Home > 전체기사

일상에서 많이 쓰는 싱글 사인온(SSO), ‘소셜 로그인’ 관리하기

  |  입력 : 2020-11-12 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
네이버, 카카오, 구글 계정으로 여러 서비스 통합 가입 및 로그인 가능
편리한 데다 개인정보 제공도 최소화...원 계정에 대한 보호 중요성 더 커져


[보안뉴스 이상우 기자] 싱글 사인온(Single Sign On)은 보안 분야 주요 화두 중 하나다. 단일 계정으로 다양한 기업용 클라우드 애플리케이션을 이용할 수 있어 사용자 입장에서 다양한 계정정보(ID/PW)를 외워야 하는 부담과 정보를 반복 입력해야 하는 피로를 줄일 수 있다. 기업 입장에서도 각 정보를 관리하는 DB를 하나로 통합할 수 있고, IT 팀 역시 계정 정보를 잊은 직원에게 매번 재설정한 ID/PW를 알려줘야 하는 번거로움을 줄일 수 있다. 다만, 하나의 계정으로 모든 서비스에 접근할 수 있는 만큼 최초 로그인 하는 계정에 멀티팩터 인증을 도입하는 등 철저한 보안 역시 수반돼야 한다.

[이미지=utoimage]


기업에서 관리 효율을 높이기 위해 쓰는 방식이지만, 이미 일반 사용자에게도 이러한 방식은 익숙하다. 구글, 애플, 네이버, 카카오 등 평소 쓰는 계정으로 다양한 서비스에 가입 및 로그인 하는 ‘소셜 로그인’이 이러한 SSO의 일종이다.

오늘날 우리가 사용하는 인터넷 서비스는 너무나 많다. 쇼핑만 하더라도 옥션, 지마켓, 11번가, 쿠팡, SSG, 인터파크, 티몬, 위메프, 다나와, GS샵(코리안 클릭 기준 순 방문자 수 상위 10개) 등 수많은 서비스가 있고, 제품과 할인 혜택을 비교하며 가장 합리적인 가격에 구매하기 위해 각각의 사이트에 가입한다. 당연히 각 서비스마다 회원가입을 해야 하고, ID/PW 역시 일일이 기억해야 하는 번거로움이 있다.

이러한 기업이 소셜 로그인을 도입하면 사용자 입장에서는 별도로 회원을 가입하거나 ID/PW를 외울 필요 없이 평소 사용하는 계정을 그대로 이용할 수 있어 편리하다. 기업 입장에서도 회원가입 과정에서 발생하는 이탈률을 줄일 수 있으며, 최소한의 사용자 개인정보만 받아 관리하면 되는 만큼 운영 효율을 높일 수 있다.

▲국내는 네이버와 카카오를, 해외는 구글, 애플, 페이스북 등을 소셜 로그인 계정으로 주로 사용한다[캡처=보안뉴스]


국내에서 흔히 사용하는 소셜 로그인 계정은 네이버, 카카오, 구글 등이다. 각 인터넷 서비스마다 지원하는 계정이 조금씩 다르기는 하지만, 대다수의 사용자가 앞서 언급한 4개 계정 중 최소한 2개는 가지고 있다. 안드로이드 스마트폰 사용자라면 누구나 구글 계정을 쓰고 있으며, 아이폰 사용자라도 카카오톡은 쓴다. 또한, 네이버는 4,200만 명의 회원을 갖춘 대표 인터넷 서비스인 만큼 스마트폰을 사용하는 세대라면 이미 소셜 로그인 기능을 쉽게 이용할 수 있다. 특히, 네이버와 카카오의 경우 인증서 서비스 역시 제공한다. 이에 따라 향후에는 로그인 시 인증서가 필요한 공공기관, 금융 사이트 등에서도 네이버, 카카오 계정으로 간편하게 가입하고 로그인 할 가능성도 존재한다.

소셜 로그인 기능으로 처음 이용하는 사이트에 가입할 때 사용자는 어떤 정보를 제공하는지 주의 깊게 봐야 한다. 자신이 네이버, 카카오 등에 제공한 개인정보 중 일보가 제3자에게 전송되는 만큼 불필요한 정보가 넘어가지 않는지 확인할 필요가 있다. 특히, 가입 과정에서 개인정보 제공에 대해 ‘모두 동의’를 누르는 것보다는, ‘필수’ 항목에만 동의하는 것이 좋다.

▲계정 연결 시에는 어떤 개인정보가 제3자에게 전송되는지 잘 확인하고, 필수 항목만 동의하는 것이 좋다[캡처=보안뉴스]


만약 불필요한 개인정보를 제공했다는 느낌이 들면 관리 페이지에서 정보제공 동의를 철회할 수도 있다. 네이버는 메인 페이지에서 로그인 이후 내 정보 > 보안설정 > 네이버와 연결된 서비스 관리 항목에서 전체 목록을 쉽게 확인 및 관리할 수 있다. 우측에 있는 정보 제공 상태에서 철회하기 버튼을 누르면 연결된 서비스에서는 더 이상 내 개인정보를 확인할 수 없다. 목록을 눌러 어떤 정보가 제공되고 있는지 확인한 후, 각 항목에 대해 개별적인 제공 동의 철회도 가능하다.

카카오는 다음 메인 페이지 로그인 후 자신의 프로필 사진이니 아름을 눌러 계정 관리 페이지에 접속해야 한다. 여기서 계정 이용 항목은 카카오 자체 서비스, 카카오 제휴 서비스(게임하기 등), 외부 서비스 등으로 목록이 나뉘며, 각 서비스별로 어떤 정보를 제공하는지 확인하거나 계정 연결을 끊을 수 있다. 정보 접근 권한에서는 필수 항목과 선택 항목을 나눠서 표시하며, 선택 항목은 개별적으로 정보제공 동의 철회가 가능하다. 네이버의 경우 웹 기반 서비스용 소셜 로그인이 많은 반면, 카카오는 앱 기반 서비스가 많다. 이는 카카오톡을 프로모션이나 커뮤니케이션 채널로 활용하는 경향이 많기 때문으로 보인다.

▲정보제공 동의를 철회해 불필요한 정보 활용을 막을 수 있다[캡처=보안뉴스]


구글은 해외 서비스에 간편하게 가입할 때 유용하다. 구글 계정에 연결된 서비스를 확인하기 위해서는 우선 구글 계정 관리 페이지에 접속해야 한다. 이후 보안 > 타사 엑세스 관리 항목에서 이를 관리할 수 있다. 여기서는 구글 드라이브, 구글 플레이 등 내 서비스에 접근 권한을 가진 앱을 관리할 수 있으며, 구글 계정을 통한 로그인 항목에서는 이름 그대로 구글 계정으로 로그인한 서비스를 관리할 수 있다. 각 서비스마다 제공하는 정보를 개별적으로 철회할 수는 없지만, 제공하는 정보가 제한적이며 이 정보는 해당 서비스에서 내가 ‘나’인 것을 확인하는 용도로만 사용하는 경우가 많다.

쉬운 가입과 서비스 이용은 사용자와 기업 모두에게 장점이 될 수 있지만, 이 과정에서 철저한 보안은 필수다. 계정 정보 하나만 노출돼도 이용하는 모든 서비스가 노출될 수 있기 때문이다. 따라서 소셜 로그인을 이용하는 사람은 ‘2단계 인증 설정’, ‘로그인 알림’ 기능 등을 활성화하는 것이 좋다

2단계 인증을 설정하면 ID/PW 외에도 사용자만 알 수 있는 수단으로 추가적인 인증 절차를 거치기 때문에 계정 정보가 노출돼도 안심할 수 있다. 또한, 로그인 알림 기능을 켜놓으면 내가 모르는 로그인 시도가 발생했을 때 즉시 알 수 있기 때문에 계정 보안을 강화할 수 있다.

▲계정 하나로 모든 것이 이뤄지는 만큼 해당 계정에 대한 보호 역시 중요하다[사진=보안뉴스]


또한, 어떤 개인정보를 제공하는지 꼼꼼하게 확인해야 한다. 소셜 로그인 시 네이버, 카카오 등에서 서비스 기업으로 넘어가는 정보는 동일인물임을 확인할 수 있는 ‘고유 식별자’, 이름(혹은 닉네임), 이메일 주소 등이 기본이다. 하지만 서비스 종류에 따라 나이, 성별, 생일 등 더 많은 정보를 요구하는 서비스도 있다. 이에 어떤 정보가 제3자에게 넘어가는지 확인하고, 굳이 넘길 필요 없다고 생각하는 정보는 체크 해제해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협