Cover Story

Q 2. 사인-온, 접근, 인증 정책들은 어떤 것인가?

인터넷을 통해 애플리케이션에 접근하는 가장 일반적인 방법은 분명 사용자 이름과 패스워드 사용일 것이다. 계정연합 소프트웨어(Identity federation software) 제조사 핑 아이덴티티(Ping Identity)의 기술 총책임자 패트릭 하딩(Patrick Harding)은 “일반적인 방법은 그것의 정문으로 가는 것이다”라고 말했다.

그러나 보다 많은 기업들이 SaaS 사인-인(Sign-in) 프로세스를 그들의 방화벽이나 VPN 영역에 넣기 위해 더 높은 인증 정도를 제공하는 서비스 공급자와 함께 작업하고 있다. 그러나 사용자가 문제의 애플리케이션에 사인 온하기 전에 사용자 이름이 먼저 안전하게 회사의 기업 인트라넷에 로그인 되어야만 한다. 이것은 그 로그인이 기업의 보안 정책을 따르고 있다는 것을 보장한다. 또한 어떤 직원이 퇴사할 경우 보다 쉽게 해당 계정 접근을 사용할 수 없게 할 수 있다.

포레스터 리서치의 애널리스트 리즈 허버트(Liz Herbert)는 이것이 효과적으로 기업의 내부 IT 부서의 손에 접근 정책을 돌려준다고 말했다. 그녀는 “기업은 패스워드 정책을 갖고 있어야만 한다. 그러나 때때로 같은 규칙으로 SaaS 애플리케이션을 관리할 수 없는 경우가 있다”고 말했다. 그녀의 말에 따르면  SaaS 사인-인(sign-in) 프로세스가 싱글사인온 프로세스와 결합될 수 있는지, 또는 액티브 디렉토리와 같은 LDAP 디렉토리 서비스와 통합될 수 있는지의 여부를 주의해야 한다(‘Single Sign-on’ 참고).

프로젝트 관리와 비즈니스 기능을 처리하기 위해 SaaS를 사용하고 있는 Ebiztechonline의 최고경영자 Adam Sroczynski는 “이 점 때문에 내가 거부했던 웹 기반 애플리케이션들을 자세히 살펴보고 있다”고 말했다. Sroczynski의 가장 큰 고민은 사용자 이름과 패스워드를 적절히 보호하기 위한 SaaS 공급자의 정책들이다. 만일 적당한 공식적인 방안이 없었더라면 세일즈포스닷컴과 같은 침해가 더 많이 발생했을 것이다.

사람의 잘못된 판단에 관한 잠재적인 위험들을 감소시키기 위한 적절한 보안 수단을 내부적으로 갖춰놓지 않았기 때문이다. 사업체들은 그들 스스로 이러한 프로세스의 통제 유지를 고민해야만 한다고 그는 제안했다. 그러나 그것은 패스워드가 분실될 경우 SaaS 공급자가 고객을 대표해서 그것을 복구하는 위치가 될 수 없다는 의미이기도 하다.

<글·헤더 클랜시(Heather Clancy)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>