싱글 사인 온(SSO), 편리하지만 한번 더 생각해보세요 - 위드네트웍스

 

 

웹 사이트 접속 시 마다 요구되는 개별 로그인 또 웹 사이트 마다 서로 다른 비밀번호 정책으로 매번 로그인할 때마다 비밀번호 찾기를 해야 한다면, “구글 계정으로 로그인하기”, “페이스북 로그인으로 계정하기”가 정말 반가울 것입니다.

이러한 기능을 싱글 사인 온( SSO, Single Sign On)이라고 합니다.

 

싱글 사인 온 (SSO, Single Sign On)
한 번의 로그인으로 여러 개의 서비스를 이용할 수 있게 해주는 시스템

 

이는 전체 계정을 생성하는데 새 암호를 설정하지 않고도 원하는 작업을 신속하게 할 수도록 합니다. 그러나 이러한 SSO 시스템은 편리하고 보안상의 이점을 제공하지만 생각하는 만큼 만병통치약은 아닙니다.

 

 

 

 

대기업들이 제공하는 SSO 시스템은 몇 가지 분명한 이점이 있습니다. 강력한 보안 기능을 구현할 수 있는 리소스를 보유한 회사가 개발 및 유지 관리를 담당하기 때문에 안전하다고 할 수 있습니다. ‘Apple 계정으로 로그인하기’는 많은 웹사이트에서 TouchID 또는 FaceID로 로그인할 수 있도록 하여 편리성 또한 제공합니다.

 

그러나 이러한 장점에도 불구하고 SSO 시스템에는 몇 가지 단점이 있습니다. SSO 시스템을 사용하는 계정에서 단 하나의 지점에서 비밀번호 또는 접근 토큰을 도난 당했다고 하더라도, SSO 시스템을 사용하는 모든 사이트가 위험에 노출되는 것입니다.

따라서 SSO 시스템을 사용하기 전, 개인 정보 보호 및 보안을 위해 SSO 시스템을 제공하는 회사를 신뢰해야 할 뿐만 아니라 이를 도입한 다른 웹 사이트가 올바르게 적용하고 있는지 또한 신뢰하는 것이 필요합니다.

 

 

이러한 위험은 가설이 아닙니다.

위에서 소개해드린 SSO 시스템에 내재된 위험은 가설이 아닙니다. 2018년 9월, 페이스북은 최소 5천만 명의 사용자들에게 영향을 끼친 대규모 데이터 침해 사실을 공개했고, 무엇보다도 페이스북 SSO를 사용하여 로그인한 다른 계정들 또한 함께 침해되었습니다.

 

 

 

2018년 한 연구는 95개의 웹 및 모바일 서비스가 소비자 SSO를 구현하는 방법에서 수많은 오류를 밝혀냈습니다. 일례로 12개 이상의 사이트에서 사용자는 암호를 다시 입력하지 않고도 계정과 연결된 전자 메일 주소를 변경할 수 있었던 것입니다. 또한 만약 실수로 도서관 컴퓨터에서 로그아웃 하지 않아 Facebook  토큰이 유출된 경우, 공격자는 계정을 제어할 수 있게 됩니다. 

 

많은 소비자 SSO 시스템은 또한 계정 복구와 관련해서 실질적인 문제를 만들어냅니다. 트위터 계정을 사용하여 사진 저장 플랫폼에 로그인했다가 몇 년이 지난 후 해당 트위터 계정을 잊어버리면 트위터나 사진 사이트에서 이와 관련한 문제 해결을 지원하는지 알 수 없기 때문에 결국 사진을 복구할 수 있는 방법이 없어질 수도 있습니다.

 

 이러한 다양한 문제를 해결하기 위해 과도한 SSO 시스템 사용을 지양하시기 바랍니다. 지금 연결되어 있는 SSO 목록에서 오랜기간 사용하지 않는 사이트인 경우 연결을 끊는 것을 추천드립니다. 또한 다요소 인증 로그인 방법을 사용하시면 해킹 위협을 크게 줄일 수 있습니다.

 

아래의 동영상을 통해 구글, 카카오톡, 네이버 계정과 연결된 사이트 목록을 체크해 안전하게 개인 정보를 관리하시기를 추천드립니다!

 

youtu.be/8FJwXtkoI2I

 

 

 

 

 

<참고 내용: "Think Twice Before Using Facebook, Google, or Apple to Sign In Everywhere", Lily Hay Newman, 2020.09>