인증 프로세스 마이닝: 차세대 CIAM 핵심 기술

1. 서론#

패스키는 CIAM을 발전시키고 있습니다. 업계 최고 수준의 팀들은 로그인 여정을 엔드투엔드로 계측하고, 이전에는 기록하지 않았던 오류를 분류하며, 처음으로 클라이언트 측 원격 측정을 살펴보기 시작했습니다. 하지만 대다수의 ID 팀은 아직 그 단계에 도달하지 못했습니다. 진정한 인증 가시성 계층도, 세션별 이벤트 그래프도, 클라이언트 측 절차 데이터도 없습니다. 여전히 서버 측의 시도, 성공, 실패만이 전체 그림의 전부입니다.

인증 프로세스 마이닝은 그다음으로 고려해야 할 논리적인 단계이지만, 이는 근본적인 이벤트 데이터가 존재할 때만 가능합니다. 가시성 계층이 없다면 마이닝할 대상도 없습니다. 가시성 계층이 구축되면 완전히 새로운 기술을 활용할 수 있습니다. 이는 2010년대에 원시 ERP 이벤트 로그를 최적화된 워크플로우로 전환했던 비즈니스 프로세스 마이닝에서 직접적으로 차용한 것입니다. 이를 ID 분야에 적용하면, 설계된 로그인 여정과 실제 여정을 비교하여 편차 경로를 찾아내고, 세분화된 스텝업 인증, 억제 규칙(suppression rules) 또는 엔드투엔드로 측정되는 UX 변경을 통해 그 격차를 줄일 수 있습니다.

이 글에서는 CIAM 팀이 인증 가시성 계층 위에 무엇을 구축해야 하는지 다시 정의해 봅니다.

1.1 이 글에서 다루는 질문들#

이 글에서는 다음 질문들을 다룹니다:

1. 프로세스 마이닝은 BPM을 위해 무엇을 했으며, 인증에서 이와 직접적으로 대응되는 것은 무엇일까요?
2. 왜 패스키 도입이 이러한 격차를 표면화시켰으며, 왜 인증 로그만으로는 결코 충분하지 않았을까요?
3. 엔드투엔드 인증 프로세스 마이닝 이벤트 모델은 실제로 어떤 모습일까요?
4. 프로세스 마이닝은 세분화된 스텝업 인증 및 인가와 어떻게 연결될까요?
5. 이것이 CIAM 공급업체 환경과 이미 IDP를 소유하고 있는 ID 팀에게 의미하는 바는 무엇일까요?

2. 프로세스 마이닝이 BPM을 위해 한 일#

2.1 이벤트 로그에서 최적화된 프로세스로#

비즈니스 프로세스 마이닝은 모든 ERP, CRM 또는 티켓팅 시스템이 위키에 문서화된 워크플로우가 아닌 실제 워크플로우를 보여주는 이벤트 로그를 작성한다는 인식에서 출발했습니다. 세 명의 승인자를 거쳐야 했던 구매 주문의 40%가 실제로는 두 명만 거쳐 처리되고 있었습니다. 일직선으로 진행된다고 문서화된 청구 흐름이 18%의 청구 건에서 다섯 번이나 반복해서 루프를 돌았습니다. Celonis가 대중화한 프로세스 마이닝 도구들은 타임스탬프가 찍힌 이벤트를 바탕으로 이러한 그래프를 재구성했고, 운영자들이 새로운 질문을 던질 수 있게 했습니다. 실제 프로세스가 설계된 프로세스와 어디서 어떻게 벗어나며, 그 편차로 인해 발생하는 비용은 얼마인가?

2.2 인증에서의 평행 이론#

인증도 동일한 구조를 가지고 있습니다. 모든 로그인은 타임스탬프가 찍힌 일련의 이벤트입니다. 페이지 로드, 식별자 입력, 챌린지 선택, 생체 인식 프롬프트, 어설션 반환. 구조적 평행성은 정확히 일치합니다. 실질적인 차이점은 ERP나 CRM과 달리, 이러한 이벤트 데이터가 여러분의 IDP 로그에는 아직 프로세스 마이닝에 필요한 세분화된 형태로 존재하지 않는다는 것입니다. IDP는 로그인 결과와 사용된 방법만을 기록합니다. 조건부 UI 호출, 생체 인식 프롬프트, 자격 증명 관리자 선택, 요청이 서버에 도달하기도 전에 조용히 포기하는 등 기저에 있는 클라이언트 측 절차는 기록하지 않습니다. 프로세스 마이닝이 작동하려면, 어설션 이전 계층을 프론트엔드 SDK 계층에서 계측하고 세션별 그래프로 다시 조립해야 합니다.

데이터가 준비되면 동일한 기법이 적용됩니다. 설계된 패스키 여정 대 실제 패스키 여정, 설계된 복구 흐름 대 실제 복구 흐름, 설계된 스텝업 대 실제 스텝업. 이 작업과 관련된 학문적 분야도 성숙해지고 있습니다. 유용한 출발점은 IEEE 프로세스 마이닝 태스크 포스의 프로세스 마이닝 매니페스토입니다. 여기서는 적합성 검사, 변형 분석 및 개선을 세 가지 핵심 기법으로 제시하며, 이는 각각 인증에 일대일로 매핑됩니다.

3. 패스키 도입이 격차를 표면화시킨 이유#

3.1 프론트엔드 로깅에 대한 재고를 요구하는 패스키#

전통적인 비밀번호 인증은 서버 측에서 시도, 성공, 실패 세 가지만을 기록했습니다. 실패 모드가 사용자가 문자열을 잘못 입력했고, 다음 시도가 작동했거나 작동하지 않았다는 등 단순하기 때문에 비밀번호 시스템을 운영하는 데는 그것으로 충분합니다. 패스키의 경우 중요한 순간들이 프론트엔드로 이동합니다. 조건부 UI 실행, 브라우저의 프롬프트 표시 여부 결정, 자격 증명 관리자의 선택지 제공, 생체 인식 챌린지의 성공 또는 취소 등 이 모든 것이 어설션이 백엔드에 도달하기 전에 소비자의 기기에서 발생합니다.

이러한 변화 때문에 많은 팀이 클라이언트 측 동작을 로깅하는 방식을 재고하고 있습니다. 프론트엔드 계측 없이는 사용자가 왜 이탈하는지, 로그인 전에 사용자가 어떤 단계를 거치는지, 로그인 시도가 완료되지 않았을 때 실제로 무슨 일이 일어났는지 알 수 없습니다. 서버 로그는 원인이 아니라 부재만을 보여줄 뿐입니다. 전체 이벤트 분류에 대해서는 인증 가시성에 대한 심층 분석을 참조하세요.

3.2 설계된 여정과 실제 여정 간의 격차#

팀들이 클라이언트 측 이벤트를 갖게 되자 새로운 사실을 알 수 있었습니다. 설계된 패스키 여정(로그인 페이지 접속, 패스키 버튼 클릭, 탭, 인증, 완료)은 적격 사용자의 아마도 30% 정도만 사용하고 있었습니다. 나머지 70%는 비밀번호 필드, 소셜 로그인, 매직 링크를 헤매거나 완전히 포기했습니다. 이는 로깅 문제가 아니라 프로세스 마이닝의 문제입니다. WebAuthn 오류 코드를 아무리 많이 추가하더라도 이 격차를 스스로 줄일 수는 없었을 것입니다.

3.3 인증 로그만으로는 결코 충분하지 않았던 이유#

인증 로그만으로는 결과를 알 수 있지만 경로를 알 수는 없습니다. 모든 방식에 걸친 92%의 로그인 성공률은 패스키 경로의 40% 포기율과 비밀번호 경로의 15% 포기율을 감춘 채 그저 "괜찮다"고 나타날 수 있습니다. 프로세스 마이닝은 이러한 평균화를 거부합니다. 각 변형을 개별적으로 살펴보고 빈도, 비용, 실패율에 따라 변형의 순위를 매길 것을 요구합니다.

4. 인증 프로세스 마이닝의 실제 모습#

4.1 이벤트 모델: 프로세스, 이벤트 및 결과 분류#

분석의 단위는 단일 이벤트가 아니라 프로세스입니다. 이는 인증 화면이 로드되는 순간부터 세션이 완료되거나 포기되는 순간까지 소비자 기기에서 발생하는 하나의 전체 로그인 또는 자격 증명 추가 시도입니다. 각 프로세스는 세분화된 이벤트 스트림을 포함하고 식별 메타데이터를 지니며 이분법적인 "성공 또는 실패"보다 더 풍부한 결과 분류로 끝납니다.

프로세스 메타데이터. 모든 프로세스에는 프로세스 ID와 타임스탬프가 있습니다. 이는 애플리케이션, OS, 브라우저, 기기 브랜드와 연결됩니다. 지표를 계산하기 전에 자동화 및 봇 트래픽을 분류해 낼 수 있도록 방문자 범주(실제 사용자, 수동 테스터, 자동화 테스터, 아직 분류되지 않음)가 태그됩니다. 또한 프로세스 점수와 이벤트 수를 전달하며, 이는 "이 특정 세션이 얼마나 복잡했는가"를 나타내는 가장 간단한 두 가지 신호입니다.

로그인 시작. 모든 프로세스는 흐름이 어떻게 시작되었는지 기록합니다. 주요 시작 유형은 text-field(사용자가 식별자를 직접 입력), one-tap(저장된 식별자를 재사용) 및 cui(명시적인 버튼 클릭 없이 조건부 UI가 자격 증명을 표시)입니다. 시작 유형은 지표가 아니라 차원(dimension)입니다. 동일한 배포라도 text-field 코호트보다 cui 코호트에서 매우 다르게 보일 수 있으며, 이들을 평균 내면 프로세스 마이닝이 밝혀내고자 하는 바로 그 행동이 숨겨집니다.

결과 분류. "성공"이나 "실패" 대신, 결과는 뚜렷한 동작에 매핑되는 여러 클래스 중 하나로 분류됩니다. 패스키의 예는 다음과 같습니다:

• completed - 절차가 완료되고 사용자가 인증되었습니다.
• filtered-explicit-abort - 사용자가 프롬프트를 보고 명시적으로 취소했습니다.
• filtered-implicit-abort - 사용자가 결정을 내리지 않고 자리를 뜨거나 시간이 초과되었습니다.
• filtered-passkey-intel - 클라이언트 측 인텔리전스 계층이 주로 기기/OS 조합이 고장 난 것으로 알려져 있어 고의로 패스키 경로를 억제했습니다.
• filtered-no-start - 흐름이 진입 단계를 넘어 진행되지 않았습니다.
• not-loaded - 인증 화면 로딩이 완료되지 않았습니다.

자격 증명 생성(append) 절차에도 사용자가 이미 자격 증명을 가지고 있는 경우인 completed-exclude-credentials를 포함하여 이와 평행한 분류가 있습니다.

퍼널 및 인벤토리 계층. 프로세스 위에서 두 가지 집계 계층이 중요합니다. **퍼널 계층(funnel layer)**은 로그인과 생성 모두에 대해 결과, 시작, 완료 상태, OS, 애플리케이션별로 시간 경과에 따라 프로세스를 분류합니다. **자격 증명 인벤토리 계층(credential inventory layer)**은 기존 패스키를 동기화 상태(동기화됨 대 동기화되지 않음), 전송 방식(internal, hybrid, usb, nfc, ble, smart-card), 인증 장치(Apple, Google Password Manager, iCloud Keychain, Windows Hello, 1Password, Bitwarden, Dashlane, YubiKey), OS, 브라우저별로 그룹화합니다. 인벤토리 계층 없이는 특정 편차 변형이 특정 자격 증명 관리자나 동기화 상태에 집중되어 있는지 파악할 수 없습니다.

이는 프로세스 마이닝을 처리하기 쉽게 만드는 최소한의 형태입니다. 각 이벤트는 그룹화, 필터링, 순위 지정을 수행할 수 있을 만큼 충분한 메타데이터를 담고 있습니다. 각 프로세스를 개별적으로 추적할 수 있으며, 이를 통해 아래의 실제 예시들이 가능해집니다.

4.2 해피 패스 대 편차 분석#

세션별로 이벤트를 방향성 그래프로 저장하고 나면, 프로세스 마이닝 질문을 던질 수 있습니다. 해피 패스를 따르는 세션의 비율은 얼마이며, 그렇지 않은 세션 중에서 빈도순으로 상위 5개의 편차 변형은 무엇인가? 분석 데이터에 따르면 상위 5개 변형이 일반적으로 전체 편차의 85%를 차지합니다. 이 중 두 가지를 수정하면 보통 해피 패스에 대한 어떠한 A/B 테스트보다 지표를 더 크게 움직일 수 있습니다.

4.3 코호트 드리프트 감지#

변형은 계속 변화(drift)합니다. 브라우저 업데이트, OS 배포, 자격 증명 관리자의 변경으로 인해 이전에는 사소했던 변형이 갑자기 지배적이 될 수 있습니다. 코호트 드리프트 감지는 전체 성공률만 보는 대신 시간 경과에 따른 기기/OS/브라우저 코호트별 변형 분포를 지켜보는 기법입니다. 이를 통해 팀들은 수 분기가 아닌 몇 시간 만에 조용한 회귀(silent regression)를 잡아낼 수 있습니다.

5. 프로세스 마이닝에서 세분화된 스텝업으로#

5.1 스텝업이 활용되지 못했던 이유#

스텝업 인증은 10년 넘게 존재해 왔습니다. 하지만 대부분의 팀이 위험도에 관계없이 동일한 방식으로(즉, 특정 임계값 이상의 모든 트랜잭션에 대해 강제로 OTP를 요구하는 방식으로) 스텝업을 수행하기 때문에 제대로 활용되지 못했습니다. 이는 위험을 평가하는 결정이 아니라 무딘 규칙에 불과합니다. 의심스러운 5%를 막기 위해 합법적이고 가치 있는 95%의 트랜잭션에 마찰을 발생시킵니다.

5.2 위험도 기반 여정#

프로세스 마이닝 데이터를 활용하면 세션을 지속적으로 평가할 수 있습니다. 기기 평판, 코호트 기준 성공률, 시간대 이상, 사용자 자신의 과거 경로와의 편차, 자격 증명 관리자 ID, IP 평판 등 위험 점수가 세분화된 스텝업 결정을 유도합니다. 즉, 세션의 위험 점수가 트랜잭션 가치 임계값을 초과할 때만 2차 요소를 요구하는 것입니다. 가치가 높은 트랜잭션이라도 위험도가 낮은 세션은 통과됩니다. 반대로 가치가 낮은 트랜잭션이라도 위험도가 높은 세션은 스텝업 인증을 요구받습니다.

6. 이것이 CIAM 공급업체 환경에 의미하는 바#

6.1 전문 분야로서의 여정 설계#

인증 업계는 역사적으로 IDP 내부에 여정 설계를 번들로 제공해 왔습니다. Okta, Ping, ForgeRock, Auth0 등의 내부에 있는 오케스트레이션 엔진을 통해 흐름을 구성할 수 있습니다. 하지만 이들이 잘하지 못하는 것은 이를 관찰하는 것입니다. 이러한 불일치가 전문적인 분석 계층이 활약할 공간을 열어줍니다.

6.2 어떤 IDP도 이를 기본적으로 제공하지 않는 이유#

IDP 공급업체는 누가, 어떤 자격 증명으로, 어떤 정책에 따라 로그인할 수 있는지 등 제어 평면 최적화에 집중합니다. 프로세스 마이닝은 데이터 평면 기술로, 대규모로 발생하는 모든 이벤트를 다양한 OS/브라우저/자격 증명 관리자 조합에 걸쳐 정규화해야 합니다. 방대한 이벤트 양, 카디널리티, 고객 간 기준 데이터는 네이티브 IDP 빌드와는 맞지 않는 특성입니다. 패스키 구축에 대한 가이드에서 동일한 패턴이 SDK 계층에 어떻게 적용되는지 확인해 보세요.

6.3 새로운 카테고리로서의 분석 계층#

결과적으로 IDP 위에 위치하는 얇은 분석 및 도입 계층이 등장하게 됩니다. 이 계층은 프론트엔드에서 이벤트를 수집하고 배포 전반의 기준 데이터와 비교하여 정규화하며, 오케스트레이션 결정에 피드백을 제공합니다. 이는 IDP를 대체하는 것이 아니라, IDP가 측정 가능하도록 만들어 줍니다.

7. Corbado가 인증 프로세스 마이닝을 돕는 방법#

Corbado는 기존 IDP 위에 위치하는 측정 및 도입 계층을 제공합니다. 기존 시스템을 대체하지 않고 Okta, Auth0, Ory, ForgeRock 및 맞춤형 스택과 통합됩니다. 특히 프로세스 마이닝 기능을 추가로 제공합니다:

• 엔드투엔드 이벤트 분류. 클라이언트 측 SDK는 식별자 입력 이전의 이벤트, 조건부 UI 호출, 자격 증명 관리자 선택을 포함하여 페이지 로드부터 어설션까지의 전체 절차를 캡처합니다.
• 기본 제공 변형 분석. 플랫폼은 코호트별 여정 그래프를 재구성하고 빈도, 복구 기회, 비용에 따라 편차 변형의 순위를 매깁니다.
• 코호트 드리프트 알림. 특정 OS, 브라우저, 자격 증명 관리자에 대한 변형 분포가 변동될 경우 플랫폼이 이를 배포 후 문제(day-2 problem)로 발전하기 전에 신호를 보냅니다.
• 교차 배포 기준 데이터. Corbado는 고객 환경 전반에 걸쳐 익명화된 데이터를 집계하므로, 하나의 배포에서 나타난 새로운 오류나 회귀는 여러분의 환경에 도달하기 전에 미리 분류되고 문서화됩니다. 전체 접근 방식에 대해 알아보세요.
• 오케스트레이션으로의 피드백. 위험도 기반 스텝업 결정 및 억제 규칙은 동적 킬스위치 및 코호트별 넛지를 포함하여 다시 IDP로 푸시되거나 도입 계층에서 처리될 수 있습니다.

8. 결론#

패스키는 도착지가 아니었습니다. 패스키는 1세대 CIAM 팀들이 클라이언트 측 이벤트를 로깅하도록 강제하는 계측의 시발점이었습니다. 이러한 가시성 계층이 존재하게 되면 그 위에 인증 프로세스 마이닝이라는 새로운 기술이 자리 잡게 됩니다. 이는 ID 팀이 "로그인에 성공했는가?"라는 질문에서 "이 사용자가 어떤 변형 여정을 취했으며, 그로 인한 비용은 얼마이고, 다음 세션은 어떻게 다르게 라우팅해야 하는가?"로 나아가는 방법입니다. 가시성 계층을 먼저 구축하고 프로세스 마이닝 계층을 그 직후에 구축하는 팀들이 이 카테고리의 벤치마크가 될 것입니다. 반면 집계된 성공률에만 머무는 팀들은 기저에 있는 시스템적인 변형들을 계속 놓치게 될 것입니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

FAQ#

인증 프로세스 마이닝이란 무엇인가요?#

인증 프로세스 마이닝은 로그인 이벤트 로그에 비즈니스 프로세스 마이닝 기법을 적용하는 것입니다. 세션별 이벤트의 방향성 그래프를 재구성하여, 실제 인증 여정과 설계된 여정을 비교하고 편차 변형을 빈도와 비용순으로 평가합니다. 이는 인증 가시성과 오케스트레이션 사이에 위치합니다.

인증 분석과 어떻게 다른가요?#

인증 분석은 로그인 성공률, 이탈률, 패스키 사용률과 같은 지표를 보고합니다. 프로세스 마이닝은 여기서 한 걸음 더 나아가 세션별로 전체 이벤트 시퀀스를 재구성하여 어떤 여정의 변형이 존재하는지, 각각 얼마나 자주 발생하는지, 설계된 해피 패스에서 어디서 벗어나는지 묻습니다. 분석이 결과를 보고한다면, 프로세스 마이닝은 경로를 설명합니다.

패스키 도입이 이 기술을 필요로 하는 이유는 무엇인가요?#

패스키 도입은 CIAM 팀이 클라이언트 측 이벤트를 계측하게 된 첫 번째 이유입니다. 이러한 이벤트가 존재하게 되면, 전체 성공률과 같은 통합 지표는 너무 많은 것을 숨깁니다. 예를 들어, 92%의 성공률이 패스키 경로에서 40%의 포기율을 감출 수 있습니다. 프로세스 마이닝은 이러한 평균화를 거부하고 팀이 변형을 개별적으로 살펴보도록 합니다.

프로세스 마이닝은 스텝업 인증과 어떻게 연결되나요?#

스텝업 인증은 규칙 기반이 아니라 위험도를 평가할 때 가장 잘 작동합니다. 프로세스 마이닝은 스텝업 엔진이 단순한 임계값 결정이 아닌 세분화된 결정을 내릴 수 있도록 하는 세션 수준의 증거(코호트 기준선, 사용자의 과거 경로와의 편차, 기기 평판)를 제공합니다.

내 IDP가 이 기능을 기본적으로 제공할까요?#

단기적으로는 그럴 가능성이 낮습니다. IDP는 제어 평면에 최적화되어 있습니다. 프로세스 마이닝은 OS, 브라우저 및 자격 증명 관리자 조합 전반에 걸쳐 높은 이벤트 볼륨과 높은 카디널리티를 가지는 데이터 평면 기술입니다. 이는 구축 가이드에서 다루는, 현재 SDK 계층에서 볼 수 있는 패턴과 일치합니다.

CIAM 팀이 가장 먼저 측정해야 할 것은 무엇인가요?#

패스키 경로의 변형 빈도부터 시작하세요. 해피 패스를 따르는 세션의 비율은 얼마이며, 빈도순으로 가장 많이 발생하는 상위 5개의 편차 변형은 무엇인가요? 이 하나의 차트만으로도 전체 패스키 채택을 가장 크게 움직일 수 있는 두세 가지의 수정 사항을 드러내기에 충분합니다.