SSO란? | 싱글 사인온의 작동 방식

SSO(Single Sign-On)는 보안과 편의성을 높이기 위해 모든 사용자 애플리케이션 로그인을 하나의 로그인으로 줄이는 중요한 클라우드 보안 기술입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • SSO(Single Sign-On)의 정의와 작동 방식 알아보기
  • SSO 사용의 이점 및 보안 이점 이해하기
  • SSO 인증 토큰의 작동 방식 살펴보기

글 링크 복사

싱글 사인온(SSO)이란?

SSO(Single Sign-On)는 여러 애플리케이션 로그인 화면을 하나로 결합하는 기술입니다. SSO를 사용하면 사용자는 모든 SaaS 애플리케이션에 액세스하기 위해 단일 페이지에 로그인 자격 증명(사용자 이름, 비밀번호 등)을 한 번만 입력하면 됩니다.

SSO는 내부 IT 팀에서 사용자 애플리케이션을 할당하고 관리하는 비즈니스 컨텍스트에서 자주 사용됩니다. SaaS 애플리케이션을 사용하는 원격 작업자도 SSO를 사용하면 이점이 있습니다.

이미 바에 입장한 고객이 추가로 술을 구매하려고 할 때마다 나이를 증명하기 위해 신분증을 제시해야 한다고 상상해 보세요. 일부 고객은 계속되는 확인에 빠르게 불만을 표시하고 자신의 음료를 몰래 가져와 이러한 조치를 우회하려고 할 수도 있습니다.

그러나 대부분의 식당에서는 고객의 신원을 한 번만 확인한 다음 저녁 시간 내내 고객에게 술을 제공합니다. 이는 SSO 시스템과 다소 비슷합니다. 사용자는 ID를 계속해서 확인받는 대신 ID를 한 번 확인받은 다음 여러 서비스에 액세스할 수 있습니다.

SSO는 많은 ID 및 액세스 관리(IAM) 또는 액세스 제어 솔루션의 중요한 측면입니다.사용자 ID 확인은 각 사용자가 가져야 하는 권한을 아는 데 중요합니다.Cloudflare Zero Trust는 사용자 ID 관리를 위해 SSO 솔루션과 통합되는 액세스 제어 솔루션의 한 예입니다.

SSO의 장점은?

SSO는 사용자에게 훨씬 간단하고 편리할 뿐만 아니라 더 안전한 것으로 널리 간주됩니다. 이것은 직관과는 다른 것처럼 보일 수 있습니다. 여러 비밀번호를 사용하여 여러 번 로그인하는 대신 하나의 비밀번호로 한 번 로그인하는 것이 어떻게 더 안전할까요? SSO 지지자들은 다음과 같은 이유를 듭니다.

  1. 더 강력한 비밀번호: 사용자는 하나의 비밀번호만 사용하면 되므로, SSO를 사용하면 더 강력한 비밀번호를 만들고 기억하며 사용할 수 있습니다.*실제로도 그렇습니다. 대부분의 사용자는 SSO와 함께 더 강력한 비밀번호를 사용합니다.

    *비밀번호를 "강력한" 것으로 만드는 것은 무엇일까요? 강력한 비밀번호는 쉽게 추측할 수 없으며 무차별 대입 공격이 성공하지 못할 정도로 무작위입니다. w7:g"5h$G@는 상당히 강력한 암호이지만, password123은 그렇지 않습니다.
  2. 반복되는 비밀번호 없음: 사용자가 여러 다른 앱 및 서비스의 비밀번호를 기억해야 하는 경우 "비밀번호 피로"라는 조건이 설정될 가능성이 높습니다. 사용자는 서비스 전체에서 비밀번호를 재사용하게 됩니다.여러 서비스에서 같은 비밀번호를 사용하면 모든 서비스가 가장 취약한 비밀번호 보호를 가진 서비스만큼만 안전하기 때문에 보안 위험이 큽니다. 해당 서비스의 비밀번호 데이터베이스가 손상된 경우 공격자는 비밀번호를 사용하여 사용자의 모든 비밀번호를 해킹할 수 있습니다. 다른 서비스도 마찬가지입니다.SSO는 모든 로그인을 하나의 로그인으로 줄이므로 이 시나리오가 제거됩니다.
  3. 더 나은 비밀번호 정책 적용: 한 곳에서 비밀번호를 입력할 수 있으므로 SSO를 이용하여 IT 팀에서는 비밀번호 보안 규칙을 쉽게 적용할 수 있습니다.예를 들어, 일부 회사에서는 사용자에게 주기적으로 비밀번호를 재설정하도록 요구합니다.SSO를 사용하면 비밀번호 재설정을 더 쉽게 구현할 수 있습니다. 여러 앱과 서비스에서 지속해서 비밀번호를 재설정하는 대신 사용자는 재설정할 비밀번호가 하나뿐입니다.(정기적인 비밀번호 재설정의 가치에 의문이 제기되었지만, 일부 IT 팀에서는 여전히 이를 보안 전략의 중요한 부분으로 간주합니다.)
  4. 다단계 인증: 다단계 인증(MFA)은 사용자를 인증하기 위해 둘 이상의 신원 요소를 사용하는 것을 지칭합니다.예를 들어 사용자 이름과 비밀번호를 입력하는 것 외에도 사용자는 USB 장치를 연결하거나 스마트폰에 표시되는 코드를 입력해야 할 수 있습니다.이 물리적 개체를 소유하는 것이 사용자가 자신이 누구인지 확인시키는 두 번째 "요소"입니다.MFA는 비밀번호에만 의존하는 것보다 훨씬 안전합니다.SSO를 사용하면 실현 가능하지 않을 수 있는 3개, 4개 또는 수십 개의 앱에 대해 MFA를 활성화하지 않고도 단일 지점에서 MFA를 활성화할 수 있습니다.
  5. 비밀번호 재입력을 시행하기 위한 단일 지점: 관리자는 로그인한 장치에서 동일한 사용자가 여전히 활성 상태인지 확인하기 위해 일정 시간 후에 자격 증명 재입력을 요구할 수 있습니다.SSO의 경우, 중앙 위치가 있으므로, 그 위치에서 일부 앱에서 지원하지 않을 수 있는 여러 다른 앱에 SSO를 적용할 필요 없이 모든 내부 앱에 대해 이 재입력 요구 작업을 수행할 수 있습니다.
  6. 외부 저장소 대신 내부 자격 증명 관리: 일반적으로 사용자 비밀번호는 애플리케이션 및 서비스에 의해 관리되지 않는 방식으로 원격으로 저장되며, 이 경우 최상의 보안 사례를 따르거나 따르지 않을 수 있습니다.그러나 SSO를 사용하면 IT 팀에서 더 많이 제어할 수 있는 환경에 내부적으로 저장됩니다.
  7. 비밀번호 복구에 낭비되는 시간 감소: 위의 보안 이점 외에도 SSO를 사용하면 내부 팀에서 낭비하는 시간을 줄일 수 있습니다.IT 부서에서는 사용자가 수십 개의 앱에 대한 비밀번호를 복구하거나 재설정하는 것을 지원하는 데 더 적은 시간을 쓸 수 있으며, 사용자는 작업을 수행하기 위해 다양한 앱에 로그인하는 데 더 적은 시간을 쓸 수 있습니다.이는 비즈니스 생산성을 높일 잠재력을 지니고 있습니다.

SSO 로그인은 어떻게 작동할까요?

사용자가 SSO 서비스에 로그인할 때마다 서비스에서는 사용자가 확인되었음을 기억하는 인증 토큰을 생성합니다. 인증 토큰은 사용자에게 발급된 임시 ID 카드와 같이 사용자의 브라우저 또는 SSO 서비스의 서버에 저장된 디지털 정보입니다. 사용자가 액세스하는 모든 앱에서는 SSO 서비스를 통해 확인합니다. SSO 서비스에서 사용자의 인증 토큰을 앱에 전달하면 사용자가 허용됩니다. 그러나 사용자가 아직 로그인하지 않은 경우 SSO 서비스를 통해 로그인하라는 메시지가 표시됩니다.

SSO 서비스에서는 사용자 ID를 저장하지 않기 때문에 사용자가 누구인지 반드시 기억하지는 않습니다. 대부분의 SSO 서비스는 별도의 ID 관리 서비스와 대조하여 사용자 자격 증명을 확인해서 작동합니다.

SSO를 데이터베이스 자체를 관리하지 않고 사용자의 로그인 자격 증명이 데이터베이스의 ID와 일치하는지 여부를 확인할 수 있는 중개자라고 생각하면 됩니다. 이는 마치 사서가 책 제목에 따라 도서관 이용자 대신 책을 조회해주는 것과 같습니다. 사서는 전체 도서관 카드 카탈로그를 기억하지 못하지만, 쉽게 액세스할 수 있습니다.

SSO 인증 토큰은 어떻게 작동할까요?

인증 토큰을 외부 앱 및 서비스에 전달하는 기능은 SSO 프로세스에서 매우 중요합니다. 이러한 전달을 통해 다른 클라우드 서비스와 별도로 본인 확인이 가능하므로 SSO가 가능합니다.

소수의 사람만 입장할 수 있는 독점 이벤트를 생각해 보세요. 이벤트 장소 입구의 경비원이 게스트를 확인하고 승인했음을 나타내는 한 가지 방법으로 각 게스트의 손에 스탬프를 찍을 수 있습니다. 이벤트 담당 직원은 모든 참석자의 스탬프를 확인하여 참석이 허용되는 사람인지 확인할 수 있습니다. 그러나 모든 스탬프가 허용되는 것은 아닙니다. 이벤트 담당 직원은 입구에서 경비원이 사용하는 스탬프의 정확한 모양과 색상을 알 것입니다.

각 스탬프가 동일하게 보여야 하는 것처럼, 인증 토큰에는 정확하고 적법한지 확인하기 위한 고유한 통신 표준이 있습니다.주요 인증 토큰 표준은 SAML(Security Assertion Markup Language)이라고 합니다.웹 페이지가 HTML(Hypertext Markup Language)로 작성되는 방식과 비슷하게, 인증 토큰은 SAML로 작성됩니다.

SSO는 액세스 관리 전략에 어떻게 적합할까요?

SSO는 사용자 액세스 관리의 한 측면일 뿐입니다. SSO는 조직의 내부 시스템 내에서 사용자 행동을 추적하고 제어하기 위한 액세스 제어, 권한 제어, 활동 로그, 기타 조치와 결합되어야 합니다. 그렇지만 SSO는 액세스 관리의 중요한 요소입니다. 시스템에서 사용자가 누구인지 모르는 경우, 해당 사용자의 행동을 허용하거나 제한할 방법이 없습니다.

Cloudflare는 SSO 솔루션과 통합될까요?

Cloudflare Zero Trust는 애플리케이션 및 웹 사이트에 대한 사용자 액세스를 제어하고 보호합니다. Cloudflare Zero Trust는 대부분의 VPN을 대체할 수 있습니다.Cloudflare는 SSO 공급자와 통합되어 사용자를 식별하고 할당된 액세스 권한을 적용합니다.