SSO(Single Sign-On)

개요

Single Sign-On(SSO)은 사용자가 한 번의 로그인 절차만으로 여러 애플리케이션이나 서비스에 접근할 수 있게 해주는 인증 메커니즘이다. 현대 디지털 환경에서 우리는 수많은 서비스를 이용하며, 각각의 서비스마다 로그인을 반복하는 것은 사용자 경험을 저하시키고 보안 위험을 증가시킬 수 있다.

SSO의 주요 장점은 다음과 같다:

• 암호 보안 강화: 사용자가 여러 서비스를 위한 강력한 단일 비밀번호를 사용하도록 유도한다.
• 생산성 향상: 인증 과정을 간소화하여 보호된 리소스에 더 신속하게 접근할 수 있게 한다.
• 비용 절감: 비밀번호 재설정 요청 처리를 줄여 지원 리소스를 절약한다.
• 보안 태세 개선: 사용자당 비밀번호 수를 최소화하여 접근 감사를 용이하게 하고 모든 데이터 유형에 대한 강력한 접근 제어를 제공한다.
• 향상된 사용자 경험: 원활한 로그인 경험과 보안 인증 관리를 제공하여 사용자 만족도를 높인다.

동작원리

SSO의 기본 동작 원리는 신뢰 관계를 기반으로 한다. 일반적인 SSO 시스템의 동작 과정은 다음과 같다:

1. 사용자 요청: 사용자가 서비스(서비스 제공자)에 접근을 시도한다.
2. 인증 리다이렉션: 서비스 제공자는 사용자가 아직 인증되지 않았음을 확인하고, 사용자를 ID 제공자(IdP)로 리다이렉션 한다.
3. 사용자 인증: 사용자는 ID 제공자에게 자신의 신원을 증명한다(로그인).
4. 토큰 발급: 인증이 성공하면 ID 제공자는 인증 토큰을 발급한다.
5. 서비스 접근: 사용자는 이 토큰과 함께 서비스 제공자에게 돌아가며, 서비스 제공자는 토큰을 검증하고 접근을 허용한다.
6. 세션 유지: 이후 사용자가 동일한 ID 제공자와 신뢰 관계가 있는 다른 서비스에 접근할 때는 추가 로그인 없이 바로 접근할 수 있다.

Common Sequence Diagram

SSO의 종류

1. SAML (Security Assertion Markup Language)

SAML은 기업 환경에서 널리 사용되는 SSO 프로토콜이다.

• XML 형식을 사용하여 인증 정보를 교환한다.
• 인증(Authentication)과 인가(Authorization) 기능을 모두 제공한다.
• 인증 정보를 암호화하여 제3자에게 노출되지 않도록 보호한다.
• 주로 엔터프라이즈급 SSO 구축에 사용된다.

2. OAuth 2.0 (Open Authorization)

OAuth 2.0은 권한 위임을 위한 개방형 표준 프로토콜이다.

• 제3자 애플리케이션에게 리소스 소유자를 대신하여 자원에 접근할 수 있는 권한을 부여한다.
• 사용자의 계정 정보를 공유하지 않고도 자원에 접근할 수 있게 한다.
• JSON 기반으로 작동하며, 주로 인가(Authorization)에 중점을 둔다.
• 소셜 로그인(Google, Facebook 등을 통한 로그인)에 널리 사용된다.

3. OIDC (OpenID Connect)

OIDC는 OAuth 2.0을 확장한 인증 프로토콜이다.

• OAuth 2.0 프레임워크 위에 구축된 인증 레이어이다.
• JSON 형식의 ID 토큰을 사용하여 사용자 정보를 전달한다.
• 모바일 및 네이티브 애플리케이션에서 사용하기 적합한 구조를 갖추고 있다.
• OAuth 2.0과 함께 사용되어 인증과 인가를 모두 처리할 수 있다.

4. LDAP (Lightweight Directory Access Protocol)

LDAP은 디렉토리 서비스 접근을 위한 프로토콜이다.

• 사용자 정보를 디렉토리 구조로 저장하고 관리한다.
• X.500 표준의 DAP(Directory Access Protocol)를 경량화한 버전이다.
• 주로 조직 내부의 사용자 인증 및 디렉토리 서비스에 활용된다.
• 이름을 기준으로 대상을 찾아 조회하거나 편집할 수 있는 기능을 제공한다.

결론

SSO는 사용자 인증을 단순화하면서도 보안을 강화하는 효과적인 솔루션이다. 다양한 프로토콜(SAML, OAuth 2.0, OIDC, LDAP)은 각각의 사용 사례와 환경에 맞는 장점을 제공한다. 기업과 서비스 제공자는 자신의 요구사항과 인프라에 가장 적합한 SSO 솔루션을 선택함으로써 사용자 경험을 개선하고 인증 관련 보안 위험을 줄일 수 있다.

현대 디지털 환경에서 사용자들은 점점 더 많은 온라인 서비스를 이용하고 있으며, 이에 따라 SSO의 중요성은 계속해서 증가하고 있다. 사용자 관점에서는 로그인 피로를 줄이고, 기업 관점에서는 보안 관리를 효율화할 수 있는 SSO 기술은 앞으로도 계속해서 발전할 것으로 예상된다. 특히 제로 트러스트 보안 모델의 확산과 함께, 더욱 강력한 인증 메커니즘을 갖춘 차세대 SSO 솔루션에 대한 수요가 증가할 것이다.

자료출처

• OWASP Authentication Cheat Sheet
• The OAuth 2.0 Authorization Framework (RFC 6749)
• OpenID Connect Core 1.0
• SAML 2.0 Technical Overview
• LDAP: Programming Directory-Enabled Applications