싱글 사인온(SSO)은 사용자가 한 세트의 로그인 인증 정보를 사용하여 세션에 한 번 로그인하면 다시 로그인하지 않고도 해당 세션에서 여러 관련 애플리케이션과 서비스에 안전하게 액세스할 수 있게 해주는 인증 체계입니다.
SSO는 일반적으로 회사 인트라넷 또는 엑스트라넷, 학생 포털, 퍼블릭 클라우드 서비스뿐 아니라 사용자들이 작업이나 업무를 처리하기 위해 여러 애플리케이션 간을 이동해야 하는 기타 환경에서 인증을 관리하는 데 사용됩니다. 또한 은행 및 전자 상거래 사이트와 같이 고객 대상 웹사이트와 앱에서 점점 더 많이 사용되면서 타사 제공업체의 애플리케이션을 원활하고 중단 없는 사용자 경험으로 통합합니다.
싱글 사인온(SSO)은 신뢰할 수 있는 관련 애플리케이션, 웹사이트 및 서비스로 구성된 그룹(서비스 제공업체)과 SSO 솔루션(ID 제공자) 간의 디지털 신뢰 관계를 기반으로 합니다. SSO 솔루션은 더 큰 IAM(Identity and Access Management) 솔루션에 속하는 경우도 많습니다.
일반적으로 SSO 인증은 다음과 같이 작동합니다.
프로세스는 여러 요인에 따라 달라질 수 있습니다. 예를 들어 지정된 기간 동안 유휴 상태였던 사용자가 다른 앱에 액세스를 시도하면 다시 로그인해야 할 수 있습니다. 또는 인증된 사용자가 특히 중요한 정보를 처리하는 앱이나 서비스에 액세스를 시도하는 경우 사용자의 휴대폰이나 이메일로 전송된 코드와 같은 추가 인증 요소를 입력하라는 메시지가 표시될 수 있습니다(아래 '적응형 SSO' 참조).
분명한 건 SSO가 사용자의 시간과 수고를 덜어준다는 것입니다. 기업 사용자를 예로 들면, SSO를 사용하면 하루에 여러 번 여러 애플리케이션에 로그인하는 대신 기업 인트라넷이나 엑스트라넷에 한 번만 로그인하여 하루 종일 필요한 모든 애플리케이션에 액세스할 수 있습니다.
그러나 사용자가 기억해야 하는 비밀번호의 수와 관리자가 관리해야 하는 사용자 계정의 수를 크게 줄임으로써 SSO는 조직의 보안 준비 태세를 강화합니다. 이외에도 SSO의 장점은 다음과 같습니다.
SSO의 주요 리스크는 사용자의 인증 정보가 손상된 경우 공격자에게 네트워크의 모든 또는 대부분의 애플리케이션 및 리소스에 대한 액세스 권한을 부여할 수 있다는 것입니다.
이러한 최악의 시나리오를 방지하기 위해 사용자는 길이가 길고 복잡한 비밀번호를 생성하고, 비밀번호를 저장하는 곳마다 비밀번호를 신중하게 암호화하고 보호해야 합니다. 그러나 대부분의 보안 전문가는 다단계 인증(MFA)을 사용하여 SSO를 구현할 것을 권장합니다. MFA의 경우 사용자가 비밀번호 외에 하나 이상의 인증 요소(예: 휴대폰으로 전송된 코드, 지문 또는 ID 카드)를 제공해야 합니다. 이러한 추가 인증 정보는 해커가 쉽게 도용하거나 스푸핑할 수 없으므로 MFA는 SSO에서 손상된 인증 정보와 관련된 리스크를 크게 줄일 수 있습니다.
위에서 설명한 대로 여러 관련 애플리케이션에 대한 세션 액세스를 지원하는 단일 로그인 및 사용자 인증 정보 세트인 SSO 체계를 단순 또는 퓨어 SSO라고도 합니다. 다른 유형의 SSO 또는 SSO와 유사한 인증 방법은 다음과 같습니다.
SSO는 여러 인증 프로토콜 및 서비스를 사용하여 구현할 수 있습니다.
SAML/SAML 2.0
SAML(Security Assertion Markup Language)은 ID 제공자와 여러 서비스 제공업체 간에 암호화된 인증 및 승인 데이터를 교환하는 가장 오래된 개방형 표준 프로토콜입니다. SAML은 다른 프로토콜보다 보안을 더 효과적으로 제어하므로 일반적으로 기업 또는 정부 애플리케이션 도메인 내에서 그리고 그 사이에서 SSO를 구현하는 데 사용됩니다.
OAuth/OAuth 2.0
OAuth/OAuth 2.0(Open Authorization)은 사용자의 비밀번호를 노출하지 않고도 애플리케이션 간에 승인 데이터를 교환하는 개방형 표준 프로토콜입니다. OAuth를 사용하면 일반적으로 개별 로그인이 필요한 애플리케이션 간의 상호작용을 단일 로그인으로 간소화할 수 있습니다. 예를 들어 QAuth를 사용하면 LinkedIn에서 잠재적인 새 네트워크 구성원에 대해 이메일 연락처를 검색할 수 있습니다.
OpenID Connect(OIDC)
또 다른 개방형 표준 프로토콜인 OICD는 REST API 및 JSON 인증 토큰을 사용하여 웹사이트 또는 애플리케이션에서 다른 서비스 제공업체를 통해 사용자를 인증하여 액세스 권한을 부여할 수 있게 해줍니다.
OAuth 위에 계층화된 OICD는 주로 타사 애플리케이션, 장바구니 등에 대한 소셜 로그인을 구현하는 데 사용됩니다. 좀 더 경량인 OAuth/OIDC는 SaaS(Software as a Service)와 클라우드 애플리케이션, 모바일 앱, 사물 인터넷(IoT) 디바이스 전반에 걸쳐 SSO를 구현하기 위해 SAML을 사용하는 경우가 많습니다.
LDAP
LDAP(Lightweight Directory Access Protocol)는 사용자 인증 정보를 저장 및 업데이트하는 디렉토리와 해당 디렉토리에 대해 사용자를 인증하는 프로세스를 정의합니다. 1993년에 도입된 LDAP는 여전히 디렉토리 액세스를 효과적으로 제어할 수 있기 때문에 SSO를 구현하는 많은 조직에서 선택하는 인증 디렉토리 솔루션입니다.
ADFS
ADFS(Active Directory Federation Services)는 Microsoft Windows Server에서 실행되며, 온프레미스 및 오프프레미스 애플리케이션과 서비스를 통해 통합 ID 관리(SSO 포함)를 지원합니다. ADFS는 ID 제공자로 ADDS(Active Directory Domain Services)를 사용합니다.
'제로 트러스트'는 '절대 신뢰하지 않고 항상 확인'하는 보안 접근 방식을 사용합니다. 네트워크 외부든, 이미 인증된 네트워크 내부든, 모든 사용자, 애플리케이션 또는 디바이스는 원하는 다음 네트워크에 액세스하기 전에 ID를 확인해야 합니다.
네트워크가 온프레미스 인프라는 물론 여러 프라이빗 및 퍼블릭 클라우드까지 더욱 분산되면서 네트워크에 침투하는 위협 요소가 더 많은 액세스 권한을 얻어 피해 규모를 늘리는 것을 방지하기 위해서는 제로 트러스트 접근 방식이 필수적입니다.
SSO, 특히 IAM 솔루션의 일부인 SSO는 제로 트러스트 접근 방식을 구현하는 기본 기술로 널리 인식되고 있습니다. 제로 트러스트의 근본적인 문제는 승인된 최종 사용자가 네트워크를 자유롭게 이동하고 업무나 비즈니스를 처리하는 능력을 방해하지 않으면서 네트워크에 침투하는 공격자를 차단할 수 있는 보안 아키텍처를 구축하는 것입니다. 이를 실현하기 위해 조직은 SSO에 다단계 인증, 액세스 및 권한 제어, 네트워크 마이크로 세분화, 기타 기술 및 베스트 프랙티스를 결합하는 것이 좋습니다.
IBM Security Verify IAM 솔루션을 사용하여 모든 사용자를 적절한 액세스 수준으로 연결합니다.
클라우드 및 온프레미스 애플리케이션에 대한 액세스 제어를 중앙 집중화합니다.
IBM Security Verify는 비밀번호 없는 인증 또는 다단계 인증을 위한 옵션을 통해 기본 인증 이상의 효과를 제공합니다.
IBM Security Verify의 AI 지원 리스크 기반 인증으로 사용자와 자산을 선제적으로 보호합니다.
매끄러운 보안 액세스를 위해 클라우드 IAM에 리스크 기반 인증의 심층 컨텍스트를 적용합니다.
데이터 개인정보 보호를 강화하고, 고객 신뢰를 구축하며, 기업 성장을 추진합니다.
IBM Security Verify Trust 소프트웨어로 스마트한 인증을 제공하기 위해 IAM 시스템에 리스크 신뢰도를 적용합니다.
모든 사용자, 모든 장치 및 모든 연결을 포괄하는 보안 솔루션을 살펴봅니다.
엔드포인트 및 일반 사용자에 대한 가시성, 관리, 보안을 제공합니다.
가상 또는 대면 형식으로 3시간 동안 진행되는 이 무료 디자인 씽킹 세션에서는 IBM 보안 아키텍트 및 컨설턴트와 함께 귀사의 사이버 보안 환경을 진단하고 여러 이니셔티브의 우선순위를 결정할 수 있습니다.
ID 및 액세스 관리(IAM)는 기업 네트워크 액세스를 제어하여 데이터를 보호해 주는 보안 프로그램의 중요한 요소입니다.
제로 트러스트는 복잡한 네트워크의 보안이 항상 외부 및 내부 위협에 취약한 상태라고 가정하는 프레임워크입니다.
데이터 보안은 전체 라이프사이클에서 무단 액세스, 손상 또는 도난으로부터 디지털 정보를 보호하도록 지원합니다.
사이버 보안 기술 및 우수 사례는 날로 진화하고 늘어가는 위협으로부터 중요한 시스템과 민감한 정보를 보호합니다.
내부자 위협을 정의하고 소스를 식별하며 이에 대한 보호 조치를 설명합니다.
모바일 디바이스 관리(MDM)는 기업 데이터를 안전하게 보호하면서 직원의 업무 효율성을 높이는 모바일 도구 및 애플리케이션을 제공합니다.
오픈 소스 소프트웨어(OSS)는 개방형 협업과 피어 프로덕션을 위해 공개적으로 소스 코드를 배포하는 분산형 개발 모델입니다.
모바일 조직에 대한 가시성과 통제력을 향상하기 위한 통합적 접근법입니다.