single-sign-on

부팅부터 로그인까지 빈틈없는 (새 탭에서 열림)

Cloudflare는 원격 접속 보안의 사각지대를 제거하기 위해 '필수 인증(Mandatory Authentication)'과 '자체 다중 인증(MFA)'이라는 두 가지 새로운 도구를 출시했습니다. 이 기능들은 기기 부팅 시점부터 로그인까지 발생하는 보안 공백을 메워주며, 기존 신뢰 엔진의 한계를 보완하여 지속적인 보안 가동 상태를 유지합니다. 이를 통해 기업은 사용자 편의성을 저해하지 않으면서도 보안 사고 발생 시 피해 범위를 최소화하는 제로 트러스트 환경을 구축할 수 있습니다. ### 설치와 인증 사이의 보안 공백 해소 Cloudflare One Client가 MDM을 통해 설치되었더라도 사용자가 아직 인증하지 않았거나 세션이 만료된 경우, 기기는 가시성 밖의 '어두운 모퉁이'에 놓이게 됩니다. '필수 인증' 기능은 이러한 위험을 다음과 같이 해결합니다. * **기본 인터넷 차단:** 사용자가 활발하게 인증되지 않은 상태에서는 시스템 방화벽을 사용하여 기본적으로 모든 인터넷 트래픽을 차단합니다. * **인증 전용 예외 허용:** 기기 클라이언트의 인증 흐름에 필요한 특정 프로세스 트래픽만을 예외적으로 허용하여 인증을 유도합니다. * **사용자 가이드 제공:** 사용자가 인증 버튼을 직접 찾아 헤매지 않도록 인증 프로세스를 안내하는 프롬프트를 노출합니다. * **플랫폼 지원:** 해당 기능은 Windows용 Cloudflare One 클라이언트에서 우선 지원되며, 향후 다른 플랫폼으로 확대될 예정입니다. ### IdP 의존성을 탈피한 독자적 다중 인증 Okta나 Entra ID 같은 단일 인증(SSO) 서비스는 공격자의 주요 타겟이며, 세션 하이재킹 등에 취약할 수 있습니다. Cloudflare의 독립적 MFA는 네트워크 에지에서 작동하는 '단계별(Step-up) MFA' 역할을 수행합니다. * **이중 신뢰 구조:** 기본 IdP 자격 증명이 침해되더라도 Cloudflare가 관리하는 별도의 인증 계층을 통과해야 하므로 중요 자산에 대한 접근을 효과적으로 방어합니다. * **다양한 인증 수단:** 생체 인식(Windows Hello, Apple Touch ID/Face ID), 보안 키(WebAuthn, FIDO2), 인증 앱을 통한 TOTP 등 현대적인 인증 방식을 모두 지원합니다. * **세밀한 정책 제어:** 채팅 앱은 낮은 수준의 MFA를 허용하고 소스 코드 저장소는 물리 보안 키를 요구하는 등 애플리케이션별로 차등화된 정책을 적용할 수 있습니다. * **레거시 및 외부 협력자 관리:** MFA를 지원하지 않는 오래된 앱에 인증 계층을 추가하거나, 개인 이메일을 사용하는 외부 계약자에게도 강력한 인증을 강제할 수 있습니다. ### 실용적인 권장 사항 기업 보안 책임자는 '필수 인증'을 통해 관리형 기기가 항상 정책의 통제하에 있도록 설정하고, 민감한 내부 데이터베이스나 인프라 접근에는 Cloudflare의 독립적 MFA를 추가로 적용하는 것이 좋습니다. 이러한 방식은 단일 패스워드 유출이 전체 침해로 이어지는 것을 방지하며, 관리자에게는 정책 이행에 대한 확실성을, 사용자에게는 자동화된 보안 경험을 제공합니다.

Amazon Web Services": | Amazon (새 탭에서 열림)

AWS IAM Identity Center가 멀티 리전 복제 기능을 지원함에 따라 외부 ID 공급자(IdP)를 사용하는 조직의 가동 중지 리스크를 줄이고 전 세계적인 서비스 가용성을 확보할 수 있게 되었습니다. 이제 기본 리전의 ID 정보와 권한 세트 등을 추가 리전에 복제하여, 기본 리전 장애 시에도 추가 리전의 액세스 포털을 통해 중단 없는 AWS 계정 접속이 가능합니다. 또한 사용자나 데이터 세트와 가까운 리전에 애플리케이션을 배치함으로써 성능 최적화와 데이터 레지던시 요구 사항을 동시에 충족할 수 있습니다. ### 서비스 복원력 및 애플리케이션 성능 향상 * 기본 리전의 조직 인스턴스에 연결된 인력 ID, 권한 세트, 메타데이터를 사용자가 지정한 추가 리전으로 복제하여 고가용성을 확보합니다. * 기본 리전에서 서비스 중단이 발생하더라도, 이미 프로비저닝된 권한을 바탕으로 추가 리전의 활성 AWS 액세스 포털 엔드포인트를 통해 계정에 접속할 수 있습니다. * AWS 관리형 애플리케이션을 데이터와 가까운 지역에 배포하여 사용자 경험을 개선하고, 규정에 따른 데이터 지역 제한 요구 사항을 준수할 수 있습니다. ### 설정 요구 사항 및 멀티 리전 KMS 구성 * 이 기능을 사용하려면 Microsoft Entra ID 또는 Okta와 같은 외부 IdP에 연결된 IAM Identity Center의 **조직 인스턴스**를 사용해야 합니다. * 암호화를 위해 고객 관리형 **멀티 리전 AWS KMS 키**가 필수적이며, 복제하려는 리전에 해당 키를 미리 복제하고 관련 권한을 구성해야 합니다. * 기본 리전 콘솔의 '설정' 메뉴에서 멀티 리전 KMS 키 사용 여부를 확인한 후, 원하는 리전을 선택하여 복제 프로세스를 시작할 수 있습니다. ### 외부 IdP 연동 및 운영 제어 방식 * 멀티 리전 환경을 지원하기 위해서는 외부 IdP(예: Okta 관리 콘솔) 설정에 추가된 리전의 **ACS(Assertion Consumer Service) URL**을 등록해야 합니다. * 사용자가 각 리전의 액세스 포털을 쉽게 찾을 수 있도록 IdP 내에 리전별 북마크 애플리케이션을 생성하는 방식이 권장됩니다. * 모든 중앙 구성 관리(ID 및 권한 관리 등)는 기본 리전에서 수행되며, 추가 리전에서는 애플리케이션 관리 및 세션 취소와 같은 제한된 작업만 가능합니다. * 모든 사용자 작업은 해당 작업이 수행된 리전의 AWS CloudTrail에 기록되어 중앙 집중식 모니터링과 보안 감사가 가능합니다. 비즈니스 연속성(BCP)이 중요한 기업은 이 기능을 활용해 인증 서비스 장애에 대비한 '브레이크 글래스(Break-glass)' 액세스 전략을 강화할 것을 권장합니다. 현재 기본적으로 활성화된 17개의 상업용 AWS 리전에서 추가 비용 없이(KMS 비용 별도) 즉시 도입할 수 있습니다.

피그마, 현지 데이터 호 (새 탭에서 열림)

피그마(Figma)는 호주 시장의 급격한 성장에 발맞춰 2025년 4분기부터 호주 현지 데이터 호스팅 서비스를 시작하고, 기업용 보안 기능을 대폭 강화한 'Governance+'를 출시했습니다. 이번 조치는 금융, 의료, 공공 부문과 같이 데이터 규제가 엄격한 산업군에서 피그마를 안심하고 사용할 수 있도록 현지 인프라와 강력한 제어 기능을 제공하는 데 목적이 있습니다. 이를 통해 기업 고객은 데이터의 위치를 직접 선택하고 더욱 정교한 거버넌스 정책을 수립할 수 있게 되었습니다. **호주 현지 데이터 레지던시 도입 및 인프라 확장** - 2025년 4분기부터 호주 내에 피그마 파일 데이터(FigJam, Make, Sites, Buzz, Slides 포함)를 저장할 수 있는 옵션이 제공됩니다. - 이는 미국과 유럽에 이은 아시아 태평양 지역 최초의 데이터 레지던시 확장 사례로, 현지 고객들의 보안 및 데이터 보호 요구를 반영한 결과입니다. - National Australia Bank(NAB)와 같은 대형 금융사를 포함하여 규제가 엄격한 산업군의 기업들이 현지 법규를 준수하면서 피그마의 협업 기능을 안전하게 활용할 수 있도록 지원합니다. **Governance+를 통한 기업용 보안 및 제어 기능 강화** - **중앙 집중식 제어:** IP 허용 목록(IP Allowlist) 및 네트워크 접속 제한(NAR) 기능을 제공하여, 승인되지 않은 개인 공간이나 외부 네트워크로 기업 데이터가 유출되는 것을 방지합니다. - **계정 보안 고도화:** 2단계 인증(2FA) 강제 적용과 유휴 세션 타임아웃(Idle Session Timeout) 연장 기능을 통해 계정 탈취 위험을 낮추며, 조만간 다중 SSO 설정 기능도 추가될 예정입니다. - **데이터 거버넌스 및 컴플라이언스:** 'Discovery Pipeline' 도구를 통해 조직 내 모든 피그마 활동을 모니터링할 수 있으며, 이를 통해 기업의 전자 통신 보존 정책을 준수하고 법적 증거 개시(Legal Discovery) 절차를 지원합니다. 현재 피그마 엔터프라이즈 플랜을 이용 중인 고객은 Governance+ 기능을 즉시 도입하여 조직의 보안 수준을 높일 수 있습니다. 특히 데이터 주권과 보안 규제 대응이 중요한 글로벌 기업이라면, 이번 현지 호스팅 일정과 강화된 거버넌스 도구를 검토하여 내부 보안 로드맵에 반영할 것을 추천합니다.