원격 인력에게 안전한 액세스 지원

분산된 원격 팀을 지원하는 조직이 점차 많아 짐에 따라 모바일 업무에 내재한 고유한 액세스 및 보안 고려 사항의 중요성이 대두되고 있습니다.

그렇다면 어떤 협업 툴을 사용해야 할까요?

직원 분산의 최대 과제 중 하나는 올바른 툴을 제공하여 직원의 역량을 강화하는 것입니다. 지난 몇 년 동안 많은 조직들이 직원들의 원격 협업을 지원하기 위해 Zoom, Slack 및 Box와 같은 디지털 생산성 애플리케이션을 도입했습니다.

 Okta의 2021 Businesses @ Work 보고서에 따르면 이들 제품은 Okta 카탈로그에서 가장 인기 있는 협업 앱이었습니다. 견고한 기반의 클라우드 기반 협업 툴을 찾고 있는 조직이라면 이들 제품을 먼저 사용해보시기 바랍니다.

클라우드
및 온프레미스 서비스에 신속하게 액세스를 제공할 수 있는 방법

 SSO(Single Sign-On) 솔루션을 통해 롤아웃을 하면 이러한 새 앱을 빠르고 효율적으로 이용할 수 있습니다.

SSO는 클라우드 앱에 대한 액세스 제공과 주로 관련이 있지만, 이것이 유일한 사용 사례는 아닙니다. 클라우드 호스팅 인프라에 액세스해야 하는 직원의 경우, IaaS 플랫폼을 SSO 솔루션과 통합하면 서버에 액세스할 때 동일한 자격 증명 집합이 사용되도록 할 수 있습니다.

또한 많은 조직들이 Oracle eBusiness Suite, Peoplesoft, JD Edwards, SharePoint, Qlik와 같은 온프레미스 애플리케이션에 대한 보안 액세스를 직원에게 제공하는 데 어려움을 겪고 있습니다.

Oracle E-Business Suite
IBM Logo White
Oracle Peoplesoft
Microsoft IIS
Oracle Hyperion
Oracle JD Edwards
Qlik Logo White
Outlook Logo White
SharePoint Logo White

조직에서 활용하는 레거시 온프레미스 앱은 기존과 마찬가지로  WAM(Web Access Management) 툴을 사용해 원격으로 액세스할 수 있으므로 직원들이 온프레미스에 호스팅되는 앱에 안전하게 로그인할 수 있습니다. 

SSO는 이 외에도 다음과 같은 이점이 있습니다.

IT 헬프 데스크에 대한 비밀번호 리셋 요청 감소

모든 팀원이 원격으로 업무를 수행하면서 엔드 유저가 필요할 때 비밀번호를 리셋할 수 있는 셀프 서비스 기능이 필요해졌습니다.

기존 디렉토리에 통합

조직에서 Active Directory나 다른 LDAP 디렉토리를 사용하는 경우, 사용자는 동일한 자격 증명을 계속 사용하여 모든 앱에 액세스할 수 있습니다.

보고/로그

직원이 원격 근무를 하더라도 SSO를 활성화하면 IT 및 보안 팀이 엔드 유저 로그인을 추적하고 모든 보안 이벤트에 대응할 수 있습니다.

효과적인 MFA(Multi-Factor Authentication)를 구축하는 방법

많은 조직들이 내부 네트워크를 보호하기 위해 중대한 조치를 취하고 있지만, 이러한 보안 제어가 반드시 사무실 밖으로까지 확장되는 것은 아닙니다. 직원이 새 디바이스와 새 네트워크에서 회사 리소스에 액세스할 때 이러한 보안 제어를 실수로 우회할 수 있습니다.

게다가 재택 근무 뿐만 아니라 카페나 공항 또는 기타 장소에서 일하는 경우도 있다는 것을 고려해야 합니다. 이로 인해 직원 디바이스의 분실 또는 도난 가능성이 높아지고, 공격자는 악의적으로 중요한 기업 데이터에 액세스할 위험이 있습니다.

Okta는  MFA(Multi-Factor Authentication)의 형태로 고객이 모든 사용자 계정에 보안 계층을 추가할 것을 강력히 권장하고 있습니다. 추가 인증요소는 보안 질문이나 SMS 일회용 비밀번호와 같이 다양한 형태가 될 수 있지만, 모바일 인증 앱이나 생체 인식과 같은 강력한 인증요소를 사용하는 것이 좋습니다.

다음은 위치에 관계없이 모든 직원에게 MFA를 적시에 롤아웃하기 위해 취할 수 있는 조치들입니다.

직원이 이용할 수 있는 인증요소 식별

WebAuthn(FIDO2.0)을 통한 생체 인식이나 Okta Verify와 같은 모바일 인증 앱을 사용할 것을 권장하고 있지만, 보통은 SSM OTP와 이메일 OTP가 사용됩니다. 등록 당시 핸드폰을 이용할 수 없는 경우에 대비해 사용자가 이용할 수 있는 인증요소 유형을 두 개 이상 마련해 두는 것이 좋습니다.

특정 그룹에 보다 강력한 인증요소가 필요한지 여부를 결정

중요한 정보에 대한 액세스 권한을 가진 임직원 및 직원에게는 WebAuthn(FIDO2.0) 지원 인증요소를 제공하도록 요청하는 것이 바람직합니다. 예를 들면 MacOS의 TouchID나 Windows Hello, Android의 지문, FIDO2.0 지원 하드 토큰 등이 여기에 해당합니다. 직원의 노트북이나 핸드폰에서 FIDO2.0 인증 툴이 지원되지 않는 경우에는  Yubico의 FIDO2.0 하드 토큰을 전송하는 방법을 고려해보십시오.

단계적으로 MFA 롤아웃

먼저 MFA에 등록해야 하는 그룹을 결정하고 이를 확장할 수 있습니다. 예를 들어 다음과 비슷한 순서로 MFA를 롤아웃할 수 있습니다. 

  • 1단계 : IT 및 보안 팀 직원 
  • 2단계: 경영진(최고 경영진, 부사장)
  • 3단계: 정보에 대한 액세스 권한을 가진 직원(고객 데이터에 대한 액세스 권한을 가진 영업 팀, 수익 정보에 대한 액세스 권한을 가진 마케팅 팀, 소스 코드에 대한 액세스 권한을 가진 엔지니어 등)
  • 4단계:  기타 모든 정직원 
  • 5단계: 인턴, 계약자, 임시직 
  • 6단계:   회사 리소스에 액세스해야 하는 외부 파트너

WebAuthn(FIDO2.0)이 처음인 분들은  여기에서 자세한 내용을 확인하실 수 있습니다. 또한 WebAuthn 데모 사이트를 이용해 WebAuthn의 작동 방법을 확인해야 합니다. 

MFA 롤아웃은 관리자와 엔드 유저의 클라우드 애플리케이션에서 앱 액세스를 보호하는 데 필수적인 리소스로, 다음과 같이 미처 인식하지 못한 몇 가지 원격 업무 애플리케이션도 여기에 포함이 됩니다.

온프레미스 앱을 위한 MFA

온프레미스 앱을 SSO 솔루션에 연결하면 클라우드 앱에서 사용하는 것과 동일한 인증요소를 해당 앱에서 사용할 수 있습니다. 여기에는 동일한 정책 시행 설정이 적용됩니다. 즉, MFA는 앱당 한 번, 또는 세션 시간을 기준으로 한 번만 적용됩니다

서버를 위한 MFA

원격으로 서버에 액세스하는 기능도 훌륭하긴 하지만, 서버에는 일반적으로 중요한 앱이 호스팅되므로 이러한 서버에 대한 액세스를 안전하게 보호하는 것이 반드시 필요합니다. 사용자가 클라우드 호스팅 서버에 RDP할 때 MFA를 적용합니다.

VPN을 위한 MFA

온프레미스 앱이 외부에서 사용할 준비가 되지 않은 경우, MFA를 지원할 수 있도록 다양한 VPN 솔루션이 SSO 공급자에 통합되어 있습니다. 지원되는 인증요인은 MFA 솔루션에 따라 다를 수 있지만, 사용자가 VPN에 액세스할 때 MFA 메시지를 표시하기 위한 일반적인 지침은 다음과 같습니다. 

  • 가능하면 VPN 공급자를 SSO 공급자와 통합하여 VPN에 대한 SAML 기반 로그인을 활성화합니다. 이렇게 하면 비밀번호 스프롤 현상을 줄이는 데 도움이 되고, 다른 모든 앱에서 사용하는 것과 동일한 인증요소를 VPN에서도 사용할 수 있습니다.
  • 혹은 RADIUS를 사용하여 VPN 공급자를 SSO 공급자와 통합하는 방법도 있습니다. 사용자가 로그인을 하면 SMS 일회용 비밀번호나 음성 일회용 비밀번호를 입력하라는 메시지가 표시되거나 모바일 인증 앱 알림이 계속해서 표시됩니다. 

원격 직원을 위해 어떤 액세스 정책을 설정해야 할까요?

모든 직원에게 SSO와 MFA를 배포했다면 이제 사용자, 디바이스, 네트워크, 위치 등의 컨텍스트를 기반으로 보다 세분화된 액세스 정책을 수립할 차례입니다. 정책의 강도를 로그인과 관련된 잠재적 위험에 맞춰 세분화된 액세스 정책을 수립하는 것이 가장 좋습니다. 이러한 정책으로는 다음과 같은 것들이 있습니다. 

Office 365에 대한 POP/IMAP 기반 인증 비활성화

POP/IMAP 프로토콜은 MFA 요구 사항을 우회합니다. 따라서 이러한 프로토콜에서는 Office 365에 대한 액세스를 모두 차단하는 것이 가장 좋습니다. 이러한 프로토콜을 보호하는 자세한 방법은 백서 여기에서 확인하실 수 있습니다. 

네트워크 차단 목록 생성

 조직에서 악성으로 알려진 네트워크, 토르 브라우저, 위험 지대에서의 액세스를 차단해야 하는 경우에는 이러한 유형의 네트워크에서 사용자가 앱 액세스를 시도할 때 액세스를 거부하거나 MFA를 위한 메시지가 표시되도록 정책을 만들어야 합니다. 

엔드 유저를 위한 이메일 알림

엔드 유저에게는 가시성이 중요합니다. 원격 직원이 다양한 유형의 디바이스에서 회사 리소스에 액세스해야 하는 경우가 있기 때문에 새 디바이스로 로그인하는 경우, MFA를 등록하거나 리셋하는 것과 같이 의심스럽거나 간헐적인 활동이 계정에서 탐지될 때는 사용자에게 알림을 보내는 것이 유용합니다.

모바일 및 데스크톱 기기에 대해 관리형 디바이스 확인 기능을 활성화

원격 근무를 위해서는 BYOD(Bring Your Own Device)를 허용하여 엔드 유저가 앱에 액세스할 때 일체의 불편함이 없도록 해야 합니다. 등록된 관리형 디바이스만 회사 리소스에 액세스하도록 설정하려면 SSO 솔루션을 엔드포인트 관리 공급업체에 통합하여 액세스를 거부하거나, 미관리 디바이스에 등록하도록 엔드 유저에게 메시지를 표시해야 합니다.