Ⅰ. SSO(Single Sign-On) 란?
사용자가 한 번의 인증만으로 여러 애플리케이션과 서비스에 연속적으로 접근할 수 있도록 하는 중앙 집중형 인증 메커니즘입니다.사용자가 최초 로그인 시 입력한 자격증명은 ID 제공자(IdP)에서 검증되며, 이후 개별 서비스 제공자(SP)는 IdP가 발급한 인증 토큰 또는 어설션을 신뢰함으로써 추가 로그인 절차 없이 사용자를 받아드립니다.
이 구조는 사용자 경험을 크게 향상시키는 동시에, 계정·권한 관리를 중앙화함으로써 운영 효율성과 보안 정책의 일관성을 확보할 수 있다는 점에서 현대 기업 환경의 표준 인증 방식으로 자리 잡았습니다.
Ⅱ. SSO(Single Sign-On) 구성 요소
ⅰ. 사용자(User): 브라우저 또는 클라이언트를 통해 서비스 접근을 시도하는 주체
ⅱ. ID 제공자(IdP): 사용자 인증을 담당하고 토큰/어설션을 발급하는 중앙 인증 서버
ⅲ. 서비스 제공자(SP): 사용자가 실제로 접근하려는 애플리케이션
ⅳ. 신뢰 관계(Trust Relationship): IdP와 SP 간에 사전에 공유된 메타데이터, 인증서, 암호화 키
이들 간의 신뢰 관계가 성립되지 않으면 SSO는 동작할 수 없으며, SSO 보안의 출발점 또한 이 신뢰 설정에 있습니다
Ⅲ. SSO(Single Sign-On) 동작 원리와 인증 흐름
ⅰ. 최초 애플리케이션 로그인
사용자가 보호된 애플리케이션(App A)에 접근하면, 해당 서비스는 자체 인증을 수행하지 않고 사용자를 IdP의 로그인 페이지로 리다이렉트합니다. 사용자가 자격증명을 입력하면 IdP는 이를 검증하고 SSO 세션을 생성한 뒤, 인증 토큰을 포함하여 다시 App A로 전달한다. App A는 토큰을 검증하고 로컬 세션을 생성함으로써 접근을 허용합니다.
ⅱ. 두 번째 애플리케이션 접근
이후 사용자가 App B에 접근할 경우에도 동일하게 IdP로 리다이렉트되지만, IdP는 이미 존재하는 SSO 세션 쿠키를 확인하여 추가 로그인 없이 새로운 인증 토큰을 발급합니다. 결과적으로 사용자는 재인증 없이 App B에 접근하게 됩니다.
ⅲ. 싱글 로그아웃(SLO)
사용자가 하나의 애플리케이션에서 로그아웃을 요청하면, 해당 요청은 IdP로 전달됩니다. IdP는 SSO 세션을 무효화하고, 연결된 모든 SP에 세션 종료를 통보함으로써 전체 서비스에서 로그아웃이 이루어지도록 합니다
Ⅳ. SSO(Single Sign-On) 프로토콜
ⅰ. OpenID Connect(OIDC)
OAuth 2.0 위에 인증 계층을 추가한 최신 표준으로, 현재 웹과 클라우드 환경에서 가장 권장되는 SSO 프로토콜입니다. JWT 형식의 ID Token을 사용하며, 서명 검증과 클레임 검증을 통해 사용자 신원을 확인합니다
ⅱ. SAML 2.0
XML 기반의 엔터프라이즈 표준으로, 대규모 기업 환경에서 여전히 널리 사용됩니다. 강력한 보안성을 제공하지만 구조가 복잡하고 구현 난이도가 높은 편입니다.
ⅲ. OAuth 2.0
본질적으로 인증이 아닌 인가(Authorization)를 위한 프로토콜입니다. 단독으로는 SSO 목적에 적합하지 않으며, OIDC와 결합될 때 인증 수단으로 활용됩니다.
Ⅴ. SSO(Single Sign-On) 보안 동향 및 위협
ⅰ. 단일 실패점(Single Point of Failure)
인증을 중앙화하는 구조인 만큼, IdP가 침해될 경우 연결된 모든 애플리케이션이 동시에 위험에 노출됩니다. 실제로 대규모 IdP 침해 사고는 조직 전체의 시스템 접근을 공격자에게 허용하는 결과로 이어질 수 있습니다
ⅱ. 토큰 기반 공격의 증가
최근에는 SAML Assertion 변조, JWT 재사용(Replay Attack), 알고리즘 혼동 공격(CVE-2024-54150) 등 토큰 검증 미흡을 노린 공격이 빈번히 보고되고 있습니다. 이는 프로토콜 자체보다는 구현 오류에서 비롯되는 경우가 많습니다.
ⅲ. MFA Fatigue 및 AI 기반 공격
MFA가 결합된 SSO 환경에서도 푸시 알림을 반복 전송하여 사용자의 승인 실수를 유도하는 MFA Fatigue 공격이 실제 침해로 이어지고 있습니다. 더 나아가, 음성·영상 딥페이크를 활용한 인증 우회 시도가 증가하고 있으며, 이는 2024~2025년 SSO 보안의 핵심 위협으로 지목됩니다
Ⅵ. SSO(Single Sign-On) 보안 모범 사례
ⅰ. 토큰 서명·만료·발급자·대상 클라이언트에 대한 엄격한 검증
ⅱ. MFA 필수 적용 및 적응형 인증 정책 도입
ⅲ. 세션 생명주기 관리 및 강제 세션 종료 기능 확보
ⅳ. 인증·권한 변경·이상 접근에 대한 실시간 모니터링
ⅴ. IdP 및 관리자 계정에 대한 최소 권한 원칙 적용
이러한 통제 없이는 SSO의 편의성이 오히려 공격 표면 확대로 이어질 수 있습니다
'어플리케이션' 카테고리의 다른 글
| 불법 기지국(Fake Base Station, FBS) 에 대해 알아보겠습니다. (0) | 2025.12.23 |
|---|---|
| 피싱(Phishing)과 파밍(Pharming) 에 대해 알아보겠습니다. (1) | 2025.12.22 |
| JWT(JSON Web Token) 에 대해 알아보겠습니다. (0) | 2025.12.16 |
| Filebeat 에 대해 알아보겠습니다. (0) | 2025.10.28 |
| Apache 에서 사용되는 Virtual Host(가상 호스트) 에 대해 알아보겠습니다. (0) | 2025.10.22 |