대규모 신원 관리의 현대화

한 대규모 주 정부 정보기술 서비스 기관은 수십 개의 주 산하 기관에 소속된 14만 5천 명 이상의 사용자에 대한 신원 및 접근 권한을 관리하고 있으며, 여기에는 시스템이 엄격한 형사사법정보서비스(CJIS) 보안 요건을 충족해야 하는 법 집행 기관도 포함됩니다.  

오랜 기간 RSA의 고객사였던 이 기관은 수년 동안 RSA SecurID와 Authentication Manager를 통해 온프레미스 환경을 안전하게 보호해 왔습니다. 이 기관이 다음으로 필요로 했던 것은 앞으로 나아갈 방향, 즉 신뢰할 수 있는 기반을 클라우드 우선 Microsoft 환경으로 확장하고, 사용자 기반 확대에 따라 증가했던 헬프데스크 업무 부담을 해소하며, 제로 트러스트(Zero Trust) 전략에 필요한 피싱 공격에 강하고 비밀번호가 필요 없는 인증 체계를 구축하는 방법이었습니다. 

이 기관은 RSA를 통해 그 해결책을 찾았습니다. 기존 시스템을 교체하는 대신, 해당 기관은 역량을 현대화하여 RSA ID Plus를 통해 기존 RSA 플랫폼을 클라우드로 확장하고, RSA ID Plus Prime을 통해 셀프 서비스 및 라이프사이클 자동화 기능을 추가했으며, RSA Help Desk Live Verify를 도입하여 대규모 조직에서 가장 많이 악용되는 취약점 중 하나인 헬프 데스크 자체를 해결했습니다. 그 결과, FedRAMP 인증을 획득하고 FIPS 140-3을 준수하며 CJIS에 부합하는 신원 관리 플랫폼이 구축되었으며, 이 플랫폼은 Microsoft Entra Identity와 연동되어 단일 통합 콘솔에서 클라우드, 하이브리드 및 온프레미스 리소스를 보호합니다. 

주 정부 IT 기관들은 신원 관리 현대화가 시급하면서도 복잡한 과제가 될 수밖에 없는 대규모로 운영되고 있습니다. 이 기관만 해도 수십 개의 기관에 걸쳐 145,000개 이상의 사용자 신원을 관리하고 있으며, 각 기관마다 서로 다른 위험 프로필, 규정 준수 의무 및 인증 요구 사항을 가지고 있습니다. 인프라의 핵심을 이루는 Microsoft 환경은 크게 확장되었으며, 현재 Microsoft 365와 Microsoft Entra Identity가 전사적인 클라우드 기반 워크로드에 대한 액세스를 처리하고 있습니다. 동시에, 온프레미스 시스템, RADIUS에 연결된 네트워크 액세스, 레거시 애플리케이션, 그리고 클라우드로 이전할 수 없는 고보안 환경은 여전히 일상적인 운영에 필수적이었습니다. 

Microsoft는 자체 생태계 내에서 강력한 신원 관리 기능을 제공하지만, Entra가 한계가 있는 분야는 바로 이 기관의 위험이 집중된 분야이기도 했습니다. 하이브리드 및 온프레미스 워크로드, 하드웨어 토큰 인증이 필요한 레거시 애플리케이션, 에어갭(air-gapped) 또는 RADIUS에 의존하는 환경, 그리고 FIPS 및 CJIS 준수 요건이 적용되는 고신뢰도 사용 사례 등이었습니다. 이러한 취약점 격차를 해소하기 위해서는 Microsoft가 미치지 못하는 영역을 확장하도록 특별히 설계된 플랫폼이 필요했습니다. FedRAMP 인증을 받은 Microsoft Entra의 보완 솔루션인 RSA ID Plus가 바로 그 플랫폼이었습니다. 

이 기관의 기존 신원 관리 인프라는 구버전의 온프레미스 RSA 인증 솔루션을 기반으로 운영되고 있었습니다. 해당 구형 솔루션은 약 109,000개의 소프트웨어 토큰 및 36,000개의 하드웨어 토큰. 이 시스템은 그동안 안정적으로 작동해 왔지만, 기관의 점점 늘어나는 요구를 충족시키기에는 더 이상 역부족이었습니다. 비즈니스에 중대한 영향을 미치는 몇 가지 문제가 발생했는데: 

• 헬프데스크 업무 부담: 인증 정보 재설정 및 신규 입사자 온보딩 요청으로 인해 매달 약 2,500건의 헬프데스크 문의가 발생하고 있었습니다. 기존 솔루션에 연계된 셀프 서비스 기능은 사용자 정의 옵션이 제한적이었을 뿐만 아니라, 이러한 문의량을 줄일 수 있는 방안도 없었습니다. 더 큰 문제는 헬프데스크 자체가 보안상의 취약점으로 작용했다는 점입니다. 지원 채널을 통해 접근 권한을 얻기 위해 정당한 사용자를 사칭하는 사회공학 공격은 해결되지 않은 위험 요소로 남아 있었습니다. 
• 제로 트러스트 및 피싱 방지 다단계 인증(MFA): 이 기관의 제로 트러스트(Zero Trust) 이니셔티브는 클라우드 네이티브 시스템뿐만 아니라 모든 환경에서 피싱 공격에 강한 인증 방식을 요구했습니다. 기존의 일회용 비밀번호(OTP) 및 비밀번호 기반 인증 방식으로는 이러한 요구 사항을 충족할 수 없었기 때문에, 해당 기관은 기존 토큰에 대한 투자를 유지하면서 푸시 알림, 생체 인식, QR 코드, FIDO2 및 FIDO 인증을 받은 하드웨어 인증기로 인증 방식을 확대해야 했습니다. 
• 규정 준수 및 인증: 해당 기관 내 법 집행 부서들은 중앙 집중식 감사 추적 기능과 실시간 보고 기능을 갖춘 CJIS 준수 인증 방식을 필요로 했습니다. 연방 정부 표준 준수 요건에 따라 FedRAMP 인증을 받은 솔루션이 요구되었습니다. 높은 보안 수준이 요구되는 사용 사례의 경우 FIPS 140-3 인증을 받은 하드웨어 인증기가 필요했습니다.
• 보고 및 거버넌스: 수동적이고 스프레드시트에 의존하는 보고 방식은 전반에 걸친 감사 및 규정 준수 요구 사항을 충족할 만큼 확장될 수 없었습니다. 145,000명의 사용자. 해당 기관은 인증 이벤트, 토큰 수명 주기 상태 및 사용자 활동에 대한 실시간 자동화된 가시성이 필요했습니다. 

이번 현대화 작업은 이러한 모든 문제를 한꺼번에 해결해야 했으며, 그 과정에서 직원들에게 혼란을 초래할 수 있는 전면적인 교체 방식을 강요하지 않으면서 이를 수행해야 했다. 145,000명의 사용자 RSA 인증에 이미 익숙한 분이라면. 

RSA ID Plus는 FedRAMP 인증을 받았으며, 다음 용도로 특별히 설계되었습니다. 매우 복잡한 하이브리드 환경. Microsoft Entra와 연동됩니다 정체성 SAML 및 OpenID Connect를 통해 Microsoft 365, 클라우드 호스팅 애플리케이션 및 온프레미스 시스템 전반에 걸쳐 일관된 인증 정책을 적용합니다., Microsoft 신원 관리 계층을 교체하거나 해당 기관이 두 개의 별도 콘솔을 관리해야 할 필요 없이 가능합니다. Entra가 Microsoft 클라우드를 담당하는 반면, RSA는 RADIUS, 레거시 애플리케이션, 에어갭 환경, 그리고 클라우드 네이티브 도구가 제공하는 수준보다 더 높은 보안 보장이 필요한 워크로드 등 그 외 모든 영역을 담당합니다. 

“해당 기관은 Microsoft 환경을 보호하는 것과 RSA에 대한 투자 성과를 유지하는 것 사이에서 선택을 강요받지 않았습니다. RSA ID Plus를 통해 두 가지를 동시에 실현할 수 있었기 때문입니다.”

RSA는 또한 단일 솔루션으로는 제공할 수 없는, 헬프데스크 문제에 대한 완벽한 해결책을 제시했습니다. RSA Help Desk Live Verify(특허 출원 중)는 헬프데스크 상호작용을 위해 양방향, 비밀번호 없는 신원 보증 기능을 제공하여, 헬프데스크 직원과 사용자가 PIN, 공유 비밀번호, 또는 조사나 사회공학적 기법으로 알아낼 수 있는 지식 기반 질문 없이도 서로의 신원을 확인할 수 있게 해줍니다. 기관이 관리하는 145,000명의 사용자 수십 개의 조직에 걸쳐, Help Desk Live Verify는 다단계 인증(MFA)을 아무리 확대해도 해결할 수 없었던 체계적인 취약점을 해결했습니다. 

해당 기관의 최고 수준의 보안이 요구되는 사용 사례, CJIS 적용 대상 환경, 법 집행 시스템 및 FIPS 인증 하드웨어가 필요한 역할을 위해 RSA는 RSA iShield Key 2 시리즈를 제공했습니다. FIPS 140-3 레벨 3 인증을 획득한 FIDO2 인증 하드웨어 인증기로, 피싱 방지 및 비밀번호 없는 인증을 지원하며, 행정명령 14028호, OMB M-22-09 및 M-24-14를 충족합니다. 평가 대상 업체 중 RSA가 제공한 광범위한 하이브리드 솔루션과 더불어 이 수준의 하드웨어 보안을 제공할 수 있는 업체는 없었습니다. 

이번 약혼은 다음을 통해 성사되었습니다. ThunderCat Technology 솔루션 리셀러로서 그리고 카라소프트 테크놀로지(주) 유통업체로서, 두 회사 모두 공공 부문 조달 분야에서 쌓은 풍부한 경험을 이 프로그램에 기여했습니다. RSA Professional Services는 12개월 동안 해당 기관 현장에 상주하는 전담 반일제 컨설턴트를 배치하여, 전체 과정에 걸쳐 설계, 구현 및 지식 전수를 담당했습니다. 

이 배포는 두 단계로 진행되었습니다. 첫 번째 단계에서는 RSA ID Plus를 하이브리드 클라우드 모델로 배포하여, 내장된 Identity Router를 통해 해당 기관의 기존 RSA 인증 솔루션을 RSA 클라우드 플랫폼에 연결했습니다. 기존 하드웨어 및 소프트웨어 토큰은 재등록 절차 없이 그대로 이어서 사용되었습니다. Microsoft Active Directory 및 LDAP가 신원 소스로 통합되었습니다. 인증 정책은 SAML 및 OIDC를 통해 Microsoft Entra와 Microsoft 365로 확장되었습니다. 기존 토큰 인프라와 더불어 푸시 알림, 생체 인식, QR 코드, FIDO2, FIDO 인증 하드웨어 등 모든 최신 인증 방식이 지원되었습니다. 해당 기관은 최초의 싱글 사인온(SSO) 포털을 구축했습니다.  

두 번째 단계에서는 RSA ID Plus Prime을 플랫폼에 통합했습니다. Prime의 셀프 서비스 포털이 기존 인증 관리자 콘솔을 대체했으며, 기존 워크플로우를 그대로 반영하도록 구성되어 전환 과정에서 재교육이 거의 필요하지 않았습니다. 헬프 데스크 관리 포털은 지원 담당자에게 전용 인터페이스를 제공했으며, RSA Help Desk Live Verify는 이러한 상호작용을 사회공학 공격으로부터 보호했습니다. Prime AMIS 통합 프레임워크는 수동 보고 방식을 자동화된 실시간 API, 워크플로우 및 감사 기능으로 대체했습니다. 해당 기관의 기존 신원 확인 솔루션인 Socure ID Proofing의 프론트엔드 역할을 하는 Prime Identity Verification Portal을 통한 신원 확인은, 최종 사용자에 대한 IT 부서의 직접적인 개입 없이도 신규 사용자 온보딩 및 인증 정보 복구 워크플로우를 안전하게 보호하고 간소화했습니다. 

이번 현대화 작업은 보안 태세, 운영 효율성, 규정 준수 준비도라는 세 가지 측면에서 성과를 거두었습니다. 

보안 및 규정 준수 

• 전사적 차원의 피싱 방지 다단계 인증(MFA): 해당 기관은 기존의 일회용 비밀번호(OTP) 방식에서 벗어나, 피싱 방지 인증 도구, 푸시 알림, 생체 인증, QR 코드, FIDO2 및 FIPS 140-3 인증 하드웨어로 구성된 종합 인증 솔루션으로 전환했으며, 이를 통해 클라우드, 하이브리드 및 온프레미스 환경을 아우르는 단일 콘솔에서 통합 관리를 실현했습니다. 이를 통해 제로 트러스트(Zero Trust) 의무 사항을 충족하고, 법 집행 시스템에서 요구되는 고신뢰도 인증에 관한 CJIS 요건을 해결했습니다.
• FedRAMP와 FIPS의 연계: RSA ID Plus의 FedRAMP 인증은 해당 기관이 요구한 연방 규정 준수 기준을 충족시켰습니다. 최고 수준의 보증이 필요한 사용 사례의 경우, RSA iShield Key 2의 FIPS 140-3 레벨 3 인증은 행정명령 14028호 및 OMB M-22-09의 요구 사항을 충족시켰으며, Microsoft의 기본 도구 세트에서는 이에 상응하는 기능을 제공하지 못했습니다. 
• 헬프데스크의 사회공학적 위험 제거: RSA Help Desk Live Verify는 지식 기반 인증 방식을 양방향, 비밀번호 없는 신원 확인 방식으로 대체함으로써 헬프데스크를 통한 공격 경로를 차단했으며, 이를 통해 사용자나 지원 담당자 모두 사회공학적 기법에 속아 인증 정보가 유출되는 일이 없도록 보장합니다. 

운영 개선 

• 헬프데스크 문의 건수 감소: ‘Prime 셀프 서비스 포털’을 통해 사용자들은 IT 부서의 도움 없이도 직접 인증 정보를 관리하고, 인증 수단을 등록하며, 온보딩 절차를 완료할 수 있게 되었습니다. 해당 기관은 신원 관련 문의로 인한 헬프데스크 문의 건수를 매월 2,500건 줄일 수 있을 것으로 기대하고 있습니다.
• 실시간 보고 및 감사 대비: Prime AMIS 프레임워크를 통한 자동화된 보고 기능이 수작업 프로세스를 대체함으로써, 규정 준수 팀은 인증 이벤트, 토큰 수명 주기 상태 및 사용자 활동에 대한 실시간 가시성을 확보하게 되었으며, 이는 해당 기관 산하 모든 법 집행 기관의 CJIS 감사 의무 이행에 있어 매우 중요한 요소입니다. 
• 업무 중단 없는 현대화: 해당 기관이 보유한 109,000개의 소프트웨어 토큰과 36,000개의 하드웨어 토큰은 그대로 유지되어 이관되었습니다. 145,000명의 사용자 전원에 대해 재등록 절차가 필요하지 않았습니다. 새로운 셀프 서비스 포털은 기존 업무 흐름을 그대로 반영하도록 구성되었습니다. 최종 사용자들은 이번 전환을 업무 차질이 아닌 개선으로 받아들였습니다. 
• 대규모 환경에서의 고가용성: 하이브리드 고가용성 아키텍처는 인프라를 추가하지 않고도 클라우드, 온프레미스, RADIUS 등 모든 인증 경로에 걸쳐 복원력을 보장했습니다. 

Microsoft 환경 강화 

• Entra에 필요한 보안 계층으로서의 RSA: RSA ID Plus는 단일 통합을 통해 Microsoft 365, Azure 워크로드 및 온프레미스 시스템 전반에 걸쳐 인증 정책을 확장함으로써, Microsoft Entra만으로는 제공할 수 없었던 하이브리드 환경 지원, 하드웨어 보증 및 심층적인 규정 준수 기능을 추가했습니다. RSA/Microsoft Entra 외부 인증 방식(EAM) 통합을 통해 기존 Microsoft에 대한 투자를 그대로 유지하면서 통합 환경 전반에 걸쳐 보안 수준을 한 단계 높였습니다. 
• 두 플랫폼 모두에서 일관된 사용자 경험: RSA 마이 페이지 SSO 포털은 사용자의 워크로드가 Microsoft 365에 있든 온프레미스 시스템에 있든 상관없이 일관된 인증 인터페이스를 제공했습니다. 정책은 환경에 관계없이 사용자와 함께 적용되었습니다. 

이 기관이 현재 운영 중인 플랫폼은 확장을 염두에 두고 설계되었습니다. 하이브리드 아키텍처 덕분에 아키텍처를 재구축할 필요 없이 새로운 기관, 사용자 및 사용 사례를 수용할 수 있습니다. FIDO2, 신원 확인 기능, FIPS 인증 하드웨어 기능이 갖춰져 있어 주 정부 기관 전반으로 확대되는 무비밀번호 정책 요구 사항을 지원할 수 있습니다. RSA 프로페셔널 서비스(Professional Services) 상주 지원 전반에 걸쳐 이루어지는 지식 전수를 통해, 해당 기관의 직원들이 플랫폼을 독자적으로 운영하고 확장할 수 있도록 보장합니다. 

수년 동안 RSA를 신뢰해 왔으며, 처음부터 다시 시작하지 않고도 현대화를 추진해야 했던 한 주 정부 기관의 경우, 앞으로 나아갈 길은 이미 맺고 있던 파트너십을 통해, 그리고 그 덕분에 이제 훨씬 더 안전해진 Microsoft 환경을 통해 열렸습니다. 

이번 행사는 다음 기관과의 협력 하에 진행되었습니다. 천둥C에서 공공 부문 기술 유통 분야의 선도 기업인 Technology와 미국 최대 규모의 정부 IT 유통업체 중 하나인 Carahsoft Technology Corp. 천둥C에서 또한 카라소프트가 주 및 연방 조달 절차를 원활히 진행해 온 경험 덕분에 이 현대화 프로그램이 효율적으로 계약 체결에 이르렀습니다, 또한 이들이 RSA 생태계에 지속적으로 참여함으로써 전국 각지에서 진행 중인 공공 부문 신원 관리 이니셔티브를 뒷받침하고 있습니다.