고객 계정 정보를 안전하게 보호하는 CIAM
SNS 해킹 사고가 하루가 멀다하고 발생하고 있다. 대부분의 경우 해커가 SNS 계정정보를 입수해 SNS 게시물을 조작하거나, 본인으로 사칭해 돈을 요구하고, 클라우드 저장소 정보를 탈취해 사생활을 폭로하겠다고 협박하기도 한다.
이러한 사고의 책임을 계정정보를 제대로 관리하지 못한 사용자에게만 물어서는 안된다. 서비스를 제공하는 기업들은 고객의 계정정보와 개인정보를 안전하게 관리해야 할 책임이 있다. 정상 ID/PW로 접속했더라도, 동일한 IP에서 여러 계정의 로그인 시도가 발생한다면 부정 로그인으로 판단하고 조치해야 한다.
로그인 후 일반 사용자들과 달리 여러 페이지를 비정상적으로 빠르고 이동하거나 정상적인 절차와 다른 순서로 서비스를 이동한다면 비정상 접속을 의심해야 한다. 또 평소 고객의 활동과 다른 패턴을 보이거나 로그인과 행위 정황이 정상적이지 않다고 판단될 때 반드시 확인해야 한다.
이와 함께 고객들이 안전하게 계정정보를 보호할 수 있는 다양한 기술적 장치와 프로세스를 마련하는 것도 필요하다. PW 대신 생체인증 등 비밀번호를 대체할 안전한 수단을 적용하고, 2차인증으로 중요한 서비스 접속 보안을 강화하는 것도 필요한 일이다.
다양한 개인화 서비스까지 제공
사람들은 점점 더 많은 애플리케이션을 사용하고 있으며, 번거로운 인증절차 없이 사용하기를 원한다. 고객들은 길고 복잡한 문자·숫자 조합의 비밀번호 사용을 거부한다. 개인 이메일이나 SNS는 물론이고, 중요한 금전거래가 발생하는 금융·전자상거래, 게임, 온라인 스트리밍, 심지어 업무용 애플리케이션까지 간편하게 이용할 수 있는 방법을 요구한다. 그래서 생체인증·PIN 등으로 간편하게 인증할 수 있어야 하며, 계정 연동을 통해 한 번 로그인하면, 다른 서비스까지 별도 인증 없이 이용할 수 있도록 해야 한다.
편의성을 추구하는 고객에게 ‘안전하지만 불편한’ 인증을 요구하면 고객 이탈을 막을 수 없다. 그래서 인증 편의성을 보장하면서 고객 계정정보를 안전하게 보호할 수 있는 ‘CIAM(Customer Identity and Access Management)’이 대안으로 제안된다.
CIAM은 기업에서 사용하는 통합계정접근관리(IAM)와 다르다. 시장조사기관 포레스터는 “CIAM은 고객 계정 인증·권한부여, CRM, 웹 분석, 개인정보 관리, 컴플라이언스 등을 포함한다”고 설명했다. 즉 고객의 계정을 관리하고 비정상 접속시도를 차단하는 기본 기능 외에, 서비스를 제공하는 지역·국가별 컴플라이언스 준수, 서비스 효과성 분석, 다양한 개인화 서비스 제공 등의 기능을 제공한다.
CIAM, 사용자 경험 개선시켜야
CIAM의 핵심은 사용자 인증과 접근관리다. 사용자 본인이, 정상 상황에서, 사용자 스스로의 의지로, 주어진 권한 내의 서비스로 접근한다는 것을 확인한 후 서비스 접속을 허가한다. 서비스 접속 후에도 이상행위가 일어나는지 모니터링하며, 민감정보에 접속하거나 금융거래 등 중요한 업무를 할 때 추가 인증을 요청해 본인 확인을 강화한다. 추가인증으로 OTP, SMS·SNS 인증, ARS 인증, 생체인증 등이 사용될 수 있다.
CIAM을 도입할 때 절대 놓쳐서는 안 되는 것이 보안과 컴플라이언스다. 지역·국가·산업 특성에 따른 규제요건에 맞춰 고객 정보를 수집·보관, 관리해야 하며, 고객정보 활용 기록을 반드시 저장해야 한다. 고객정보, 계정정보는 암호화하며, 키는 HSM 등을 이용해 안전하게 보호한다. 암호화 데이터와 키관리 시스템에 대한 강력한 접근 통제를 적용해야 한다.
최근 CIAM에 요구되는 중요한 요건 중 하나가 고객경험(CX)이다. 웹·모바일 등 다양한 채널에서 접근할 수 있도록 하고, 회원가입과 로그인 시 번거로운 등록 양식 작성을 요구하기보다 사용자가 편리하게 사용할 수 있는 방법을 제안한다. 특히 패스워드 없는(Passwordless) 로그인을 제공하는 것이 CX 개선의 중요한 요건이다.
더불어 개발자 친화적인 CIAM을 통해 쉽게 서비스에 적용할 수 있어야 하며, 중소기업이나 스타트업 등도 비용 부담 없이 사용할 수 있어야 한다. 다양한 API 지원으로 여러 애플리케이션과 연동할 수 있어야 한다.
일회용 인증코드로 계정 보호
인증보안 기술 기업 센스톤은 ‘일회용 인증코드(OTAC)’를 이용해 사용자 계정정보를 별도로 관리하지 않아도 안전하게 인증할 수 있도록 지원한다. ‘OTAC’는 네트워크 통신 없이 중복되지 않는 일회용 인증코드를 발생시키며, 인증코드를 재사용할 수 없게 해 계정정보 유출을 통한 피해를 원천 제거한다. 일회용 신용카드 번호, 커넥티드카·IoT·M2M, 국방·방위 솔루션, 기업용 IAM 등 다양한 환경에서 사용될 수 있다.
또 센스톤은 통합인증 플랫폼을 SDK로 제공하는 ‘스위치 오스 SDK(swIDch Auth SDK)’로 인증 시스템 구축을 한층 더 용이하게 한다. FIDO 기반 간편인증, 모바일 OTP, OTAC 등 다양한 인증 기능을 제공하는 ‘스위치 오스 SDK’는 기업이 내부 사용자 혹은 대외 고객을 위한 IAM·CIAM을 쉽게 구축할 수 있도록 지원한다.
‘고객 계정·접근 관리’ 개념의 CIAM은 오래 전부터 공급되어오던 솔루션이지만, 고객경험, 마케팅, 영업 등 넓은 영역으로 확장한 것은 최근 일이다. 애플리케이션 중심 시대로 접어들면서 사용률이 그케 높아졌으며, CIAM을 통해 여러 비즈니스 가치를 창출하려는 시도도 나타나고 있다.
편의성과 안전성을 보장하는 CIAM이 애플리케이션 중심 시대의 핵심 경쟁력 중 하나로 성장할 것으로 기대된다.