다크시타 라나야케
엔터프라이즈 아키텍트, CTO 본부, WSO2
고객 ID 및 계정관리CIAM (Customer Identity and Access Management)은 IAM의 서브장르로 기업으로 하여금 고객들에게 안전하고 끊김 없는 디지털 경험을 제공하고 보장할 수 있도록 하는 반면, 목적에 따라 고객의 ID 데이터를 수집하고 관리할 수 있도록 합니다. 파워풀한 CIAM 솔루션은 고객등록, 소셜 로그인, 계정인증, 셀프서비스 계정관리, 고객동의 및 취향관리, 싱글 사인 온 (Single Sign-On), 멀티 팩터 인증 (Multi-factor Authentication), 적응형 인증과 같은 다양한 주요 기능과 기타 있으면 좋은 특징들을 제공합니다. 이와 같은 CIAM 솔루션은 웹과 모바일과 같은 여러 고객 상호작용 채널에서 방대한 스케일과 퍼포먼스로 운영될 것입니다. 본 저서에서는 CIAM의 주요한 5가지 축에 대해서 설명 됩니다. CIAM의 주요 기능을 지원하는 데 필요한 핵심기본기술들에 대해서 설명할 예정입니다.
CIAM은 기존 IAM 의 떠오르는 서브 장르로 매끄러운 디지털 고객 경험에 있어 중요한 부분입니다. 효율적인 CIAM시스템은 고객과 기업 사이의 관계구축을 가능하게 하며, 크로스-마케팅 역량 및 비즈니스 인텔리전스 활동의 근간이 되는 데이터 공유를 촉진하기 때문에 접근 이상의 기능을 제공합니다.
기업은 다음과 같은 이유로 CIAM 솔루션 실행을 고려해야 합니다.
표 1 - CIAM의 주요 기능
ID CIAM 프로세스의 첫 단계인 사용자 등록/회원가입은 우연히 웹사이트를 방문한 익명의 방문자를 가입자로 바꿀 수 있도록 합니다. 회원가입이 어려운 경우, 고객은 가입 프로세스를 포기하여, 사업에 부정적인 영향을 가집니다. 따라서 등록절차는 사용자 친화적이고 단순한 동시에 가치 있는 고객 ID 데이터를 수집하는 것이 중요합니다. 기업은 사용자에게 셀프 서비스 가입, 소셜 가입, 위임자가 사용자를 대신하여 수동으로 계정을 생성해 줄 수 있도록 하는 위임관리와 같은 다수의 가입 옵션을 제공하는 것이 이상적입니다. 동시에 개인의 아이덴티티는 사용자 계정 생성 전에 검증되고 입증되어야 합니다. 검증의 목적은 제공된 정보를 검증하고, 사용자가 제공하는 신상정보를 입증하기 위함 입니다. CIAM 솔루션은 사용자 계정을 검증하기 위한 다수의 기술을 제공하고 이메일 인증과 같은 추가적인 ID 검증 기술을 제공하여, 일부 계정 및 트랜잭션에 적용이 가능합니다. ID 검증을 통해 기업은 사용자의 확실성 여부를 검증할 수 있습니다.
점진적 프로파일링을 통해 기업은 종합적 사용자 프로파일은 구축할 수 있습니다. 등록 당시의 사용자 계정은 일반적으로 적은 속성을 가진 계정입니다. 고객이 기업에 더욱 익숙해 지면, 기업은 직장명, 직함, 연락처 등 추가적인 아이덴티티 정보를 요청할 수 있습니다.
싱글 사인온(SSO)은 고객이 기업의 모든 접근가능한 디지털 속성에 공통 인증서를 가지고 일관된 로그인 경험을 할 수 있도록 해줍니다. SSO는 오늘날 대부분의 IAM 실행 시 가장 흔하게 찾는 기능이며, CIAM은 기업의 웹사이트들 가운데 SAML, OAuth, OIDC 과 같은 표준 Federation 프로토콜을 지원하며 동일한 것을 제공합니다.
고객 셀프 케어 포탈은 CIAM 솔루션에 의해 제공되어서, 고객과 어드민(관리자)가 명백하게 선호사항을 정의하여 모든 채널에서 일관적이고 개인화된 경험을 제공할 수 있도록 통합된 고객 프로파일에 저장되어야 합니다.
사용자 이름, 비밀번호의 범위를 넘어선 인증, 소셜 로그인, 멀티 팩터인증 (MFA), 적응형 인증 (리스크기반 인증)은 점차 증가하는 CIAM 사용에 있어 필수적인 요소가 되었습니다. 사용자는 소셜 로그인을 통해 새로운 등록절차 없이 제삼자 애플리케이션에 접속할 수 있으며, 페이스북, 트위터, 링크드인, 구글과 같은 제삼자 IdP는 사용자를 인증하여 CIAM 시스템을 통해 고객의 ID속성을 수집할 수 있도록 합니다. MFA는 사용자의 ID를 확인하여 보안질문, 바이오메트릭 데이터 수집 및 확인, 물리적 인증키, 코드, OTP사용 등 에서 선택하여 다양한 팩터를 제공함으로써 적격자에게만 엑세스를 제공할 수 있도록 합니다. 적응형 인증은 비즈니스 리스크 수준 혹은 법률에 의해 요구되는 수준에 따라 적절한 인증 메커니즘을 사용하여 런타임 환경 파라미터, 사용자 행동 분석, 사기/위협 인텔리전스를 평가하는 것입니다.
CIAM시스템은 리스크 혹은 이상 감지 엔진을 통해 적합한 인증 메커니즘을 선택하고, 접근 혹은 트랜잭션 완료를 승인 혹은 거부하는 평가목적을 위해 이상정보를 소비할 수 있어야 합니다.
기업은 정부 및 산업기관에 의해 시행되는 사용자 데이터 수집에 관한 규정을 준수해야 합니다. 따라서 CIAM 솔루션은 중앙형 데이터 접근 거버넌스 정책을 제공해야 하며, 사용자가 사용자 인터페이스 내에서 대략적 사용자 중심의 기능을 제공할 수 있도록 지원하여, 기업이 사용자 데이터를 사용하는 방법과 지역적 데이터 저장 및 기타 개인정보보호 의무조항이 충족될 수 있도록 하는 기능을 선택할 수 있도록 합니다.
오늘날 고객들은 노트북, 스마트폰, 키오스크, 게임콘솔, 개인 디지털 기기와 같은 다양한 채널을 통해 온라인 서비스와 상호작용합니다. CIAM 솔루션은 교차채널 사용자 경험에 최적화 되어야 합니다. 옴니채널 환경에서 CIAM의 역할은 통합된 고객 프로파일을 구축하기 위해 다양한 채널을 통해서 고객을 인증하는 것에서부터 동일한 채널을 통해 고객의 기호를 관리하는 것 까지 입니다.
위에 설명한 CIAM의 주요 기능은 CIAM 영역 중 가시적인 부분입니다. 매끄러운 고객 경험을 제공하기 위해서 CIAM솔루션은 다음의 다섯 요소에 기반하여 구축되어야 합니다. 이를 CIAM의 다섯 기둥이라고 하겠습니다.
표 2 - CIAM의 다섯 기둥
좋은 보안은 CIAM의 모든 이니셔티브를 뒷받침해야 하며, 고객 정보를 보호하고 고객의 신뢰를 유지하는 열쇠입니다. 고객은 가치가 높고 민감한 디지털 트랜잭션을 점점 많이 실행하기 때문에 기업은 고객대상 채널에 가해지는 위협으로부터 비즈니스를 보호해야 합니다. 따라서 기업은 용인되는 고객경험을 제공하는 방신으로 고객 사용자 인증 프로세스를 고도화 하는데 집중해야만 합니다. 이러한 이유로, MFA와 적응형 접근지원의 중요성이 점차 커지고 있습니다.
산업 전반에 걸쳐 고객들이 개인정보 보호에 더욱 민감해짐에 따라, 고객 MFA가 금융 서비스 외로 더욱 광범위하게 사용되고 있습니다. 오늘날의 보안 위협은 구매 혹은 결제와 같은 고위험 혹은 고이익 거래를 위해 훨씬 더 건실한 보호조치가 요구되고 있습니다. 강력한 인증 혹은 MFA는 사용자 ID를 인증하고, 어플리케이션과 서비스의 보안을 증진하기 위해 인증 절차에 추가적 계층을 추가함에 따라 적절한 사람들만 엑세스를 가질 수 있도록 해줍니다. MFA는 다양한 선택 요인을 제공하며, 바이오메트릭 데이터를 수집하고 확인하는 보안 질문에서부터 SMS/이메일 혹은 TOTP (Time-based One-time Password) (구글 인증)을 기반으로 한 물리적 인증 키, 코드 혹은 OTP에 이르기 까지 다양합니다.
고객 지향형 기업들은 마찰을 유발하는 이차 인증 요인을 요하는 상황을 피하려고 합니다. 고객들은 이차 요인 옵션이 유용하다고 생각하지 않으며, 기업이 MFA를 위해 적절한 방안을 결정할 때, 보안과 더불어 사용성 측면도 고려해야 합니다. 결과적으로 기업은 보안을 증진하기 위해 고객들이 추가 절차를 거칠지 선택할 수 있도록 할지도 모릅니다.
MFA를 넘어, 적응형 인증은 사용자 이름과 비밀번호와 같은 표준 인증요인 뿐만 아니라 추가적인 컨텍스트 기반 변수를 고려하는 컨텍스트 인식 엑세스입니다. 이러한 추가적인 컨텍스트 요소는 사용자의 기기 혹은 위치 등과 같은 동적 식별자를 포함할 수 있습니다. 따라서 CIAM 솔루션은 이차 혹은 n차 승인을 결정하기 위한 사용자의 기기 컨텍스트, 사용자가 접근하고자 시도하는 리소스, 실행하는 트랜잭션의 종류, 혹은 기타 컨텍스트적 요인을 고려해야 합니다.
개인정보보호 및 컴플라이언스 역량은 기본적인 것이며 CIAM 이니셔티브는 개인 보호에 집중해야 합니다. 개인정보보호표준과 모범 관행은 형식 규정 및 고객 기대의 측면에서 지속적으로 진화합니다. CIAM 팀은 증가하고 있는 고객보호법규정을 준수해야 합니다. 예를 들어, 2018년 5월 발효된 유럽연합의 일반 개인정보보호법 (GDPR, General Data Protection Regulations)은 유럽연합국가에 기반한 기업이나 유럽연합국가 국민의 데이터를 수집하고 보유하는 기업들이 가장 최우선으로 고려하는 사항입니다. 유럽연합 일반 개인정보보호법은 개인에게 개인정보 통제권을 제공함으로써 개인정보 및 개인의 권리를 보호하는데 주로 초점을 맞추고 있습니다. 이로 인해 다른 많은 국가들의 자국 개인정보보호법 재정을 촉진했습니다. 다국적기업들은 사업을 영위하는 모든 국가의 개인정보보호법을 고려해야 하며, 국제 개인정보보호 및 데이터보유법안을 준수할 수 있도록 고안된 CIAM 솔루션을 사용해야 할 것입니다.
기업은 사용자 데이터를 수집하는 이유를 분명히 명시하고, 데이터 사용의 목적을 밝혀야 합니다. 또한, 개인식별정보의 통제권을 최종사용자에게 주어야 합니다. 사용자는 회원가입 시점과 점진적 프로파일링 플로우에 따라 동의를 제공하고 사용자 프로파일에서 부터의 동의를 관리할 수 있도록 해야 합니다. 예를 들어, 사용자가 도메인간 데이터 공유를 선택할 수 있고, 선택을 변경할 수 있도록 해야 합니다. 게다가, 회원가입 후, 사용자가 소셜 제공자와의 커넥션을 편집하거나 삭제할 수 있도록 해야 하며, 소셜 제공자와의 커넥션을 삭제하는 경우 공유된 모든 속성 역시 삭제되어야 합니다. 따라서 셀프 케어 포탈을 사용하면 사용자가 리뷰를 하거나 승낙을 철회하는데 효율적이며, 프로파일을 최신의 상태로 업데이트하는데 사용될 수 있습니다. 셀프 케어 포탈이 개인정보 데이터 보호기준을 준수할 수 있는 방법을 제시하는 경우 애플리케이션 개발자들은 이러한 측면을 CIAM 솔루션에 위임할 수 있습니다.
게다가, CIAM솔루션은 또한 사용자가 ID속성을 삭제하거나 사용자 계정 전체를 삭제할 때 기업이 사용자데이터를 제거하도록 하는 데이터 보유 관련 법을 지원해야 합니다.
오늘날의 고객들은 서비스와 앱이 언제나 사용할 수 있기를 기대합니다. 워크포스 IAM 시스템이 수천명의 정도의 사용자를 기대할 때, CIAM 솔루션은 성능의 저하 없이, 모든 채널에 걸쳐 공통된 사용자 경험을 제공하며, 모바일과 웹 채널의 수백만의 사용자들을 처리할 수 있어야 합니다. 고객들은 지연이나 장애를 용인하지 않는 반면, 직원들은 선택의 여지가 거의 없습니다조금의 여지가 있습니다. CIAM 시스템은 높은 수준의 성능을 유지하면서 대량의 사용자와 회원등록 및 접근요청의 급등에 대처할 수 있어야 합니다.
스케일링을 처리하는 두 가지의 전형적인 방식이 있습니다. – 수평적 및 수직적 스케일링
컴퓨팅 파워와 솔루션 인스턴스의 수를 결정하기 위해 로드를 고려하는 것이 중요합니다. 대부분의 경우, 평균로드와 피크 로드 사이에 굉장한 차이가 존재하며, 이러한 경우 피크 로드가 평균 로드의 두 배 (혹은 그 이상) 입니다. 수 십만의 사용자가 짧은 기간 내에 동시에 서비스를 사용할 수 있기 때문입니다. CIAM 시스템은 비교적 짧은 기간 동안에만 이와 같은 피크 로드를 경험한다는 것을 강조하는 것이 중요합니다. 예를 들어, 이러한 기간은 한 달에 몇 일 동안 단 몇 시간이 될 수 있습니다. CIAM 인프라가 지속적으로 최대치의 로드를 처리하도록 운영하는 것은 리소스와 돈을 낭비하는 것이기 때문에 오토 스케일링을 적용하는 것이 가장 좋은 옵션입니다. 오토 스케일링은 특정 로드 파라미터를 기반으로 시스템이 자동적으로 확장하도록 합니다. 이러한 모델은 시스템이 로드 증가를 처리하기 위해 적합한 서버들을 스핀업하고, 로드가 줄어들면 불필요한 서버를 셧다운 합니다. 도커와 쿠버네티스와 같이 성숙한 컨테이너 기술들은 제품 내 시스템들이 자연스럽게 오토스케일링 되도록 합니다.
CIAM 시스템은 시스템이 언제나 가용한 상태가 되도록 페일오버(failover) 및 리던던시(redundancy) 메커니즘을 제공해야 합니다. 오늘날의 고객들은 느린 서비스를 기다려줄 수 있을 정도로 참을성이 없고, 0.001초의 응답시간을 원하기 때문에 시스템들은 가장 높은 수준의 성능과 응답성을 가져야 합니다. 이러한 요건을 충족하기 위해, CIAM 솔루션의 다수의 인스턴스들은 단일 데이터 센터에 배포될 수 있으며, 높은 가용성을 유지하기 위해 전체 배포는 지역적으로 분산된 데이터 센터에 복제될 수 있습니다. CIAM 배포는 따라서 다중지역적이 될 수 있습니다. 액티브 데이터 센터는 액티브 트래픽을 처리할 것입니다. 재난복구 데이터 센터는 액티브 데이터 센터가 정지되는 경우 재난복구 데이터센터로 이탈된 트래픽을 처리할 수 있도록 스탠바이 상태가 될 것입니다로 있습니다. 동시에 다영역 배포는 데이터가 고객이 위치한 곳이나 데이터가 사용되는 곳에 최대한 가깝도록 해야 하며, 이는 고성능, 고응답성에 대한 니즈를 충족합니다. 추가적으로 기업은 CIAM 솔루션 배포에 있어서 온프레미스, 클라우드, 혹은 하이브리드 옵션을 갖추어야 합니다.
디지털 트랜스포메이션은 많은 애플리케이션 및 서비스의 통합을 통해 가능합니다. CIAM 시스템은 종합(올인원) 솔루션이 아니며 더욱 규모가 큰 생태계에서 기능할 수 있는 능력은, 많은 시스템과 적절하게 정보를 공유할 수 있도록 함으로, 이를 파워풀하게 만들어 줍니다. 이러한 통합의 주요 조력자는 API로 CIAM은 API를 통해 이러한 애플리케이션들과 통합할 수 있는 수단을 제공해야 합니다. API는 더욱 CIAM 솔루션에서 써드파티 애플리케이션이 아이덴티티 애널리틱스,마케팅 분석, 보안 통합, 프로비저닝/디프로비저닝 (provisioning/deprovisioning), 컨센트 감사 등을 실행할 수 있도록 합니다. 게다가 디렉토리 내의 CIAM솔루션 고객 및 프로필 데이터는 개발자 친화적인 REST API를 통해 접근이 가능하도록 해야 하기 때문에 이러한 데이터는 기존의 앱을 통해서 접근이 가능하고 따라서 신규 앱 출시시간을 단축할 수 있습니다.
기업에서 디지털 전환을 촉진하기 위해 CIAM시스템은 다음 종류의 시스템과 함께 통합을 지원하는 역량을 갖추어야 합니다.
CIAM은 여전히 발전하고 있고, 그렇기 때문에 커스텀 개발이 대개 요구됩니다. 따라서 CIAM 시스템의 API는 기업이 실행의 기능성 뿐만 아니라 사용자 인터페이스의 룩앤필 을 커스터마이징 할 수 있도록 할 수 있습니다. 많은 기업들은 사용자 경험의 마지막 마일을 커스텀화 하기 위해 CIAM솔루션의 API를 사용하고 싶어 할 것입니다.
API를 세상에 공개할 때, 이를 보호하는 것 역시 고려해야 할 중요한 사항입니다. 이러한 API를 보호할 때, 모범 사례는 API 게이트웨이와 통합되어 있는 독립된 IAM 시스템에 의해 최종 사용자 인증을 처리하는 것입니다. 대게, 기업은 상호운용할 수 있는 것으로 알려진 CIAM 및 API 게이트웨이를 선택합니다.
CIAM의 주요 목적 중 하나는 고객을 확보하고 유지하기 위해 아이덴티티 데이터를 활용하여 수익 성장을 도모하는 것입니다. 사용자 활동 데이터를 정보로 전환하여 기업은 비즈니스에 있어서 정보를 기반한 의사결정을 할 수 있고, 마케팅 활동을 펼치고 고객에게 특별 상품을 제공할 수 있습니다. 애널리틱스는 통합 사용자 프로필을 생성하기 위해 통합데이터 사일로를 기반으로 구축될 수 있습니다. ID 데이터 분석에서 3가지 방식이 있습니다.
또한, CIAM 시스템은 고객행동 보고서를 생성하고 커스텀화 할 수 있는 능력을 갖추어야 하며, 실시간 기업 혹은 CxO대쉬보드의 종합 활동을 나타내야 합니다. CxO대쉬보드의 사용자는 기업의 중역들로써, 다각도로 수익성장율을 추적하고자 합니다. CxO 대쉬보드는 다양한 데이터원을 가지며, 다음의 주요 성과 지수를 기반으로 인사이트를 구축하는데 집중할 것입니다.
사실 CIAM의 역량은 단일 상품으로 제공되는 것이 아닙니다. 이러한 역량은 대개 통합 솔루션을 통해 제공되는 것이며, 대부분, IAM 시스템, 데이터 애널리틱스 솔루션, 고객 데이터 플랫폼, 데이터 관리 플랫폼, 신원확인시스템, e-커머스 플랫폼의 통합을 통해 제공됩니다. CIAM의 요건은 새로운 비즈니스 요구사항이 발생함에 따라 시간이 경과됨에 따라 변화합니다. 따라서 기업은 신규 사업기회 및 어려움을 모두 충족할 수 있도록 융통성을 발휘할 수 있는 이벤트를 기반으로 한 민첩한 CIAM플랫폼이 필요합니다.
WSO2는 오픈소스 (벤더 록인 없는) 민첩한 통합 CIAM 플랫폼을 제공하는 유일한 벤더입니다. WSO2 API Manager, WSO2 Enterprise Integrator, WSO2 Stream Processor 와 더불어 WSO2 Identity Server 는 CIAM 의 다섯 기둥을 뒷받침하며, 공통의 CIAM기능과 패턴을 실행하는 특별한 기능을 제공합니다. 이러한 제품은 특별한 고객의 니즈를 충족할 수 있도록 일단의 기능의 확장을 위한 확장 포인트와 함께 제공됩니다.
CIAM의 다섯 기둥을 뒷받침하는 효율적인 CIAM 솔루션의 실행을 위해 WSO2의 제품이 어떻게 사용되는지에 대한 자세한 정보는 CIAM - A WSO2 Reference Architecture 의 백서를 참조하시기 바랍니다.
CIAM은 주류 비즈니스 기능으로 개발자들이 새로운 고객과 비즈니스 니즈에 지속적으로 적응하는 방법으로써 개발자들에게 권한을 부여합니다. CIAM시스템을 설계할 때, 기업은 멀티 팩터, 적응형 인증, 개인정보보호 및 컴플라이언스, 확장성 및 고가용성, API, 애널리틱스 의 CIAM의 다섯 기둥을 간과하지 않아야 할 것입니다. 이 다섯 기둥에 집중하지 않는다면, 고도록 연결된 고객의 기대 및 요구조건을 기반으로 하는 CIAM 시스템을 구축하는 일은 매우 힘들 것입니다. 이 다섯 기둥을 CIAM 시스템에 통합하여, CIAM 시스템이 본질적으로 이러한 기능을 제공하거나, 다른 시스템과 통합하여 이러한 기능을 지원할 수 있는 수단을 가진다면, 강력하고 안정적인 고효율 CIAM 시스템의 필수 기능을 제공하는데 도움이 될 것입니다.
WSO2는 자신의 아이덴티티 및 엑세스 관리, API 관리, 통합, 스트리밍 애널리틱스 기능과 함께 종합적인 CIAM솔루션을 구축하기 위한 강력한 플랫폼을 제공합니다. WSO2는 클라우드 네이티브, 오픈소스 플랫폼의 기능을 제공하여 이러한 CIAM솔루션을 더욱 발빠르게 개발하고 배치하도록 지원합니다. 더욱 자세한 사항은 wso2.com/solutions/ciam/ 를 방문해 주시기 바랍니다.
WSO2는 세계 1위의 오픈 소스 통합 벤더로, 디지털 기반 기업들의 민첩한 통합을 지원하고 있습니다. 고객들은 광범위한 통합 플랫폼, 오픈소스에 대한 우리의 접근방법, 민첩한 변환 방법을 보고 우리를 선택합니다. 우리 기업의 통합 개발, 재사용, 운영, 관리를 위한 하이브리드 플랫폼은 온-프레미스와 클라우드에서 운영되는 오픈소스 소프트웨어를 통한 록인(Lock-in)을 예방합니다. 오늘날 수백개의 일류 브랜드와 수 천개의 글로벌 프로젝트들이 WSO2통합 기술을 활용하여 매년 6조 건의 트랜잭션을 실행하고 있습니다. 더 자세한 내용은 https://wso2.com 를 방문하시기 바랍니다.
솔루션 상세 소개 혹은 요구사항이 있으십니까?
