개인정보 유출 사고가 이어지며 사내외 시스템을 가리지 않고 계정과 관련된 보안 기능의 중요성이 높아지고 있습니다. 직원 개인의 관리 부실이나 퇴사 등으로 인해 업무용 계정이 도용/탈취되거나 업무용 계정이 로그인된 디바이스가 유실/방치되는 경우 고객 정보나 계약서, 영업 비밀 등의 중요 자료가 유출되는 사건으로 이어질 수 있습니다.
기업 정보의 유실은 기업의 신뢰도 저하와 재정적 피해로 이어지는 만큼 업무용 서비스를 선택할 때는 계정과 관련된 문제를 예방할 수 있는 로그인 보안 기능이 제공되는지, 그리고 보안적 위험이 발생했을 때 관리자가 이에 대응할 수 있는 사후관리 시스템이 제공되는지 확인해야 합니다.
‘웍스 드라이브 FAQ’ 세 번째 에피소드에서는 웍스 드라이브에서 제공하는 로그인 계정 보안 조치와 대응책에 대해 상세히 살펴보는 시간을 가져보겠습니다.
Q. 웍스 드라이브는 로그인 계정 보안 기능을 제공하나요?
A. ‘웍스 드라이브’는 구성원 로그인 계정의 비밀번호 정책, 허용되는 로그인 방법, 2단계 인증 여부, SSO 연동 등 기업 사용성에 특화된 보안 기능들을 관리자가 손쉽게 선택, 적용할 수 있는 올인원 로그인 보안 기능을 제공합니다.
웍스 드라이브를 포함해 모든 네이버웍스의 서비스들은 IT 보안에 대한 전문 지식이 없는 관리자도 필요한 보안 조치를 쉽게 설정하고 실행할 수 있도록, 관리자 화면의 ‘보안’ 메뉴에 모든 기능을 알기 쉽게 정리해서 제공하고 있습니다.
먼저 비밀번호 보안 정책부터 알아보겠습니다.
웍스 드라이브를 사용하는 구성원들의 로그인 계정들은 관리자가 설정한 비밀번호 길이와 구성(영문,숫자,특수문자의 조합 등)에 맞춰 비밀번호를 등록해야 하고, 설정된 만료 주기나 재사용 금지 정책에 맞춰 비밀번호를 갱신해야 합니다. 계정 탈취를 방지하기 위해 잘못된 비밀번호를 통한 로그인 시도를 몇 회까지 허용할지 설정할 수 있고, 비밀번호가 유출된 정황이 있을 경우 각 구성원의 비밀번호를 관리자가 직접 변경하거나, 유출 규모가 큰 경우 전체 구성원의 비밀번호를 일괄 재설정하는 기능도 제공하고 있습니다. 관리자가 구성원의 비밀번호를 변경하거나 재설정한 경우 즉시 모든 디바이스에서 계정이 로그아웃되어 드라이브의 데이터를 안전하게 보관할 수 있습니다.
비밀번호 설정 외에도 회사 정책에 맞춰 사용할 수 있는 로그인 방법을 제한할 수 있습니다.
웍스 드라이브는 네이버나 라인(LINE) 계정을 연결해 로그인하는 편의 기능뿐만 아니라 휴대폰 인증을 통한 로그인, 휴대폰에 저장한 생체정보를 통한 로그인 등 다양한 로그인 기능을 제공하고 있습니다. 이뿐만 아니라 휴대폰이나 개인 이메일로 인증 번호를 받아 추가로 보안 확인을 거치는 2단계 인증 기능을 필수로 적용할지 선택할 수 있어 회사 정책에 맞는 로그인 정책을 클릭 한두 번으로 간단히 구성할 수 있는 장점이 있습니다.
PC를 키고 끌 때 드라이브 탐색기에 자동 로그인하는 기능을 제한하거나, 여러 대의 PC 브라우저에서 동시 로그인을 막거나, PC 나 모바일 디바이스에서 로그인이 유지되는 시간을 제한하는 기능들도 손쉽게 설정할 수 있어 사내 IT 관리자로서 여러 개의 보안 설정을 부담 없이 테스트하고 상황에 맞는 설정을 적용할 수 있습니다.
Q. 웍스 드라이브는 SSO 연동 기능을 제공하나요?
A. 네이버웍스의 ‘웍스 드라이브’는 SSO 연동 기능을 통해 기업 사용성에 특화된 보안 환경을 구축할 수 있도록 지원합니다.
SSO 란 기업에서 사용하는 애플리케이션과 웹사이트, 솔루션/시스템의 각기 다른 로그인 계정을 보안이 검증된 하나의 계정으로 통합하는 기술입니다. 네이버 블로그와 카페, 메일, 캘린더, 지도 서비스를 네이버 아이디라는 하나의 계정으로 사용하는 것처럼, 모든 기업용 솔루션을 하나의 계정 체계로 모아 관리하기 용이하고 기억하기 쉽게 제공하는 방식입니다. SSO를 사용하지 않는 경우 직원들은 회사 업무에 사용하는 각 시스템과 서비스별 비밀번호를 따로 관리해야하고, 이런 정보를 수첩이나 포스트잇, 메모에 적어서 보관하면서 보안 유출에 취약한 관행을 만들게 됩니다.
SSO 연동에서는 인증 체계를 제공하는 서비스를 IdP(Identify Provider), 다른 인증 체계로 로그인을 할 수 있도록 기술적 조치를 취해둔 서비스를 SP(Service Provider)라고 부르는데요. 웍스 드라이브의 인증 체계는 IdP 와 SP 의 역할을 모두 수행할 수 있는 기술적 완성도를 갖추고 있습니다. 이미 회사에서 사용하고 있는 인증 체계가 있다면 해당 SSO 로그인으로 웍스 드라이브를 비롯한 네이버웍스 서비스에 로그인하는 것이 가능하고, 만약 회사에서 사용하는 인증 체계가 없다면 네이버웍스를 통합 플랫폼으로 삼아 네이버웍스 계정 하나로 사내의 모든 서비스들을 사용하도록 하실 수 있습니다.
네이버웍스 Developers 에서 SSO 설정에 대한 가이드를 확인하실 수 있습니다.
‾
기업의 기밀 정보 유출은 단순 해프닝을 넘어서 기업의 생존을 위협하게 됩니다. 그러하기에 구성원들 함께 사용하는 서비스의 경우, 서비스가 기본적으로 제공하는 보안 기능을 세세히 따져볼 필요가 있습니다. 특히, 회사 정보를 담은 각종 파일을 공유 및 저장하는 드라이브(클라우드 스토리지)의 경우는 기업에 특화된 보안 기능이 있는지, 얼마나 세부적인 정책까지 설정 가능한지, IT 전문 지식을 갖고 있지 않더라도 누구나 쉽게 설정하고 문제 사항에 빠르게 대처할 수 있는지 확인해야 합니다.
업무용 클라우드 스토리지를 고민하고 계시거나 변경을 검토 중이시라면, 서비스에 접속하는 로그인 순간부터 직원들이 사용하는 모바일 기기의 사용성까지 안전하게 제어되고 관리될 수 있는지 꼼꼼히 확인해 보시기 바랍니다.
