모바일 / 보안

"아이폰 로그인하면 추가 인증 불필요" 애플의 새로운 '싱글사인온' 미리보기

Jonny Evans | Computerworld 2022.06.29
올해 WWDC의 다양한 발표 중에서 중요한 것 중 하나가 바로 SSO(single sign-on) 지원이다. 올가을 새로운 업데이트에서 어떻게 변화하는지 살펴보자.
 

애플이 애플로 로그인(Sign in with Apple)에 SSO를 처음 지원한 것이 WWDC 2019였다. 이를 위한 확장 기능도 함께 발표했다. SSO를 이용하면 사용자가 애플 ID를 이용해 서비스와 웹사이트에 로그인할 수 있고, 다양한 업체 서비스에 매우 안전한 토큰 기반 서명과 툴 서비스를 사용할 수 있었다. 여기까지가 SSO 버전 1이었다. 이후 애플은 계속해서 이를 개선했지만, 결국 앱과 서비스가 이 SSO를 도입해야 쓸 수 있으므로, 이를 지원하지 않는 곳에서는 옥타(Okta) 같은 서드파티 인증 서비스를 사용해야 했다. 물론 일부 사이트에서는 여전히 수동으로 로그인해야 했다.

이처럼 기존 SSO의 한계가 명확한 가운데 애플은 WWDC 2022에서 SSO의 2가지 중요한 개선을 발표했다.
 
  • iOS 16, 아이패드OS 16에서 사용자 입력에 SSO 지원
  • 맥OS 벤투라에 대한 플랫폼 SSO 지원

먼저 첫 번째 항목을 살펴보자. 이제 사용자는 iOS 기기에서 입력할 때 IdP(identity provider)에서 모바일 앱을 다운로드해 해당 기기에서 SSO를 활성화할 수 있다. 이를 위해서는 애플 비즈니스(Apple Business) 또는 스쿨 매니저(School Manager)를 사용하는 매니지드 애플 ID(Managed Apple ID) 설정이 필요하고, 애플 비즈니스 에센셜(Apple Business Essentials), 잼프(Jamf), 칸지(Kandji) 같은 MDM(Mobile Device Management) 시스템을 사용해야 한다. 또한 애플은 애플 비즈니스, 스쿨 매니저에 맥과 아이패드, 아이폰을 추가하는 데 아이폰용 애플 컨피그레이터(Apple Configurator)를 사용할 수 있도록 했다. MDM에 개인용 기기를 추가하는 작업도 간소화했다.

다소 복잡해 보이는데, 이런 변화가 사용자에게 의미하는 것은 간단하다. IdP 앱이 기기에서 계속 활성화돼 있으면서 앱과 서비스 인증을 처리하는 것이다. 즉, 아이폰, 아이패드에 한 번만 로그인하면 SSO를 지원하는 다른 앱과 서비스를 쓸 때 추가로 인증할 필요가 없어진다.

두 번째 맥에서 플랫폼 SSO를 지원한다는 것은 사용자가 로그인할 때 맥을 한 번만 인증하면 IdP를 사용하는 모든 앱과 웹사이트에 로그인할 수 있음을 의미한다. 맥 구동 시 로그인 한 정보를 활용해 인증이 처리하는 것이다. IdP에 의해 인증되고 이 인증 내역이 키체인 내에 저장된다. 즉 모든 것이 화면 아래에서 처리되고 사용자가 정한 인증 정책을 적용할 수 있다(물론 직원이 개인적인 사이트와 앱, 서비스에 접속하려면 별도로 로그인해야 한다).

애플은 이 플랫폼 SSO가 액티브 디렉터리를 대체한다고 설명한다. 하지만 IdP가 이 프로토콜을 도입하는 것은 물론 해당 기기의 관리 업체가 이를 지원하도록 프로필을 업데이트해야 제대로 사용할 수 있다. 애플은 또한 오스 2.0(OAuth 2.0) 인증을 지원한다. 오스 2.0은 서드파티 서비스로부터 추가 신원 제공 시스템을 지원하므로, 앞서 설명한 SSO 기능을 구현하는 데 핵심적이다. 애플 비즈니스 매니저와 애플 스쿨 매니저는 매니지드 애플 ID와 구글 워크스페이스, 마이크로소프트 애저 AD를 모두 지원한다.

지금까지 살펴본 애플 SSO의 변경 사항 2가지는 기업의 SSO 도입 과정을 더 수월하게 하기 위한 것이지만, 애플은 기본적으로 인증의 필요를 줄이는 데 주력하고 있다. 실제로 이 기술도 캡차(CAPTCHA)를 이음매 없는 인증으로 대체해, 신뢰할 수 있는 로그인 수단으로 사용할 수 있다. 즉, 암호는 점점 더 덜 중요해지는 것이다. 반면 아이러니하게도 이런 SSO 작업은 사용자가 기기에 로그인하는 데 사용하는 주요 패스코드가 점점 더 중요해지는 것을 의미한다. 따라서 이를 더 강력하게 바꿀 필요가 있다.

결국 SSO 마스터 패스워드가 1234인 SSO이라면, 이 신원 시스템을 해킹하기도 별로 어렵지 않다. 이는 오히려 애플이 올 하반기 새 시스템을 제공하기 전까지 강력한 기기 암호와 생체 인증이 꼭 필요하다는 것을 역설적으로 보여준다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.