보안성과 효율성, 두 마리 토끼를 함께 잡은 스푼라디오의 성공 스토리
옥타 통합 네트워크(OIN)가 지원한 소프트웨어 100+개
옥타 워크플로우로 임직원 생산성 최대 70% 절감
옥타 고객 ID 접근 관리 솔루션으로 보안 정책 관리 효율성 75% 증가
- ID 접근 관리 시스템 체계화의 필요성-스푼라디오, 옥타 코리아를 만나다
- UD(유니버셜 디렉토리), SSO(싱글 사인 온) 등의 도입으로 보안과 효율 모두 충족
- 옥타 시스템 도입 후 직원 만족도 상승, 점차 확대되고 있는 원격근무에도 탁월
- 옥타와 함께 완성해 가는 애자일한 기업 문화
2016년 서비스를 시작하여 가파른 성장세를 이어가고 있던 한국의 스타트업 스푼라디오는 회사가 성장함에 따라 시스템 개편을 필연적으로 느끼게 되었습니다. 특히 ID접근 관리 시스템을 체계화할 필요를 절감하고 이를 도와줄 수 있는 서비스를 조사하던 중, 2022년 1월 옥타 코리아를 만나 본격적인 파트너십을 맺게 되었습니다.
기업이 보안성을 높이면 효율이나 생산성은 떨어질 수 밖에 없습니다. 때문에 보안팀은 새로운 시스템 도입에 앞서 고민할 수 밖에 없습니다. 그러나 옥타의 직원 정보 관리 시스템인 유니버셜 디렉토리(UD_Universal Directory) 서비스와, 170여 가지 앱을 중앙 집중화된 하나의 대시보드를 통해 일원화 해 관리하는 싱글 사인 온(SSO_Single Sign On) 서비스 등 옥타의 서비스를 도입한 후, 업무의 효율이나 생산성은 물론, 보안에 있어서도 획기적인 개선이 있었습니다. 옥타와 함께라면 보안과 효율은 더 이상 공존할 수 없는 반대말이 아닙니다.
옥타의 시스템 도입은 직원들의 일상 업무를 바꾸어놓았습니다. 그 결과로 스푼라디오의 직원들로부터 긍정적인 피드백을 많이 받았습니다. 프로세스를 간소화 한 원 데이 액세스(One-day access)로 계정 관리 시간이 30% 이상 단축되었고, 디바이스 트러스트(Device Trust) 시스템으로 팬데믹 이후 점차 늘어가는 원격 근무에도 기민하게 대응할 수 있었습니다. 절차는 일원화, 간소화하여 직원 편의성을 높이면서도, 보안 레벨을 올린 것으로 평가되었습니다.
IT기반의 회사들이 추구하는 애자일한 기업 문화에 보안이 걸림돌이 되어선 안 됩니다. 보안성을 유지하면서 그에 필요한 프로세스를 가능한 한 줄이는 것이 보안부서의 과제가 되었습니다.
옥타의 시스템은 회사의 생산성을 증대 시키면서 높은 수준의 보안을 유지할 수 있다는 것이 가장 큰 매력이자 장점입니다. 보안성과 생산성 두마리 토끼를 모두 잡는 일, 그래서 애자일한 기업 문화를 만들어가는 일, 옥타와 함께라면 가능합니다.
특히 초기 진입한 스타트업일수록 보안 환경이 정리되지 않은 경우가 많죠. SaaS 베이스 시스템은 특성 상 외부에 노출되어 있는 환경이다보니 Attack Surface, 즉 공격 표면 관리에 어려움이 있습니다. 옥타는 각각의 앱에 대한 포괄적인 접근 통제 시스템을 가능케 도와주는 솔루션으로 각각을 관리하는데 드는 시간, 비용 등의 관리 리소스를 획기적으로 줄여 주었습니다.
주식회사 스푼라디오 정대영 보안 기술 파트장
‘제로 트러스트’를 향한 스푼라디오의 비전, 옥타와 함께라면 가능하다
한국의 스타트업 스푼라디오, 옥타 코리아를 만나다
2016년 서비스를 시작하여 해마다 2배 이상의 놀라운 성장을 거듭해 온 한국의 스타트업 스푼라디오는 회사의 성장과 더불어 시스템 개편의 필요성을 절실히 느끼게 되었습니다. 특히 ID 접근 관리 시스템을 도와줄 서비스 프로바이더를 자체적으로 찾던 중, 2021년 말 옥타의 파트너사 메가존을 통해 옥타의 서비스를 알게 되었고, 1등 솔루션에 대한 관심을 바탕으로 다각도로 검토해 보았다. 그 결과, 옥타의 ID접근관리 기능의 커스터마이제이션 레벨이 타사의 서비스에 비해 훨씬 높고 편리하다는 점, 계정을 승인하는 워크플로우가 간편하다는 점에서 기존의 시스템을 전부 교체할 만큼 매력적이라고 느꼈습니다. 당시엔 아직 옥타 코리아가 생기기 전이라 본사와 연락을 하며 업무를 진행하던 중, 2022년 1월 옥타 코리아가 설립되면서 본격적인 파트너십을 맺게 되었습니다
옥타 시스템 도입 전과 후, 그 획기적 변화들
국내 IT 환경에서는 보안에 있어 보수적으로 접근하는 경향이 있습니다. 국내 정보보호 인증 요구사항에는 ‘정보시스템 계정 신청 및 승인 프로세스’가 포함되는데, 스푼라디오의 경우는 SaaS(Software As a Service) 베이스의 170여개의 시스템들을 사용하고 있기 때문에 이를 일일이 등급 별로 나누어 관리해야 하는 어려움은 물론 각각의 시스템이 별도의 승인 프로세스로 진행되기 때문에 통합적인 운영이 어렵다는 문제점이 있었습니다. 옥타의 시스템을 만난 후, 이러한 모든 것들을 통합적으로 관리할 수 있게 되면서 신청과 승인이 훨씬 더 쉽고 빠르게 이루어지고, 그 덕분에 스푼라디오의 직원들은 이전보다 생산성을 높일 수 있는 환경에서 근무하게 되었습니다.
원 데이 액세스(One-day access)로 30% 이상의 시간 단축
스푼라디오에서는 신규 입사자가 발생했을 때, 또는 기존 직원이 새로운 시스템을 사용할 때 그에 따른 승인 절차와 프로세스를 간소화하여 누구나 모든 원하는 계정을 당일에 발급 받을 수 있습니다. 스푼라디오에서는 이것을 ‘원 데이 액세스(One-day access)’ 라고 부르는데, 옥타의 통합 관리로 다원화된 관리를 간소하게 일원화했기에 가능한 일이었습니다. 사용자와 신청자가 모든 절차를 같은 플랫폼 내에서 진행하기 때문에, 관리자가 개입하고 이것을 전달하는 등 불필요한 중간 과정에 걸리는 시간과 노력이 획기적으로 줄어들게 된 것입니다. 예를 들어 스푼라디오의 직원이 아침에 앱을 신청하면 적어도 점심 무렵에는 승인이 완료되어 사용할 수 있게 됩니다. 뿐만 아니라 승인권자에게 승인 신청을 하고, 계정 생성을 하고, 그것을 업무용 메신저 등으로 통보하는 등의 과정이 늘어날수록 보안상으로도 위험에 노출될 가능성이 높아지는데, 웹 상에서 신청과 거의 동시에 애플리케이션을 제공하는 ‘원 데이 프로비저닝(One-day provisioning)’이 가능해짐으로서 사용자의 편리성과 효율성은 물론, 보안상으로도 큰 이점을 갖게 되었습니다.
Attack Surface를 효율적으로 관리하는 솔루션
기민하고 유연한 ‘애자일한 문화’ 를 추구하는 현재 IT 환경에서는 보안 부분이 취약해질 수 있습니다. 특히 초기 진입한 스타트업 일수록 보안 환경이 정리되지 않은 경우가 많습니다. SaaS 베이스의 시스템은 외부에 노출되어 있는 환경이다 보니 Attack Surface, 즉 공격 표면 관리에 어려움이 있을 수 밖에 없습니다. 보안성을 높이기 위해선 접근장소, 기기 등 여러가지 설정들을 세심하게 관리해야하는 번거로움이 있는데, 옥타는 각각의 앱에 대한 포괄적인 접근 통제를 가능하게 도와주는 솔루션을 제공합니다. 각각을 관리하는데 드는 시간과 비용을 획기적으로 줄여 주어 생산성과, 보안성을 동시에 높일 수 있게 되었습니다.
자랑하고 싶은 옥타의 서비스1-UD(유니버설 디렉토리)
옥타에서 제공받은 서비스 모두 스푼라디오의 생산성과 관리에 큰 도움을 주었지만, 그 중에서도 자랑할 만한 것이 있다면 직원에 대한 정보 관리 서비스인 유니버셜 디렉토리(UD_Universal Directory) 입니다. 스타트업의 특성 상 즉시 개발, 즉시 배포가 무엇보다 중요하기 때문에 이에 집중하다보면 통합관리에 대한 준비는 다소 부족할 수 있습니다. 그런데 옥타의 유니버셜 디렉토리는 작은 기업이나 스타트업이 미처 준비되지 않은 상황에서 별도의 큰 시스템을 도입하지 않고도 적은 비용과 적은 리소스만으로 직원들에 대한 통합적 정보 시스템을 구축하고 관리하는 데 매우 탁월한 효과를 가져다 주었습니다.
자랑하고 싶은 옥타의 서비스2-워크플로우
또 스푼라디오가 자랑하는 옥타의 서비스 중 빼놓을 수 없는 것 하나는 ‘워크플로우(Workflow)’ 입니다. No-code 기반의 어플리케이션을 지원해 주어 개발 리소스가 들지 않고도 추가 관리소스 없이 중앙에서 직접 관리할 수 있도록 하는 시스템입니다. 예를 들어 "이벤트 드리븐(event driven)" 즉, 중요한 이벤트를 중심으로 특정 이벤트가 발생을 했을 때 발생하는 위협 정보를 보안 쪽에서 실시간으로 알람을 받아볼 수 있습니다. 코로나 이후 주 3회 이상 원격 근무를 실시 중이고, 앞으로도 이런 근무 형태가 지속될 것으로 예상되는 스푼라디오로서는 매우 유용한 서비스라 할 수 있습니다. 기기, 위치, 국가 등의 정보를 받아 사용자 context 기반의 상황 별 접근 통제가 가능하고, 다중요소 인증 (MFA: Multi-Factor Authentication) 시스템으로 사용자의 이상행위를 실시간으로 감지해, 그에 따른 액션까지 모두 자동화하여 처리할 수 있습니다. 새로운 보안문화인 제로 트러스트(Zero Trust)를 구현하기 위한 첫 발걸음에 옥타가 함께 있었다고 해도 과언이 아닙니다.
자랑하고 싶은 옥타의 서비스3-SSO(싱글 사인 온)
옥타의 ‘싱글 사인 온(SSO_Single Sign On)’ 서비스에 대해서도 짚고 넘어가지 않을 수 없습니다. 앞서 말한 것처럼 스푼라디오에는 약 170여 가지의 앱이 있고, 각각에는 일일이 세팅된 보안 전략, 접근 통제 방식이 있습니다. 옥타의 SSO를 통하면 중앙집중화된 대시보드를 통해 보안팀에서 추구하는 접근 통제 전략을 일원화하여 손쉽게 구현할 수 있게 됩니다. 보안팀이 추가로 통제를 걸더라도 그 하나 하나에 대한 불편함을 직원들이 느끼지 않도록 업무 프로세스의 편의성을 개선하였고, 헬프 데스크의 이용률도 현저히 줄어드는 등, 그에 따른 커뮤니케이션 비용도 획기적으로 절감할 수 있었습니다
직원 내부의 만족도도 높아, 점차 확대되는 원격근무에도 탁월한 이점
옥타의 시스템을 도입한 후, 실제로 직원들로부터 직접 긍정적인 피드백을 많이 받았습니다. ‘디바이스 트러스트(Device Trust)’ 시스템을 도입하여 회사에서 발급된 단말기가 아니면 접근할 수 없도록 하는 상황별 접근 통제 방식은 점차 확대되는 원격근무 환경에서 매우 유용하게 사용되고 있습니다. 또, 신규 입사자가 발생했을 때, 부서 특성 상 기본적으로 사용해야 하는 앱을 맞춤형으로 자동 부여하는 ‘직원별 액세스 프로비저닝(Access Provisioning)’을 실시하고 있는데 이것 또한 반응이 매우 좋습니다. 특히나 옥타의 아이디와 비밀번호 로그인 한번으로, 주기적으로 비밀번호를 바꿔야하는 번거로움을 획기적으로 해소한 시스템은 실제 직원들이 체감하는 만족도가 매우 높습니다. 보안성을 올릴수록 불편함을 감수할 수 밖에 없는데, 옥타를 만나 두 가지가 한번에 해결되었다고 볼 수 있습니다.
보안이 기업의 애자일한 문화 추구에 걸림돌이 되어선 안 되기에 현재 대부분의 IT 기반 회사들은 이른바 ‘애자일한 기업문화’를 추구하고 있습니다.
이를 위해서는 즉시 배포, 즉시 테스트를 할 수 있는 환경을 구축(time to market)하는 것이 필요한데, 보안이 이것의 걸림돌이 되어선 안된다는 것이 스푼라디오 보안팀의 생각입니다. 따라서, 보안에 필요한 프로세스를 가능한 한 줄이면서도 단단한 보안을 지키는 것이 보안부서의 과제가 될 수 밖에 없습니다. 국내에서는 시스템을 신청할 때는 반드시 담당자의 승인을 받아야만 합니다. 전자 결제에 별도로 들어가 승인시스템을 선택하고, 승인자를 지정하고, 승인을 받고, 계정을 발급받는 등 다소 복잡할 수 있는 이 단계적 승인 절차, 누가 어떤 권한을 가지고 어떤 시스템에 접근할 수 있는지를 아날로그 방식을 옥타를 도입한 후 일원화-자동화 하여 한번에 효율적으로 진행할 수 있게 되었습니다. 또한, 신청 뿐 아니라 신청 후에도 계정의 현황을 정기적으로 관리하면서 불필요한 정보는 파기하는 등, 유지 관리까지 통합적으로 해 주어 보안부서의 보안과 편의성이 더욱 증대되었습니다.
더 나은 보안성과 더 좋은 효율성
애자일한 조직문화를 위한 여정을 옥타와 함께
현재 보안 문화의 트렌드는 ‘제로 트러스트(Zero Trust)’ 즉, 아무것도 믿지 않는다는 것입니다. 지금은 클라우드 시대로 예전에는 침입가능한 문이 하나였다면 현재는 외부는 물론 내부 등에서 다각도에서 공격 위협이 발생할 수 있습니다. 이러한 상황에서 하나의 아이디와 비밀번호만으로 통합적으로 관리할 수 있는 옥타의 시스템은 스푼라디오의 보안과 효율 모두에 획기적인 도움을 주었습니다. 추가 앱을 이용할 때도 번거로운 추가 인증 또는 새로운 아이디 발급이 필요없이 통합된 아이디로 사용할 수 있습니다. 대개 보안과 편의성은 반비례하기 마련입니다. 즉, 보안 수준을 높이면 요구하는 절차가 늘어나거나 복잡해져서 생산성과 효율성이 떨어지거나 직원들이 불편해질 수 있는데, 옥타의 시스템 내에서는 통합된 관리를 통해 불필요한 과정을 줄여 회사의 생산성을 증대 시키면서 높은 수준의 보안을 유지할 수 있습니다. 보안성과 생산성 두 마리 토끼를 모두 잡는 일, 그리고 스푼라디오가 추구하는 제로 트러스트(Zero Trust)의 여정, 옥타와 함께라면 가능합니다