기업 개요:
웨딩파크는 “결혼을 더 행복하게”라는 경영 이념으로 2004년에 설립되었습니다. 2024년 창립 20주년을 맞이하는 웨딩파크는 웨딩 리뷰 정보 사이트로 시작하여 이후 사업을 확장해 왔습니다. 풍부한 정보를 바탕으로 결혼 준비 리뷰 사이트 웨딩파크를 비롯한 여러 웨딩 전문 미디어를 운영하고 있습니다. 또한 인터넷 광고 대행 서비스, 디지털 트랜스포메이션(DX) 지원, 교육 벤처 등 디지털 기술과 결합한 웨딩 영역의 다양한 사업을 운영하고 있습니다.
배포 배경 및 과제
웨딩파크는 내부 업무에 사용 중인 여러 클라우드 서비스의 보안 강화와 비밀번호 관리의 복잡성이라는 과제에 직면해 있었습니다. 이러한 문제를 해결하기 위한 방안으로 ID 관리 서비스를 도입하여 싱글 사인온 기능을 갖춘 클라우드 서비스 입구로 통합했습니다.
고객 관리, 주문-공급 시스템, 근태 관리 등의 인증에 사용되는 세일즈포스가 멀티팩터 인증(MFA)을 의무화한다고 발표한 것이 FIDO 인증 도입의 계기가 됐습니다. 하지만 세일즈포스에만 MFA를 적용하고 다른 클라우드 서비스는 계속 비밀번호 인증으로 운영할 경우 사용자의 사용성이 저하될 뿐만 아니라 IT 관리 부서의 업무도 더욱 복잡해진다. 또한, 비밀번호 전용 인증의 취약성으로 인해 2020년 2월 제로 트러스트 보안 추진 방침에 따라 Salesforce를 포함한 모든 클라우드 서비스에 MFA를 적용하기로 결정했습니다.
인증자 선택 및 확인
MFA를 위한 인증 수단으로 일회용 비밀번호 인증(OTP)과 스마트폰 애플리케이션을 활용한 생체인증 등을 고려했지만, 결국 보안과 사용자 편의성을 모두 향상시킬 수 있는 FIDO를 활용한 비밀번호 없는 인증을 도입하기로 결정했습니다.
FIDO를 사용하여 비밀번호 없는 인증을 구현하기 위해서는 FIDO 호환 생체인증 디바이스가 탑재된 단말기가 필요합니다. 현재 시중에 출시된 대부분의 디바이스가 FIDO 인증을 지원하며, 일부 직원을 제외하고는 이미 모든 사내 디바이스에 Windows Hello와 Touch ID가 탑재되어 있어 FIDO 도입에 큰 도움이 되고 있습니다. 생체 인식 기능이 탑재되지 않은 디바이스를 사용하는 일부 직원을 위해 별도의 외부 Authenticator를 설치했습니다.
각 부서를 위한 단계별 전환 방법
인증수단 검토를 거쳐 2022년 1월, 비밀번호 없는 인증을 전사적으로 도입한다는 방침을 공식적으로 발표했습니다. 전환은 같은 해 2월부터 3월까지 진행되었으며, 한 달이라는 짧은 기간에 원활하게 구축할 수 있었던 것은 부서별 추진과 IT 관리 부서의 아낌없는 지원이 있었기에 가능했습니다. 이번 구축을 위해 회사는 2012년부터 사용 중인 국제시스템리서치(ISR)의 ID 관리 플랫폼인 ‘클라우드게이트 유노’가 FIDO2를 활용한 패스워드 없는 인증과 스마트폰 앱을 활용한 생체인증을 지원한다는 점에서 지원을 요청했습니다.
사내 시스템 도입은 개발 부서에서 시작하여 점차 직원 수가 많은 부서로 진행되었습니다. 먼저 부서별 정기 회의에서 시스템 도입의 목적과 ‘시스템 도입으로 일상적인 인증이 더욱 편리해질 것’이라는 이점을 전달하고 전사적으로 이해를 구했습니다. 부서 단위로 시스템을 도입한 덕분에 IT 관리 부서에서 한 번에 처리해야 하는 인원이 제한될 뿐만 아니라, IT 기술력이 높은 개발 부서부터 시스템을 도입했기 때문에 테스트 사례로 QA를 축적하고 매뉴얼을 원활하게 유지 관리할 수 있다는 장점이 있었습니다.
IT 관리 부서에서 자료 준비는 물론 수시로 관리자 홈페이지에서 진행 상황을 확인하고, 아직 인증서를 등록하지 않은 직원들에게 개별적으로 접근하는 등 면밀한 사후 관리를 진행한 결과, 목표한 기간 내에 전사적으로 시스템을 구축할 수 있었습니다.
도입 효과
한 달에 200건 정도 발생하던 비밀번호 오입력으로 인한 로그인 오류는 FIDO 인증 도입 이후 0건으로 줄었습니다. 많은 직원들이 비밀번호를 잊어버리거나 입력 오류로 인한 인증 실패가 사라져 매우 편리해졌다고 평가했습니다. 또한 주기적인 비밀번호 재설정 요청 횟수가 감소하여 관리자의 작업 시간도 단축되었습니다.
비밀번호 없는 인증이 원활하고, 인증 상태 유지 기간을 단축하여 보안을 더욱 강화했지만 이후에도 시스템은 문제없이 계속 운영되고 있습니다.
웨딩파크의 향후 비전은 사내에서 사용하는 모든 클라우드 서비스를 ‘클라우드게이트 유노’에 연동하고, 인증을 포함한 모든 과정을 ‘클라우드게이트 유노’로 중앙에서 관리하는 것입니다.
이 사례 연구에 대해 저희와 이야기를 나눈 기업 IT 부서의 총책임자 아키라 니시는 다음과 같이 말했습니다.
“새로운 인증수단 도입을 고려하는 입장에서는 인증수단 변경으로 인해 대규모 로그인 장애가 발생하지 않을까 하는 우려가 있을 수밖에 없습니다. 저희의 경우 프로젝트 초기 단계에 각 부서별로 설명회를 개최하고 설명 자료와 절차를 반복적으로 숙지시켜 사내 혼란과 불안을 최소화하는 데 효과적이었습니다.
“전환 후에도 각 부서와 개별적으로 구축 진행 상황을 지속적으로 점검하고 후속 조치를 취했는데, 일단 사내에서 패스키(device-bound passkey) 사용이 표준화되면서 각종 보안 조치 등 활용 범위가 대폭 확대되는 것을 느꼈습니다.”
