로그인 전략

마지막 업데이트: 2022년 7월 6일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

애플의 엔터프라이즈 전략에 도움이 될 ‘애플 ID로 로그인하기’

애플은 이번 WWDC에서 아이폰, 아이패드, 맥 사용자들이 앱과 웹사이트에 안전하게 로그인할 수 있도록 도와주는 ‘애플 ID로 로그인하기’라는 새로운 온라인 인증 기능을 공개했다. 기업 측면에서 이 기능은 MDM(Mobile Device Management)과 중복되는 경향이 있지만, MDM과의 직접 경쟁보다는 보완제 역할을 하게 될 것으로 기대된다.

애플은 ‘애플 ID로 로그인하기’ 외에 기업 개발자들이 활용할 수 있는 새로운 인증 기능인 SSO 익스텐션(Single Sign-On Extension)도 공개했다. SSO 익스텐션은 모바일 관리 업체나 앱 개발자들이 사용자가 안전한 페이스 ID나 터치 ID로 앱이나 웹사이트에 로그인하도록 하는 API 모음으로, 현재의 ID 체계와 통합할 수 있다.

CCS 인사이트의 엔터프라이즈 리서치 담당 부사장인 닉 맥콰이어는 이번 WWDC에서는 기업용 솔루션이 역대 WWDC 중 가장 많이 공개됐다고 평가했다. SSO 익스텐션을 포함해 iOS의 MAM(Mobile Application Management-only) 모델을 더욱 매력적으로 만들어주는 사용자 수준 등록도 여기에 포함된다.

또, iOS 13 미리보기 페이지에서 애플은 BYOD 프로그램을 위한 데이터 분리를 강조하고 있는데, 이는 기업 데이터를 보호하면서 사용자 프라이버시를 유지할 수 있도록 해주는 기능이다.

‘애플 ID로 로그인하기 기능’은 iOS와 맥OS에서 운영체제 수준에서 동작하며 자동으로 모든 계정을 이중 인증으로 보호해준다. 애플의 설명에 따르면, 애플 디바이스에서 사용자들은 지속적으로 로그인되어 있는 상태이고, 페이스 ID나 터치 ID로 언제든 재인증할 수 있기 때문이다.

맥콰이어는 이 기능이 MDM 플랫폼과 경쟁하는 것이 아니라 보완해주는 역할을 하게 될 것으로 전망했다. 역사적으로 인증 서비스는 모바일 관리 소프트웨어 업체들이 애플 생태계에 더 자연스럽게 인증 매커니즘을 구현할 수 있도록 도와 주기 때문이다.

맥콰이어는 따라서 애플 ID로 로그인하기가 명확히 비즈니스용 도구로 정의된 것은 아니지만 애플 파트너 특히 모바일 관리 벤더들이 이 서비스를 사용할 수 있게 되면 “기업 사용자들에게 크게 매력적일 것”이라고 말했다.

그는 “전반적으로 MDM/관리 업체들은 과거에 출시한 기업 친화적 서비스들에 이 기능을 도입할 것이다. 자세한 내용이 무대에서 다뤄지진 않았지만, 이 서비스가 직원 추가 및 사용자 등록 간소화 등의 사용례 측면에서 MDM 업체들의 관심을 끌 것으로 예상된다”고 덧붙였다. [email protected]

Sponsored

End-to-End 고객 경험의 새로운 아젠다, 디지털 워크플로우

'Effort less Experience'의 저자인 매튜 딕슨은 "고객의 충성도를 저해하는 이유를 가급적 줄여야 하며, 이를 위한 가장 좋은 방법은 고객이 더 적은 노력으로 문제를 해결하도록 돕는 것"이라고 강조했습니다. 가트너 또한 고객의 노력은 고객 충성도를 높이거나 낮추는 가장 강력한 요소라고 합니다. 원하는 해결책을 손쉽게 빨리 찾을 수 있어야 기업의 신뢰도와 만족도가 개선된다는 점에 모두가 공감할 것입니다. 엔드투엔드 고객 경험에서 디지털 워크플로우가 새롭게 조명되는 이유, 그리고 많은 기업이 고민하는 문제인 투자 시 효용에 주목하는 영상을 공유합니다.

고객 경험, 기업 핵심 아젠다로 새롭게 조명받다

기업의 고객 경험(Customer eXperience, CX) 투자 경향이 계속 꾸준한 증가세를 보이고 있다. 어도비의 ‘2021년 CIO 인식조사 보고서(CIO Perspectives Survey 2021)’에 따르면 응답 기업의 33%는 고객 경험 투자가 증가했다고 답했다. 투자가 줄었다고 답한 기업은 8%에 불과했다. 미국에서는 고객 경험 관련 예산 증가를 경험한 CXO가 훨씬 많아, 예산이 증가했다고 답한 CIO가 40%에 이르렀다. 물론 CIO는 예산이 늘어난 만큼 그에 걸맞은 결과를 내야 한다. 12명의 전문가에게 기업의 고객 경험을 계속 개선할 때 필요한 조언을 요청했다. ⓒ Getty Images Bank 부서가 여러 분야를 제대로 넘나들게 하라 유저스냅 설문 조사에서 기업은 고객 경험 업무에 다른 여러 부서를 연결하는 경우가 많다는 결과가 나왔다. 특히 개발 부서는 고객 경험 활동에서 흔히 볼 수 있는 8가지 관련 부서 중 하나다. 일반 관리 및 지원 기능 외에 고객 경험 마케팅, 영업, 운영 및 제품 부서도 뒤섞여 있다. 보스턴 컨설팅 그룹의 전무이 벤저민 레흐버그는 이렇듯 많은 팀을 여러 분야에 걸친 메가 부서로 합쳐야 한다며, IT 부서가 고객 경험을 주도해서도 안 되지만 고객 경험을 만드는 과정에서 배제되어서도 안 된다고 덧붙였다. 레흐버그는 CIO가 데브섹옵스(DevSecOps) 프레임워크와 애자일 방법론을 사용하여 여러 분야를 아우르는 팀을 구성할 것을 조언했다. 또 CIO가 다른 부서 리더를 대상으로 교육을 진행해 팀 안에 구심점을 만들어야 한다고 강조했다. 레흐버그는 “CIO는 이 작업을 수행하는 데 있어 매우 중요한 인물이지만 홀로 추진해서는 안 된다. 조직 전체가 이것에 협조하고 더 나은 고객 경험을 촉진하는 데 일조해야 한다”라고 말했다. 단순한 고객 대면 기술이 아닌 올바른 백엔드 인프라에 투자하라 고객 대면 인터페이스, 기능 및 서비스는 완전히 통합된 최신 백오피스 시스템에 좌우되는 요소다. IT 컨설팅업체인 코그니전트의 컨설팅 매니저 메간 실바는 “웹사이트와 챗봇만 만들면 되는 것이 아니고, 필요한 모든 데이터와 통합된 챗봇인지가 중요하다”라고 말했다. 실바는 많은 기업이 CRM 시스템 현대화에 대규모로 투자하고 있다고 진단했다. 대표적인 예로 헬스케어 산업을 꼽는다. 많은 의료기관이 팬데믹에 대응해 원격의료를 활성화하기 위해 서둘렀지만, 환자가 세션에 로그인하는 동안 후속 진료 예약을 하거나 서비스 비용을 지불하는 데 필요한 기능이 없는 경우가 많았다. 실바는 다른 업계도 비슷한 상태라고 지적하면서 “‘예약 링크,’ ‘비용 지불 클릭’ 같은 메뉴가 있지만, 여전히 투박한 수준에 머무른다. 고객 경험이 준비되지 않은 기업들이 있다. 30개 넘는 도구가 있어도 통합되지 않았다면 의미가 없다”라고 말했다. 올바른 기술을 습득하라 부쉬홀츠는 여러 분야를 아우르는 부서는 적절한 전문 지식도 갖춰야 한다고 강조했다. 그는 자신의 경험을 바탕으로 “개발자의 경우 코딩은 잘 하지만 사용자 인터페이스 구축에는 강하지 않은 경우가 많다”라고 말했다. 또한 “고객 경험을 위한 설계와 사용자 설계는 실제 훈련을 받아야 하는 기술이다. 기술자라면 천부적으로 관련 기술을 보유하고 있을 것이라고 가정해서는 안 된다. 동료 직원을 위해 설계하는 전문 지식은 기업 내에 없는 경우가 많다는 점을 인식해야 한다”라고 말했다. 고객 경험을 잘 만드는 조직은 이 점을 이해하고 있으며, 결과적으로 전문가를 정규 직원으로 두거나 일부 기술자에게 경험 설계 기술을 교육하여 필요할 경우 고객 경험 프로그램을 지원한다. 레흐버그는 또한, 개발자의 마음가짐(특정 비즈니스 요구사항에서 작업)에서 엔지니어 마음가짐(기술자가 코드로 문제 해결 방법을 고안)으로 직원을 전환해야 한다며, CIO는 팀이 올바른 기술을 배양하도록 해야 한다고 강조한다. 또 “개발자의 일하는 방식은 다르다. 교육과 훈련도 달라야 한다”라고 덧붙였다. 이외 고객 경험을 정비하고 제고할 때 필요한 8가지 조언은 다음 콘텐츠에서 더욱 상세히 확인할 수 있다.

RPA를 통한 고객 서비스 개선이 반드시 필요한 이유

ⓒ Getty Images Bank 지난 2년간 금융 기업은 재택근무 인력을 관리하면서 서비스 운영을 유지하는 데 주력했다. 코로나19로 인한 서비스의 제약을 최소화하는 노력도 병행했다. 일상 회복을 위한 포스트 팬데믹 시기에 앞서 금융 기업은 새롭게 로그인 전략 고객에게 초점을 맞추고, 고객이 금융 서비스 기업과 이상적인 관계를 구축할 수 있도록 업무를 체계화하고 분배하는 데 집중할 것으로 예상된다. ‘디자인 씽킹’을 통한 고객 니즈 파악 고객 서비스 개선이 중요한 이유는 금융 기업이 그저 ‘옳은 일’을 지향하기 때문만이 아니라, 고객이 만족해야 경쟁사로 이동할 가능성이 더 적고 추가 제품과 서비스를 구매할 가능성이 더 크기 때문이다. 친구나 가족, 동료에게 브랜드를 추천하는 경향도 더 높다. 여러 설문조사 결과, 사용자가 금융 서비스를 이용할 때 가장 큰 불편은 고객 대응 부족, 채널 간 일관성 저하 및 단순 오류와 관련이 있었다. 이런 문제는 모두 자동화 기능으로 고객 서비스 에이전트와 디지털 워커(digital worker)를 위한 프로세스를 통합함으로써 해결할 수 있다. 컨설팅 업체 맥킨지(McKinsey)에 따르면, 은행은 신규 고객 가입 절차에서 최대 60%의 신청자를 잃을 수 있다. 잠재 고객을 완전히 잃은 후에 비싼 교훈을 얻는 것보다는 사전에 문제를 파악하고 예측해 예방 조치를 취하는 것이 현명하다. PwC는 디자인 씽킹(Design Thinking)을 ‘디자이너 툴킷으로 고객을 위한 보다 이상적인 솔루션을 만들어 사용자 니즈와 기술의 가능성, 비즈니스 성공 조건을 통합하는 일에서 비롯되는 인간 중심의 혁신 접근 방식’이라고 정의한다. 금융 기업은 성공적인 디자인 씽킹으로 현재와 미래의 제품 및 서비스에 대한 고객 니즈의 변화를 고려한 다음, 지능형 자동화를 활용하여 새로운 프로세스를 재구성하거나 구축할 수 있다. 은행은 개방적 전자상거래 시스템의 중심 ⓒ Blue Prism 미래의 금융 기업이 기술을 활용해 고객에게 보다 개인화된 서비스를 제공하는 방법은 무엇일까? HSBC는 모바일 뱅킹 앱으로 인해 사용자가 언제 어디서나 금융을 관리할 수 있는 자유를 얻었고, 사용자가 누릴 수 있는 더욱 큰 이점이 실현될 것이라고 예측했다. 여러 금융 전문가는 인공지능 같은 기술을 활용해 향후 1년 내에 챗봇을 이용한 금융 조언(52%), 레저 활동 할인(47%), 특별 보험 상품(41%), 여행 서비스(41%), 의료 서비스에 대한 접근(40%) 등의 개인화된 부가 서비스를 제공할 수 있을 것이라고 답했다. HSBC는 앞으로 은행이 보다 개방적이고 연결된 전자상거래 시스템의 중심이 되어서 금융 서비스 외부의 조직 및 기업과 통합하고 협력할 것이며, 은행 시스템이 외부와의 통합 및 협력 활동의 관문 로그인 전략 역할을 하게 될 것이라고 전망했다. 개인화된 고객 서비스의 중요성 ⓒ Blue Prism 현재 금융 기업이 직면한 대표적인 문제는 고립된 레거시 시스템 때문에 고객 대응 직원이 충분한 시간을 투입해 고객과 의미 있는 대화를 나누기 어렵다는 점이다. 설문조사 결과, 많은 금융 전문가가 고객과의 소통과 고객 경험 개선 업무를 최우선으로 여기고 있었다. 자동화를 도입해 확보한 시간을 ‘프로세스 상의 문제 파악을 위한 데이터 분석(51%)’에 투입하겠다는 응답이 가장 많았으며, ‘고객에게 더 많은 시간 할애(48%)’, ‘동료와의 협업(45%)’, ‘데이터 분석을 통한 고객 행동 식별(44%)’, ‘새로운 제품과 서비스 파악(28%)’에 투입하겠다는 답변이 뒤를 이었다. 금융 기업이 직면한 문제는 ESG 같은 영역의 규제뿐 아니라, 은행이 취약한 고객을 공정하게 대우하고 개인화된 상품과 서비스를 제공할 것이라는 기대감이 커지고 있다는 점도 포함된다. 또한, 전 세계적으로 급증하는 랜섬웨어 공격과 악의적인 행위로 인해 보안 우려가 높아지면서 비용 절감에 대한 압력도 계속되고 있다. 애자일 핀테크(Agile Fintech)의 영향으로 은행의 가치 창출 서비스가 전통 서비스와 분리되고 있으며, 대출 상품에서는 이미 대형 IT 기업의 존재감이 점차 증대되고 있다. 이제 은행이 고객과의 관계를 유지하려면 관점을 달리해야 한다는 것은 분명하다. 빠르고 효율적인 운영도 중요하지만, 개인화와 훌륭한 고객 서비스의 중요성 또한 커지고 있다. 스마트 리더십과 더불어, 기술은 금융 기업이 고객 서비스에 대한 접근 방식을 전환하고 재구성하는 데 활용할 수 있는 가장 중요한 수단이 될 것이다. 특히 지능형 자동화 및 디지털 워커는 사람이 가장 잘할 수 있는 공감, 협업, 네트워킹 및 창의적인 업무에 집중하도록 지원하며, 이는 모든 고객을 위한 혁신으로 이어질 것이다. 자세한 내용은 ‘경영진 시리즈 #3 : 고객과 미래 비즈니스 방식에 초점을 맞춘 지능형 자동화’ 리포트에서 확인할 수 있다. 시리즈 #1 ‘금융 서비스의 경쟁 우위 확보, 해답은 ‘지능형 자동화’에 있다’ 기사 보러가기 시리즈 #2 ‘금융 서비스 혁신을 위한 지능형 자동화 로드맵 구축 방법’ 기사 보러가기

"클라우드 데이터 관리에 기여"하는 SD-WAN 엣지 전문 플랫폼의 중요성

ⓒ Getty Images Bank 포스트 코로나 시대에 접어들면서 IT 인프라와 서비스도 빠르게 변화하고 있다. 특히 그 중심에는 클라우드의 부상이 있다. 기업에서 클라우드 기반 애플리케이션 채택을 가속화하면서, 광역 네트워크(WAN)는 사용자와 애플리케이션을 연결하기 위한 필수 요소로 자리 잡고 있다. 기존에 구축된 인프라는 클라우드로 이동 중인 기업의 네트워크 환경을 관리하는 데에 한계가 존재하기 때문이다. 기업 애플리케이션이 데이터센터에서 클라우드로 옮겨가면서 더 이상 MPLS 같은 사설 회선 연결은 현 상황에 적합하지 않고, 유연하지 않으며 비용효율적이지도 않는다는 평가를 받는다. 아루바는 실버피크 인수를 통한 전문지식을 확대해 아루바 엣지커넥트(Aruba EdgeConnect) SD-WAN 엣지 플랫폼을 선보였다. 아루바 엣지 커넥트 SD-WAN 엣지 플랫폼은 광대역으로 사용자와 애플리케이션을 연결할 때 낮은 비용으로 복잡성을 줄이면서 WAN을 구축하고, 애플리케이션의 성능은 높이고 자본비와 운영비를 최대 90%까지 절감한다. Aruba EdgeConnect 물리적 어플라이언스는 가상 어플라이언스로도 제공 ⓒ HPE Aruba EdgeConnect 플랫폼의 구성요소 - Aruba EdgeConnect, Aruba Orchestrator 및 Aruba Boost 아루바 엣지커넥트는 안전한 가상 네트워크 오버레이를 만들기 위해 지사에 배포되는 물리적 또는 가상 어플라이언스다. 이를 통해 기업은 MPLS 와 광대역 인터넷 연결을 이용하는 하이브리드 WAN 방식을 적용하고, 그리고 사이트별로 자사 속도에 따라 광대역 WAN으로 이동할 수 있다. 아루바 로그인 전략 오케스트레이터(Aruba Orchestrator)는 레거시와 클라우드 애플리케이션에 기존 인프라에서는 볼 수 없었던 수준의 가시성을 보장한다. 그러므로 비즈니스 의도에 따라 중앙에서 정책을 할당하여 전체 WAN 트래픽을 보호하고 제어할 수 있다. 정책 자동화를 통해 여러 지사의 배포를 촉진하고 간소화하며 전체 애플리케이션에 일관된 정책을 지원한다. 결과적으로 기업은 비즈니스 의도에 따른 가상 WAN 오버레이를 통해 애플리케이션을 사업 목표에 맞추고 맞춤 가상 오버레이에서 애플리케이션을 사용자에게 전달할 수 있다. 즉, WAN을 재구성할 필요가 없으므로 아루바 엣지커넥트 어플라이언스의 제로 터치 프로비저닝이 가능하다. 엣지커넥트 SD-WAN 엣지 플랫폼의 옵션으로 제공되는 아루바 부스트(Aruba Boost)는 아루바의 WAN 최적화 기술과 아루바 엣지커넥트를 결합하여 하나로 통합된 WAN 엣지 플랫폼을 조성하는 WAN 최적화 성능 패키지다. 기업은 아루바 부스트를 사용하여 레거시에 민감한 애플리케이션의 성능을 가속화한다. 또한, 하나로 통합된 SD-WAN 엣지 플랫폼으로 WAN에서 반복되는 데이터의 전송을 최소화할 수 있다. TCP와 기타 프로토콜 가속화 기법이 모든 트래픽에 적용되어 있으므로 WAN 전체에서 애플리케이션의 응답 시간을 크게 개선하고 데이터 압축과 중복을 제거하여 데이터의 반복 전송을 방지한다. Aruba EdgeConnect 하드웨어 플랫폼 ⓒ HPE 아루바 엣지커넥트는 특히 플러그 앤 플레이 방식의 배포를 통해 단 몇 초 안에 지사에 배포되므로 데이터센터와 다른 지사 또는 AWS, 마이크로소프트 애저, 오라클 클라우드 인프라 스트럭처, 구글 클라우드 플랫폼 등의 보편적 IaaS 서비스에서 다른 아루바 엣지커넥트 인스턴스와 자동으로 연결된다. 이와 더불어 클라우드 인텔리전스 기능을 지원한다. 최고의 경로를 통해 수백 개의 SaaS 애플리케이션에 업데이트를 실시간으로 전달하여 기업과 애플리케이션이 민첩하고 지능적인 방식으로 연결될 수 있다.

2022/05/25 패치노트

이번 패치노트의 내용은 다음과 같습니다.
항성계 전체에 대한 추가 및 조정 사항

1. 호위정 내구도 및 물리 저항 조정:
사일런트 어쌔신-장갑호위정의 기본 내구도가 4100에서 4900로 조정되었으며.
CV-II003-경형 호위정의 기본 내구도가 4100에서 4500로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
RB7-13-미사일정의 기본 내구도가 4100에서 4750로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
셀룰러 디펜더-중형 어뢰정의 기본 내구도가 5730에서 6100로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
네뷸러 체이서-중형 호위정의 기본 내구도가 4950에서 5650로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
네뷸러 체이서-펄서 코르벳의 기본 내구도가 4500에서 4950로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
보이드 엘핀-스텔스 미사일정의 기본 내구도가 4100에서 4750로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
CV-M011-중형 미사일정의 기본 내구도가 6470에서 6900로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
CV-M011-중형 캐논 코르벳의 기본 내구도가 6470에서 6950로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
CV-T800-펄서 코르벳의 기본 내구도가 6470에서 6900로 조정되었으며, 기본 물리 저항이 0에서 2로 조정되었습니다.
개발자 코멘트:
라그랑주 우주 설계에서 호위정은 소형 주력함 급의 지속 출력 능력과 체급을 가지고 있으며, 현재 호위정 구조와 해당 기술 설계가 매칭되지 않음. 따라서 이번 업데이트에서 전체적으로 호위정의 생존 능력을 향상시킴.
2. 다운 펀딩 계획 활약도 획득 경로 추가:
의뢰 퀘스트를 완수하거나 시설 건설 후 활약도 증가
3. 전투 결과에 시스템 대미지 상세 정보 전환 보기 기능 추가
4. 로그인 테마 변경 기능 추가:
로그인 화면의 "설정"에서 로그인 테마를 선택할 수 있으며, 로그인 화면의 배경이 변경됩니다.
5. 공성 랭킹 계산 방법 최적화:
공성 기간 동안 플레이어와 해당 우주정거장에 귀속된 모든 함대의 교전 데이터가 랭킹 데이터에 산입됩니다.
6. 설계도 버전 넘버가 일정 수치 도달 시, 전투기와 호위정 모델에 새로운 CG 효과 추가
7. 개척자 협약의 개척자 자원 거점 탐사 후 모델 효과 최적화
8. 중립자 협약의 일부 퀘스트 설명 텍스트 최적화
9. 사용자 설정 이모티콘 기능 조정:
이미지 업로드 기능의 쿨타임이 24시간에서 48시간으로 조정되었습니다.


버그 수정:
1. 일부 함선 무기가 우선순위가 낮은 시스템 공격 시 타깃이 비정상적으로 전환되는 버그 수정
2. 공격기가 특정 상황에서 함재기 시스템을 잘못 록온 하는 버그 수정
3. 중립자 협약에서 발송하는 지원 퀘스트가 건축 지역 통행 권한과 부합하지 않는 버그 수정

로그인 전략

보안 및 준수 접근 방식은 설계, 모니터링, 최적화의 세 가지 주요 전략을 포함합니다. 이러한 전략은 반복적으로 적용되며, 각 전략은 다른 전략에 다시 제공될 수 있습니다.

설계 전략 생성

포괄적인 보안 설계 전략은 Identity Management를 통해 보안 보증(보안 주체 인증 및 권한 부여 프로세스)을 제공합니다. ID 관리 서비스를 사용하여 유저, 파트너, 고객, 응용 프로그램, 서비스 및 기타 엔티티에 대한 권한을 인증하고 부여합니다.

또한 온프레미스와 Oracle Cloud Infrastructure 에서 호스트되는 리소스 사이에 Oracle Cloud Infrastructure 에서 비롯된 네트워크 트래픽 제어, Oracle Cloud Infrastructure 와의 트래픽 등을 배치하여 자산을 보호할 수 있습니다. 보안 조치가 없는 경우 공격자가 공용 IP 범위를 스캔하여 액세스 권한을 얻을 수 있습니다. 적절한 네트워크 보안 제어는 클라우드 배포를 시도하는 공격자를 감지, 포함 및 중지하는 데 도움이 되는 심층적인 요소를 제공할 수 있습니다.

또한 성공적인 설계 전략은 Oracle Cloud Infrastructure 의 로그인 전략 접근 제어, 암호화 및 로깅을 사용하여 민감한 데이터 자산을 분류, 보호 및 모니터링하는 데 유리합니다. 또한 전송 중이거나 보관된 데이터에 대한 제어 기능을 사용할 수 있습니다.

애플리케이션 및 연계된 데이터는 클라우드 플랫폼에서 비즈니스 가치의 기본 저장소로 사용됩니다. 애플리케이션은 사용할 수 있고 무결성이 높은 상태로 제공되어야 하는 비즈니스 프로세스를 캡슐화 및 실행하므로 비즈니스에서 역할을 수행할 수 있습니다. 또한 애플리케이션은 기밀 유지 , 무결성 및 가용성을 높여야 하는 비즈니스 데이터를 저장하고 처리합니다 . 따라서 성공적인 전략은 애플리케이션 및 데이터 보안에 집중하고 사용해야 합니다.

모니터링 및 감사 전략 생성

상태 모델링은 모니터링을 통해 작업 부하의 보안 상태를 유지하는 작업을 말합니다. 이러한 활동은 현재 보안 관행이 유효한지 또는 새로운 요구 사항이 있는지 여부를 나타낼 수 있습니다. 상태 모델링에는 다음 범주가 포함될 수 있습니다.

  • 작업 로드와 작업 로드가 실행되는 Infrastructure를 모니터합니다.
  • 감사를 수행합니다.
  • 감사 로그를 사용으로 설정, 획득 및 저장합니다.
  • 보안 픽스를 업데이트 및 패치합니다.
  • 인시던트에 대응합니다.
  • 실제 장애에 기반한 공격 시뮬레이션

최적화 전략 수립

클라우드에서의 보안 운영을 위한 보안 기준이 설정되면 보안 팀은 기존 보안 모범사례에 대한 향상 및 최적화로 이어질 수 있는 클라우드별 보안 프로세스와 제어 기능을 지속적으로 조사해야 합니다.

수천 개의 기업이 클라우드 서비스를 이용해 민첩성을 높이고 IT 서비스 비용을 절감하기 위한 비즈니스 목표를 달성하고 안전하게 운영하고 있습니다. 이 모범 사례 프레임워크는 보안 운영 조직 전반의 패턴에 대한 권장 사항을 제공하여 클라우드 서비스를 안전하게 사용할 수 있도록 필요한 보안 아키텍처, 프로세스 및 제어를 제공합니다. 보안 배치부터 시작하는 것 외에 지속적인 개선 전략을 구현해야 합니다.

보안 설계 원리 따르기

이 설명서의 문서는 Oracle Cloud Infrastructure 에서 세 가지 설계, 모니터링 및 최적화 전략을 구현하고 구현 방법에 대한 권장사항을 제공하는 방법을 설명합니다. 이러한 각 권장 사항은 다음 보안 설계 원칙 중 하나 이상을 구현합니다.

이러한 원칙은 이러한 세 가지 주요 전략을 지원하고 클라우드 또는 온프레미스 데이터 센터(또는 이 둘의 하이브리드 조합)에서 호스팅되는 안전하게 설계된 시스템을 설명합니다. 이러한 원칙을 적용하면 보안 아키텍처가 기밀성, 무결성 및 가용성을 유지할 가능성이 크게 증가합니다.

나를 기록하기

serializeUserdeserializeUser 메서드를 통해 세션을 관리한다.

Passport 실행 과정

로그인 요청이 들어온 경우

1. 라우터를 통해 로그인 요청 이 들어온다.

ex ) localhost:5000/login 페이지에서 아이디와 패스워드를 입력하고 로그인 버튼을 누른다

아이디와 패스워드가 localhost:5000/login 의 주소로 POST 메서드로 요청된다.

2. 로그인 POST 라우터 에서 passport. authenticate ( ) 메서드 를 호출한다.

인증 요청 을 하고싶다면 passport.authentcate 메서드를 특정 전략과 함께 호출을 하면된다.

3. 로그인 전략(Strategy) 을 수행한다.

passport. authenticate 가 정해진 전략호출하고 실행시킨다.

ex ) 로컬 전략일 경우

로컬 전략을 생성해야하는데, 로컬 전략은 passport-local 모듈을 사용한다.

설치 후, 전략을 LocalStrategy 생성자로 생성해준다.

LocalStrategy.js

전략을 수행하고 수행 결과에 맞는 값들을 done에 넣어 passport.authenticate의 콜백함수로 돌아간다.

전략을 성공했을 경우,done의 첫번째 인수인 error는 null, 두번째 인수로 전략을 수행하고 얻은 user정보를,

세번째 인수는 추가로 넘기고싶은 info를 값을 넣는다.

4. 성공 시, req.login( )가 호출

passport.authenticate()는 자동으로 req.login을 호출한다. 커스텀 콜백을 사용할 경우는 직접 호출해야함.

5. req.login 메서드가 passport.serializeUser 호출

6. passport.serializeUser가 req.session에 사용자 아이디만 저장

passport.serializeUser는 세션에 위 과정에서 받아온 user데이터를 저장한다. 단, user데이터를 전부 저장할 경우

크기가 너무 커지기때문에 id값만 뽑아서 저장한다.

로그인 이후

1. 로그인 이후에 요청 이 들어온다면, 요청이 라우터에 도달하기 전에 passport.session 미들웨어가

passport. deserializeUser 메서드를 호출한다.

여기서 요청은 모든 요청을 말한다. serializeUser는 로그인 요청에서만 호출된다.

2. deserializeUser 가 req.session에 저장된 id 값을 이용해 DB에서 사용자 정보를 조회해온다.

인증 방식 : Cookie & Session vs JWT

HTTP는 인터넷 상에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜입니다. 클라이언트가 서버에게 요청을 보내면 서버는 응답을 보냄으로써, 데이터를 교환합니다. HTTP는 비연결성무상태성 이라는 특징을 가지고 있습니다. HTTP는 요청에 대한 응답을 처리하게 되면 연결을 끊어 버립니다. 따라서 클라이언트에 대한 이전의 상태 정보 및 현재 통신의 상태가 남아있지 않습니다.

서버가 다수의 클라이언트와 연결을 계속 유지한다면, 이에 따른 자원 낭비가 심해집니다. 비연결성 및 무상태성의 특징을 가진다면 불필요한 자원 낭비를 줄일 수 있다는 장점이 있습니다.

그러나 서버는 클라이언트를 식별할 수 없다는 단점 또한 존재합니다. 로그인을 하더라도 다음 요청에서는 해당 클라이언트를 기억하지 못해, 또 로그인을 해야하는 문제가 발생합니다. 브라우저에서 새로고침을 누를 때마다 로그인을 해야하는 상황, 상상이 되시나요? 😱😱

하지만 우리가 사용하고 있는 웹 사이트들의 경우, 한 번 로그인 로그인 전략 하면 다시 로그인할 필요 없이 여러 페이지를 돌아다니며 다양한 기능들을 이용할 수 있습니다. 심지어는 브라우저를 껐다 켜도 로그인이 유지가 되기도 하지요. 이는 HTTP의 비연결성 및 무상태성 특징을 보완한 기술인 Cookie와 Session 덕분입니다.

2. Cookie

쿠키란 클라이언트가 어떠한 웹사이트를 방문할 경우, 그 사이트가 사용하고 있는 서버를 통해 클라이언트의 브라우저에 설치되는 작은 기록 정보 파일을 일컫습니다.

서버는 클라이언트의 로그인 요청에 대한 응답을 작성할 때, 클라이언트 측에 저장하고 싶은 정보를 응답 헤더의 Set-Cookie 에 담습니다.

  • 쿠키는 Key-Value 형식의 문자열입니다.
  • 이후 해당 클라이언트는 요청을 보낼 때마다, 매번 저장된 쿠키를 요청 헤더의 Cookie 에 담아 보냅니다.
  • 서버는 쿠키에 담긴 정보를 바탕으로 해당 요청의 클라이언트가 누군지 식별할 수 있습니다.

2.1. 단점

  • 요청 시 쿠키의 값을 그대로 보냅니다.
  • 로그인 전략 로그인 전략
  • 유출 및 조작 당할 위험이 존재합니다.

3. Cookie & Session 기반 인증

쿠키를 통해 클라이언트 로그인 상태를 유지시킬 수 있었지만, 가장 큰 단점은 쿠키가 유출 및 조작 당할 위험이 존재한다는 것입니다. 개인정보를 HTTP로 주고 받는 것은 위험합니다.

세션은 비밀번호 로그인 전략 등 클라이언트의 인증 정보를 쿠키가 아닌 서버 측에 저장하고 관리합니다.

  • 서버는 클라이언트의 로그인 요청에 대한 응답을 작성할 때, 인증 정보는 서버에 저장하고 클라이언트 식별자인 JSESSIONID를 쿠키에 담습니다.
  • 이후 클라이언트는 요청을 보낼 때마다, JSESSIONID 쿠키를 함께 보냅니다.
  • 서버는 JSESSIONID 유효성을 판별해 클라이언트를 식별합니다.

3.1. 장단점

쿠키를 포함한 요청이 외부에 노출되더라도 세션 ID 자체는 유의미한 개인정보를 담고 있지 않습니다.

  • 그러나 해커가 이를 중간에 탈취하여 클라이언트인척 위장할 수 있다는 한계가 존재합니다.

4. JWT 기반 인증

JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 토큰을 의미합니다. JWT 기반 인증은 쿠키/세션 방식과 유사하게 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별합니다.

4.1. JWT 구조

jwt

JWT는 .을 구분자로 나누어지는 세 가지 문자열의 조합입니다. 실제 디코딩된 JWT는 다음과 같은 구조를 지닙니다.

Header

jwt-header

Header는 alg과 typ는 각각 정보를 암호화할 해싱 알고리즘 및 토큰의 타입을 지정합니다.

Payload

jwt-payload

Payload는 토큰에 담을 정보를 지니고 있습니다. 주로 클라이언트의 고유 ID 값 및 유효 기간 등이 포함되는 영역입니다. key-value 형식으로 이루어진 한 쌍의 정보를 Claim이라고 칭합니다.

Signature

jwt-signature

Signature는 인코딩된 Header와 Payload를 더한 뒤 비밀키로 해싱하여 생성합니다. Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 복호화 및 조작할 수 있지만, Signature는 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 복호화할 수 없습니다. 따라서 Signature는 토큰의 위변조 여부를 확인하는데 사용됩니다.

4.2. 인증 과정

  1. 클라이언트 로그인 요청이 들어오면, 서버는 검증 후 클라이언트 고유 ID 등의 정보를 Payload에 담습니다.
  2. 암호화할 비밀키를 사용해 Access Token(JWT)을 발급합니다.
  3. 클라이언트는 전달받은 토큰을 저장해두고, 서버에 요청할 때 마다 토큰을 요청 헤더 Authorization 에 포함시켜 함께 전달합니다.
  4. 서버는 토큰의 Signature를 비밀키로 복호화한 다음, 위변조 여부 및 유효 기간 등을 확인합니다.
  5. 유효한 토큰이라면 요청에 응답합니다.

4.3. 장점

  1. Header와 Payload를 가지고 Signature를 생성하므로 데이터 위변조를 막을 수 있습니다.
  2. 인증 정보에 대한 별도의 저장소가 필요없습니다.
  3. JWT는 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증됬음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지니고 있습니다.
  4. 클라이언트 인증 정보를 저장하는 세션과 다르게, 서버는 무상태가 됩니다.
  5. 확장성이 우수합니다.
  6. 토큰 기반으로 다른 로그인 시스템에 접근 및 권한 공유가 가능합니다.
  7. OAuth의 경우 Facebook, Google 등 소셜 계정을 이용하여 다른 웹서비스에서도 로그인을 할 수 있습니다.
  8. 모바일 어플리케이션 환경에서도 잘 동작합니다.

4.4. 단점

  1. 쿠키/세션과 다르게 JWT는 토큰의 길이가 길어, 인증 요청이 많아질수록 네트워크 부하가 심해집니다.
  2. Payload 자체는 암호화되지 않기 때문에 유저의 중요한 정보는 담을 수 없습니다.
  3. 토큰을 탈취당하면 대처하기 어렵습니다.
  4. 토큰은 한 번 발급되면 유효기간이 만료될 때 까지 계속 사용이 가능하기 때문입니다.
  5. 특정 사용자의 접속을 강제로 만료하기 어렵지만, 쿠키/세션 기반 인증은 서버 쪽에서 쉽게 세션을 삭제할 수 있습니다.

5. 보안 전략

JWT 사용시 상기한 단점들을 극복하기 위해 다양한 전략을 채택할 수 있습니다. 각각의 전략은 장단점이 상이하기 때문에, 서비스의 특성을 고려하여 보안 수준을 높일지 사용자의 편의성을 높일지 결정해야 합니다.

5.1. 짧은 만료 기한 설정

토큰의 만료 시간을 짧게 설정하는 방법을 고려할 수 있습니다. 토큰이 탈취되더라도 빠르게 만료되기 때문에 피해를 최소화할 수 있습니다. 그러나 사용자가 자주 로그인해야 하는 불편함이 수반됩니다.

5.2. Sliding Session

글을 작성하는 도중 토큰이 만료가 된다면 Form Submit 요청을 보낼 때 작업이 정상적으로 처리되지 않고, 이전에 작성한 글이 날아가는 등의 불편함이 존재합니다. Sliding Session은 서비스를 지속적으로 이용하는 클라이언트에게 자동으로 토큰 만료 기한을 늘려주는 방법입니다. 글 작성 혹은 결제 등을 시작할 때 새로운 토큰을 발급해줄 수 있습니다. 이를 통해 사용자는 로그인을 자주 할 필요가 없어집니다.

5.3. Refresh Token

클라이언트가 로그인 요청을 보내면 서버는 Access Token 및 그보다 긴 만료 기간을 가진 Refresh Token을 발급하는 전략입니다. 클라이언트는 Access Token이 만료되었을 때 Refresh Token을 사용하여 Access Token의 재발급을 요청합니다. 서버는 DB에 저장된 Refresh Token과 비교하여 로그인 전략 유효한 경우 새로운 Access Token을 발급하고, 만료된 경우 사용자에게 로그인을 요구합니다.

해당 전략을 사용하면 Access Token의 만료 기한을 짧게 설정할 수 있으며, 사용자가 자주 로그인할 필요가 없습니다. 또한 서버가 강제로 Refresh Token을 만료시킬 수 있습니다.

그러나 검증을 위해 서버는 Refresh Token을 별도의 storage에 저장해야 합니다. 이는 추가적인 I/O 작업이 발생함을 의미하기 때문에 JWT의 장점(I/O 작업이 필요 없는 빠른 인증 처리)을 완벽하게 누릴 수 없습니다. 클라이언트도 탈취 방지를 위해 Refresh Token을 보안이 유지되는 공간에 저장해야 합니다.


0 개 댓글

답장을 남겨주세요