싱글 사인 온(SSO)이란 무엇이며 왜 중요합니까?

싱글 사인 온(SSO)은 사용자가 여러 웹사이트와 애플리케이션에서 하나의 자격증명 세트를 사용할 수 있도록 하는 사용자 식별 시스템입니다.

기존에는 사용자 계정에 로그인하려면 두 가지 로그인 자격증명이 필요했습니다. 바로, 사용자 이름과 비밀번호입니다. 수십 개의 로그인 자격증명을 관리하는 것은 속도를 저하할 뿐만 아니라 보안 위험도 증가시킵니다. 싱글 사인 온(SSO)을 사용하면 사용자가 한 번만 로그인하여 필요한 모든 앱과 시스템에 액세스할 수 있으므로 이러한 문제가 해결됩니다.

하지만 이제는 고객과 직원이 여러 개의 비밀번호를 기억하거나 관리할 필요 없이 하나의 사용자 자격증명 세트를 사용하여 필수 시스템에 액세스할 수 있습니다. 

싱글 사인 온이 중요한 이유, 싱글 사인 온의 작동 방식, 싱글 사인 온 설정을 보호하는 방법 등 싱글 사인 온 인증에 대해 알아야 할 모든 내용을 읽어 보십시오.

• 싱글 사인 온(SSO)을 사용하면 사용자는 여러 플랫폼과 애플리케이션에서 단일 자격증명 세트를 사용할 수 있습니다.
• AI 기반 공격과 기타 정교한 수법이 증가함에 따라, SSO는 시스템 및 데이터 보안에 점점 더 중요한 역할을 하고 있습니다.
• 조직에서는 자사 환경과 시스템 기능에 따라 SSO 표준을 선택합니다.
• SSO의 장점으로는 사용자 경험 향상, 보안 강화 및 신원 관리 간소화가 있습니다.
• MFA, 비밀번호 보안 및 기타 보안 계층을 추가하면 SSO의 효과가 강화됩니다.
• SSO에 영향을 미칠 수 있는 미래 동향으로는 생체 인식 기술의 발전, 분산형 ID의 확산 및 AI 기반 위협의 증가 등이 있습니다.

SSO를 통해 사용자는 단일 로그인 자격증명 세트로 여러 애플리케이션에 액세스할 수 있습니다. 예를 들어, 직원이 워크스테이션에 로그인하기 위해 ID 자격증명을 입력하면, 싱글 사인 온 인증은 앱, 소프트웨어, 시스템 및 클라우드 기반 소프트웨어에 액세스할 수 있도록 합니다.

SSO는 정부, 바이오제약, 의료 등 민감한 정보 또는 개인정보를 다루는 조직에서 더 강력한 보안을 지원하는 동시에, 다양한 플랫폼이나 관련 기관 간에 원활한 사용자 경험을 제공합니다. 예를 들어, 은행 직원은 SSO를 사용하여 한 번만 로그인하면 회사 CRM, 이메일 계정, HR 포털로 이동할 수 있습니다. 다중 인증(MFA)과 같은 보안 계층은 이를 보완하는 데 도움이 됩니다.

싱글 사인 온은 왜 중요합니까?

SSO는 하나의 자격증명으로 여러 애플리케이션에 액세스할 수 있게 하여 보안을 강화하고, 운영을 간소화하며, 사용자 경험을 향상하기 때문에 조직에 필수적입니다. 이는 특히 다중 인증과 함께 사용할 때, 비밀번호 피로도와 피싱 또는 자격증명 손상 위험을 줄여줍니다. SSO는 사용자 프로비저닝 및 프로비저닝 해제를 간소화하고, IT 지원 비용을 절감하며, 중앙 집중식 액세스 제어와 활동 추적을 통해 규정 준수를 지원합니다. ID 및 액세스 관리(IAM)와 제로 트러스트 모델의 핵심 구성 요소인 SSO는 기업 환경 전반에서 안전하고 효율적이며 확장 가능한 인증을 보장합니다.

직장에서 클라우드 앱 및 서비스 사용이 급격히 늘어남에 따라 SSO의 중요성은 더욱 커지고 있습니다. 최근 연구에 따르면 기업은 평균적으로 약 1,400개의 클라우드 기반 앱을 사용합니다. 직원이 사용하는 자격증명 수를 SSO로 제한하면 중요한 사이버 보안 취약점을 줄일 수 있습니다.

모든 SSO 프로토콜은 동일한 일반 프로세스를 따르지만, 일부 프로토콜은 사용 사례 및 기타 요소에 따라 약간 다르게 작동하는 경우도 있습니다. 다음은 가장 일반적인 SSO 표준 프로세스 중 일부입니다.

• SAML(Security Access Markup Language): SAML 싱글 사인 온 구성은 텍스트를 기계어로 인코딩하여 ID 정보를 전달하는 개방형 표준입니다. 특정 보안 액세스 사용 사례를 목적으로 설계된 다른 프로토콜들과 비교하면 SAML은 널리 적용 가능한 인증 프로토콜입니다. SAML(Security Assertion Markup Language)은 싱글 사인 온 토큰을 만드는 데 사용되는 주요 표준이기도 합니다.
• OAuth(Open Authorization): OAuth는 ID 정보를 암호화하여 애플리케이션 간에 전송하는 개방형 표준 프로토콜입니다. 사용자는 이를 통해 ID를 수동으로 확인하지 않고도 다른 앱의 데이터에 액세스할 수 있습니다.하지만 프로토콜이 인증을 직접 처리하는 것은 아니며, SSO 사용 사례에서 OIDC와 함께 사용되는 경우가 많습니다.
• OIDC(OpenID Connect): OAuth의 확장 기능인 OIDC는 사용자 신원을 인증하여 여러 애플리케이션이 하나의 로그인 세션을 사용할 수 있게 합니다.
• Kerberos: 이 네트워크 인증 프로토콜은 비밀번호 대신 암호화된 티켓을 사용하여 키 배포 센터(KDC)를 통해 SSO를 가능하게 합니다.

이러한 SSO 표준 및 프로토콜은 기능과 디지털 환경에 따라 다양한 구성에 사용됩니다.

• 엔터프라이즈급 SSO는 조직 내 내부 시스템에 대한 통합된 로그인 환경을 제공하여 사용자가 여러 데이터베이스, 플랫폼 및 애플리케이션을 원활하게 탐색할 수 있도록 합니다.
• 페더레이션 SSO는 서로 다른 조직 또는 도메인의 ID를 연결합니다.
• 클라우드 기반 SSO는 AWS 또는 Office 365와 같은 여러 클라우드 기반 서비스와 앱에 대한 SSO 액세스를 제공합니다.
• 모바일 SSO를 사용하면 사용자는 한 번의 로그인으로 여러 모바일 앱에 액세스할 수 있습니다.
• 소셜 SSO를 사용하면 사용자는 Facebook 또는 LinkedIn과 같은 소셜 미디어 계정을 사용하여 앱 또는 플랫폼에 로그인할 수 있습니다.

SSO 프로토콜 선택 시 주요 고려 사항

SSO 프로토콜을 선택할 때 기술 사양뿐만 아니라 조직의 보안, 규정 준수 및 사용자 경험 목표에 적합한지도 살펴봐야 합니다.

• 보안 수준 및 위협 모델: 피싱 또는 자격증명 도용 등 가장 방어해야 할 공격 유형에 맞춰 프로토콜의 강점을 연결해 보십시오.
• 규제 조정: 프로토콜이 GDPR, HIPAA, FedRAMP 등 충족해야 하는 규정 준수 표준을 지원하는지 확인하십시오.
• 기존 시스템과의 통합: 비용이 많이 드는 재엔지니어링 없이도 현재의 ID 제공업체, 애플리케이션 및 인프라와 원활하게 작동하는 프로토콜을 찾으십시오.
• 확장성 및 성능: 사용자 수와 통합 서비스 수의 증가를 프로토콜이 어떻게 처리하는지 고려해 보십시오.
• 사용자 경험: 직원, 파트너 또는 시민을 위한 빠르고 직관적인 로그인 프로세스와 보안의 균형을 맞추십시오.
• 공급업체 및 커뮤니티 지원: 활발한 개발과 검증된 배포 패턴을 갖춘 잘 지원되는 프로토콜은 시간이 지남에 따라 위험을 줄여줍니다. 

적절한 프로토콜을 선택하는 것은 기술적인 결정일 뿐만 아니라 비즈니스적인 결정이기도 합니다. 적합한 프로토콜을 선택하면 조직을 보호하고 규정을 준수할 수 있으며, 매일 조직에 의존하는 사람들의 삶을 더 편리하게 만들 수 있습니다.

싱글 사인 온은 대개 'ID 페더레이션' 기능이라고 불립니다. 간단히 말해서 ID 페더레이션은 사용자를 인증하고 사용자에게 특정 리소스에 대한 액세스 권한을 부여하는 데 필요한 정보를 교환할 수 있도록 두 당사자가 신뢰하는 시스템입니다. 대부분의 경우 여기에는 실제 로그인 정보를 공개하지 않고 애플리케이션에 보안 액세스 권한을 부여하는 프레임워크인 OAuth(Open Authorization)이 사용됩니다.

일반적으로 싱글 사인 온 인증 워크플로는 다음과 같은 빠르고 간단한 프로세스입니다.

1. 먼저, 사용자는 싱글 사인 온 설정 내의 리소스에 대한 액세스를 요청하면서 웹 또는 모바일 앱을 통해 로그인 프로세스를 시작합니다.
2. 호스트 웹사이트와 같은 리소스의 서비스 제공업체는 사용자를 Entrust와 같은 ID 공급자로 리디렉션합니다.
3. ID 공급자는 여러 싱글 사인 온 프로토콜 중 하나를 사용하여 자격증명을 확인하고 사용자의 신원을 확인합니다.
4. 사용자가 성공적으로 확인되면 ID 공급자는 싱글 사인 온 토큰(일명 인증 토큰)을 생성합니다. 간단히 말해서 이 토큰은 사용자의 인증된 세션을 나타내는 디지털 자산입니다.
5. ID 공급자는 싱글 사인 온 토큰을 서비스 제공업체에 다시 보내고, 서비스 제공업체는 싱글 사인 온 토큰의 유효성을 확인합니다. 필요한 경우 애플리케이션, 시스템 또는 서비스 제공업체는 추가 인증 요청을 발행하여 사용자 ID를 추가로 확인할 수 있습니다.
6. 확인되면 서비스 제공업체는 사용자에게 리소스 또는 애플리케이션에 대한 액세스 권한을 부여합니다.

이제 사용자는 세션이 만료되거나 재인증이 요구되지 않는 한 SSO 설정에서 구성된 다른 모든 애플리케이션을 사용할 수 있습니다.

싱글 사인 온의 구현은 사용자, 기업, 고객 모두에게 여러 가지 이점을 제공할 수 있습니다. 그 예는 다음과 같습니다.

사용자 경험 및 생산성 향상, 비용 절감

여러 개의 비밀번호를 하나의 사용자 자격증명으로 통합하면 로그인이 간소화되고 직원이 여러 계정을 추적할 필요성이 줄어듭니다. 이러한 기능은 온프레미스 또는 클라우드에서 가장 필수적인 애플리케이션이 점점 더 늘어나고 있는 하이브리드 업무 환경에서 특히 중요합니다.

궁극적으로 이렇게 워크플로가 가속화되면 직원 생산성이 향상됩니다. 더 좋은 점은 싱글 사인 온 또는 다중 인증을 통한 작은 시간 절약 효과라도 실질적인 재정적 영향을 발휘할 수 있다는 것입니다. 조사에 따르면, 직원이 비밀번호를 재설정하는 데 평균 10분이 걸립니다. 100명의 직원이 있는 조직에서 각 직원이 1년에 두 번씩 비밀번호를 재설정해야 한다면, 총 33시간 이상이 낭비되며 이는 거의 일주일 치 업무 시간에 해당합니다.

또한 싱글 사인 온 솔루션은 비밀번호 재설정을 위한 IT 헬프 데스크 요청과 같은 비생산적인 작업을 최소화할 수 있습니다.

더욱 강력한 비밀번호 위생을 통한 보안 강화

한 연구에 따르면, 웹사이트에서 이루어진 성공적인 로그인 중 41%는 과거 데이터 침해로 유출된 도용 비밀번호를 사용한 것이었습니다. 누구나 여러 사용자 이름과 비밀번호 조합을 기억해야 한다면, 결국 다양한 계정에 동일한 조합을 재사용하기 시작합니다.게다가 사용자는 자격증명이 도난당했거나 위험에 처해 있다는 경고를 받더라도 비밀번호를 변경하지 않을 수도 있습니다.

이를 '비밀번호 피로도'라고 하며 SSO가 중요한 또 다른 이유이기도 합니다. 여기서 한 계정이 침해되면 다른 모든 서비스도 침해될 수 있으므로, 보안 위험이 큽니다. 즉, 공격자는 동일한 비밀번호를 사용하여 피해자의 다른 애플리케이션을 해킹할 수 있습니다.

싱글 사인 온 구현은 모든 로그인을 하나로 줄여 비밀번호 피로를 완화해 줍니다. 설령 계정이 손상되더라도, 관리자는 신속하게 액세스를 차단할 수 있어 시스템에 대한 잠재적 피해나 데이터 도용의 범위를 최소화할 수 있습니다.

그러나 실상은 항상 그렇지는 않습니다. 따라서 추가 보안 조치로 싱글 사인 온 솔루션을 지원하는 것이 가장 좋지만, 이에 대해서는 나중에 자세히 설명하겠습니다.

정책 시행 및 ID 관리 단순화

싱글 사인 온은 비밀번호에 대한 단일 진입점을 제공합니다. 따라서 IT 팀은 보안 정책 및 규정을 더 쉽게 시행할 수 있습니다. 예를 들어, 싱글 사인 온에서는 각 사용자가 변경해야 하는 자격증명이 하나이기 때문에 정기적인 비밀번호 재설정을 관리하기가 더 쉽습니다.

더 중요한 점은 싱글 사인 온이 제대로 구현되면 페더레이션 ID 관리를 통해 로그인 자격증명이 제어되는 환경 내부에 저장됩니다. 반면, 조직은 기존 사용자 이름-비밀번호 조합을 타사 애플리케이션 등 외부에 저장하므로, 해당 조합이 관리되는 방식을 전혀 파악할 수 없습니다. 따라서 데이터 보안 모범 사례에 따라 자격증명이 관리되는지 확인하기가 더욱 어려워집니다.

규정 준수 지원

SSO는 HIPAA, GDPR, SOC 2와 같이 규제가 엄격한 업종 분야의 조직이 필수적인 규정 준수 기준을 충족하도록 돕는 데 핵심적인 역할을 합니다.

중앙 집중식 액세스 관리를 통해 연결된 애플리케이션을 포함한 전체 기술 인프라에서 보안 정책을 일관되게 시행할 수 있습니다. 통합된 보안 규칙 세트는 사용자 권한을 단순화하여 규정 준수 요건에 따라 중요한 데이터와 리소스에 액세스할 수 있는 사용자를 제어하기 쉽게 해줍니다.

SSO를 통한 액세스 관리는 최소 권한 원칙을 강하게 적용하여 사용자가 직무에 필요한 도구와 시스템에만 로그인할 수 있도록 보장합니다. 이러한 제한은 침해가 발생할 경우 피해를 억제하는 데 도움이 될 수 있습니다. 

마지막으로, SSO 솔루션은 사용자 활동을 추적하는 상세한 감사 로그를 제공하여, 모니터링 및 보고 또는 조사에 대한 규정 준수 요건을 충족하는 데 사용될 수 있습니다.

SSO는 안전하지만 효과적으로 구현되어야 합니다. 싱글 사인 온 인증이 여러 애플리케이션에 대한 다중 인증 없이 단일 비밀번호로만 구성된 경우 사용자의 생산성은 높아지지만 위험은 배가됩니다. 예를 들어, 악의적 행위자가 싱글 사인 온 계정을 침해하는 경우 동일한 구성 내에서 다른 애플리케이션에 제한 없이 액세스할 수 있습니다.

다중 인증을 구현하더라도 사용자는 '푸시 피로감'을 겪을 수 있으며, 이로 인해 해커의 가짜 푸시 요청을 신중하게 평가하지 않고 승인할 가능성이 높아집니다. 

잘못 구성된 SSO 및 앱 통합도 취약점을 노출할 수 있으며, 특히 조직에서 이러한 유형의 보안 위험을 모니터링하지 않는 경우 더욱 그렇습니다.

이러한 가능성을 완화하려면 조직은 추가 보안 계층을 사용하여 싱글 사인 온을 보완하는 것이 가장 좋습니다. Entrust는 다음과 같은 기능으로 SSO를 강화합니다.

• 알 수 없는 장치 또는 관리되지 않은 장치에서 로그인 시도가 이루어지는 등, 시스템이 상황별 데이터를 기반으로 비정상적인 액세스 또는 동작을 감지하면 토큰을 폐기하고 재인증을 요구할 수 있습니다.
• 자격증명 기반 패스워드리스 인증: 빠른 비마찰 액세스를 위해 기존 비밀번호를 생체 인식 또는 토큰으로 대체합니다. 그중에서도 가장 뛰어난 점은 비밀번호도 없고 훔칠 것도 없으므로, 방어를 뚫을 방법도 없습니다.
• 인증 세션의 유효 기간을 중앙에서 제어함으로써, 보안 관리자는 사용자가 다중 인증을 통해 다시 인증해야 하기 전까지 세션이 얼마나 유지될지를 설정하고 적용할 수 있습니다.

싱글 사인 온은 생산성에 큰 도움이 될 수 있지만 위험도 따릅니다. 따라서 싱글 사인 온을 최대한 안전하게 구현하려면 다음 모범 사례를 따르는 것이 좋습니다.

1. 애플리케이션 파악: 싱글 사인 온 구성에 포함해야 하는 소프트웨어, 시스템, 앱 및 서비스를 식별합니다.
2. 인증 프로토콜을 선택합니다. 기존 시스템과 호환되고 플랫폼과 애플리케이션 전반에 걸쳐 필요한 표준을 충족하는 SSO 표준을 선택합니다.
3. ID 공급자 선택: 플랫폼에 구애받지 않고 모든 브라우저와 호환되는 유연한 싱글 사인 온 솔루션을 찾습니다. 무엇보다도 ID 공급자가 다양한 보안 기능을 제공하여 배포를 제대로 보호하는지 확인해야 합니다.
4. 사용자 권한 확인: 제로 트러스트 프레임워크의 정신에 따라 '최소 권한 액세스' 개념을 토대로 액세스 제어 결정을 내립니다. 각 사용자는 자신의 업무에 필요한 최소한의 권한만 받아야 합니다. 이렇게 하면 사용자가 계정에 대한 제어를 상실하더라도 해커가 특정 애플리케이션을 사용할 수 없습니다.
5. 테스트 및 모니터링합니다. 배포 전에 시스템 전체에서 SSO를 테스트하여 의도한 대로 작동하는지 확인합니다. 구현 후에는 지속적으로 위험 요소, 취약점, 비정상적인 동작 또는 활동을 모니터링해야 합니다.

위험이 진화하고 변화함에 따라, SSO 또한 그에 맞춰 지속적으로 발전해 나갈 것입니다. 향후 SSO의 활용 방식에 영향을 미칠 수 있는 발전 사항과 동향에는 다음과 같은 것들이 포함됩니다.

• 향상된 다중 인증 SSO는 망막 스캔, 안면 인식 또는 지문과 함께 사용하여 인증을 지원할 수 있습니다. 적응형 다중 인증에는 동작, 위치, 장치 또는 기타 신호와 같은 요소를 기반으로 한 추가 검사가 포함됩니다.
• 분산형 ID 블록체인과 기타 새로운 기술은 중앙에 저장된 자격증명에 대한 의존도를 줄여, 위험을 더욱 최소화하고 사용자 개인정보 보호를 강화합니다.
• 토큰 및 세션 보안 공격자가 맬웨어 또는 가로채기를 통해 SSO에서 사용하는 인증 토큰을 노리는 경우가 점점 더 많아지면서, 모범 사례 또한 더욱 토큰 교체 주기를 단축하고 유효 기간을 줄이는 방향으로 발전하고 있습니다. 토큰이 손상되었을 가능성을 나타내는 징후를 사전에 모니터링하는 것도 좋은 방법입니다.
• 클라우드 및 하이브리드 환경에 대한 변경 사항 현대 조직 기술의 복잡성으로 인해 SSO 플랫폼은 그 어느 때보다 더 많은 기능을 수행해야 하며, 여기에는 플랫폼 간 원활한 확장, 사용자 프로비저닝과 같은 작업 자동화 및 일관된 보안 정책 시행이 포함됩니다.

강력한 SSO 시스템은 사용자가 한 번의 로그인으로 여러 플랫폼과 애플리케이션에 빠르고 쉽게 액세스할 수 있도록 하면서, 피싱 및 기타 공격으로부터 사용자를 보호해 줍니다. 다중 인증과 같은 추가 보안 기능이 포함되어야 하며, 관련 데이터 개인정보 보호 및 보안 요건을 준수해야 합니다.

사용자는 쉽게 탐색할 수 있어야 하며, IT 팀은 중앙 집중식 대시보드를 통해 활동, 설정 및 기타 기능을 모니터링하여 문제를 사전에 파악하고 보안 위협에 신속하게 대응할 수 있어야 합니다.

Entrust의 SSO 솔루션을 사용하면 고유한 클라우드, 온프레미스 및 레거시 애플리케이션 각각에 대한 자격증명을 별도로 관리할 필요가 없습니다. 더 나아가 다음을 포함하여 제로 트러스트 아키텍처를 실현하는 데 필요한 모든 핵심 기능을 제공합니다.

• 다중 인증
• 비밀번호가 필요 없는 액세스
• 배포 유연성
• 원활한 통합
• 중앙 집중식 관리

SSO를 통한 ID 인증은 현대적인 ID 및 액세스 관리 솔루션의 핵심 기능으로, 피싱 공격과 취약점으로부터 조직을 보호하는 데 점점 더 중요한 역할을 하고 있습니다. 기업 조직에서 데이터와 사용자를 안전하게 보호하기 위해 채택하고 있는 ID 중심 보안 전략에 대해 더 읽어보십시오.