SSO 보안방식 알아보기

SSO 방식은 Single Sign On의 약자로 싱글사인온(SSO)은 사용자가 한 번의 로그인 인증으로 인터넷 및 인트라넷 기간 응용 프로그램을 별도의 인증 없이 이용할 수 있도록 지원하는 기능입니다. SSO 사용자는 한 번의 로그인으로 사내 업무 시스템에 접속하고 계열사, 협력업체 시스템, 수많은 인터넷 포털 등을 별도의 로그인 없이 사용하므로 접속 시간 단축과 아이디 관리의 스트레스를 줄여주며 업무의 효율을 증대시켜줍니다. SSO 보안 방식은 어떠한 방식인지 구체적으로 알아보겠습니다.

SSO 보안방식 알아보기

SSO 구성

사용자가 아이디와 패스워드 또는 인증서를 이용하여 로그인을 요청하고 로그인 서버는 사용자정보 저장소와 연동하여 로그인 검증을 수행합니다. 로그인이 유효한 경우 로그인 서버는 정책 서버에 사용자의 토큰 발급을 요청하고 발급된 토큰 또는 토큰 ID는 로그인 서버를 경유하여 사용자 또는 응용서버 세션에 전달되는 방식입니다.

SSO 보안위협

1) 위장(사칭) 위협 

SSO는 단 한 번의 사용자 인증을 통하여 사용자와 서버 간의 서비스를 제공합니다. 공격자는 서버에게 정당한 사용자로 위장하여 서비스를 제공받을 수 있습니다. 또는 공격자는 사용자에게 정당한 서버로 위장하여 사용자 정보를 수집할 수 있습니다.

2) 인증정보노출 

사용자 인증 및 서버 인증을 위해 사용자 인증 및 서버 인증 시 사용되는 인증정보, 인증 토큰, 토큰 ID, 인증서, 전자서명 등 다양한 인증 정보가 전송 저장됩니다. 서버인증은 서버가 사용자에게 자신의 정당성을 증명하는 과정이며 일반적으로 인증서를 이용한 인증을 수행합니다.

3) 인증정보 재사용 

사용자 인증은 사용자가 인증서버에게 자신의 정당성을 증명하는 과정으로 사용자 인증정보를 이용한 인증과 사용자 인증 토큰을 이용한 인증으로 구분됩니다. 서버 인증은 서버 사용자에게 자신의 정당성을 증명하는 과정이며, 일반적으로 인증서를 이용한 인증을 수행하게 됩니다.

4) 키 관리 위협 

암호모듈에 탑재된 암호 알고리즘을 사용하며 다양한 키 및 핵심 보안 매개변수를 사용합니다. 안전성이 결여된 세션 키를 이용하여 암호화가 수행될 수 있으며, 이 과정에서 사용자 세션 키가 재사용될 수 있습니다. 이 외에 서버 간 통신용 세션키가 고정되어 사용될 수 있습니다. 마지막으로 서버의 개인키가 노출될 수 있습니다.

5) 세션 관리 위협 

관리자 및 사용자 프로그램에 대한 로그인 이후의 관리 기능을 의미하며 사용자는 단 한 번의 인증으로 여러 응용 서버에 접속 가능합니다. 관리자 프로그램 세션이 지속적으로 연결되면 보안 환경에 따라 인가되지 않은 제3자의 공격에 노출될 수 있습니다. 이 외에도 사용자 프로그램의 세션이 지속적으로 연결되어 있으면 보안 환경에 따라 제3자의 공격에 노출될 수 있습니다.

SSO 보안 기능 요구사항

1) 상호인증 

불특정 다수를 대상으로 하는 네트워크상에서 일어날 수 있는 위장에 대한 위협이 발생할 수 있습니다. 이를 위하여 서로 크로스 체크하여 인증하는 상호 인증이 요구됩니다. 사용자 및 인증서버간에 상호인증이나 인증서버와 응용서버 간의 상호 인증을 수행해야 합니다. 

2) 사용자 인증 

사용자가 자신이 정당하다는 것을 서버에게 증명하는 과정을 의미합니다. 이를 위하여 정당한 사용자만이 인증서버와 응용서버에게 자신의 정당성을 증명할 수 있어야 합니다.

3) 서버인증 

서버 인증은 인증서버 또는 응용서버가 사용자에게 자신의 정당성을 증명하거나 인증서버와 응용서버 간의 정당성을 증명하는 과정을 의미합니다. 안전한 사용자 인증이 수행되지 않으면 공격자는 서버로 위장할 수 있습니다. 다음과 같은 요구 사항을 만족해야 합니다. 사용자, 인증서버, 응용서버는 공개키 인증서 기반으로 인증을 하고 그 정당성을 확인하기 위하여 인증서의 유효성, 인증서 경로 및 CRL, 전자서명의 검증을 통해 인증을 수행해야 합니다. 

4) 데이터 보호 

공격자는 패킷 수집 또는 인증서버 해킹 등을 통하여 민감정보를 수집할 수 있으며 수집된 정보를 이용하여 또 다른 공격을 할 수 있습니다. 이를 위하여 통신 데이터 보호와 저장 데이터 보호를 해야 합니다. 이밖에도 검증필 암호모듈 탑재, 올바른 알고리즘 운영, 안전한 키 관리, 안전한 세션 관리, 보안감사 등을 SSO 보안에 대한 요구 사항으로 들 수 있습니다.

요약

여기까지 SSO 보안 방식에 대해 알아보았습니다. SSO 방식은 다음번에 설명드릴 HSM, DRM 보안기술 방식과 더불어 대표적으로 사용되고 있습니다. 애플리케이션 보안으로 취약점 및 버그 방지 방법으로 SSO 보안 방식은 많이 이용되고 있는 만큼 해당 내용을 잘 숙지하시기를 바라겠습니다.