비밀번호 관리 전략 수립

Sam은 Box 앱에 액세스하지 못했습니다. 숫자, 문자 및 기호로 구성된 문자열을 정확히 알고 있다고 생각했지만 3회의 시도에서 모두 실패하여 결국 액세스 권한이 취소되었습니다. 하지만 팀 기한에 맞춰 중요한 문서가 필요하기 때문에 어쩔 수 없이 비밀번호 리셋 요청을 보내고 IT 팀이 도와줄 때까지 기다려야 합니다. 이전에 항상 간단한 비밀번호를 반복해서 사용했을 때는 너무도 쉬웠지만 새로운 IT 정책에서는 애플리케이션마다 자신만 알 수 있도록 비밀번호를 더욱 복잡하게 만들어 사용해야 합니다.

위의 예는 누구나 흔히 겪는 시나리오지만 기업의 비밀번호 관리를 개선하면 충분히 해결할 수 있는 문제입니다. 해킹 관련 침해 사고의 81%가 탈취되거나 취약한 비밀번호를 이용했다는 사실을 고려하면 IT 팀이 더욱 엄격한 정책을 수립해야 하는 것이 마땅합니다. 하지만 오늘날 직원들은 다수의 애플리케이션과 디바이스에서 끝없이 늘어나는 자격 증명을 잘 모르더라도 기억하는 데 큰 문제는 없어 보입니다. 이 말은 직원들이 쉽게 기억할 수 있는(따라서 취약한) 비밀번호를 사용하거나, 동일한 비밀번호를 반복해서 사용하거나, 혹은 비밀번호를 잊으면 바로 헬프 데스크 티켓을 보내다 보니 IT 팀은 비밀번호를 리셋하느라 엄청난 시간을 허비할 수밖에 없습니다. 

비밀번호가 중요한 툴과 데이터를 보호할 수 있는 보안 계층을 제공하는 것은 사실이지만 오늘날 기업에게는 이러한 생산성 및 보안 문제를 해결할 솔루션을 찾는 일이 매우 중요해졌습니다.

비밀번호 관리자 문제

비밀번호 관리자는 다양한 사용자 이름과 비밀번호에게 중앙 스토리지 허브와 같은 역할을 합니다. 기억해야 할 자격 증명의 수를 줄이는 데는 효과가 있지만 이것이 해결 방법이 될 수는 없습니다. 

비밀번호 관리자는 인적 오류를 저지르기 쉽습니다. 깜박 잊고 로그아웃을 하지 않거나, 취약한 마스터 비밀번호를 사용하거나, 이중 요소 인증과 같은 기능을 구현하지 않으면 보호를 받고 있는 비밀번호도 위험에 노출되고 맙니다. 또한 온라인 비밀번호 관리 서비스는 과거에 심각한 결함으로 인해 오히려 비밀번호의 보안을 위태롭게 만들어 문제가 있는 것으로 드러났습니다. 따라서 기업이 이러한 위험에서 벗어나려면 체계적이고 사려 깊은 비밀번호 관리 전략이 필요합니다.

효과적인 비밀번호 관리 전략을 위한 초석 마련

클라우드 여정을 진행 중인 기업은 비밀번호 관리 전략을 통해 현재의 비밀번호 프로세스를 평가하고 향후 비밀번호를 안전하게 보호할 수 있는 최선의 방법을 찾아낼 수 있습니다. 비밀번호 관리 전략은 넓은 의미에서 빈틈없는 보안을 제공하는 동시에 사용 편의성을 개선하고 인프라 취약점을 줄이는 데 목적을 두어야 합니다. 

먼저 현재 사내에 적용 중인 비밀번호 관리 정책을 찾아 검토합니다. 헬프 데스크 로그는 기업의 비밀번호 문제를 찾아내거나 현재 정책의 복잡성과 리셋 요청이 가장 많은 애플리케이션을 알아내는 데 유용합니다. 검토 단계에서는 사용자의 도입을 유도할 수 있는 사용 편의성 요소를 식별하고, 만료 정책을 적용하여 비밀번호 보안을 강화하는 방법을 살펴봐야 합니다.

Okta의 2018 Businesses @ Work 보고서에 따르면 Okta Identity Cloud를 사용하는 기업들은 대체로 다음과 같은 비밀번호 정책을 시행하고 있는 것으로 나타났습니다.

1. 최소 8자 길이
2. 소문자 1개 이상, 대문자 1개 이상, 숫자 1개 이상
3. 최대 10회의 비밀번호 시도 후 실패 시 계정에 대한 액세스 차단
4. 복구 토큰 유효 기간을 1시간으로 설정
5. 사용자 이름이 포함된 비밀번호 사용 금지

위의 정책은 효과적인 출발점이 될 수 있지만 이는 강력한 비밀번호 관리 전략의 시작에 불과합니다.

보안을 손쉽게 강화할 수 있는 두 가지 솔루션

클라우드 IAM 솔루션은 비밀번호 관리를 간소화할 뿐만 아니라 그 밖에 수많은 이점을 제공하여 기업의 부담을 덜어줍니다. 이러한 이점으로는 모바일 가용성과 생산성 향상, 그리고 수천 개의 디바이스를 무수히 많은 앱과 안전하게, 그리고 효율적으로 연결 옵션 등이 있습니다.

SSO(Single Sign-On) 솔루션은 독보적인 사용 편의성과 간편성을 바탕으로 사용자의 도입을 촉진합니다. Okta의 Single Sign-On을 이용하면 직원들이 단일 액세스 포인트에서 모든 웹 앱과 모바일 앱에 액세스할 수 있기 때문에 사용자 로그인 시간이 50% 단축됩니다. 결과적으로 로그인 문제로 인한 헬프 데스크 콜이 50%까지 줄어듭니다. 

두 번째로 중요한 구성요소는 2차 요소의 추가입니다. 비밀번호 관리 전략에서는 다중 요소 인증(MFA) 역시 빼놓을 수 없습니다. 비밀번호 유추 알고리즘이 점차 지능화됨에 따라 기업은 강력한 비밀번호를 요구하는 동시에 보조 이메일, 텍스트 또는 음성 일회성 비밀번호(OTP)를 추가하거나, Okta Verify와 같은 앱을 통해 푸시 알림을 추가하는 등의 방법으로 모든 로그인에 MFA를 적용하여 비밀번호 관리 전략의 완성도를 높여야 합니다. MFA 역시 각종 컴플라이언스 규정(예:NIST)에 필요합니다.  

강력한 비밀번호 전략의 마지막 단계는 지속적인 검토와 개선입니다. 기업은 상태 검사를 정기적으로 실시하여 새로운 전략의 효과를 평가해야 합니다. IT 팀은 상태 검사를 통해 알아낸 정보를 바탕으로 어떤 취약점이 존재하는지 평가하여 사용자 도입율을 높이고 조직 전반의 보안을 강화할 수 있습니다.

팀의 구현 및 도입을 위한 팁이 필요하신가요? 여기에서 Okta의 도입 툴킷을 다운로드하십시오.

실제로 효과적인 비밀번호 관리

강력하고 안전한 비밀번호 관리 정책을 수립하는 것은 기업 규모를 막론하고 쉬운 일이 아닙니다. 연구 조사를 바탕으로 쉽게 이해할 수 있는 비밀번호 관리 정책은 강력한 무기가 될 수 있지만 이를 실제로 시행해야 성공을 거둘 수 있습니다. Envision Healthcare의 경우, 엔드 유저가 기억해야 할 자격 증명을 한 세트만 제공하여 IT 관리자가 처리해야 했던 비밀번호 리셋을 대부분 제거함으로써 연간 10만 달러의 비용을 절감했습니다.

클라우드 기반의 IAM 비밀번호 관리 전략을 구현하는 일은 어렵지 않습니다. Okta와 손을 잡으면 까다로운 일을 모두 관리해주기 때문에 필요한 앱과 프로그램을 모두 즉시 사용할 수 있어 1일차부터 정상적인 운영이 가능합니다. 앱과 사용자를 차례대로 추가한 후 실행하면 되기 때문에 프로세스가 간단합니다.