멀티팩터 인증 솔루션 구축시 숨겨진 비용

July 24, 2019

 

 

사이버 범죄가 나날이 증가하고 있습니다. 장소, 규모 그리고 업종을 가리지 않고 일어나고 있습니다. 사전에 충분한 예방 조치를 취하지 않으면 비즈니스가 위험에 처할 수 있습니다.

 

비즈니스 보호를 위해 인증 솔루션을 구축하려면 상당한 투자가 필요합니다. 초기 구축비용 뿐만 아니라 이후 지속적으로 발생할 수 있는 모든 비용을 완벽히 파악하는 것이 매우 중요합니다.

 

인증 솔루션 도입 시 고려해야 하는 모든 잠재적 비용을 살펴보겠습니다.

 

기술이 발전함에 따라 투팩터 인증(2FA) 솔루션을 넘어 멀티팩터 인증(MFA) 솔루션 구축으로 인증을 한층 강화하려는 경향을 보이고 있습니다.

 

2FA는 사용자 인증을 위해 두 가지 인증 요소를 사용하는 것을 의미하며, MFA의 한 부분으로 볼 수 있습니다. 완전한 멀티팩터 인증에서는 사용자가 알고 있는 것, 소유하고 있는 것 그리고 신체의 일부로 인증하도록 요구합니다. 예를 들어 중요한 정보에 액세스하는 사용자가 자신의 정당함을 보증하기 위해 자신이 소유하고 있는 것(휴대 전화의 앱), 자신이 알고 있는 것(PIN 또는 일회용 코드) 그리고 자신의 일부(예 지문)로 증명하게 합니다.

 

MFA는 비즈니스 상황에 맞게 다양한 형태로 활용될 수 있습니다. 즉, 사용자가 액세스하려는 응용 프로그램이나 데이터에 가장 적합한 방법 또는 인증 요소를 선택하도록 합니다. 예를 들면, 위험도가 아주 높은 것으로 분류된 데이터 또는 애플리케이션에 대한 액세스시 사용자에게 완전한 MFA를 제시할 것을 요구할 수 있습니다.

 

MFA는 보안성의 저하 없이 최적화된 효율성도 동시에 보장해야 합니다. 그렇다면, 기업이 이를 구축하기 위해 얼마나 투자해야 할까요?

 

초기 투자 고려 사항

 

우선, 라이선스 및 고가용성을 포함한 하드웨어 요구 사항과 같은 초기 도입 비용이 있습니다. 구축을 위한 전문 기술 서비스가 필요할 수도 있고, 내부 IT관리자의 부담을 줄일 수 있는 변경관리 요구 사항도 있을 수 있습니다.

 

도입 초기에는 최종 사용자 지원을 위한 헬프데스크를 운영해야 할 수도 있고, 하드웨어 토큰을 사용하는 경우 토큰의 딜리버리에 대한 비용도 고려해야 합니다. 교육 비용과 생산성 향상을 위하여 사용자가 스스로 인증을 통해 등록하도록 하는 플랫폼 비용 등도 손에 잘 잡히지 않는 비용이지만 반드시 고려되어야 합니다.

 

그러나 비용이 가시적인지 여부에 관계없이 기존 네트워크 구성 변경을 최소화하고 신속한 구축에 집중하느라 종종 TCO (총 소유 비용)가 간과되는 경우가 있습니다.

 

새로운 솔루션 도입 시 TCO(총 소유 비용)을 반드시 고려해야

 

솔루션 구축이 끝나고 사용자가 시스템에 익숙해져 지원 요구가 줄어들 때쯤 이면, 유지보수 갱신 시기가 도래하게 됩니다.

 

유지 보수 갱신 비용이 예상 보다 클 수 있습니다. 사실 도입을 검토 중인 때는 이 비용이 대개 명확하지 않은 경우가 많습니다. POC (Proof of Concept)와 신속한 구축에 중점을 두느라 총 소유 비용에 대한 관심이 덜했기 때문입니다. 결론적으로 말하면 솔루션 검토의 초기 단계에서 솔루션에 대해 중기 4년 또는 5년에 대한 비용을 고려하지 않았다면 큰 실수를 한 것입니다.

 

지속적인 유지 관리 비용에는 최종 사용자 지원을 위한 헬프데스크 비용, 관리자에 의한 IT 운영 관리 시간도 포함되어야 합니다. 어떤 공급 업체는 패치 및 업그레이드, 새로운 커넥터/연동 및 데이터 센터 요금 까지도 청구하는 경우가 있습니다.

 

MFA와 같은 솔루션을 구축하는 것은 이제 보편적인 일이 되었으나, 일부 공급업체는 MFA 솔루션을 처음부터 다시 구축하기가 쉽지 않다는 것을 알기 때문에 고객에게 비싼 유지보수 비용을 부담시킬 수 있습니다.

 

신중한 고려가 필요 합니다.

 

구축 후 1년이 지난 뒤 유지 보수 비용 때문에 놀라지 않으려면, 구매 계약서에 사인을 하기 전에 TCO에 대한 철저한 사전 조사를 하는 것이 필수적입니다. 모든 사람들은 쉽고 빠르게 가기를 원합니다. 특히 MFA와 같은 솔루션을 구축할 때 더욱 그렇습니다. 그러나 뒤이어 따라올 수 있는 막대한 유지비 보수 비용을 미처 생각치 못하고 신속한 구축에만 현혹되기 쉽습니다.

 

따라서 MFA 솔루션을 검토를 시작할 때부터 올바른 질문을 할 수 있도록, 검토 시 반드시 고려해야 할 몇 가지 사항을 아래에 제시합니다.

 

생산성과 관련된 비용

 

관리자를 위한 지속적인 유지 관리 비용:

  • 하드웨어 및 소프트웨어 지원과 관련된 비용이 있습니까?

  • 패치 및 업그레이드 비용이 있습니까?

  • 추가 연결/연동 비용이 있습니까?

  • 데이터 센터 요금이 있습니까?

  • 관리자의 IT 관리 비용은 얼마나 듭니까?

사용자를 위한 유지 관리 비용:

  • 분실 또는 손상된 토큰에 대한 비용이 있습니까?

  • 토큰 라이센스 갱신 비용은 얼마입니까?

  • 운송비가 들어 갑니까?

  • 사용자 지원을 위한 헬프데스크 운영 비용은 얼마나 듭니까?

지속적인 유지 관리 비용뿐만 아니라 생산성 관련된 비용과 같은 여타 비용의 중요성도 점점 높아지고 있습니다. 왜냐하면 고위 경영진은 MFA 솔루션의 구축 뿐만 아니라 구축 후 사용자에게 안정적인 인증 서비스를 제공하여 비즈니스에 영향을 주지 않도록 하는 것을 중요하게 보기 때문에 생산성과 관련된 비용 또한 매우 중요한 것입니다.

 

건당 인증 소요 시간도 하나의 중요한 셀링 포인트가 될 수 있습니다. 하지만, 선택한 솔루션이 위험 기반 인증(RBA)과 같은 기능을 추가 비용없이 사용할 수 있다면, 이것은 사용자가 상황에 적합한 수준 또는 방법으로 인증하도록 할 수 있다는 것을 의미합니다. 예를 들어 로그인 하는 장소가 사무실이고 Office 365에 로그인하는 경우 하나의 인증 방법이나 요소만 있으면 충분할 수 있습니다.

 

하지만, 동일한 사용자가 개인 소유의 디바이스를 사용하여 CRM (Customer Relationship Management) 데이터베이스에 원격으로 액세스하려는 경우 완전한 멀티팩터 인증을 요구할 수 있고, 구성에 따라 액세스가 거부될 수도 있습니다.

 

어떤 다이내믹한 솔루션은 사용자별로, 애플리케이션별로 적합한 수준의 인증을 제공할 수 있으므로 보안을 약화시키지 않으면서도 생산성을 극대화할 수 있습니다.

 

일부 MFA 제공 업체는 RBA 기능을 기본 기능으로 제공하지만, 대부분의 벤더는 추가 라이센스 요금을 요구합니다. 또는 '프리미엄 옵션'을 구입한 경우에만 이 기능을 제공합니다.

 

솔루션 업체에 따라 싱글사인온(SSO)도 별도로 비용을 요구하거나 프리미엄 옵션에서만 제공되는 경우도 있습니다. 이러한 기능 중 일부는 현재 이용이 가능하고 관리자의 위시리스트에 포함될 수 있기 때문에 이러한 모든 기능에 대한 잠재적인 비용을 함께 검토해 볼 필요가 있습니다.

 

모든 기능, 접근성 및 구성 변경 기능 표준으로 제공 여부

 

각 조직 마다 아키텍처가 다르므로 요구 사항 또한 다를 수 있습니다. 그러나 일부 기능은 보편적이며 다음 기능을 제공하도록 설계되었습니다.

  • 효율성 - 사용자가 모든 응용 프로그램에 액세스하기 위해 한 번만 인증 하면 되는 싱글사인온(SSO) 기능

  • 유연성 - RBA(리스크기반인증) 및 모든 다양한 아키텍처를 지원하는 능력

  • 생산성 - 사용자가 PIN을 재설정하고 모바일 장치를 스스로 등록할 수 있는 사용자 포털

인증방법이 추가될 때마다 별도의 비용이 추가될 수 있습니다. RBA가 포함된 솔루션을 사용하면 유연성과 생산성이 향상될 수 있지만 둘 이상의 인증 방법을 사용하기 위해서 비용이 추가된다면 그 장점은 상쇄될 것입니다. RBA와 같은 사용 가능한 모든 인증 방법에 대해 추가 비용없이 사용할 수 있는지 확인하십시오.

 

마치면서

 

고민 끝에 적합한 솔루션을 찾았다면, 이제 마지막으로 나중에 구성변경이나 소프트웨어 또는 외부연동 대상이 변경될 필요가 있는지 확인하십시오.  이는 조직에 상당한 투자 비용을 초래할 수 있으므로 솔루션 설정의 변경이 얼마나 용이한지 그리고 환경 변화에 대한 대응력이 얼마나 뛰어난 지 확인하십시오.

 

공급 업체 간의 비교표를 만드는 것은 쉬운 일은 아닙니다. 그러나 기능, 인증 팩터 및 지속적인 유지 관리 비용 (관리자 및 최종 사용자 모두)을 포함한 전체 제공 내용을 고려한다면 솔루션 구축에 필요한 전체 투자를 설명하는 데 도움이 될 것입니다. 

 

 

 

 

 

 

 

 

 

 

 

 

 

Share on Facebook
Share on Twitter
Please reload

추천 게시물

만화로 알아보는 AuthControl 인증 솔루션

May 23, 2017

1/1
Please reload

최근 게시물
Please reload

보관
Please reload

태그 검색
Please reload

 

@2015 Array Networks Korea. All Rights Reserved. (주)어레이네트웍스코리아 강남구 삼성로 96길 6, 2006  Tel: 02-3461-8124  E-mail : array-sales@arraynetwork.co.kr