노을에 입사하면서 가장 먼저 도입을 고민했던 IT 시스템은 AD(Active Directory)였다. AD는 Microsoft에서 윈도우 PC 및 사용자 계정을 중앙에서 관리하기 위해 만든 계정 관리 서비스다. 요즘에는 이러한 계정 및 인증관리 서비스를 IAM(Identity and Access Management) 서비스라고 부른다.
한국컴패션에서 시스템 관리를 하며 10년간 AD를 경험했다. AD를 활용하면 사내 윈도우 PC 및 서버에 대해서 강력한 접속 및 권한 관리를 할 수 있다. 각 윈도우 설정을 중앙에서 통제할 수 있고, 사내 DNS를 구성할 수 있으며 RADIUS 같은 인증 서비스를 통해 기업용 wifi 인증을 적용할 수도 있다. 실제로 와디즈 재직 시에는 AD를 도입하여 Meraki 무선 AP에 RADIUS 서비스 연동을 하여 PC 로그인 계정으로 wifi 접속 인증도 처리했었다. AD가 있으면 AD 계정 연동을 지원하는 여러 기업용 솔루션에 SSO(Single Sign On)를 적용할 수도 있다. 다만 해당 기업용 솔루션은 On-Premise(기업의 사내 네크워크에 존재하는) 여야 한다.
하지만 AD를 잘 사용하려면 관리의 부담을 생각해야 한다. 사내 서버실을 잘 구성해야 하고, 사내망에 AD 서버를 이중화로 구축해야 한다. AD 서비스의 관리 유지보수와 각종 그룹 정책을 적용하는 것도 관리자 입장에서 쉬운 일은 아니다. 인프라를 AWS와 같은 클라우드에 올려서 구성하는 스타트업에게는 사내망에 AD를 구축하는 것 자체가 부담될 수 있다. 그리고, 요즘과 같이 SaaS 서비스가 대세를 이루고 있는 시대에는 On-Premise 보다는 SaaS 서비스와의 계정 연동이 필수이기 때문에 Azure AD도 함께 도입해야 한다.
AD 도입에 대한 고민을 하며 구축 파트너를 찾고 있던 중 Byline에서 Okta와 함께 진행하는 세미나를 발견했다. 클라우드 시대 아이덴티티 관리.. 뭔가 내가 고민하던 문제에 대한 실마리를 찾을 수 있을 것 같았다. Okta는 AD와 SaaS 서비스 사이의 SSO를 위해 몇 년 전에 Onelogin과 함께 검토를 했던 서비스다. 그 당시에는 관련 기술 지식이 부족한 상태에서 연동이 너무 복잡하기도 하고, 한국어 지원도 되지 않아서 연동을 검토하다 중단했었다. 그런데 이제 정식으로 Korea Office가 생겨서 세미나를 진행하는 거였다.
Okta는 클라우드 기반의 IAM 서비스다. 사내망에 AD가 있을 때는 이를 원본 데이터로 하여 각 계정 정보를 Okta와 싱크를 시키고, 다양한 클라우드 서비스와 계정 연동을 통해 단일 계정으로 Office365, Google Workspace, Salesforce 등 다양한 SaaS 서비스의 로그인 인증을 가능하게 해주는 것이 주요 기능이다.
만약 AD가 없다면 Okta 자체를 계정의 원본으로 사용하여 다른 클라우드 서비스의 인증 처리를 할 수도 있도록 Universal Directory라는 기능을 제공한다. byline에서 진행한 세미나를 통해 Okta의 기본 개념을 알게 되었고, AD 없이 계정 관리에 대한 아이디어를 얻을 수 있었다. 이후 노을의 상황에 맞는 구성 정보가 필요해서 Okta Korea와 후속 미팅을 진행했고, 실제로 조금 먼저 도입해서 사용하고 있는 스타트업을 소개받아 방문하여 추가로 궁금한 부분을 물어볼 수 있었다.
최종적으로 AD 도입 없이 Okta + MDM(Mobile Device Management)을 구축하는 것으로 방향을 잡았다. Okta에서 제공하는 directory service 만으로는 AD에서 제공하는 그룹 정책을 통한 PC 관리 기능을 대체할 수 없기 때문에 MDM을 함께 도입하여 PC 관리라는 역할을 대신하게 하기로 했다.
코로나를 지나면서 기업의 업무 환경은 많이 바뀌었다. 원격근무가 일상화되면서 기업의 IT도 IAM 관리를 위해 변화가 필요하다. Okta는 이러한 변화에 다음과 같은 장점을 제공할 수 있다.
클라우드 기반 관리 : IT 관리자의 물리적 위치에 상관없이 인터넷 연결만 되면 임직원의 계정 및 권한 관리가 가능해진다. On-Premise 환경에서 필수적인 VPN도 필요하지 않다.
포괄적인 IAM 플랫폼 : Okta는 단순히 계정 관리뿐 아니라 안전한 인증을 위한 MFA, SSO 및 self-service password reset 기능뿐 아니라 접속 IP 제한, 지역 기반의 로그인 제한, Device Trust 등 다양한 추가 보안 기능을 통해 통합적인 IAM 플랫폼의 역할을 한다.
광범위한 통합 : On-Premise 뿐 아니라 Cloud 기반의 다양한 솔루션과 계정 통합 및 권한 관리 가능. 또한 계정 관련 설정 자동화를 위한 Workflow 기능을 제공하여 IT 관리자의 생산성을 높여준다.
제로 트러스트라는 보안 개념이 보안 업계의 큰 화두다. 네트워크 망 단위로 보안을 정의하여 한번 인증을 하면 여러 시스템에 접속할 수 있었던 과거와 달리 모든 시스템과 접속에 대해서 신뢰하지 않고 상시 인증을 하고 확인을 해야 한다는 개념이다.
Okta를 도입한 후 제로 트러스트 보안 모델을 사내에 적용할 수 있겠다는 생각이 들었다. 그동안 Google Workspace, Jira, Smartsheet, Notion, Zoom 등 여러 SaaS 및 솔루션을 Okta와 연동했고, 최근에는 제품 개발부서에서 개발한 사내 업무용 솔루션에 Okta를 로그인 인증서비스로 붙여서 사용하는 일도 생겼다. 모든 IT 영역에서 제로 트러스트를 구현하기까지 갈 길이 많이 남았지만 아직까지 AD 대신 Okta를 선택한 것에 대해서 만족해하고 있다.