보라색 육각형 패턴
학습

SSO(싱글 사인 온)

일반적으로 사용자 계정에 로그인하려면 두 가지 로그인 자격증명이 필요합니다. 바로, 사용자 이름과 비밀번호입니다. 하지만 이제는 수십 개의 애플리케이션, 리소스, 서비스를 고려해야 하기 때문에 안전한 액세스를 제공하는 것이 그리 간단하지 않습니다.

반가운 소식을 알려드리자면 고객과 직원은 여러 개의 비밀번호를 기억하거나 관리할 필요 없이 단 하나의 사용자 자격증명 세트를 사용하여 필수 시스템에 액세스할 수 있습니다. 간단히 말해, 이것이 SSO(싱글 사인 온)의 전부입니다.

싱글 사인 온이 중요한 이유, 싱글 사인 온의 작동 방식, 싱글 사인 온 설정을 보호하는 방법 등 싱글 사인 온 인증에 대해 알아야 할 모든 내용을 읽어 보십시오.

싱글 사인 온이란?

싱글 사인 온은 사용자가 단일 로그인 자격증명 세트만으로 여러 애플리케이션에 액세스할 수 있도록 지원하는 페더레이션 ID 관리 기능입니다. 예를 들어, 직원이 워크스테이션에 로그인하기 위해 ID 자격증명을 입력하면, 싱글 사인 온 인증은 앱, 소프트웨어, 시스템 및 클라우드 기반 소프트웨어에 액세스할 수 있도록 합니다.

마찬가지로, 누군가가 Gmail과 같은 Google 서비스에 로그인한다고 가정해 보겠습니다. 싱글 사인 온은 해당 사용자를 자동으로 인증하여 해당 사용자 계정이 YouTube 또는 Google Sheets와 같은 다른 Google 앱에도 액세스할 수 있도록 허용합니다. 그리고 사용자가 이러한 애플리케이션 중 하나에서 로그아웃하면 나머지 애플리케이션에서도 자동으로 로그아웃됩니다.

싱글 사인 온은 왜 중요합니까?

싱글 사인 온 솔루션의 핵심은 IAM(ID 및 액세스 관리)의 중요한 부분인 인증 서비스입니다. 결과적으로 싱글 사인 온 솔루션은 절대적인 신뢰를 거부하고 지속적인 사용자 인증을 요구하는 프레임워크인 제로 트러스트 보안 모델의 중요 기반이기도 합니다.

이것이 왜 중요할까요? 시스템이 사용자나 엔터티가 누구인지 모르는 경우 해당 사용자의 작업을 허용하거나 제한할 방법이 없으므로 심각한 데이터 보안 위험이 발생합니다. 각각 고유한 사용자 자격증명을 요구하는 클라우드 앱과 서비스가 급증하고 있다는 점을 고려하면 이는 훨씬 더 문제가 됩니다.

최근 연구에 따르면 기업은 평균적으로 210개의 서로 다른 협업 및 클라우드 서비스를 사용하고 있으며 직원은 평균적으로 직장에서 36개의 클라우드 서비스를 사용합니다. 관리해야 할 비밀번호가 너무 많고, 안타깝게도 많은 조직에서는 IT 인프라가 너무 분산되어 있어 비밀번호를 적절하게 관리하기가 어렵습니다.

이것이 바로 싱글 사인 온의 구현이 필요한 이유입니다. 여러 비밀번호를 하나의 로그인 자격증명 세트로 줄이면, 사용자 경험이 향상될 뿐만 아니라 모두의 사이버 보안 위생을 강화할 수 있습니다.

SSO의 장점은 무엇입니까?

싱글 사인 온의 구현은 사용자, 기업, 고객 모두에게 여러 가지 이점을 제공할 수 있습니다. 그 예는 다음과 같습니다.

사용자 경험 및 생산성 향상, 비용 절감

여러 개의 비밀번호를 하나의 통합된 사용자 자격증명 세트로 줄이면, 로그인 프로세스가 간소화되어 직원이 리소스를 최대한 빨리 활용할 수 있습니다. 이러한 기능은 온프레미스 또는 클라우드에서 가장 필수적인 애플리케이션이 점점 더 늘어나고 있는 하이브리드 업무 환경에서 특히 중요합니다.

궁극적으로 이렇게 워크플로가 가속화되면 직원 생산성이 향상됩니다. 더 좋은 점은 싱글 사인 온을 통한 작은 시간 절약 효과라도 실질적인 재정적 영향을 발휘할 수 있다는 것입니다. 연구에 따르면 직원의 시간을 3분 절약하면 직원이 5,000명인 회사에서는 연간 약 150만 달러를 절약할 수 있습니다.

또한 싱글 사인 온 솔루션은 비밀번호 재설정을 위한 IT 헬프 데스크 요청과 같은 비생산적인 작업을 최소화할 수 있습니다.

더욱 강력한 비밀번호 위생을 통한 보안 강화

보안 침해 중 최소 45%는 로그인 자격증명의 손상으로 인해 발생하며, 대부분의 경우 취약한 비밀번호 보안이 원인입니다. 누구나 여러 사용자 이름과 비밀번호 조합을 기억해야 한다면, 결국 다양한 계정에 동일한 조합을 재사용하기 시작합니다.

이를 '비밀번호 피로'라고 합니다. 여기서 한 계정이 침해되면 다른 모든 서비스도 침해될 수 있으므로, 보안 위험이 큽니다. 즉, 공격자는 동일한 비밀번호를 사용하여 피해자의 다른 애플리케이션을 해킹할 수 있습니다.

싱글 사인 온 구현은 모든 로그인을 하나로 줄여 비밀번호 피로를 완화해 줍니다. 악의적 행위자가 하나의 계정을 침해하면 다른 서비스에 액세스할 수 있지만, 싱글 사인 온을 사용하면 이론적으로 개인이 강력한 암호를 더 쉽게 생성하고, 기억하며, 사용할 수 있습니다.

그러나 실상은 항상 그렇지는 않습니다. 따라서 추가 보안 조치로 싱글 사인 온 솔루션을 지원하는 것이 가장 좋지만, 이에 대해서는 나중에 자세히 설명하겠습니다.

정책 시행 및 ID 관리 단순화

싱글 사인 온은 비밀번호에 대한 단일 진입점을 제공합니다. 따라서 IT 팀은 보안 정책 및 규정을 더 쉽게 시행할 수 있습니다. 예를 들어, 싱글 사인 온에서는 각 사용자가 변경해야 하는 자격증명이 하나이기 때문에 주기적인 비밀번호 재설정을 관리하기가 더 쉽습니다.

더 중요한 점은 싱글 사인 온이 제대로 구현되면 페더레이션 ID 관리를 통해 로그인 자격증명이 제어되는 환경 내부에 저장됩니다. 반면, 조직은 기존 사용자 이름-비밀번호 조합을 타사 애플리케이션 등 외부에 저장하므로, 해당 조합이 관리되는 방식을 전혀 파악할 수 없습니다. 따라서 데이터 보안 모범 사례에 따라 자격증명이 관리되는지 확인하기가 더욱 어려워집니다.

SSO는 어떻게 작동합니까?

싱글 사인 온(SSO) 그림 싱글 사인 온은 대개 'ID 페더레이션' 기능이라고 불립니다. 간단히 말해서 ID 페더레이션은 사용자를 인증하고 사용자에게 특정 리소스에 대한 액세스 권한을 부여하는 데 필요한 정보를 교환할 수 있도록 두 당사자가 신뢰하는 시스템입니다. 대부분의 경우 여기에는 실제 로그인 정보를 공개하지 않고 애플리케이션에 보안 액세스 권한을 부여하는 프레임워크인 OAuth(Open Authorization)이 사용됩니다.

일반적으로 싱글 사인 온 인증 워크플로는 다음과 같은 빠르고 간단한 프로세스입니다.

  1. 먼저, 사용자는 싱글 사인 온 설정 내의 리소스에 대한 액세스를 요청하면서 로그인 프로세스를 시작합니다.
  2. 호스트 웹사이트와 같은 리소스의 서비스 제공업체는 사용자를 Entrust와 같은 ID 공급자로 리디렉션합니다.
  3. ID 공급자는 여러 싱글 사인 온 프로토콜 중 하나를 사용하여 자격증명을 확인하고 사용자의 신원을 확인합니다.
  4. 사용자가 성공적으로 확인되면 ID 공급자는 싱글 사인 온 토큰(일명 인증 토큰)을 생성합니다. 간단히 말해서 이 토큰은 사용자의 인증된 세션을 나타내는 디지털 자산입니다.
  5. ID 공급자는 싱글 사인 온 토큰을 서비스 제공업체에 다시 보내고, 서비스 제공업체는 싱글 사인 온 토큰의 유효성을 확인합니다. 필요한 경우 애플리케이션, 시스템 또는 서비스 제공업체는 추가 인증 요청을 발행하여 사용자 ID를 추가로 확인할 수 있습니다.
  6. 확인되면 서비스 제공업체는 사용자에게 리소스 또는 애플리케이션에 대한 액세스 권한을 부여합니다.

이제 사용자는 싱글 사인 온 설정에 구성된 다른 모든 애플리케이션을 사용할 수 있습니다. 활성 세션이 있는 경우 싱글 사인 온 솔루션은 동일한 인증 토큰을 사용하여 액세스 권한을 부여합니다.

싱글 사인 온에도 다양한 유형이 있습니까?

SAML 그림

예, 싱글 사인 온 프로토콜 및 표준은 다양합니다. 각 싱글 사인 온 구성은 조금씩 다르게 작동하지만, 모두 동일한 일반 프로세스를 따릅니다. 다음은 가장 일반적인 프로세스 중 일부입니다.

  • SAML(Security Access Markup Language): SAML 싱글 사인 온 구성은 텍스트를 기계어로 인코딩하여 ID 정보를 전달하는 개방형 표준입니다. 특정 보안 액세스 사용 사례를 목적으로 설계된 다른 프로토콜들과 비교하면 SAML은 널리 적용 가능한 인증 프로토콜입니다. SAML(Security Assertion Markup Language)은 싱글 사인 온 토큰을 만드는 데 사용되는 주요 표준이기도 합니다.
  • OAuth(Open Authorization): OAuth는 ID 정보를 암호화하여 애플리케이션 간에 전송하는 개방형 표준 프로토콜입니다. 사용자는 이를 통해 ID를 수동으로 확인하지 않고도 다른 앱의 데이터에 액세스할 수 있습니다.
  • OIDC(OpenID Connect): OAuth가 확장된 형태인 OIDC를 사용하면 여러 애플리케이션이 하나의 로그인 세션을 사용할 수 있습니다. 일반적인 예로, 많은 서비스에서 사용자 자격증명 대신 Facebook 또는 Google 계정을 사용하여 로그인할 수 있습니다.

싱글 사인 온은 안전합니까?

싱글 사인 온은 훌륭한 사용자 경험을 제공할 수 있지만, 그 자체로 완벽한 솔루션은 아닙니다. 액세스 제어 및 비밀번호 정책이 충분하지 않은 경우 해커가 싱글 사인 온의 편리함을 악용할 수 있습니다.

싱글 사인 온 인증이 여러 애플리케이션에 대한 다중 인증 없이 단일 비밀번호로만 구성된 경우 사용자의 생산성은 높아지지만 위험은 배가됩니다. 예를 들어, 악의적 행위자가 싱글 사인 온 계정을 침해하는 경우 동일한 구성 내에서 다른 애플리케이션에 제한 없이 액세스할 수 있습니다.

위험을 완화하려면 조직은 다음과 같은 추가 보안 계층을 사용하여 싱글 사인 온을 보완하는 것이 가장 좋습니다.

  • 위험 기반 적응형 인증: 상황별 데이터가 잠재적 위협을 나타낼 때 강화된 인증을 제공합니다. 누군가가 알 수 없거나 관리되지 않는 장치에서 로그인을 시도하는 경우 이 인증 체계는 일회용 패스코드와 같은 추가 정보를 제공하도록 요청할 수 있습니다.
  • 자격증명 기반 패스워드리스 인증: 빠른 비마찰 액세스를 위해 기존 비밀번호를 생체 인식 또는 토큰으로 대체합니다. 그중에서도 가장 뛰어난 점은 비밀번호도 없고 훔칠 것도 없으므로, 방어를 뚫을 방법도 없습니다.

싱글 사인 온 인증은 어떻게 구현합니까?

싱글 사인 온은 생산성에 큰 도움이 될 수 있지만 위험도 따릅니다. 따라서 싱글 사인 온을 최대한 안전하게 구현하려면 다음 모범 사례를 따르는 것이 좋습니다.

  1. 애플리케이션 파악: 싱글 사인 온 구성에 포함해야 하는 소프트웨어, 시스템, 앱 및 서비스를 식별합니다.
  2. ID 공급자 선택: 플랫폼에 구애받지 않고 모든 브라우저와 호환되는 유연한 싱글 사인 온 솔루션을 찾습니다. 무엇보다도 ID 공급자가 다양한 보안 기능을 제공하여 배포를 제대로 보호하는지 확인해야 합니다.
  3. 사용자 권한 확인: 제로 트러스트 프레임워크의 정신에 따라 '최소 권한 액세스' 개념을 토대로 액세스 제어 결정을 내립니다. 각 사용자는 자신의 업무에 필요한 최소한의 권한만 받아야 합니다. 이렇게 하면 사용자가 계정에 대한 제어를 상실하더라도 해커가 특정 애플리케이션을 사용할 수 없습니다.

Entrust SSO가 다른 점은 무엇입니까?

Entrust의 IAM 플랫폼인 Entrust Identity는 SSO(싱글 사인 온)를 지원하므로, 사용자가 고유한 클라우드, 온프레미스 및 레거시 애플리케이션의 자격증명을 따로 관리하는 대신 강력한 단일 자격증명으로 모든 애플리케이션에 액세스할 수 있도록 지원할 수 있습니다. 더 나아가 다음을 포함하여 제로 트러스트 아키텍처를 실현하는 데 필요한 모든 핵심 기능을 제공합니다.

  • 다중 인증
  • 비밀번호가 필요 없는 액세스
  • 배포 유연성
  • 원활한 통합
  • 중앙 집중식 관리

게다가 Gartner는 Entrust의 실행력과 비전 완성도를 높이 평가하며 2023 Magic Quadrant™ 액세스 관리 부문의 챌린저로 선정했습니다.

이 보고서를 다운로드하여 Entrust가 안전한 싱글 사인 온 구현을 활용하도록 지원하는 이유에 대해 자세히 알아보십시오.

다운로드

자주 묻는 질문

싱글 사인 온이란 무엇이며 어떤 용도로 사용됩니까?

SSO(싱글 사인 온)는 사용자가 하나의 자격증명 세트를 사용하여 여러 애플리케이션 및 웹사이트에 안전하게 액세스할 수 있도록 지원하는 인증 방법입니다. 따라서 사용자는 여러 사용자 이름과 비밀번호를 기억할 필요가 없습니다. 또한 매번 자격증명을 다시 입력할 필요 없이 모든 계정에 쉽게 액세스할 수 있습니다. 싱글 사인 온을 사용하면 하나의 사용자 이름과 비밀번호를 사용하여 모든 관련 서비스에 로그인할 수 있으므로, 사용자는 모든 애플리케이션에서 안전하고 원활한 경험을 누릴 수 있습니다.

SSO의 장점은 무엇입니까?

싱글 사인 온은 다음과 같은 다양한 이점을 제공합니다.

  • 사용자 경험 개선: 사용자가 여러 사용자 이름과 비밀번호를 기억할 필요가 없으므로, 필요한 리소스에 더욱 쉽게 액세스할 수 있습니다.
  • 보안 강화: 비밀번호 재사용 및 피싱 위험을 줄이고 권한 없는 사용자가 민감한 정보에 액세스할 수 없도록 방지합니다.
  • 생산성 개선: 사용자가 필요한 리소스에 더 빠르게 액세스할 수 있도록 지원하여 생산성과 수익을 높일 수 있습니다.
  • 사용자 관리 향상: 여러 사용자 계정을 관리하고 유지하는 프로세스를 간소화하여 IT 팀의 효율성을 높입니다.
  • 비용 절감: 여러 사용자 이름과 비밀번호, 데이터 침해, 보안 사고 관리와 관련된 비용을 줄입니다.

Entrust는 기존 시스템 및 애플리케이션에 쉽게 통합할 수 있는 싱글 사인 온 솔루션을 제공합니다.

SSO는 어떻게 작동합니까?

싱글 사인 온은 여러 애플리케이션이나 서비스에서 사용자를 인증하는 데 사용되는 IdP(ID 공급자)라는 중앙 인증 서버를 생성하여 작동합니다. IdP의 인증을 받은 사용자는 추가 사용자 이름과 비밀번호 없이 사용이 승인된 모든 애플리케이션이나 서비스에 액세스할 수 있습니다.

싱글 사인 온을 설정하기 위해 조직은 일반적으로 싱글 사인 온 서비스를 구성한 다음 이를 사용하려는 애플리케이션 또는 서비스에 통합합니다. 이 서비스가 설정되면, 사용자가 애플리케이션이나 서비스에 액세스하려고 시도할 때 로그인을 위해 IdP로 리디렉션됩니다. 일단 로그인하면 로그인 자격증명을 다시 입력할 필요 없이 사용이 승인된 애플리케이션이나 서비스에 액세스할 수 있습니다.

Entrust는 SAML, OpenID Connect 및 OAuth2와 같은 다양한 싱글 사인 온 방법을 지원합니다. Entrust는 ID 공급자를 사용하여 싱글 사인 온을 설정하는 방법에 대한 단계별 지침과 더불어 프로세스 전반에 걸친 지원 및 가이드도 제공합니다.

SSO에 대한 보안 위험이 있습니까?

싱글 사인 온은 비밀번호 재사용 위험을 줄여 보안을 강화해 주지만, 조직이 인지해야 할 보안 위험은 여전히 존재합니다.

  • 단일 장애 지점: 싱글 사인 온 시스템이 손상되면 권한 없는 사용자가 여러 애플리케이션이나 서비스에 한 번에 액세스할 수 있습니다.
  • 피싱: 싱글 사인 온을 사용하더라도 사용자가 속아서 가짜 웹사이트에 로그인 자격증명을 입력하는 경우 피싱 공격은 계속 발생할 수 있습니다.
  • 세션 하이재킹: 세션이 제대로 보호되지 않으면 공격자가 사용자의 세션을 도용하여 여러 애플리케이션이나 서비스에 액세스할 수 있습니다.
  • 제3자 액세스: 싱글 사인 온은 제3자 ID 공급자에 의존하므로, 이 중 하나가 손상되면 보안 침해가 발생할 수 있습니다.
  • 다중 인증 부재: 싱글 사인 온은 기본적으로 다중 인증을 추가 보안 계층으로 제공하지 않을 수 있습니다.

Entrust의 싱글 사인 온 솔루션은 보안을 염두에 두고 설계되었으며, 새로운 보안 위험이 발생할 때 이를 해결할 수 있도록 정기적으로 업데이트됩니다. 그리드 카드, 모바일 푸시 알림, 고수준 보안 보장 PKI 기반 자격증명, 패스워드리스 등을 비롯한 가장 광범위한 MFA 인증 프로그램을 통해 추가 보호 계층을 더해 줍니다.

싱글 사인 온은 기존 인증 방법과 어떻게 다릅니까?

싱글 사인 온은 다음과 같은 측면에서 다릅니다.

  • 중앙 집중식 인증: 싱글 사인 온은 여러 애플리케이션이나 서비스에서 사용자를 인증하는 IdP(ID 공급자)라는 중앙 인증 서버를 사용합니다. 기존 방법에서는 일반적으로 사용자가 각 애플리케이션 또는 서비스에 별도로 로그인해야 합니다.
  • 단일 자격증명 세트: 사용자는 이를 통해 단 하나의 로그인 자격증명 세트로 여러 애플리케이션이나 서비스에 액세스할 수 있으므로, 여러 사용자 이름과 비밀번호를 기억할 필요가 없습니다. 기존 방법에서는 일반적으로 사용자가 각 애플리케이션 또는 서비스에 대한 여러 개의 사용자 이름과 비밀번호를 기억해야 합니다.
  • 사용자 경험 개선: 사용자가 여러 사용자 이름과 비밀번호를 기억할 필요 없이 필요한 리소스에 쉽게 액세스할 수 있으므로, 사용자 경험이 향상됩니다.
  • 보안 강화: 비밀번호 재사용 및 피싱 위험을 줄이고 권한 없는 사용자가 민감한 정보에 액세스할 수 없도록 방지하므로, 보안이 강화됩니다.

Entrust 솔루션은 기존 방법과 원활하게 연동되도록 설계되었으며, 온프레미스든 클라우드에서든 기존 시스템 및 애플리케이션에 쉽게 통합할 수 있습니다.

싱글 사인 온을 구현할 때 조직은 어떤 보안 조치를 취해야 합니까?

싱글 사인 온을 구현할 때 조직은 다음과 같은 보안 조치를 취해야 합니다.

  • 싱글 사인 온 환경 보안: 방화벽, 침입 탐지 및 방지 시스템, 기타 보안 도구를 구현하여 무단 액세스로부터 싱글 사인 온 환경을 보호합니다.
  • 다중 인증 사용: 사용자가 주장하는 신원이 정확한지 확인하기 위해 다중 인증(MFA)을 추가 보안 계층으로 구현합니다. Entrust는 다중 인증(MFA)을 추가 보호 계층으로 구현하여 강력한 보안 조치를 제공합니다. Entrust 플랫폼은 그리드 카드, 모바일 푸시 알림, 고수준 보안 보장 PKI 기반 자격증명, 패스워드리스 등 다양한 MFA 옵션을 제공하여 권한이 있는 사용자만 보호된 리소스에 액세스할 수 있도록 보장합니다.
  • 사용자 활동 모니터링: 활동을 관찰하고 의심스러운 행동을 식별하여 보안 사고를 탐지하고 대응합니다.
  • 소프트웨어를 최신 상태로 유지: 최신 보안 패치 및 업그레이드를 통해 싱글 사인 온 소프트웨어, ID 공급자 및 애플리케이션을 정기적으로 업데이트합니다.
  • 안전한 데이터 전송: 싱글 사인 온 서버와 애플리케이션 또는 서비스 간에 전송되는 모든 데이터가 암호화되었는지 확인합니다.
  • 액세스 제어의 정기적인 감사: 권한이 있는 사용자만 보호된 리소스에 액세스할 수 있도록 액세스 제어를 검토하고 업데이트합니다.