[아이티데일리] 지난 몇 년간 노플러그인(No Plug in) 정책이 추진되면서 인증 시장도 변화하고 있다. 기존 액티브X 및 클라이언트를 설치해 인증 프로그램을 실행하는 방식에서, 웹 표준을 활용해 웹 브라우저에서 인증 서비스를 바로 이용할 수 있도록 바뀌고 있는 것이다. 일반 사용자들은 이러한 변화를 크게 환영하고 있다. 별도의 프로그램을 설치하지 않아도 되며, 더욱 간편하게 인증 서비스를 이용할 수 있기 때문이다.

하지만 기업의 입장에서는 노 플러그인 정책이 마냥 달갑지만은 않다. 대 고객 서비스를 위해서는 노 플러그인 정책에 따라 웹 표준을 지원하는 인증 서비스를 구현해야 하지만, 기업 내부 시스템에서의 사용자 인증을 위해서는 여전히 클라이언트 설치 방식이 요구되고 있기 때문이다.

최근 드림시큐리티는 기업의 요구사항을 반영해 하이브리드형 인증 솔루션 ‘매직 SSO(싱글사인온, Single Sign On)’를 선보였다. 노 플러그인 정책에 맞춘 인증 서비스는 물론, 기업에서 요구하는 클라이언트 설치 방식도 지원하는 것이 가장 큰 특징이다. 이를 통해 통합 사용자 인증 관리 체계를 구축할 수 있다. 드림시큐리티는 이러한 강점을 바탕으로 고객사별 맞춤형 인증 체계를 구축한다는 전략이다. 윤준수 드림시큐리티 보안기술연구소 연구개발2부장을 만나 ‘하이브리드형 매직 SSO’ 개발 배경과 향후 전략을 들어봤다.

‘매직 SSO’로 통합 사용자 인증 및 권한 관리 체계 구축

드림시큐리티는 통합 사용자 인증 및 권한 관리 솔루션 ‘매직 SSO(Magic SSO)’를 공급하고 있다. ‘매직 SSO’는 사용자가 하나의 아이디 및 패스워드로 권한이 있는 업무 시스템에 접근할 수 있도록 지원한다. 관리자는 웹 기반의 통합 관리 도구로 사용자 권한 및 인증정책을 관리할 수 있다.

‘매직 SSO’의 기능은 ▲애플리케이션, 멀티 도메인 환경에서 SSO 지원 ▲아이디 및 비밀번호, 인증서 등 다양한 인증수단을 이용한 사용자 인증체계 제공 ▲사용자 인증요청에 대해 인증토큰(ACL)을 생성, 단일로그인 및 업무 시스템별 접근 관리 제공 ▲역할(Role) 기반 업무 시스템별 권한 관리 제공 ▲에이전트 방식의 API를 통해 다양한 운영 환경의 업무 시스템과 연계 가능 ▲웹 기반 GUI 통합 관리자 도구 제공 등이다.

‘매직 SSO’는 SSO 인증서버, SSO API, SSO 관리서버로 구성된다. SSO 인증서버는 사용자의 인증 및 권한정보를 포함한 인증토큰을 발급·관리한다. SAML(Security Assertion Markup Language) 2.0 기술 규격이 적용돼 있으며, 계정 및 권한 정보와 연계해 사용자 정보를 확인한 뒤 인증토큰을 생성한다. 인증서를 통해 로그인할 때는 인증 시스템과 연계해 인증서의 유효성도 검증한다.

SSO API는 업무시스템에 에이전트 방식으로 설치되는 사용자정보 검증 모듈이다. 연계시스템에서 인증토큰을 검증해 인증 및 접근 권한을 확인한다. 또한 인증토큰의 암·복호화를 수행해 인증정보를 보호한다.

SSO 관리서버는 웹기반 통합관리도구로, 사용자 권한 및 인증 정책을 중앙에서 관리할 수 있도록 지원한다. 사용자 및 리소스, 역할(Role), 권한 등의 정보를 관리할 수 있으며, 비밀번호 오류 허용 횟수, 비밀번호 변경 주기, 비밀번호 변경 알림, 허용 IP 대역, 로그인 최소 주기 등의 사용자 인증정책 등을 설정할 수 있다. 더불어 인증 이력 로그는 물론, 사용자 인증 현황도 조회할 수 있다.

‘매직 SSO’의 특장점은 ▲논액티브X(Non-ActiveX) 대응 ▲업무시스템과의 원활한 연계 ▲표준성 및 보안성 등을 꼽을 수 있다. 먼저 ‘매직 SSO’는 SAML 기술규격이 적용돼 클라이언트 모듈이 없다. 이를 통해 논액티브X, 노플러그인 환경에서도 인증 체계를 구현할 수 있다. 또한 인증서 서비스와 연동할 경우 ‘매직라인 포 웹(MagicLine for WEB)’과 연계해 멀티브라우저 및 OS를 지원하는 것이 특징이다.

업무시스템과의 원활한 연계도 장점이다. 웹, 클라이언트 서버, X플랫폼, 모바일 등 다양한 업무 시스템을 지원하는 SSO 에이전트를 제공해 고객사 환경에 최적화된 인증 체계를 구축할 수 있다. 또한 퓨어자바(Pure JAVA) 기반의 표준화 API를 적용해 WAS, 웹 서버의 종류 및 버전에 상관없이 구축할 수 있어, 플랫폼의 독립성을 보장한다. 더불어 인증토큰으로 업무시스템별 접근통제 기능을 제공하고, 타사 SSO 솔루션과의 연계도 가능하다.

표준성과 보안성 또한 SAML 기술 규격을 통해 강화했다. ‘매직 SSO’는 국제 표준 규격인 SAML 2.0을 준수해 멀티도메인 및 이기종간의 SSO 연계 지원, 전자정부프레임워크 웹 기반 통합 관리자 도구 제공 등이 강화다. 더불어 SAML 메시지를 활용한 인증토큰의 암·복호화 및 전자서명을 통해 데이터 기밀성과 무결성을 제공한다. 이 외에도 모든 인증정보 및 데이터를 메모리에서 휘발성으로 관리해 정보유출에 대한 위험도 줄였다. 인증토큰은 매번 새로 생성해 재사용 공격에 대응할 수 있으며, 국가정보원에서 검증받은 암호모듈을 적용해 보안성을 강화했다.

고객 요구 반영해 하이브리드형 ‘매직 SSO’ 선봬

드림시큐리티는 최근 고객의 요구사항을 반영한 하이브리드형 ‘매직 SSO’를 출시했다. 지난 몇 년간 노플러그인 정책이 시행되면서, 인증시장 역시 클라이언트를 설치하지 않고 인증 서비스를 구현할 수 있는 방향으로 발전해 왔다. 하지만 B2B 시장에서는 클라이언트 서버에서 인증 체계를 구현하기 위해 클라이언트 모듈을 요구하고 있다.

드림시큐리티는 이러한 니즈를 반영해 노플러그인의 웹과 클라이언트 모듈을 설치한 서버를 통합 관리할 수 있는 하이브리드형 ‘매직 SSO’로 업그레이드했다. 이와 관련해 윤준수 드림시큐리티 보안기술연구소 연구개발2부장은 “최근 노플러그인 정책에 따라 인증 솔루션도 웹 기반으로 제공돼 왔다. 하지만 클라이언트 서버 시스템에서의 인증 수요도 지속되고 있어, 고객 요청에 따라 웹 및 C/S 시스템에서 사용자 인증을 통합 관리할 수 있는 하이브리드형 ‘매직 SSO’를 개발했다”고 설명했다.

윤준수 부장에 따르면, 하이브리드형 ‘매직 SSO’는 웹에서의 인증을 위한 노플러그인 방식의 SSO 외에 C/S 시스템 전용 트레이(Tray) 방식 SSO를 구축해 웹과 C/S 업무프로그램의 SSO/SLO(Single Log Out)가 용이하도록 지원한다. 하이브리드형 ‘매직 SSO’의 특징은 ▲보안에 취약한 액티브X 등의 브라우저 플러그인을 사용하지 않는 노플러그인 환경 유지 ▲웹 및 C/S 업무에서 SSO/SLO 처리 ▲트레이 방식 적용으로 C/S 프로그램 SSO/SLO 용이 ▲웹 및 C/S 업무를 통합해 동일 아이디 중복 로그인 방지 ▲마우스 및 키보드를 감지하는 ‘SSO 트레이 자리비움’ 기능으로 C/S 프로그램 로그아웃 처리 등을 꼽을 수 있다.

드림시큐리티는 고객사의 요구사항을 반영한 하이브리드형 ‘매직 SSO’로 인증 시장 영향력을 강화한다는 계획이다. 특히 C/S 시스템에서의 인증 수요를 공략한다는 전략이다.

윤준수 부장에게서 하이브리드형 ‘매직 SSO’ 소개를 상세히 들어봤다.

인증보안 전문기업의 기술력 녹여낸 ‘매직 SSO’

Q. 드림시큐리티의 ‘매직 SSO’를 소개한다면.
‘매직 SSO’는 인증보안 전문기업인 드림시큐리티가 2000년대 초반부터 주력해온 솔루션 중 하나다. 공공, 금융 등 많은 레퍼런스를 보유하고 있으며, 드림시큐리티 사업 분야 매출의 20% 정도를 차지하고 있는 주력 사업 분야다. 기복없이 꾸준한 매출을 보이고 있다.

드림시큐리티는 노플러그인 트렌드에 따라 ‘매직 SSO’에 SAML 기술 표준 규격을 적용했다. 이를 통해 외산 시스템과의 연동성을 강화한 것이 특징이다. 오라클, SAS, MS 오피스 365 등 외산 시스템에는 별도의 SSO 에이전트를 설치할 수 없다. 이를 지원하기 위해서는 노플러그인 방식이 요구된다. ‘매직 SSO’는 인증토큰을 처리할 수 있도록 외산 규격 및 가이드에 맞춰 SAML이 적용된 것이 강점으로 평가되고 있다. 또한 국산 시스템과의 연동을 위해 에이전트 방식도 제공하는 등 시스템과의 연동성을 장점으로 고객사로부터 호응을 받고 있다.

하이브리드형 ‘매직 SSO’는 기존 웹 SSO 방식에, 트레이 방식의 C/S SSO를 추가해 중복 로그인 방지까지 가능하도록 시스템을 구축한 것이 특징이다.

하이브리형 이전에는 웹 로그인과 C/S 로그인이 연동되지 않아 별도로 진행해야 한다는 불편함이 있었다. 시스템 구성 측면에서는 각 C/S 시스템별로 API 연동을 해야 했기 때문에 SSO/SLO 관리의 어려움이 있었다.

드림시큐리티는 C/S 시스템용 트레이를 설치해 이러한 단점을 극복했다. SSO 트레이에서 C/S 프로그램을 모니터링하고, 로그온 상태를 동기화해 관리함으로써 편의성을 높였다. 또한 이를 통해 C/S와 웹의 로그인을 자동 연동도 가능하다.

Q. 하이브리드형 ‘매직 SSO’를 개발하게 된 배경은.
하이브리드형을 개발하게 된 이유는 고객사의 요청이 가장 컸다. 고객사에서는 C/S 환경과 웹 환경을 통합 관리할 수 있는 SSO 솔루션을 요구했다. 기존 웹 SSO 기반의 솔루션은 C/S 시스템이 많아질수록 연동이 어렵다는 단점이 있다. 드림시큐리티는 C/S 시스템과의 연동을 위한 트레이를 별도로 적용해 연계를 강화했다.

액티브X를 설치할 수 있었던 이전에는 트레이와 원할한 통신이 가능했지만, 노플러그인 환경에서는 제약이 있다. 이러한 환경에서는 기본적으로 웹과 C/S의 로그인을 연동하기 어렵다. 드림시큐리티는 이러한 단점을 극복하고자 C/S to 웹 SSO를 지원하고 중복로그인 관리가 가능하도록 업그레이드했다.

Q. ‘매직 SSO’ 관련 인력 구성은.
현재 ‘매직 SSO’ 개발 인력은 드림시큐리티 총 개발 인력의 20% 수준으로, 20여명으로 구성돼 있다. 또한 ‘매직 SSO’ 전문 영업 인력이 별도 배치돼 있어 SSO 도입이 필요한 경우에는 사전 기술 컨설팅까지 받을 수 있다.

“클라우드 전환 트렌드 맞춰 시장 공략할 것”

Q. 시장 공략을 위한 전략은.
드림시큐리티는 올해 클라우드 시장에 주목하고 있다. 국내 클라우드 시장 공략을 위해 파스-타(PaaS-TA)를 기반으로 서비스를 개발하고 있다. 이미 파스-타와 관련해 호환을 위한 R&D를 진행한 바 있다. 파스-타와 연동된 인증 서비스는 내년 초 출시 예정이다. 내년에는 파스-타 확산에 발 맞춰 시장을 공략할 계획이다.

해외 시장 공략을 위한 AWS 기반 서비스도 준비하고 있다. AWS와 연동을 위해서 ‘아마존 커넥트(Amazon Connect)’ 제품의 권한 구조를 분석해 연동 R&D를 진행하고 있다.

또한 크로스도메인 신원 관리 시스템(SCIM, System for Cross-domain Identity Management)을 개발해 클라우드에 연동할 수 있도록 지원할 계획이다. 이를 통해 외산 솔루션 및 클라우드와의 연동성을 강화할 계획이다.

Q. 향후 ‘매직 SSO’ 업그레이드 계획은.
이번 업그레이드는 ‘하이브리드’에 초점을 맞췄다. 장기적으로는 인증·인가의 방향성을 언급할 계획이다. 구체적으로 ▲SSO ▲계정 및 권한관리(IAM, Identity Access Management) ▲SCIM ▲소프트웨어 정의 경계(SDP, Software Defined Perimeter) 등 다양한 역량을 강화하고 있다. 특히 클라우드 전환 트렌드에 맞춰 클라우드 환경에서의 인증 서비스를 지향하고 있다. 이를 통해 인증 시장에서의 드림시큐리티 경쟁력을 강화한다는 전략이다.