싱글 사인온(SSO)
싱글 사인온(SSO)이 어떻게 인증을 간소화하고, 사용자 경험을 개선하며, 보안을 강화하고, 제로 트러스트 접근 방식을 지원하는지 알아봅니다.
태블릿을 보고 있는 여성과 남성의 오버헤드 뷰
싱글 사인온(SSO)이란?

싱글 사인온(SSO)은 사용자가 한 세트의 로그인 인증 정보를 사용하여 세션에 한 번 로그인하면 다시 로그인하지 않고도 해당 세션에서 여러 관련 애플리케이션과 서비스에 안전하게 액세스할 수 있게 해주는 인증 체계입니다. 

SSO는 일반적으로 회사 인트라넷 또는 엑스트라넷, 학생 포털, 퍼블릭 클라우드 서비스뿐 아니라 사용자들이 작업이나 업무를 처리하기 위해 여러 애플리케이션 간을 이동해야 하는 기타 환경에서 인증을 관리하는 데 사용됩니다. 또한 은행 및 전자 상거래 사이트와 같이 고객 대상 웹사이트와 앱에서 점점 더 많이 사용되면서 타사 제공업체의 애플리케이션을 원활하고 중단 없는 사용자 경험으로 통합합니다.
SSO의 작동 방식

싱글 사인온(SSO)은 신뢰할 수 있는 관련 애플리케이션, 웹사이트 및 서비스로 구성된 그룹(서비스 제공업체)과 SSO 솔루션(ID 제공자) 간의 디지털 신뢰 관계를 기반으로 합니다. SSO 솔루션은 더 큰 IAM(Identity and Access Management) 솔루션에 속하는 경우도 많습니다. 

일반적으로 SSO 인증은 다음과 같이 작동합니다.

  1. 사용자가 SSO 로그인 인증 정보를 사용하여 신뢰할 수 있는 애플리케이션 중 하나에 로그인하거나 모든 신뢰할 수 있는 애플리케이션이 연결된 중앙 포털(예: 직원 포털 또는 대학생 웹사이트)에 로그인합니다.
  2. 사용자가 성공적으로 인증되면 SSO 솔루션이 사용자 ID 관련 특정 정보(예: 사용자 이름, 이메일 주소 등)가 포함된 세션 인증 토큰을 생성합니다. 이 토큰은 사용자의 웹 브라우저나 SSO 또는 IAM 서버에 저장됩니다.
  3. 사용자가 신뢰할 수 있는 다른 애플리케이션에 액세스를 시도하면 해당 애플리케이션이 SSO 또는 IAM 서버에서 사용자가 해당 세션에 대해 이미 인증되었는지 확인합니다. 이미 인증된 경우 SSO 솔루션은 디지털 인증서로 인증 토큰에 서명하여 사용자를 확인하고 사용자에게 애플리케이션에 대한 액세스 권한을 부여합니다. 그렇지 않은 경우 로그인 인증 정보를 다시 입력하라는 메시지가 표시됩니다.

프로세스는 여러 요인에 따라 달라질 수 있습니다. 예를 들어 지정된 기간 동안 유휴 상태였던 사용자가 다른 앱에 액세스를 시도하면 다시 로그인해야 할 수 있습니다. 또는 인증된 사용자가 특히 중요한 정보를 처리하는 앱이나 서비스에 액세스를 시도하는 경우 사용자의 휴대폰이나 이메일로 전송된 코드와 같은 추가 인증 요소를 입력하라는 메시지가 표시될 수 있습니다(아래 '적응형 SSO' 참조).

 
SSO의 장점

분명한 건 SSO가 사용자의 시간과 수고를 덜어준다는 것입니다. 기업 사용자를 예로 들면, SSO를 사용하면 하루에 여러 번 여러 애플리케이션에 로그인하는 대신 기업 인트라넷이나 엑스트라넷에 한 번만 로그인하여 하루 종일 필요한 모든 애플리케이션에 액세스할 수 있습니다.

그러나 사용자가 기억해야 하는 비밀번호의 수와 관리자가 관리해야 하는 사용자 계정의 수를 크게 줄임으로써 SSO는 조직의 보안 준비 태세를 강화합니다. 이외에도 SSO의 장점은 다음과 같습니다.

  • 여러 개의 비밀번호 대신 하나의 강력한 비밀번호 사용: 관리해야 할 비밀번호가 많은 사용자의 경우 모든 애플리케이션에 길이가 짧고 취약한 비밀번호를 약간만 변형해 사용하곤 합니다. 따라서 해커는 이러한 비밀번호 중 하나만 해독해도 여러 애플리케이션에 손쉽게 액세스할 수 있습니다. SSO를 사용하면 길이가 짧고 보안에 취약한 여러 비밀번호 대신, 사용자는 기억하기 쉽지만 해커는 해독하기 어려운 길고 복잡한 단 하나의 강력한 비밀번호를 사용할 수 있습니다.
  • 안전하지 않은 비밀번호 저장 습관 예방: SSO를 사용하면 비밀번호 관리자, 스프레드시트에 비밀번호 저장, 스티커 노트에 비밀번호 기록, 기타 기억 보조 장치의 필요성을 줄이거나 없앨 수 있기 때문에 악의적 행위자가 비밀번호를 도용하거나 우연히 발견하는 것이 훨씬 더 어려워집니다.
  • 헬프 데스크 요청 대폭 감소: 업계 분석 전문 기업인 Gartner에 따르면 IT 헬프 데스크 요청의 20~50%는 비밀번호 분실 또는 비밀번호 재설정과 관련이 있습니다. 대부분의 SSO 솔루션을 사용하면 사용자가 헬프 데스크 지원을 통해 직접 간편하게 비밀번호를 찾을 수 있습니다.
  • 해커의 공격 대상 축소: IBM의 2021년 데이터 유출 비용 보고서에 따르면 데이터 유출 공격 초기에 가장 많이 이용되는 수단은 손상된 인증 정보로, 전체 데이터 유출의 20%를 차지했고 손상된 인증 정보로 시작된 침해는 피해자에게 평균 미화 431만 달러의 피해를 입혔습니다. 비밀번호가 줄어들면 잠재적은 공격 벡터도 줄어듭니다.
  • 사용자 계정의 관리, 프로비저닝 및 폐기 단순화: SSO를 통해 관리자는 인증 요구사항 및 액세스 권한을 보다 중앙 집중식으로 제어할 수 있습니다. 또한 사용자가 조직을 떠날 때 관리자는 간소화된 절차로 권한을 제거하고 사용자 계정을 폐기할 수 있습니다.
  • 규정 준수 간소화: SSO는 개인식별정보(PII) 및 데이터 액세스 제어 보호와 관련된 규정 요구사항, HIPAA와 같은 세션 시간 초과에 대한 특정 요구사항을 보다 쉽게 충족할 수 있도록 지원합니다. 
SSO 리스크

SSO의 주요 리스크는 사용자의 인증 정보가 손상된 경우 공격자에게 네트워크의 모든 또는 대부분의 애플리케이션 및 리소스에 대한 액세스 권한을 부여할 수 있다는 것입니다.

이러한 최악의 시나리오를 방지하기 위해 사용자는 길이가 길고 복잡한 비밀번호를 생성하고, 비밀번호를 저장하는 곳마다 비밀번호를 신중하게 암호화하고 보호해야 합니다. 그러나 대부분의 보안 전문가는 다단계 인증(MFA)을 사용하여 SSO를 구현할 것을 권장합니다. MFA의 경우 사용자가 비밀번호 외에 하나 이상의 인증 요소(예: 휴대폰으로 전송된 코드, 지문 또는 ID 카드)를 제공해야 합니다. 이러한 추가 인증 정보는 해커가 쉽게 도용하거나 스푸핑할 수 없으므로 MFA는 SSO에서 손상된 인증 정보와 관련된 리스크를 크게 줄일 수 있습니다.
SSO 변형

위에서 설명한 대로 여러 관련 애플리케이션에 대한 세션 액세스를 지원하는 단일 로그인 및 사용자 인증 정보 세트인 SSO 체계를 단순 또는 퓨어 SSO라고도 합니다. 다른 유형의 SSO 또는 SSO와 유사한 인증 방법은 다음과 같습니다.

  • 적응형 SSO: 처음 로그인할 때 사용자 이름과 비밀번호가 필요하지만, 이후에는 사용자가 새 디바이스에서 로그인하거나 특히 중요한 데이터 또는 기능에 액세스하려고 시도하는 경우 등 추가 리스크 요인이 발생할 때 추가 인증 요소 또는 새 로그인을 요구합니다.
  • 통합 SSO: 더 정확하게는 통합 ID 관리(FIM)라고 하며, SSO의 상위 개념입니다. SSO는 단일 조직의 도메인 내 애플리케이션 간의 디지털 신뢰 관계를 기반으로 하지만, FIM은 이러한 관계를 조직 외부의 신뢰할 수 있는 타사, 공급업체 및 기타 서비스 제공업체로 확장합니다. 예를 들어, FIM을 사용하면 이미 로그인한 직원은 추가 로그인 없이 또는 간단한 사용자 이름 전용 로그인으로 Slack 또는 WebEx와 같은 타사 웹 애플리케이션에 액세스할 수 있습니다.
  • 소셜 로그인: 인기 있는 소셜 미디어 사이트에 액세스하는 데 사용하는 것과 동일한 인증 정보로 타사 애플리케이션에 액세스할 수 있습니다. 소셜 로그인은 사용자의 경험을 단순화합니다. 타사 애플리케이션 제공업체의 경우 이는 바람직하지 않은 행동(예: 잘못된 로그인, 장바구니 구매 포기)을 억제하고 앱 개선을 위한 귀중한 정보를 제공할 수 있습니다.
관련 기술

SSO는 여러 인증 프로토콜 및 서비스를 사용하여 구현할 수 있습니다.

SAML/SAML 2.0

SAML(Security Assertion Markup Language)은 ID 제공자와 여러 서비스 제공업체 간에 암호화된 인증 및 승인 데이터를 교환하는 가장 오래된 개방형 표준 프로토콜입니다. SAML은 다른 프로토콜보다 보안을 더 효과적으로 제어하므로 일반적으로 기업 또는 정부 애플리케이션 도메인 내에서 그리고 그 사이에서 SSO를 구현하는 데 사용됩니다.

OAuth/OAuth 2.0

OAuth/OAuth 2.0(Open Authorization)은 사용자의 비밀번호를 노출하지 않고도 애플리케이션 간에 승인 데이터를 교환하는 개방형 표준 프로토콜입니다. OAuth를 사용하면 일반적으로 개별 로그인이 필요한 애플리케이션 간의 상호작용을 단일 로그인으로 간소화할 수 있습니다. 예를 들어 QAuth를 사용하면 LinkedIn에서 잠재적인 새 네트워크 구성원에 대해 이메일 연락처를 검색할 수 있습니다.

OpenID Connect(OIDC)

또 다른 개방형 표준 프로토콜인 OICD는 REST API 및 JSON 인증 토큰을 사용하여 웹사이트 또는 애플리케이션에서 다른 서비스 제공업체를 통해 사용자를 인증하여 액세스 권한을 부여할 수 있게 해줍니다.

OAuth 위에 계층화된 OICD는 주로 타사 애플리케이션, 장바구니 등에 대한 소셜 로그인을 구현하는 데 사용됩니다. 좀 더 경량인 OAuth/OIDC는 SaaS(Software as a Service)와 클라우드 애플리케이션, 모바일 앱, 사물 인터넷(IoT) 디바이스 전반에 걸쳐 SSO를 구현하기 위해 SAML을 사용하는 경우가 많습니다.

LDAP

LDAP(Lightweight Directory Access Protocol)는 사용자 인증 정보를 저장 및 업데이트하는 디렉토리와 해당 디렉토리에 대해 사용자를 인증하는 프로세스를 정의합니다. 1993년에 도입된 LDAP는 여전히 디렉토리 액세스를 효과적으로 제어할 수 있기 때문에 SSO를 구현하는 많은 조직에서 선택하는 인증 디렉토리 솔루션입니다.

ADFS

ADFS(Active Directory Federation Services)는 Microsoft Windows Server에서 실행되며, 온프레미스 및 오프프레미스 애플리케이션과 서비스를 통해 통합 ID 관리(SSO 포함)를 지원합니다. ADFS는 ID 제공자로 ADDS(Active Directory Domain Services)를 사용합니다. 
SSO 및 제로 트러스트 접근 방식

'제로 트러스트'는 '절대 신뢰하지 않고 항상 확인'하는 보안 접근 방식을 사용합니다. 네트워크 외부든, 이미 인증된 네트워크 내부든, 모든 사용자, 애플리케이션 또는 디바이스는 원하는 다음 네트워크에 액세스하기 전에 ID를 확인해야 합니다.

네트워크가 온프레미스 인프라는 물론 여러 프라이빗 및 퍼블릭 클라우드까지 더욱 분산되면서 네트워크에 침투하는 위협 요소가 더 많은 액세스 권한을 얻어 피해 규모를 늘리는 것을 방지하기 위해서는 제로 트러스트 접근 방식이 필수적입니다.

SSO, 특히 IAM 솔루션의 일부인 SSO는 제로 트러스트 접근 방식을 구현하는 기본 기술로 널리 인식되고 있습니다. 제로 트러스트의 근본적인 문제는 승인된 최종 사용자가 네트워크를 자유롭게 이동하고 업무나 비즈니스를 처리하는 능력을 방해하지 않으면서 네트워크에 침투하는 공격자를 차단할 수 있는 보안 아키텍처를 구축하는 것입니다. 이를 실현하기 위해 조직은 SSO에 다단계 인증, 액세스 및 권한 제어, 네트워크 마이크로 세분화, 기타 기술 및 베스트 프랙티스를 결합하는 것이 좋습니다. 

 제로 트러스트에 대해 자세히 보기
관련 솔루션 IAM(Identity and Access Management)

IBM Security Verify IAM 솔루션을 사용하여 모든 사용자를 적절한 액세스 수준으로 연결합니다.

 싱글 솔루션(SSO) 솔루션

클라우드 및 온프레미스 애플리케이션에 대한 액세스 제어를 중앙 집중화합니다.

 고급 인증

IBM Security Verify는 비밀번호 없는 인증 또는 다단계 인증을 위한 옵션을 통해 기본 인증 이상의 효과를 제공합니다.

 적응형 액세스

IBM Security Verify의 AI 지원 리스크 기반 인증으로 사용자와 자산을 선제적으로 보호합니다.

 클라우드 IAM 솔루션

매끄러운 보안 액세스를 위해 클라우드 IAM에 리스크 기반 인증의 심층 컨텍스트를 적용합니다.

 데이터 개인정보 보호 솔루션

데이터 개인정보 보호를 강화하고, 고객 신뢰를 구축하며, 기업 성장을 추진합니다.

 IBM Security Verify Trust

IBM Security Verify Trust 소프트웨어로 스마트한 인증을 제공하기 위해 IAM 시스템에 리스크 신뢰도를 적용합니다.

 제로 트러스트 솔루션

모든 사용자, 모든 장치 및 모든 연결을 포괄하는 보안 솔루션을 살펴봅니다.

 모바일 디바이스 관리(MDM) 솔루션

엔드포인트 및 일반 사용자에 대한 가시성, 관리, 보안을 제공합니다.
리소스 IBM Security Framing and Discovery 워크숍

가상 또는 대면 형식으로 3시간 동안 진행되는 이 무료 디자인 씽킹 세션에서는 IBM 보안 아키텍트 및 컨설턴트와 함께 귀사의 사이버 보안 환경을 진단하고 여러 이니셔티브의 우선순위를 결정할 수 있습니다.

 ID 및 액세스 관리

ID 및 액세스 관리(IAM)는 기업 네트워크 액세스를 제어하여 데이터를 보호해 주는 보안 프로그램의 중요한 요소입니다.

 제로 트러스트 모델

제로 트러스트는 복잡한 네트워크의 보안이 항상 외부 및 내부 위협에 취약한 상태라고 가정하는 프레임워크입니다.

 데이터 보안

데이터 보안은 전체 라이프사이클에서 무단 액세스, 손상 또는 도난으로부터 디지털 정보를 보호하도록 지원합니다.

 사이버 보안

사이버 보안 기술 및 우수 사례는 날로 진화하고 늘어가는 위협으로부터 중요한 시스템과 민감한 정보를 보호합니다.

 인사이더 위협

내부자 위협을 정의하고 소스를 식별하며 이에 대한 보호 조치를 설명합니다.

 모바일 디바이스 관리

모바일 디바이스 관리(MDM)는 기업 데이터를 안전하게 보호하면서 직원의 업무 효율성을 높이는 모바일 도구 및 애플리케이션을 제공합니다.

 오픈 소스

오픈 소스 소프트웨어(OSS)는 개방형 협업과 피어 프로덕션을 위해 공개적으로 소스 코드를 배포하는 분산형 개발 모델입니다.

 모바일 보안

모바일 조직에 대한 가시성과 통제력을 향상하기 위한 통합적 접근법입니다.
싱글 사인온(SSO)과 IBM Security

IBM Security Verify는 직원 현대화와 소비자의 디지털 혁신을 동시에 지원하는 단일한 IDaaS(Identity as a Service) 솔루션입니다. Verify는 싱글 사인온(SSO), 고급 리스크 기반 인증, 적응형 액세스 관리, 자동 동의 관리 등을 포함한 포괄적인 클라우드 IAM 기능을 제공합니다.

Verify의 비교 방법 보기 무료로 Verify를 시작하고 자세히 보기