옥타 “고객 아이덴티티 보안, C레벨이 관리해야”

장희재 옥타아이덴티티코리아 기술총괄(상무)이 30일 서울 강남구 인터컨티넨탈서울 코엑스에서 전자신문 주최로 열린 최고정보관리책임자(CIO)·최고정보보호책임자(CISO) 조찬 세미나에서 옥타 '커스터머 아이덴티티 클라우드'(CIC)에 대해 설명하고 있다.

“고객 아이덴티티 보안을 단순히 프로덕트팀에 맡길 게 아니라 C-레벨이나 이사회가 관리해야 할 중요 이슈로 고려해야 합니다.”

장희재 옥타아이덴티티코리아 기술총괄(상무)은 30일 서울 강남구 인터컨티넨탈서울 코엑스에서 전자신문 주최로 열린 최고정보관리책임자(CIO)·최고정보보호책임자(CISO) 조찬 세미나에서 “강력한 사전조치와 지속 모니터링을 통해 고객 아이덴티티 보안을 강화해야 한다”면서 이같이 말했다.

옥타 보고서에 따르면 △가짜 계정 등록(Fraudulent Registration) △크리덴셜 스터핑(Credential Stuffing) △다중인증 우회(MFA Bypass) △유출 패스워드(Breached Passwords) 등이 고객 아이덴티티 보안을 위협하는 주요 요소다. 특히 웹·애플리케이션을 대상으로 한 공격에서 계정정보를 악용(credential abuse)한 사례가 89%를 차지한다.

장 기술총괄은 갈수록 늘어나는 고객 아이덴티티 위협에 대한 대응방안으로 옥타 '커스터머 아이덴티티 클라우드(CIC)'를 제시했다. CIC는 아이덴티티 전문성이 없는 애플리케이션 개발자도 쉽게 서비스에 고객 아이덴티티 관리 프로세스를 적용할 수 있는 고객 계정 접근제어(CIAM) 솔루션이다. 고객 경험을 해치지 않으면서 고객의 중요한 정보를 보호하고 개인정보보호법 등 각종 법규를 준수할 수 있다.

CIC는 고객단과 앱단, 네트워크단 등 다층적 고객 아이덴티티 보호가 핵심이다. 봇(Bot)을 이용한 공격을 탐지하거나, 계정 인증 이후 네트워크 패턴 변경 또는 이상한 행동이 감지되면 재인증하는 등 고객 아이덴티티 보호를 강화한다.

30일 서울 강남구 인터컨티넨탈서울 코엑스에서 전자신문 주최로 열린 최고정보관리책임자(CIO)·최고정보보호책임자(CISO) 조찬 세미나 모습.

특히 옥타 CIC 시큐리티 센터는 고객 아이덴티티 공격 시도를 단일 대시보드로 제공한다. 일례로 특정 트래픽에 대해 정상인지 공격이 의심되는지를 일목요연하게 대시보드 형태로 보여준다. 또 봇의 크리덴셜 스터핑 공격을 탐지해 알려주고 보호 기능을 활성화하면 봇 방지 툴이 켜진다. 유출 패스워드를 탐지해 유저에게 패스워드 변경을 안내하기도 한다.

장 기술총괄은 “CIC를 사용하면 개발자 리소스를 고객 아이덴티티가 아닌 핵심 기술 개발에 투입해 제품차별화에 보다 집중할 수 있는 여건을 마련한다”면서 “향상된 고객 아이덴티티로 고객 경험을 강화할 수 있다”고 말했다.

조재학 기자 2jh@etnews.com