토스의 계정권한 관리 자동화 프로세스

계정권한과 관련된 컴플라이언스는 국내외를 불문하고 꾸준히 요구되는 것이다. 1인1계정, 최소권한 부여, 부여/변경 시 적절성 검토, 권한 생성/부여/변경/말소 이력 관리, 인사이동 발생시 즉시 계정권한 변경 또는 말소, 주기적 권한 적정성 검토, 로그인 횟수 제한, 2차 인증 적용 등은 이미 너무나 친숙한 컴플라이언스라 할 것이다.

 

이런 컴플라이언스를 요약하면, 누가 어떤 권한을 얼마나 갖고 있는지, 그리고 그게 얼마나 적정한지 검증하는 과정이라 하겠다. 시스템 자체가 적을 때는 별 문제가 없으나, 시스템이 많아질수록 문제가 수면 위로 올라오게 된다. 보안 요구사항을 온전히 수행하지 않으려는 자아(?)가 발현되면서, 자체 계정을 개발한다거나, LDAP 연동을 한다고 하거나, 2차 인증을 적용하지 않는 등의 선택을 하려는 것이다. 이렇게 자아가 발현되는 이유는 시스템이 많아짐에 따라 보안담당자가 하나하나 챙기고, 꾸준히 감시(?)하는 것이 어려워지기 때문이다.

 

컴플라이언스 준수를 하는 이유는 준수 그자체에 있음이 아니다. 결국 공격 위협에 방어하기 위함이고, 그렇기에 컴플라이언스 준수는 방어를 위한 기본 전략이라 할 수 있다. 보안 업계에 있는 사람이라면 이런 컴플라이언스는 너무나도 친숙하지만, 현실에서는 잘 지켜지지 않는다. 이 시스템의 숫자라는 것은 단순히 외부에 드러난 것에 그치지 않는다. 내부 시스템은 물론이거니와, 계속해서 개발을 반복하는 여러 테스트 시스템도 포함된다. 그렇기에 그런 모든 것을 관리하기 위해서는 자동화 프로세스가 필요해지는 것이다.

 

사실 문제가 발생하는 지점은 단순 관리 소홀에 있지 않고, 개발의 시작점부터 이미 존재한다. 내부 정책은 보안팀이 꿰고 있는데, 실제 구현은 현업부서에서 하는 것부터가 이미 차이가 발생하는 지점이란 것이다. 또한 계정관리도 시스템마다 개별관리되는 것이 일반적이다 보니, 한 번에 보아서 보기가 힘들어지고, 그래서 보안팀에서 즉각 대응이 어려워지는 것이다.

 

그렇기에 모든 시스템의 계정 권한과 인증을 중앙에서 관리할 필요가 있는 것이다. 토스에서 만든 통합 계정관리 시스템의 주요 기능으로는 ① 요청 시스템 ② 정책 시스템 ③ 인증 시스템 ④ 모니터링 시스템이 있다.

 

① 요청 시스템 기능

토스에서 운영 중인 모든 업무시스템과 그 권한 체계가 이 통합 관리시스템에 등록되고, 메타데이터도 모두 등록되어 해당 시스템에 대한 정체(?)를 알기 수월해진다. 이 시스템이 개인정보 처리 시스템인지, 그렇다면 거기서도 개인정보 조회만 가능한 것인지, 다운로드도 가능한 것인지 말이다. 그리고 임직원은 이 통합관리시스템을 통해 권한을 요청하게 되는데, 요청자가 원하는 권한을 선택해서 신청하게 되고, 그간의 요청 내역을 확인할 수 있어 불필요한 권한에 대해서도 직접 회수 요청을 할 수도 있다. 계정권한의 부여/변경/말소 이력을 모두 관리하는 것이다.

 

② 정책 시스템 

정책에 따라 어느 시점에 특정 권한을 부여하고 회수할지를 정한다면, 이 시스템에서 자동으로 이를 수행하는 것이다. 부서별/직군별 기본 권한을 자동 신청 및 부여할 수 있고, 인사이동 발생 시 계정권한 자동 회수도 이런 정책을 통해 등록하는 것이다.

 

③ 인증 시스템

Keycloak을 통해 구축했다고 하는데, 기본적으로 OIDC/SAML 인증이 있고, 추가적으로 MFA 기능도 적용할 수 있다. 권한 DB의 역할도 여기서 하게 되는데, 실제 사용자에게 부여된 업무시스템 및 권한이 여기에 저장되는 것이다. 기존에는 테이블로 저장되었던 것이 이 시스템에 통합 관리되는 것이다. 요청 시스템에서 승인된 권한만 등록되도록 설정하며, Device Posture라는 기능이 있는데, Zero Trust 아키텍처에 따라 접속 단말에 대한 실시간 단말 보안 수준을 검증하는 것이다. 필수 sw가 설치 및 실행되어 있는지, 비인가 sw가 설치 및 실행되어 있지는 않는지, 종합적인 단말 보안 수준은 어떠한지 등을 보는 것이다.

 

④ 모니터링 시스템

사용자별/업수시스템별 권한 부여 현황 대시보드를 통해 가시성을 높인 것이다. 내부 정책에 위배되는 이상 권한을 탐지하고, 이에 따른 후속조치를 수행하는 것이다. 

 

통합 계정권한 관리 시스템의 운영 흐름은 다음과 같다.

 

업무시스템 접속 시 mfa를 했다고 해서 바로 접속이 되는 것이 아니라, ②의 단말 보안 수준 검증 절차도 거치게 된다. 저걸 전사적으로 적용하고 있다는 건 굉장히 적은 시간 내에 ②가 완료된다는 뜻으로 보인다.

퇴사시 프로세스에서는 사람의 개입이 없이 모든 것이 자동화된 것을 확인할 수 있다.

그리고 앞서 계속해서 수집한 로그에 대해서는 모두 보안팀에서 직접 확인하여 모니터링을 수행하는 것이다.

 

이런 과정을 통해 토스는 계정권한 및 인증 시스템 일원화, 보안팀에서 자체적으로 정책 관리 및 구현, 전사 모든 업무시스템에 대한 계정권한 운영 현황 가시화, 실시간으로 비정상적인 계정권한 부여 현황 식별 및 조치, 계정권한 보안 수준 향상 및 일관성 유지를 달성하게 되었다. 그리고 통합 계정권한 관리시스템을 연동해야만 업무시스템을 운영할 수 있도록 아키텍처 및 프로세스를 마련하여 모든 시스템이 중앙관리가 강제로 되도록 하였다. 

 

그리고 여기서 더 보강할 수 있는 요소로는 행위기반 탐지 룰 고도화, 권한 적정성 검토 기준 고도화가 있을 것이다. '최소권한' 에 핵심을 맞춰 고도화하는 것이다.