보안 / 애플리케이션 / 클라우드

“편리함에 보안성을 더한” 싱글사인온(SSO)의 정의와 구현 전략

Doug Drinkwater | CSO 2018.07.20
싱글사인온(Single sign-on, 이하 SSO)은 하나의 로그인 인증 정보를 여러 애플리케이션에 걸쳐 사용할 수 있는 중앙집중식 세션 및 사용자 인증 서비스다. 장점은 간소함이다. SSO 서비스는 지정된 하나의 플랫폼에서 사용자를 인증하고 이후 로그인과 로그아웃을 반복할 필요 없이 다양한 서비스를 사용할 수 있게 해준다.

일반 사용자는 구글, 페이스북, 트위터를 통한 소셜 로그인을 강력한 SSO 플랫폼이라고 생각할 수 있다. 각각의 플랫폼은 다양한 타사 서비스를 액세스할 수 있게 해준다. 기업에서는 SSO를 사용해서 예를 들어 사용자가 회사 전용 웹 애플리케이션(내부 서버에 호스팅) 또는 클라우드에 호스팅되는 ERP 시스템에 로그인하도록 할 수 있다.

적절히 구현된 SSO는 생산성, IT 모니터링 및 관리, 보안 통제에 큰 보탬이 될 수 있다. 하나의 보안 토큰(사용자 이름과 암호 쌍)으로 여러 시스템, 플랫폼, 앱 및 기타 리소스에 대한 사용자 액세스를 활성화하거나 비활성화할 수 있다. 또한 암호 분실 또는 약한 암호와 관련된 위험도 줄어든다.

잘 계획되고 실천된 SSO 전략은 암호 재설정 비용과 다운타임을 제거하고 내부자 위협에 따른 위험을 완화하고 사용자 경험과 인증 프로세스를 개선하고 조직에서 사용자 액세스 권한을 확실히 통제할 수 있게 해준다.



싱글사인온을 사용하는 이유

SSO의 부상은 퍼블릭 클라우드의 인기, 사람들의 암호 피로감, 새로운 개발 방법론,
엔터프라이즈 모빌리티, 웹 및 클라우드 네이티브 애플리케이션을 비롯한 다른 주목할 만한 관련 추세와 상호 연계된다.

특히 클라우드 애플리케이션으로의 전환은 기회인 동시에 지연 요소이기도 하다. 최근 연구에 따르면 2017년 기업은 IT와 운영, 비즈니스 전략을 지원하기 위해 평균 17개의 클라우드 애플리케이션을 사용할 것으로 전망된다. 이 추세를 보면 응답자의 61%가 현재의 ID 및 액세스 관리(IAM)가 2년 전보다 더 어려워졌다고 답한 것도 놀라운 결과는 아니다.

센트리파이(Centrify) EMEA CTO 배리 스콧은 SSO를 사용할 분명한 두 가지 이유로 “첫 번째는 SaaS 클라우드 기반 애플리케이션의 급증으로 인한 사용자 이름과 암호의 난립을 차단함으로써 사용자 경험을 개선한다는 것이다. 두 번째는 보안 개선이다. 침해의 주된 원인은 인증 정보 유출인데, 사용하는 사용자 이름과 암호가 많을수록 암호 위생은 나빠진다. 사람들이 모든 곳에서 똑같은 암호를 사용하기 시작한데다 암호 자체도 복잡하지 않아 인증 정보를 비교적 쉽게 빼낼 수 있다”고 말했다.

옥타(Okta)의 보안 제품 이사인 조 다이아몬드도 이러한 시각에 동의하면서 클라우드 애플리케이션이 IT 팀에 새로운 과제를 안겨준다고 말했다. 다이아몬드는 “IT 조직은 어떻게 사용자 계정을 만들어 관리하고, 정확한 자격(불필요한 권한이 없도록)을 확인하고, 직원이 퇴사할 때 적절한 오프보딩을 보장할 것인가의 문제에 직면해 있다”고 말했다.

다이아몬드는 “여러 솔루션에 걸쳐 ID 저장소/사일로를 두면 이러한 확산을 관리하기도 불가능해진다”면서 “조직에서 오피스 365, 박스, 슬랙을 도입했다고 해서 각 서비스를 위한 3개의 로그인과 암호 세트를 원하는 것은 아니다. SSO는 어떤 측면에서 클라우드 솔루션 도입을 모색하는 조직의 필수 요건이 되고 있다”고 덧붙였다.

또한 다이아몬드는 개인용 디바이스 사용(BYOD) 정책과 “상시 가동”, “어디서나 작업” 문화도 SSO를 촉진하는 요소라면서 “사람들은 IT가 제어하지 않는 디바이스를 사용해서, IT가 볼 수 없는 네트워크를 통해 작업을 한다. 결과적으로 인증은 디바이스의 종류나 사용 위치를 가리지 않고 지속적 인증, 다중 요소 인증, 맥락 인식 액세스 제어, 사용자 행동 분석 등의 보안 통제를 적용하는 중대한 기준점이 된다”고 말했다.

SSO의 이점은 무엇인가?
SSO의 가장 큰 이점은 확장성이다. 자동 인증 정보 관리는 시스템 관리자가 더 이상 모든 직원의 서비스 액세스를 관리할 필요가 없음을 의미한다. 따라서 인적 오류 요소가 줄어들고 IT 부서는 시간을 확보해 더 중요한 작업에 집중할 수 있다.

그 외에 클라우드 우선 애플리케이션을 위한 빠른 프로비저닝도 이점이다. SSO가 보안 어서션 마크업 언어(Security Assertion Markup Language: SAML) 2.0과 같은 새로운 표준을 지원한다면 SSO 관리자가 신속하게 애플리케이션을 프로비전해서 직원에게 전달할 수 있다. SSO는 또한 보안 강화(특히 이중 요소 인증[2FA]과 함께 사용할 경우), 생산성 향상, IT 지원 부서의 암호 재설정 횟수 감소와 같은 이점도 제공할 수 있다.

스콧은 IT 팀과 직원이 얻는 이점에 대해 “SSO의 가장 큰 이점은 사용 편의성이며, 이는 암호 재설정을 위한 지원 부서 호출 감소로 이어진다. 위험에 노출되는 사용자 인증 정보가 적으므로 보안이 개선된다. 그러나 암호가 도난되거나 외부에서 암호를 알아낸 경우에 대비한 백업 수단으로 다중 요소 인증(multi-factor authentication, MFA)도 반드시 필요하다”고 말했다.

스콧은 센트리파이 고객들은 SSO를 통해 새로운 SaaS 애플리케이션을 위한 직원 온보딩 과정을 더 빠르고 쉽게 실행했다면서 “IT 부서에서 더 쉽게 액세스 권한을 제공할 수 있으므로 ‘섀도우 IT’가 퍼질 가능성이 더 적다. 우수한 SSO(또는 IDaaS) 솔루션은 사용자가 새로운 애플리케이션에 대한 액세스 권한과 워크플로 승인을 간편히 요청할 수 있게 해준다”고 말했다.

젬알토(Gemalto)의 ID 및 액세스 관리 부문 부사장인 프랑수아 래스니어는 과거에는 원격 액세스가 VPN을 통해 제공됐고 따라서 구내 앱을 위한 SSO가 윈도우 생태계 내에서 취급됐다고 말했다. 그러나 이 형태는 클라우드가 도입되면서 바뀌었다. 래스니어는 “SSO는 IT 팀에는 통제력을, 직원에게는 편리함을 제공함으로써 부담을 낮춰줄 수 있다. 성공적인 SSO 구현은 IT 팀에서 누가, 언제, 어디서, 어느 애플리케이션에 액세스할 수 있는지를 결정할 수 있게 해준다. 유연성을 제공하므로 조직은 직원이 사무실에 있을 때는 모든 애플리케이션에 대한 액세스 권한을 부여하고 외부에서는 일부 정해진 소수 직원에게만 액세스 권한을 부여할 수 있다. 직원이 편리하게 작업하도록 하는 동시에 비즈니스를 안전하게 보호한다. 전체적으로 SSO는 위험 관리 메커니즘과 결합될 때 액세스 보안을 개선하고 침해 위험을 낮춰준다”고 말했다.

옥타의 다이아몬드가 제시한 고객 사례는 20세기 폭스(20th Century Fox)다. 이 회사는 막대한 가치가 있는 지적 재산(IP)을 보호하면서 수천 명의 직원과 하도급 업체, 파트너에 걸친 제작 및 배급 프로세스를 개선할 방법이 필요했다. 20세기 폭스는 옥타의 ID 플랫폼을 사용해 2만 2,000명의 직원과 수백 명의 비즈니스 파트너를 대상으로 솔루션을 배포하고, 외부에서 다양한 종류의 디바이스로 작업하는 팀에게 손쉬운 액세스 방법을 제공할 수 있게 됐다. IT 부서는 누가 어디에서 로그인했는지에 대한 시야를 확보했으며 내외부 팀에서 모두 사용자 프로비저닝이 더 간편해졌다.

SSO 구현 프로세스
기술 스택이 퍼블릭 클라우드와 구내 인프라를 위태롭게 하는, 끊임없이 변화하는 IAM 환경에서 조직이 SSO를 구현하려면 어떻게 해야 할까? 스콧이 제안한 프로세스는 다음과 같다.

• 애플리케이션 목록을 만들고 어느 애플리케이션을 SSO 범위 내에 둘지 결정한다.

• 애플리케이션이 SSO를 지원하지 않는 경우 해당 애플리케이션의 미래를 재평가한다. 벤더에 SSO를 요구한다.

• 사용자의 주 ID 소스를 결정한다. (일반적으로 마이크로소프트 액티브 디렉터리지만 LDAP, 구글 디렉터리 등을 포함할 수 있다.)

• SSO 솔루션에서 필요한 애플리케이션과 정책을 규정한다.

• 누가, 어느 애플리케이션에 액세스해야 하는지 확인한다.

• 애플리케이션에 대한 액세스 권한을 부여한다. 개인 지정보다는 사용자 그룹을 기준으로 부여하는 방법이 좋다. 이렇게 하면 이후 기존 그룹 관리 프로세스를 통해 애플리케이션 액세스를 결정할 수 있다.

• 프로젝트 계획과 변경 관리에서의 허용에 따라 앱을 켠다.

젬알토의 래스니어는 “조직은 기존 인증 체계를 고려해야 한다. 부서 또는 사용 사례별로
여러 가지 체계를 두고 있는 경우도 있다. 비즈니스에서 구현하는 솔루션이 사용하는 모든 애플리케이션을 지원하지 못하거나 구현 비용이 너무 높다면 무의미하다. 기존 솔루션을 철거할 경우 상당한 비용이 발생할 수 있으므로 이러한 요소를 하나의 관리 솔루션 아래에서 결합해서 클라우드로 안전하게 이동하는 동시에 사용 사례를 위한 기회를 확장할 수 있도록 할 방안을 모색해야 한다”고 말했다.

옥타의 다이아몬드는 레거시 앱과 관련해 주의해야 한다면서 “핵심은 타협 없이 유연성을 제공하는 것이다. 많은 경우 진실의 근원(source of truth)은 계속 AD(Active Directory)겠지만 주의가 필요하다. 레거시 애플리케이션은 곳곳에 있기 때문이다. 또한 대부분의 기업에 있는 중요한 사용 사례에 맞추려면 예를 들어 RADIUS와 LDAP도 지원해야 한다”고 말했다.

물론 SSO가 만능이라는 생각은 잘못이다. SSO 구현에는 비용, 통제, 표준화(SAML 또는 OAuth), 취약점 등의 과제가 따른다. 예를 들어 올해 초에는 SAML 오픈 프로토콜의 검증 버그로 인해 공격자가 공격 대상을 가장해 사이트 또는 서비스에 로그인할 수 있는 상황이 발생했다. 또한 연구원들은 OAuth 취약점이 공격자가 피해자의 모바일 앱 계정에 로그인해서 계정을 장악하는 결과를 초래할 수 있다는 사실도 발견했다.

스콧은 호환성 문제, 즉 SSO를 지원하지 않는 앱과 관련된 문제도 지적하면서 “사용자들은 애플리케이션 제공업체에 SAML, 커버로스(Kerberos) 등을 통해 제대로 된 SSO 기능을 갖추고 또 다른 사용자 이름과 암호로 직원의 관리 부담을 늘리지 않도록 요구해야 한다”고 말했다. 또한 MFA와 SSO를 함께 구축해야 한다.

스콧은 SSO의 미래를 낙관하면서 “보안에 대해 ‘제로 트러스트(zero trust)’ 접근 방법을 취함으로써 사용자가 어디에서 어느 디바이스를 사용하든 동일한 방식으로 작업할 수 있도록 하는 SSO 도입이 증가할 것이다. 더 많은 애플리케이션 제공업체가 애플리케이션에 SSO를 포함할 것이며, 하나의 인증 정보만 사용할 경우의 잠재적인 노출에 대비해 MFA 도입이 증가할 것”이라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.