AD 제거: Okta를 통해 보안 강화와 생산성 향상을 확신하고 있는 Thoughtworks
Okta에 연결되는 앱
ROI
IT 비용 절감
생산성
- 클라우드 우선 전략을 도입하여 증가하는 요구사항 충족
- 미래형 업무 환경 수용
- SaaS를 통한 지원 부담 감소
- 인증부터 AD 제거까지
- AD 제거 전략 설계와 이점 확보
글로벌 소프트웨어 컨설팅 업체인 Thoughtworks에서는 직원 수가 무려 10~15%씩 매년 증가하고 있습니다. 회사가 분산되고, 다원화되고, 지리적으로 확장되면서 기존의 온프레미스 IT 환경에서 벗어나 클라우드로 전환하기 시작했습니다.
Thoughtworks는 최고의 접근 방식을 도입했습니다. 직원들은 여러 벤더의 소프트웨어와 애플리케이션을 사용하며 대다수가 작업 디바이스로 Mac 노트북을 선택했습니다. Thoughtworks가 Microsoft 제품 일변도에서 벗어나기 시작하면서 Microsoft의 Active Directory는 불안정하고 투박할 뿐만 아니라 유지보수와 업그레이드가 어려워 골칫거리로 전락했습니다. 또한 입사자 계정관리도 번거롭고 인증 시스템도 작동하지 않는 경우가 늘어나면서 직원들은 주요 도구에서 점차 멀어졌습니다.
생산성이 떨어지고 지원 팀도 과중한 업무에 시달렸습니다. 결국 IT 팀은 간편한 통합과 클라우드 전환을 완벽히 지원하는 Okta의 아이덴티티 관리 솔루션을 사용하기 시작했습니다.
Thoughtworks는 Okta의 대표 제품인 SSO(Single Sign-On)와 MFA 덕분에 사용자 경험을 빠르게 개선할 수 있었습니다. 또한 Universal Directory와 Lifecycle Management로 액세스를 비롯해 프로비저닝과 디프로비저닝을 간소화했습니다. 이로써 IT 팀은 Microsoft AD를 완전히 제거할 준비를 마쳤습니다.
전략은 2가지 단계로 구성됐습니다. 먼저 AD에 새로운 리소스를 더는 연결하지 않는 것입니다. 그런 다음 기존의 AD 종속 리소스를 목표로 하나씩 대체했습니다. 결과적으로 지원 및 유지보수 비용이 줄었을 뿐만 아니라 어디서나 안전하게 작업할 수 있게 되어 직원 생산성이 향상되었다는 점에서 계획적으로 실행할 가치가 충분한 프로세스였습니다.
글로벌 모바일 인력을 위한 아이덴티티 문제 해결
Thoughtworks는 세계적으로 급격히 성장하면서 IT 환경을 클라우드와 모바일로 전환했는데, 이로 인해 보안 문제와 더불어 관리하기 까다로운 Active Directory 문제가 발생했습니다. 이에 Thoughtworks는 Active Directory에서 탈피하여, 다중 요소 인증 기능과 100% 클라우드 테크놀로지를 갖춘 Okta의 아이덴티티 관리 시스템을 선택했습니다.
"위임 인증으로 전환하여 AD를 사용하지 않게 되면서 이미 여러 가지 이점을 거두었습니다. 이제 AD가 자사의 인프라에서 핵심적인 역할을 하지 않게 되어 걱정 거리가 크게 줄었습니다."
필립 이바롤라(Phil Ibarrola), 기술 부문 기술 운영 책임자
클라우드 우선주의
Thoughtworks의 기술 사업부에서 기술 운영 책임을 맡고 있는 필립 이바롤라(Phillip Ibarrola)는 자사 IT 시스템의 효율성을 높이고 보안을 강화하며 직원들의 안전한 액세스를 지원하고 있습니다. 글로벌 소프트웨어 컨설팅 기업에서는 직원 생산성이 수익과 직결되기 때문에 이러한 역할이 매우 중요합니다. 따라서 Thoughtworks 직원들도 어디서나 안정적으로 작업할 수 있어야 합니다.
업무가 점차 분산되고 지리적으로 확장되면서 회사도 함께 성장하여 Thoughtworks의 IT 시스템에도 큰 변화가 일어났습니다. 이바롤라는 "우리는 기존 온프레미스 호스팅 환경에서 클라우드 우선주의 기업으로 바뀌었습니다."라고 말했습니다. 이 회사는 클라우드 기반 애플리케이션과 시스템으로 전환하여 매년 10~15%씩 증가하는 직원 수에 발맞춰 빠르게 확장하는 동시에 기존 소프트웨어 대비 비용을 절감할 수 있었습니다. "우리는 이미 2011년에 클라우드가 미래의 업무 환경이 될 것이라고 생각했고, 클라우드가 시장이 나아갈 방향이라는 생각은 지금도 변함이 없습니다."라고 덧붙였습니다.
Thoughtworks는 클라우드로 전환하는 과정에서 기술에 대한 최고의 접근 방식을 도입하여 다양한 벤더에게서 적합한 도구와 서비스를 이용하려고 했습니다. 이후 시간이 지나면서 Microsoft 서버를 제거하는 등 Microsoft 제품 일변도에서 벗어나 애플리케이션 스택을 다각화하고 대다수의 인력을 위해 Mac 노트북을 도입했습니다.
번거로운 IT 에코시스템의 간소화
Microsoft 디바이스가 줄고 클라우드 기반 소프트웨어가 늘어나면서 Microsoft의 Active Directory(AD)에 대한 의존도도 점차 골칫거리가 되었습니다. 이바롤라는 "Microsoft AD는 자사의 인프라에서 중요성이 낮아지면서 관심도 점차 멀어졌습니다. 함께 나아가지 못했던 거죠."라고 밝혔습니다.
결국 IT 환경은 복잡하고 번거로워졌습니다. 일례로 모든 프로비저닝이 수동으로 진행되거나 맞춤형 통합으로 이루어졌습니다. 이바롤라는 "완전히 엉망진창이었습니다. 시스템과 Active Directory를 연결해주었던 동기화 스크립트도 대부분 불안정했습니다. 투박하고 유지보수도 어려웠죠."라고 설명했습니다. 신입 직원에게 자동으로 할당되지 않은 앱이 특히 어려웠는데, 다른 비즈니스 그룹에서 관리하는 경우가 많았기 때문입니다. 결국 IT 팀은 여러 사업부 사이에서 트래픽 교통 경찰의 역할을 할 수밖에 없었습니다.
AD가 동기화되지 않거나 스크립트가 올바르게 실행되지 않으면 IT 관리자가 근본 원인을 찾느라 엄청난 시간과 수고를 쏟아부었고 그동안 직원들은 아무것도 할 수 없었습니다. 이바롤라는 "AD 오류로 인해 직원들이 인증 시스템을 통과하지 못하면 이는 곧 비용 손실로 이어집니다. 직원들이 업무에 중요한 앱에 접속하지 못하기 때문에 타임 시트를 입력할 수도 없고 고객에게 비용을 청구할 수도 없으니까요. 일을 전혀 할 수 없으니 끝난 셈이죠."라고 말했습니다.
"전문 지식도 없고 전문가를 데려올 수도 없으니 Active Directory를 제어하지 못해 엄청난 위험에 놓여 있었죠."라고 덧붙였습니다.
노하우가 없다 보니 심각한 보안 문제도 생겼습니다. 이바롤라는 "우리는 25년 전통의 기업으로 강력한 네트워크 보안 모델을 갖추고 있습니다. 하지만 Windows에 대한 전문 지식이 많지 않아서 Active Directory 서버를 모니터링하는 수준이 그리 높지 않았습니다. 따라서 누군가 내부에서 Active Directory 서버에 대한 무차별 대입 공격을 감행하더라도 알아차리지도 못하거나, 혹은 늦게서야 알아차렸을 것입니다."라고 털어놓았습니다.
과중한 지원 부담
Thoughtworks는 이러한 위험을 완화하기 위해 다중 요소 인증(MFA) 솔루션인 RSA를 배포했습니다. 하지만 아쉽게도 RSA는 직원 생산성에 부정적인 영향을 미쳤는데, 당시 헬프 데스크 티켓 중 35% 이상이 물리적인 RSA 보안 토큰에서 비롯되었습니다. 또한 직원들은 MFA 프롬프트에 응답하느라 상당한 시간을 허비했고 MFA 및 비밀번호 리셋 과정에서 시스템 접속이 30분 이상 차단되는 일이 빈번했습니다.
Thoughtworks의 직원 중에는 노트북과 모바일 디바이스를 사용해 원격으로 작업하는 사람들이 많았기 때문에 우려가 더욱 컸습니다. 일례로 IT 팀이 처음으로 BYOD(Bring-Your-Own-Device) 정책을 수립하려고 했을 때 이바롤라는 "우리가 BYOD와 모바일 디바이스 관리를 맡는다면 오늘날 쌓아온 신뢰와 개방의 문화에 어떤 영향을 미칠 것인가?"라고 하며 우려를 드러냈습니다. 이바롤라와 그의 팀은 회사와 고객의 중요 데이터를 보호하고 긍정적인 사용자 경험을 제공할 수 있는 모바일 전략을 개발하기로 결정했습니다.
개방형 표준 기업 탐색
이바롤라는 획기적인 변화 없이는 IT 팀이 조직의 성장과 기존 전략을 지원하지 못할 것이라는 사실을 알고 있었습니다. 이에 따라 IT 팀의 지원 부담을 덜어주기 위해 SaaS를 이용하려고 했습니다. "우리는 성장 속도가 매우 빨랐기 때문에 클라우드로 전환했습니다. 기존 온프레미스 소프트웨어로는 내부 IT 팀이 성장 속도를 따라갈 수 없었거든요."라고 설명했습니다.
IT 팀은 먼저 핵심 비즈니스 생산성 애플리케이션에서 부딪혔던 문제를 해결했습니다. 그 결과 2,000명 이상의 Thoughtworks 직원들을 Microsoft의 온프레미스 비즈니스 제품군에서 Google Apps로 마이그레이션했습니다. 이후 이바롤라는 번거로운 RSA MFA 솔루션 문제와 직원들이 앱에 액세스하지 못하는 문제를 해결했습니다. 그는 먼저 조직의 클라우드 전환을 완벽히 지원할 더 나은 아이덴티티 관리 시스템을 모색했습니다. "우리는 IT 팀과 최종 사용자 모두를 위해 상황을 타개할 수 있는 방법이 필요했습니다."라고 말했습니다.
이바롤라는 상호운용성을 보장하는 동시에 최고의 애플리케이션을 사용하기 위해서는 개방형 표준이 최선책이라고 생각했습니다. "우리는 개방형 표준을 지원하면서 클라우드 도입 속도를 높여줄 수 있는 SSO 솔루션을 모색했습니다."
보안 아이덴티티 관리를 보장하는 클라우드 아키텍처
이바롤라는 다수의 IAM 솔루션을 평가한 끝에 Okta Identity Cloud를 선택했습니다. “Okta는 모든 평가 항목에서 좋은 결과를 얻었을 뿐만 아니라 진정한 클라우드 아키텍처를 보유하고 있다는 점에서 최고의 솔루션이었습니다." 이바롤라는 Okta의 Adaptive MFA가 지닌 유연성에 대해서도 칭찬을 아끼지 않았습니다. "Okta를 선택했을 때 사용자 경험과 관련하여 가장 큰 성과는 Multi-Factor Authentication이었습니다. 이전 솔루션에 비해 설정 방법이 아주 쉬웠거든요."
또한 Thoughtworks의 IT 팀은 Okta’s Universal Directory를 사용해 유연한 클라우드 기반 사용자 저장소를 배포하여 사용자 속성 집합을 사용자 지정, 구성 및 관리할 수 있었습니다. 그 밖에도 액세스 요청 워크플로우에 Okta Lifecycle Management를 구현하여 애플리케이션 프로비저닝에 대한 셀프서비스 요청을 비즈니스 애플리케이션 소유자에게 위임하는 프로세스를 자동화했습니다. 이바롤라는 "결과적으로 소요 시간이 단축되고, 장애가 감소하며, 업무 이관이 줄어들어 사용자 경험이 개선되는 성과를 거두었습니다."라고 밝혔습니다. IT 팀은 이제 사용자와 비즈니스 애플리케이션 소유자를 연결하는 중간자 역할에서 벗어나 전체 프로세스를 간소화하는 데 주력하고 있습니다.
AD에 대한 의존도 감소
이바롤라와 그의 팀은 Okta Identity Cloud를 구현한 덕분에 Microsoft Active Directory를 회사 인프라에서 제거할 수 있었습니다. 이바롤라는 "취약한 AD에 더는 의존하고 싶지 않았습니다. 위험한 영역이었고 더 나은 대안을 찾았습니다."라고 말했습니다. AD를 제거하면 IT 환경 전반을 간소화하고 보안을 강화할 뿐만 아니라 비용까지 절감할 수 있습니다. "추가적인 이점이었습니다. 기업 계약에서 AD를 제거하자 Microsoft 서비스에 대한 전체 지출이 줄어들었죠."라고 덧붙였습니다.
이바롤라의 전략은 2단계로 구성되었습니다. 먼저 새로운 애플리케이션이나 기타 리소스를 AD 인프라에 더는 할당하지 않았습니다. "덕분에 전환하면서 관리가 가능했습니다. 한계를 설정해야 했으니까요."라고 말했습니다.
그런 다음 Active Directory 구성 요소를 전략적으로 대체하기 시작했습니다. 이바롤라와 그의 팀은 프린터, 네트워크를 포함해 AD에 의존하고 있는 애플리케이션과 리소스를 모두 확인했습니다. "애플리케이션과 리소스를 일목요연하게 정리하여 대체가 필요한 구성 요소의 우선순위를 결정하고 목록을 작성했습니다. 그런 다음 구성 요소를 하나씩 비활성화하기 시작했고 직원들은 점차 AD에 대한 의존도에서 벗어날 수 있었습니다."
AD를 제거하려면 주의 깊고 신중한 계획이 필요하지만 이바롤라는 분명이 가치가 있는 작업이라고 말했습니다. "위임 인증 덕분에 AD에 대한 의존성이 사라지면서 이미 여러 이점을 거두었습니다. 먼저 AD가 우리 인프라에서 더는 핵심적인 역할을 하지 않기 때문에 걱정 거리가 크게 줄었습니다."
현재 네트워크 장비와 Wi-Fi가 유일하게 AD에 통합되어 있는 구성 요소로 남아 있지만 이바롤라는 Thoughtworks가 앞으로 6개월 이내에 AD에서 완전히 해방될 것으로 기대하고 있습니다.
여유 시간은 늘리고, 비용은 줄이고
현재 Thoughtworks는 100개 이상의 클라우드 앱을 Okta에 연결하여 사용하고 있습니다. "우리는 오랫동안 대부분의 핵심 서비스에 클라우드 우선 접근 방식을 적용했습니다. 2008년에 처음으로 G Suite를 사용했고, 이후Okta, Zoom, Box 등을 조기에 도입한 이력이 있습니다. 오늘날 분산된 작업 환경에서 사용되는 협업 도구들은 모두 클라우드 관리를 지원하게 될 것입니다. 클라우드를 통한 관리가 미래의 업무 환경이니까요."
Thoughtworks는 16개 앱에 Okta Lifecycle Management를 사용하여 입사자/퇴사자 계정관리 및 문제 해결의 수동 처리 시간을 1,000시간 이상 줄였습니다.
입사자 계정관리의 예측 가능성이 크게 높아지고 오류 가능성은 크게 줄었습니다. 이제 신입 직원들이 첫 출근을 하더라도 기본 앱들이 항상 정확하게 프로비저닝됩니다. IT 팀은 직원이 퇴사할 경우 해당 직원의 액세스를 빠르게 차단하여 데이터와 지적 재산권을 보호할 수 있으며, Thoughtworks 역시 Okta에서 기본적으로 제공되는 보고 기능을 사용해 잠재적 감사를 지원합니다. 또한 효율적인 퇴사자 계정관리로 클라우드 기반 애플리케이션에 대한 비용 이점을 제공합니다. 이바롤라는 "액세스 권한을 적시에 제거하여 라이선스 및 구독 관련 비용을 할 수 있습니다."라고 강조했습니다.
Okta Adaptive MFA를 사용하면서 비밀번호 리셋이나 MFA 자격 증명 리셋을 요청하는 헬프 데스크 티켓도 90%까지 줄어 80만 달러에 달하는 비용을 절감했습니다. 또한 엔드 유저들은 푸시 알림을 전송하는 Okta Verify와 유연한 정책 프레임워크를 사용해 MFA 프롬프트에 대한 응답 시간을 크게 줄임으로써 40만 달러 이상의 생산성 향상을 실현했습니다. Thoughtworks 역시 보안을 강화하여 20만 달러의 비용 절감을 실현했습니다.
Okta는 25가지 앱에 대한 높은 통합 유지보수 비용을 제거했고, 이에 따라 RSA가 만료되었을 때 5만 달러를 추가로 절감할 수 있었습니다. 그 밖에도 시스템 중단 시간을 최소화하여 30만 달러 규모의 생산성 향상에 기여했습니다.
이바롤라는 "Okta는 회사의 인증 시스템에서 중추적인 역할을 하고 있습니다. 우리는 Okta가 모니터링 및 분석 기능을 모두 제공한다는 점을 알고 있기 때문에 더욱 신뢰할 수 있습니다. 또한 비밀번호를 비롯한 주요 아이덴티티 저장소가 Okta에 있지만 Okta의 전문 팀이 보호하기 때문에 우리가 내부적으로 보호하는 것보다 훨씬 효과적입니다."라고 밝혔습니다.
이바롤라는 앞을 내다보고 Thoughtworks에 남아있는 온프레미스 Linux 서버에 Okta의 Advanced Server Access를 구현하는 계획을 추진하고 있습니다. 이바롤라는 이렇게 말했습니다. "Okta는 최고의 파트너이자 벤더입니다. 진행 중인 상황과 향후 조치를 투명하게 밝혀주기 때문입니다."
Thoughtworks 소개
Thoughtworks는 20년이 넘는 역사를 가진 글로벌 소프트웨어 기업이자 열정적이고 목적 의식이 뚜렷한 직원들로 구성된 커뮤니티로서, 처음에는 시카고에서 소규모 기업으로 시작하여 현재는 14개 국가에서 43개 지사를 운영하면서 7,000명 이상의 직원을 보유한 기업으로 발돋움했습니다.
