 않습니다."라고 밝혔습니다.

Okta는 벤더 중립성이라는 간단한 해답을 내놓았습니다. AIA가 보안이나 기타 이유로 단일 공급업체에게 종속될 일이 없어졌습니다. 벤더 중립성이 보장되자 Office 365를 지속적으로 사용하면서 AWS와 Google Cloud Platform을 구축하고 온프레미스 환경을 계속 유지할 수 있게 되었으며, 이 모든 것은 직관적인 통합 사이버 보안 프로토콜에 따라 이루어졌습니다.

어떤 클라우드 환경에서든지 각 사업부는 물론이고 외부 파트너와 보다 원활하게 협업할 수 있는 길이 열렸습니다. Roger는 가장 만족스러웠던 점 중 하나로 이러한 다목적성과 보안성을 지목했습니다.

Roger는 "이제까지 진행했던 구축 작업 중 가장 쉬운 작업이었습니다. 시스템 하나를 구축하려면 보통 12개월이 걸렸는데 이번에는 8주도 걸리지 않았어요. Okta와 같은 서비스를 구매하여 몇 주 내에 정상적으로 가동할 수 있다니, 정말 놀라운 일입니다."라고 설명했습니다.

새롭게 확보한 민첩성은 놀라운 성과로 이어졌습니다. AIA는 기존의 보안 공급업체와 협력할 때는 애플리케이션을 6주에 1개 통합하는 데 그쳤지만 Okta를 도입한 이후로는 월 평균 9개까지 통합하고 있습니다. 또한 Okta의 보안 업데이트가 매월 약 50회로, 수 개월에 한 번이었던 이전에 비해 눈에 띄게 빨라지면서 AIA도 해커보다 항상 앞서 환경을 사전에 보호하여 안심할 수 있게 되었습니다.

Roger는 "AIA와 같이 민첩한 기업은 앱을 신속하게 통합할 수 있어야 합니다. Okta와 손을 잡은 이후로 우리는 애플리케이션을 실시간으로 변경하여 테스트한 후 빠르고 안전하게 배포함으로써 이를 실현할 수 있게 되었습니다."라고 밝혔습니다.

고객 아이덴티티 및 Zero Trust 전략으로 열어가는 무한 가능성의 미래

AIA는 아시아 지역 인력들이 Okta를 언제든지 사용할 수 있게 되면서 이제 Okta Customer Identity를 통한 CIAM(Customer Identity Access Management)을 겨냥하고 있습니다. Roger는 간혹 시장에 따라 CIAM 처리 방식이 다른 경우가 있기 때문에 훨씬 더 어려운 과제가 될 것이라고 합니다.

Roger는 "Okta는 그룹 전체에 일관된 정책을 제공한다는 점에서 차별화됩니다. 또 한 가지 중요한 점은 각 사업부가 자체적인 개발 및 고객 관리 업무를 수행하는 데 필요한 유연성까지 보장한다는 사실입니다. 일관성과 유연성은 단연코 최고입니다."라고 칭찬을 아끼지 않았습니다.

AIA는 그룹의 플래그십 보험 및 건강 프로그램(건강한 생활 습관에 대해 다양한 보상 제공)인 AIA Vitality를 중심으로 Okta Customer Identity 이니셔티브를 추진하고 있습니다. 인도네시아와 태국 및 필리핀에서는 이미 Okta Customer Identity를 Vitality 프로그램에 배포했습니다. 이에 따라 가입자들은 여러 디바이스에서 프로필을 통합하여 자신의 포인트를 실시간으로 유연하게 추적할 수 있습니다. 앞으로 아시아태평양 지역에서 100만 명의 월 유효 가입자들이 Okta를 이용해 로그인할 것으로 예상됩니다.

그 밖에도 AIA는 한 발 더 나아가 원활한 로그인에 Zero Trust를 결합하는 이니셔티브를 계획 중입니다. 주요 툴은 FastPass가 될 전망입니다. FastPass는 생체인식과 같은 요소를 추가하여 보안을 강화하는 동시에 모든 디바이스에서 비밀번호가 필요 없는 경험을 구현합니다.

Roger는 이렇게 말했습니다. "우리는 Zero Trust로 나아갈 생각이지만 이로 인해 사용자에게 지나친 불편을 끼치고 싶지 않습니다. 절묘한 줄타기인 셈이죠. Okta는 여기서 균형점을 찾을 수 있게 해주는 유일한 솔루션입니다. 창의적 협업과 안정적인 보안으로 미래를 설계할 수 있는 가능성의 문을 활짝 열어주었으니까요."