시스코 IT 팀에서는 130,000명에 달하는 사용자가 장소나 디바이스에 구애받지 않고 마찰 없이 안전하게 업무를 볼 수 있는 제로 트러스트, 사용자 친화적인 방식으로 인력 보안을 확보해야 했습니다. 이 팀은 자사 Duo Passwordless를 활용하여 피싱 위험이 있는 다중 인증 요소를 없애고, 사용 편의성과 생산성을 개선하며, 인증 작업을 93% 줄여 어디서든 인력 보안을 확보할 수 있었습니다.
시스코에서는 미래에 대비해 직장 내 보안을 확보한다는 것이 곧 기술 발전에 끊임없이 적응하고, 위협 환경보다 한발 앞선 입지를 고수한다는 의미입니다. Duo를 비롯한 자사 보안 제품군을 활용하는 것이 바로 그런 미래 대비에 중대한 역할을 해 왔습니다.
팬데믹 시기에 인력의 대부분이 원격으로 근무하게 되면서, Duo Beyond를 구현해 기존의 네트워크 기반 경계와 VPN 모델에서 벗어나 제로 트러스트 프레임워크로 전환하여 사용자가 장소와 디바이스에 구애받지 않고 마찰 없이 안전하게 업무를 볼 수 있게 했습니다.
지금은 오늘날의 보안 니즈에 부응하기 위해 애쓰며, 동시에 Duo Passwordless의 다음 단계에 맞춰 적응하면서 제로 트러스트 여정을 계속 이어가고 있습니다. 이제는 ID가 경계이자, 사이버 위협에 맞선 1차 방어선입니다. 대부분의 데이터 침해는 자격 증명이 약하거나 도용된 데서 비롯됩니다. 따라서 앞으로는 패스워드리스 인증이 필수라는 사실은 명백합니다.
비밀번호의 문제점
간단히 말해, 비밀번호는 해커에게 손쉬운 표적입니다. 비밀번호도 한때는 중요한 정보를 보호하는 황금률이었지만, 이제는 끊임없이 진화하는 위협 환경에서 오래되고 취약한 보호 수단으로 전락했습니다. 비밀번호는 피싱 공격에 당할 위험이 크고, 잊어버리기 쉽고, 사용자의 짜증을 유발해 IT 팀에 비밀번호 관련 헬프 데스크 티켓이 대량 접수되는 상황도 많습니다.
사용자는 비밀번호 피로에 시달린 끝에 여러 계정에서 약한 비밀번호를 사용하거나, 비밀번호를 재사용하거나, 아주 약간만 수정한 비밀번호를 사용할 가능성이 커집니다. 비밀번호를 잘 관리하기란 쉽지 않고, 적용하기도 까다롭습니다. 시스코 IT 팀에서도 Duo Passwordless를 이용하기 전에는 사용자 수 130,000명이 넘는 엄청난 인력을 대상으로 이런 문제에 대처하느라 고전했습니다.
시스코는 대기업이자 기술 부문의 선도 기업이므로, 보안이 저해되면 비즈니스와 혁신에 중대한 영향이 발생하게 됩니다. 공격자가 소스 코드, 내부 시스템 세부 정보, 고객 데이터나 지식 재산과 같은 중요한 정보를 손에 넣으면 우리 비즈니스와 직원만 위험해지는 것이 아니라, 우리 기술력에 의존하는 고객도 위험해집니다. 우리는 비즈니스에 미치는 비밀번호 관련 보안 위험을 완화하고 직원과 지원팀이 직면하는 어려운 상황을 타개하기 위해 인증에 대한 접근 방식을 바꿔야 했습니다.
기존 다단계 인증(MFA)으로는 더 이상 역부족
사이버 범죄가 점점 더 정교해짐에 따라 인증도 그만큼 진화를 거듭해 왔습니다. 처음에는 “지식 기반(something you know)”, 즉 사용자 이름과 비밀번호로 시작했습니다. 그러다가 MFA를 추가했습니다. MFA는 “지식 기반”에 디바이스, 지문 등 “소유 기반(something you have)” 또는 “고유 특성 기반(something you are)”을 결합한 방식입니다. 비밀번호의 “지식 기반” 요소는 사용자 이름과 비밀번호만 사용하는 것보다는 강력하지만, 여전히 취약성에 노출되기 쉬웠습니다.
패스워드리스로의 전환: 보안과 사용자 경험 위주
우리는 Duo 제품 팀과 긴밀히 협력하여 보안을 강화할 뿐만 아니라 사용자 경험도 향상하는 사용자 친화적인 제로 트러스트 접근 방식을 취했습니다. 이를 위해 Duo Passwordless를 구현했습니다. 단순히 보안만 강화하는 것이 아니라, 지금은 물론 앞으로도 고객과 직원 모두에게 더 나은 서비스를 제공할 원활한 경험을 조성하는 방안이기도 했습니다.
Duo Passwordless도 MFA이기는 마찬가지이지만, 한 걸음 더 나아가 이 경험을 한 단계로 결합하여 더 원활한 사용자 경험을 제공하는 것이 특징입니다. 이 기법은 암호화 퍼블릭-프라이빗 키 페어에 의존하며, 생체 인식(예: 지문이나 얼굴 인식) 또는 YubiKeys와 같은 보안 키를 활용해 사용자가 비밀번호 없이 인증할 수 있게 합니다.
Duo를 Customer Zero로 강화
Duo Passwordless의 “Customer Zero”로서 우리는 출시 전에 조기 파일럿 프로그램을 통해 기술을 테스트하고 개선할 수 있었습니다. 다단계 접근 방식을 이용해 우선 소수의 IT 팀과 보안 스태프로 구성된 그룹으로 시작했습니다. 피드백을 통해 성능과 기능성을 개선하면서 10개월의 기간에 걸쳐 전체 인력을 대상으로 점진적으로 확대해 나갔습니다. 초기 파일럿 그룹에서 얻은 지식과, 다양한 사용자에게 어떤 영향이 발생할지 알아낸 인사이트가 인력에게 변경 사항을 전달하는 방식을 정하는 데 도움이 되었습니다.
Cisco IT Security 및 Trust Organization(S&TO)에서는 조직 내 여러 팀 간 세심한 협업을 통해 패스워드리스 미래를 향해 나아가기 시작했습니다. IT 보안 팀 산하 우리 팀이 이 프로젝트를 주도하는 역할을 맡고, S&TO에서는 변경 관리 지원을 제공하고, IT UX, IT Comms, IT Research & Analytics 팀에서 필요에 따라 지원했습니다. 주요 앱에 국한해서만 필수 패스워드리스로 전환한 이후부터는 Help@Cisco에서도 내부 사용자의 지원 프로세스를 관리하는 역할을 담당해 서비스 팀이 제품 운영과 개선에만 집중할 수 있게 조력했습니다.
문제점과 배운 내용
전체 롤아웃은 제한된 프로모션만으로 많은 인력이 유기적으로 등록하는 결과를 얻었지만, 채택률 면에서 몇 가지 난항을 겪었습니다. 많은 사용자가 처음에는 생체 인식을 활용하는 데 우려를 표했습니다. 예를 들어 Windows Hello 사용자의 경우, 기본적으로 생체 인식으로 로그인하지 않아서 설정하는 방법조차 몰랐습니다. 이런 상황인 사용자는 구체적으로 말해 주지 않으면 생체 인식 로그인 옵션이 있다는 사실을 깨닫지 못했습니다.
이 상황을 시정하기 위해 우리는 생체 인식의 사용 방법, 저장되는 곳, 패스워드리스 인증으로 전환하면 얻을 수 있는 가치 등과 관련한 직원 교육에 주력했습니다. 또한 생체 인식에 대한 대안도 제공했습니다. 예를 들어 Windows에서는 PIN을 사용할 수 있습니다. 플랫폼 기반 인증자를 좋아하지 않는 경우, PIN을 사용해 YubiKey로 로그인해도 되고, 모바일 디바이스에서 패스키를 설정할 수도 있습니다.
또 한 가지 유의할 점은, 처음에는 패스워드리스로의 전환이 필수적이라고 고지하지 않았다는 것입니다. 직원들의 채택과 변경을 독려하기 위한 접근 방식은 최선의 사용자 경험을 제공하겠다는 약속에 기반했습니다. 우리는 채택을 필수 의무로 규정하기보다, 자연스럽게 채택을 택하게 만드는 자석과 같은 역할을 할 서비스와 기술을 제공하고자 했습니다.
여정이 좀 더 진행된 지금은 몇몇 앱에서 패스워드리스만(Passwordless Only) 방식을 적용하기 시작했습니다. 속도는 느리지만 자유 의지에 따른 전환 덕분에 유기적 채택이 가능했고, 이런 관행을 필수로 규정하기 전에 사용자가 신기술에 익숙해지는 데 도움이 되었습니다.
효과: 인력 보안 강화 및 생산성 증강
패스워드리스 솔루션을 인력 전체에 제공한 후에 다음과 같은 몇 가지 실질적인 이점을 누리게 되었습니다.
- 비밀번호 관련 보안 인시던트 0건
- 제로 트러스트 보안 액세스를 사용해 130,000여 명의 직원에게 원활한 경험 제공
- 사용 편의성과 생산성 향상, 인증 작업 93% 감소
- 피싱 가능한 MFA 요소를 없애 보안 강화
- 비밀번호 관련 문제가 줄어 IT 시간과 비용 대폭 절감
앞날: 지속적인 혁신과 확장
업계 전체가 비밀번호에서 완전히 벗어나려면 아직 갈 길이 멀지만, 이번 경험은 주로 지금의 우리 인력에게 제공되는 경험을 바꾸고 우리 비즈니스에 대한 잠재적인 향후 위협을 완화하는 데 주안점을 두었습니다. 완전한 패스워드리스 미래는 우리가 앞으로도 계속 쌓아 나가고 개선해야 할 하나의 여정입니다. 예를 들어 다음과 같은 요소를 포함합니다.
- 인력을 위한 보안 및 사용 편의성 향상: Duo Beyond를 구현하면서 시작되어 Duo Passwordless로 진행된 우리의 여정은 시스코 IT 내부에서 Cisco Secure Access로 전환하는 현재 진행형 프로젝트를 뒷받침한 과정입니다(자세한 내용은 추후 공개 예정). ID 보안은 제로 트러스트 액세스의 근본 토대이며, Duo는 단순한 MFA를 훨씬 능가합니다.
- 제로 트러스트 아키텍처 강화 및 발전: Duo 솔루션을 롤아웃했고 최근 Cisco Secure Access 롤아웃에도 성공하면서, ID 우선 SSE를 통한 더 강력한 제로 트러스트 성과를 이룰 수 있을 것으로 전망됩니다.
Duo Passwordless 인증, 우리의 여정, 그리고 Cisco Secure Access와 Duo로 구성된 강력한 조합에 관해 자세히 알아보세요. 시스코 직원인 경우, 시스코 디바이스에서 패스워드리스를 설정하는 방법은 여기를 참조하세요.
기타 리소스:
PS: 6월에 샌디에이고에서 열리는 시스코 라이브에 참석할 예정인가요?
시스코 IT 전문가가 직접 진행하는 라이브 토크를 통해 이러한 성공 사례 및 기타 배포에 관해 자세히 알아볼 특별한 기회를 드립니다! 각 쇼케이스에서 시스코가 본 시스코(Cisco on Cisco)를 참조하시고, 세션 카탈로그에서도 시스코가 본 시스코를 검색하여 저희 세션을 일정에 추가하세요!
Authors