1999년 처음 등장한 마이크로소프트(MS)의 인증관리서비스인 액티브디렉토리(Active Directory, AD)가 최근 들어 주목을 끌고 있어 눈길을 끈다. 스마트폰, 태블릿 등 다양한 기기가 업무에 사용되고 클라우드 환경이 확산되는데 따른 것이다.
대기업의 경우 통상 기업 내부직원, 해외 파견 업무를 나간 직원, 외부협력업체 직원이 각각 대기업 내부 시스템에 접속해 필요한 업무를 수행하게 된다.
문제는 국내 대기업들 대부분 웹표준 기술을 쓰지 않고 있는 탓에 해당 기업 시스템에 접속하는데 어려움을 겪어 왔다는 것이다. 이를테면 해외 고객사 직원이 국내 대기업 내부 시스템에서 필요한 정보를 얻기 위해서는 별도로 계정을 발급 받아야만 하는 불편함이 있었다.
국내 대기업에 제품을 납품하거나 서비스를 제공하고 있는 외부협력업체 직원들에게도 비표준 인증시스템이 불편하기는 마찬가지다.
국내 보안 전문가들에 따르면 최근 국내에서 내부자를 통한 기업정보유출 사건이 빈번한 이유 중 하나는 대기업 내부 시스템에 접속할 수 있는 계정 하나를 여러 직원들이 돌려서 쓰고 있는 탓이 크다. 계정 하나를 공용으로 쓰기 때문에 누가 정보를 유출시켰는지 조차 확인하기 어렵다는 지적이다.
사내 시스템에 접속할 수 있는 여러 계정을 시간, 장소, 내외부 직원, 기기 종류에 제약없이 활용할 수 있게 하면서도 보안성을 높이는 기술이 필요한 시점이 된 것이다. 이미 주요 글로벌 기업들은 이러한 방식을 도입하고 있다. 그러나 글로벌 시장에서 성과를 내고 있는 삼성전자, LG전자 등 대기업들은 이러한 인증 방식에 관심을 기울이는 정도다.
한국MS 백승주 부장은 최근 개발자들 사이에 AD가 주목받고 있는 이유가 바로 여기에 있다고 설명했다.
AD는 윈도2000서버에서부터 적용되기 시작한 디렉토리 서비스다. 쉽게 말해 내가 어떤 기기나 계정을 사용하는지에 상관없이 내부 시스템에 접속할 수 있도록 해주는 인증, 데이터베이스(DB), 관리도구를 합친 개념이다. 현재는 MS의 클라우드 서비스인 윈도애저, iOS나 안드로이드 기반 기기를 통한 인증 서비스까지 통합해서 제공한다.
백 부장에 따르면 일부 국내 기업들은 AD를 사내 업무용 PC 관리 용도로만 활용해 왔다. AD를 통해 그룹 정책을 새롭게 설정해 주면 정책이 해당 클라이언트PC에게 내려오도록 하고, 주요 업데이트를 관리하는 등의 기능만 활용해 온 것이다.
그러나 스마트 기기를 업무에 활용하는 BYOD, 클라우드컴퓨팅이 부상하고 있는 시점에서 해외 파견 직원, 협력업체 직원, 글로벌 고객사들도 기기에 관계없이 사내 시스템에 보다 쉽고 안전하게 접속할 수 있는 관리시스템이 필요해졌다.
백 부장은 지금은 하나의 기기가 여러 개 아이덴티티(계정)를 지원해야 하는 추세로 가고 있다며 국내 대기업들이 기존에 내부 인트라넷 관리용으로만 사용해 왔던 AD를 스마트기기, 클라우드 인프라에서도 손쉽게 활용할 수 있도록 하는데 관심을 보이고 있다고 전했다.
백 부장은 자동차 회사를 예로 들어 AD가 운영되는 방식을 설명했다. A자동차 회사 직원들에게는 내부 시스템에 접속할 수 있는 계정이 주어진다. 이 회사와 협력관계에 있는 B타이어 납품회사 직원들은 필요에 따라 A회사 시스템에 접속해야 한다.
기존에 A회사는 납품회사 직원들에게까지 일일이 계정을 발급해주기 어려웠기 때문에 몇 개 계정을 발급해 주는 식으로 관리해 왔다.
AD를 도입하면서 이러한 업무방식에 변화가 생겼다. B회사 직원들은 자기가 원하는 계정을 자사 서버를 통해 개설한다. A회사는 해당 계정에 대한 권한만 관리한다. 예를 들어 타이어 납품업체 직원들의 경우 A회사 내 발주 내역 등에 대한 조회만 가능하도록 하는 방식이다.
이렇게 하면 그동안 모든 계정에 대한 인증/권한관리를 모두 관리해야했던 A회사에서는 그만큼 시스템 자원이나 인력 투입에 대한 부담을 덜 수 있다.
협력관계에 있는 두 회사가 스마트폰, 태블릿 등을 활용해 사내 시스템에 접속할 때에도 A회사는 각 기기들에 대한 권한만 관리해주면 되기 때문이다.
최근 MS는 자사 액티브디렉토리 관련 블로그에 윈도애저용 AD관련 라이브러리를 오픈소스 형태로 제공한다고 밝혔다. 개발자들이 보다 쉽게 AD를 각종 애플리케이션에 통합할 수 있도록 지원하기 위해서다. 관련 내용은 오픈소스 커뮤니티인 지트허브에도 공개됐다.
AD은 '커베로스'라는 표준 보안 프로토콜을 사용하고 있어 보안성을 높이면서도 윈도 이외에 리눅스, 맥 OS X 등 운영체제(OS)에서도 사내 시스템에 접속하기 위한 인증을 받을 수 있도록 하고 있다. 백 부장에 따르면 PC에 한해서만 이 같은 서비스가 제공된다.
관련기사
- MS, 윈도8.1 업데이트서 메트로UI 숨기나2014.02.04
- MS, IE11에 엔터프라이즈 모드 탑재..왜?2014.02.04
- "MS 차기 CEO 사티아 나델라 내정"2014.02.04
- 이스라엘 보안기업, '생각하는 방화벽' 개발2014.02.04
스마트기기나 외부 PC로 사내 시스템에 접속할 경우에는 '액티브디렉토리 페더레이션(ADFS)'이라는 AD 확장기술이 활용된다. 이 역시 표준 기반으로 제공되고 있기 때문에 여러 기기, OS, 클라우드 서비스 등 종류에 관계없이 사내 인증이 가능토록 한다.
사내 시스템 내부에 스마트폰, 태블릿, 외부 PC, 퍼블릭 클라우드 계정 등을 AD에 등록해 놓으면 별도 사내 계정 없이도 해당 기기나 외부 계정으로 사내 시스템에 접속할 수 있게 되는 것이다. 백 부장에 따르면 이를 위해 윈도서버2012 R2에서는 '기기 등록 서비스(DRS)'를 제공하고 있다.
