[컴퓨터월드] 개인이 사용하는 스마트폰, 태블릿 등 모바일 기기를 회사 업무용으로 사용하는 BYOD(Bring Your Own Device)가 확산되고 있는 가운데 페이스북, 구글 등 소셜네트워크나 웹 계정(ID) 하나로 여러 사이트와 애플리케이션을 로그인하는 ‘BYOID(Bring Your Own IDentity)’가 높은 관심을 끌고 있다.

BYOID는 기존에 사용자가 갖고 있던 소셜 및 웹 계정으로 다른 사이트에 안전하게 로그인하면 사용자 계정과 비밀번호를 일일이 기억하고 입력해야하는 번거로운 과정을 생략할 수 있다는 장점이 있다.

BYOID는 일반적인 사용자뿐만 아니라 각 기업의 임원 및 직원들도 유용하게 활용할 수 있다. 기업에 속한 임직원의 경우 자신의 스마트폰, 태블릿 등 모바일 단말기를 언제나 소지하고 업무용으로 사용하는 BYOD처럼 직장을 옮길 때 계정도 함께 가져갈 수 있는 편리함을 도모할 수 있다. 또 기업 입장에서는 BYOID를 잘 활용하면 신규 직원 충원 등 업무에 많은 시간을 아낄 수 있다.

이같이 BYOD, BYOID 트렌드로 인해 싱글 사인 온(통합 인증, Single Sign-On, SSO) 솔루션이 재조명받고 있다. 싱글 사인 온은 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용 가능하게 하는 인증 기능이다. 다른 말로 싱글 사인 온 외에 단일 계정 로그인, 단일 인증이라고도 한다.

최근 기업에서는 인증관리에 소요되는 IT 비용을 줄이고 보안강화, 관리 효율성 향상 등 업무환경 개선을 위해 강화를 위해 싱글 사인 온을 도입하고 있다. 또 사용자 입장에서는 비밀번호관리에 부담을 줄여주고, 재 인증으로 인한 서비스 중단을 없애는 등 이점을 얻을 수 있다.

싱글 사인 온 솔루션을 도입함으로써 업무환경이 기존과 어떻게 달라지고, 얻을 수 있는 이점은 무엇인지 알아본다.

한 번의 로그인으로 여러 서비스 이용

싱글 사인 온은 여러 개의 사이트에서 한 번의 로그인으로 여러 가지 다른 사이트들을 자동적으로 접속해 이용하는 방법이다. 일반적으로 서로 다른 시스템, 서로 다른 사이트에서는 각각의 사용자 정보를 관리하지만 필요에 의해서 각각의 사용자 정보를 연동해 사용해야 할 경우가 생긴다.

이때 하나의 사용자 정보를 기반으로 여러 시스템을 하나로 개발하기에는 어려움이 따르기 때문에 각각의 정보를 그대로 두고 통합인증을 사용하게 된다. 이때 각각의 시스템에 로그인할 때 통합인증 정보가 있는지 확인하고 통합인증정보가 있을 경우 타 시스템에서 자동으로 로그인이 가능하도록 처리하고, 없을 때는 로그인하면서 통합인증정보를 생성해 다른 시스템에서 참조가 가능하도록 한다.

최근 많은 기업들이 그룹화되거나 대형화가 돼 여러 사이트들을 통합 관리하는 경우 싱글 사인 온을 사용한다. 통합인증 싱글 사인 온을 사용하게 되면, 개인의 경우 사이트에 접속하기 위해 아이디와 패스워드는 물론 이름·전화번호 등 개인정보를 각 사이트마다 일일이 기록해야 하던 번거로움을 한 번의 작업으로 해소할 수 있고, 기업에서는 회원에 대한 통합관리가 가능해 마케팅을 극대화시킬 수 있다.

또 싱글 사인 온을 권한 관리시스템(EAM)과 함께 사용할 경우 보안성과 효율성을 함께 갖춘 통합인증시스템으로 활용할 수 있다. 이같은 이점으로 기업들이 그룹화됨에 따라 조직이 점점 더 커질수록 싱글 사인 온 솔루션 도입이 필요해져 도입하는 기업과 공공기관들이 점점 늘어나고 있는 상황이다.

사용자 편의성 향상과 관리비용 절감 효과

싱글 사인 온을 사용할 경우 인증 절차를 거치지 않고도 1개의 계정만으로 다양한 시스템 및 서비스에 접속할 수 있어 사용자 편의성 향상과 관리비용을 절감하는 효과가 있다.

예를 들어 게임, 쇼핑 등을 제공하는 포털사이트의 흥행으로 사용자가 폭발적으로 늘어나면 그에 따라 사용자 DB도 증가되며 관리 서버 등의 증설이 이뤄져야 한다. 하지만 다른 포털사이트와의 전략적 제휴를 맺어 어느 쪽의 사용자라도 두 포털사이트의 서비스를 모두 이용할 수 있게 한다면 기존보다 더 쉽게 관리가 이뤄져 비용 절감 효과를 얻을 수 있다.

사용자 입장에서도 각각 사이트에 따로 로그인하는 번거로움 없이 쉽게 서비스를 이용할 수 있다. 또 기업 입장에서는 시스템의 규모가 커질수록 시스템의 구조는 더욱 복잡해지고 관리하기는 더욱 힘들어 지는데 싱글 사인 온을 도입하게 되면 그 복잡한 구조를 이해하거나 문제를 해결하기 위해 많은 시간과 노력을 들이지 않아도 된다.

이렇게 싱글 사인 온은 ▲사용자 ID 및 패스워드 관리 효율 증가 ▲별도 로그인 없이 다른 시스템 이용 ▲윈도우 자격 증명과 같은 인증 지원 ▲패스워드 문의 감소 ▲사용자의 로그인·종료·재접속을 위한 재입력 감소 ▲사용자 접속정보에 대한 리포팅 기능 제공 등 관리의 투명성과 신뢰성을 높이고, 비용을 절감하며, 효율성을 높일 수 있는 효과를 얻는다.

따라서 기업 내·외부에 산재된 다양한 서비스를 사용자에게 제공하고자 하는 기업이라면 싱글 사인 온 구축을 고려할 필요가 있다. 과거에는 굳이 싱글 사인 온 솔루션을 도입하고 않고 도메인 쿠키나 로그인 정보를 다른 시스템에 직접 전달하는 방법 등으로 단일 로그인을 구축한 사례들이 많이 있었지만 현재는 개인정보 유출 방지 및 기업 내부 정보 보안이 무엇보다 중요하다고 강조되고 있어 이같은 기존의 방법들을 싱글 사인 온 시스템으로 전환해야 안전한 업무 환경을 이룰 수 있다.

또 기업 내부 여러 시스템에 인증 정보를 산재시킨 경우도 싱글 사인 온 구축이 필요하다. 정보 시스템에서 정보의 무결성은 무엇보다 중요한 과제이고, 고객 및 개인 정보는 기업 시스템에서 가장 중요하게 관리해야하는 정보 중 하나다. 이런 정보의 무결성 보장은 정보시스템에서 필수적인 요소로 싱글 사인 온 구축을 통해 보장받을 수 있다.

싱글 사인 온 종류와 인증 방식

싱글 사인 온은 크게 ‘인증대행방식’과 ‘인증정보 전달 방식’ 두 가지로 나눠진다. 인증대행방식은 사용자가 하나의 싱글 사인 온 기능을 가진 서버에 접속을 한 후 다른 로그인이 필요한 곳은 서버가 로그인 기능일 대신 해주는 기능을 한다. 여러 사이트에 대한 로그인 정보들이 사용자와 사이트와의 관계가 아닌 서버와 사이트와의 관계가 되는 것이다.

인증정보 전달 방식은 싱글 사인 온 서버에 사용자가 접속을 하면 서버는 사용자에게 인증 가능한 토큰을 주고, 사용자는 서버로부터 받은 토큰을 가지고 여러 사이트에 접속을 할 수 있게 하는 것이다. 해당 토큰이 있다면 각 사이트에 접속 할 때 자동으로 사이트에 토큰을 전달하도록 해 로그인 하도록 하는 기능이다.

또 싱글 사인 온의 인증 절차 방식은 중앙 인증 서버와 서비스 제공자간 사이트 운영 방식에 따라 3가지 인증방식을 지원한다. 운영 방식은 통합 인증 저장소의 유무에 따른 ‘기본 인증방식’, 통합 로그인 페이지 유무에 따른 ‘ID 연계 인증방식’, 개별 인증 저장소의 유무에 따른 ‘Assertion 인증 방식’ 등으로 나뉜다.

기본 인증방식은 주로 신규로 시스템을 구축하는 경우나 사용자 정보를 통합하는 경우에 이 사용된다. 따라서 통합 인증 정보 및 통합 로그인 페이지를 중앙 인증 서버에 포함되어 있다.

ID 연계 인증방식은 서비스 제공자별로 인증정보 관리 서버가 존재해 기존에 사용 중인 사용자 정보를 그대로 이용하기 위해 사용한다. 따라서 통합 인증정보 관리 서버에는 통합 인증정보는 존재하지 않는다. 다만 로그인 여부를 중앙 관리하기 위해 로그인 여부를 알 수 있는 인증 정보 Map를 가지고 있다.

Assertion 인증방식은 기존 서비스 제공자에 사용 중인 인증정보와 통합 인증정보를 같이 사용할 경우에 적합한 방식이다. Assertion 방식은 로그인 페이지를 서비스 제공자에서 가지고 있고, 서비스 제공자에서 로그인 처리 후 중앙 인증 서버로 강제 로그인 처리를 한다. 인증 정보가 공존하기 때문에 인증정보 동기화 작업도 필요하다.

구축·유지보수 비용 및 보안성 고려해야

싱글 사인 온 솔루션 구축에는 별도의 인증서버, 정책서버 등이 필요해 적지 않은 시간과 비용이 소요된다. 또 시스템의 복잡성으로 인해 구축 이후 1~2년이 지나면 재구축을 해야 하는 상황도 빈번하게 발생한다.

따라서 최근에는 SSO 인증 서버, DB 서버, 정책 서버, 관리 도구, 모니터링툴 등 싱글 사인 온 구현을 위한 모든 소프트웨어가 통합된 패키지 솔루션이 늘어나고 있는 추세다. 따라서 싱글 사인 온 솔루션 도입을 계획하고 있는 기업에서는 각 솔루션의 기능과 도입 및 유지보수 비용 등을 비교해 도입을 고려해봐야 한다.

싱글 사인 온 솔루션 도입을 위해서는 DB서버, 정책서버, 인증서버, 관리도구 등 다양한 요소가 필요하다. 이 요소들 간의 연동성과 유지관리의 편의성을 확인해야 하는데 자칫 싱글 사인 온 솔루션을 도입해 얻는 편리함 보다 유지 관리해야하는 노력이 더 많이 들 수도 있다.

또 다양한 사용자 환경에서 운영체제 및 브라우저를 제한 없이 모두 지원하는지 고려하고, ID, 패스워드를 비롯해 인증서, 생체인증 정보 등 다양한 인증수단을 제공하는지 고려해야 한다.

무엇보다 안전한 인증 체계를 갖췄는지 확인하는 게 중요하다. 싱글 사인 온은 사용자에 대한 인증 관리를 담당하는 솔루션으로 안전한 인증체계 및 사용자 인증 정보 노출 문제에 대한 보안성이 반드시 갖춰져야 한다. 최근 지속적으로 발생하는 개인정보 유출사건의 대부분은 인증 및 세션관리 취약점에 따른 안전하지 않은 인증 방식으로 구현돼있기 때문에 나타난 사고이다.

안전하지 않은 인증 방식의 경우 사용자 정보가 사용자 PC에 저장되고, PC에 저장된 사용자 정보는 외부 악의적인 공격자에게 쉽게 노출되는 취약점을 가지고 있어 안전한 인증방식을 사용하고 있는 제품인지 고려해야 한다. 이밖에도 장애가 발생할 경우 서비스 무중단 여부를 확인하고 안정적인 백업 체계를 갖췄는지 확인해봐야 한다.

싱글 사인 온 솔루션 어떤 게 있나

펜타시큐리티 ‘아이사인 플러스(ISign+)’

펜타시큐리티시스템의 싱글 사인 온 솔루션 ‘아이사인 플러스(ISign+)’는 싱글 사인 온을 위해 별도로 구축해야 했던 인증서버, DB서버, 관리도구 등을 하나의 장비에 통합한 솔루션이다. 아이사인 플러스는 어플라이언스 형태의 싱글 사인 온 솔루션으로 구축 시간을 획기적으로 단축시켜 비용을 최소화해 기업의 솔루션 도입 부담을 크게 줄였다.

아이사인 플러스는 ▲분산된 사용자 관리로 인한 업무 비효율성과 사용자 불편 해소 ▲강력한 인증과 권한 관리를 통한 침해사고 예방 및 보안성 증대 ▲PC·모바일·태블릿 등 다원화된 접속 채널 중복 로그인 방지를 통한 보안 강화 등의 장점을 갖췄다.

아이사인 플러스는 에이전트를 추가하고 자체 내장 데이터베이스(DB)에 업무별로 적용된 싱글 사인 온 에이전트 환경과 상태를 통합해 관리 및 기록한다. 따라서 관련 서버 장애가 발생해도 신속한 대응이 가능하다. 또 유지 보수가 어플라이언스에 집중되기 때문에 반영구적으로 사용 가능한 환경을 기업 고객에게 제공한다.

또 아이사인 플러스는 싱글 사인 온 구축 과정에서 발생하는 수많은 애플리케이션 간 데이터 연동을 솔루션에 탑재된 데이터연동툴(Data Sync Manager)로 간편하게 수행할 수 있다. 국제표준 SAML2.0(Security Assertion Markup Language 2.0) 지원을 강화해 모바일은 물론 구글앱스, 세일즈포스닷컴 등 오픈 스트럭처 기반 대부분의 업무 환경을 지원한다.

장비 형태로 제공되는 아이사인 플러스는 해당 기술을 클라우드 환경에서도 동일하게 구현할 수 있다. 별도의 관련 서버는 물론이고 싱글 사인 온 인터페이스 자체를 클라우드 환경에서 구현하기 때문에 기업 자원의 효용성을 극대화한다.

아울러 펜타시큐리티가 제공하는 ICS(Intelligent Customer Service)를 통해 소프트웨어 업그레이드와 패치 작업을 수행하고, 언제든지 장비 상태를 실시간으로 모니터링하며 감시할 수 있다. 이에 따라 최근 고도화하고 있는 웹 공격으로 인한 서버 부하와 서비스 장애 등의 위험을 차단할 수 있고 동시에 소프트웨어를 최적의 버전으로 유지할 수 있도록 지원한다.

이밖에도 아이사인 플러스는 자체 보안기술연구소가 개발한 안전한 보안토큰 관리 체계와 국정원 검증을 받은 암호모듈을 통한 구간 암호화를 기반으로 보안성이 한층 강화된 인증 체계를 제공한다.

토마토시스템 ‘엑스사인 온’

토마토시스템의 싱글 사인 온 솔루션 ‘엑스사인 온(eXSignOn)’은 서버 플러그인 방식으로 제공돼 장시간의 개발 기간과 비용에 대한 부담감을 줄인 솔루션이다.

엑스사인 온은 기업의 다양한 시스템 환경에 적용할 수 있도록 인터넷이 분산돼있는 여러 기업의 서비스에 접근하고자 하는 사용자를 식별하고 시스템 간 높은 보안수준의 정보교환 서비스를 제공해 사용자는 한 번의 로그인만으로 다양한 서비스를 편리하게 이용하고, 기업은 다양한 자원 및 시스템에 대한 접근 허용 여부를 결정해 줄 수 있는 권한관리 기능을 제공받는다.

엑스사인 온은 기존 정보를 최대한 활용해 데이터 관리의 이중성을 최소화한다. 아울러 정적인 접근 제어뿐만 아니라 속성 규칙에 의해 동적으로 사용자와 그룹을 매핑할 수 있는 유연한 권한제어 관리체계를 제공한다. 역할 기반 접근 제어(RBAC) 기능을 통해 사용자에게 주어진 역할에 따라 해당 역할이 수행해야 하는 업무를 기준으로 접근하는 시스템 및 시스템의 자원에 대한 접근을 제어한다.

또 속성 기반 접근 제어(ABAC) 기능을 제공해 부서, 성명, ID, 직책 등 사용자의 속성에 따라 접근할 수 있는 시스템 및 자원에 대한 접근 규칙을 동적으로 정의해 시스템 및 자원에 접근할 수 있는 권한을 관리할 수 있도록 지원한다.

이밖에도 엑스사인 온은 국제표준 SAML 2.0과 OAuth 2.0 기반의 표준 싱글 사인 온 솔루션으로 운영체제와 브라우저 상관없이 동일하게 사용이 가능하다. 또 인터넷 상에 포털 사이트와 싱글 사인 온 및 서비스 연동을 지원하고 내부 인트라넷 서비스도 동일한 표준을 기반으로 인증 서비스를 제공한다. 두 표준 간 연동을 통해 C/S프로그램 및 모바일 앱과 웹 기반 서비스 간의 싱글 사인 온 서비스를 제공한다.

이니텍 ‘이니세이프 소넵스’

이밖에 이니텍의 ‘이니세이프 소넵스(INISAFE SSonApps)’는 스마트폰, 태블릿 등 모바일 환경에서 앱 및 브라우저 간 단일인증을 위한 싱글 사인 온 솔루션이다.

이니세이프 소넵스는 모바일 환경에서 앱과 앱 간, 앱과 브라우저 간, 브라우저와 브라우저 간 한 번의 사용자 로그인으로 여러 서비스를 사용할 수 있다. 이 솔루션은 iOS 및 안드로이드 기반의 운영체제를와 윈도, 유닉스, 리눅스 서버 등 다양한 플랫폼도 지원해 모든 운영체제에 관계없이 사용할 수 있고, 멀티도메인 단일 인증 외에도 다양한 업무환경을 지원한다.

또 이니세이프 소넵스는 서버에서 싱글 사인 온 세션을 관리하는 방식을 채택해 모바일 디바이스에 전용 클라이언트 설치를 하지 않아도 싱글 사인 온 기능을 사용할 수 있다.아울러 이니세이프 소넵스가 설치된 기업의 서비스의 이용자들은 별도의 전용 앱 설치 없이 사용할 수 있어 편의성을 높였다.

이밖에도 ▲모듈 간 통신 구간 암호화 ▲중요 데이터의 암호화 ▲중복 로그인 조회 ▲사용자 접속 현황 조회 기능을 제공해 보안성을 높여 최근 스마트폰을 이용한 금융서비스 사용 시 증가하고 있는 해킹의 위협에도 효과적으로 대비할 수 있다.