1. 서론
- 정의:
- SSO (Single Sign-On): 1회의 사용자 인증으로 다수의 애플리케이션 및 시스템을 이용할 수 있게 하는 통합 인증 솔루션.
- EAM (Enterprise Access Management): SSO 기능에 더해, 각 시스템에 대한 구체적인 접근 권한(ACL) 정책을 중앙에서 통제하는 통합 접근 관리 솔루션.
- IAM (Identity and Access Management): 계정의 생성부터 폐기까지의 수명 주기(Life-cycle)를 관리하고, SSO와 EAM을 포괄하여 컴플라이언스 및 거버넌스를 구현하는 통합 계정 관리 체계.
- 배경: 기업 시스템의 복잡도 증가, 클라우드 및 하이브리드 환경 확산으로 인해 사용자 편의성 저하(ID/PW 과다) 및 관리의 비효율성(퇴사자 계정 미삭제 등) 문제 대두.
- 목적:
- 사용자: 편의성 향상 (One ID, One Password).
- 관리자: 운영 효율화 (자동 프로비저닝) 및 보안성 강화 (중앙 통제, 감사 추적).
2. 본론
이 세 기술은 인증(Authentication) → 인가(Authorization) → 관리/거버넌스(Administration/Governance)로 진화하는 관계를 가집니다.
2.1. SSO (Single Sign-On): 통합 인증의 시작
SSO는 "편의성"과 "인증 통합"에 초점을 맞춥니다.
-
구성 요소 및 동작 원리:
- Policy Server (인증 서버): 사용자의 신원(Credential)을 확인하고 인증 토큰을 발급.
- Agent / Gateway: 각 애플리케이션에 설치되거나 앞단에 위치하여 인증 여부를 체크.
- Token (Ticket): 인증 성공 시 발급되는 암호화된 데이터 (예: Cookie, JWT, SAML Assertion).
-
인증 모델 (Architecture):
- 인증 대행 모델 (Delegation): 에이전트가 레거시 애플리케이션의 로그인 창에 ID/PW를 자동으로 입력해주는 방식 (Enterprise SSO).
- 전파 모델 (Propagation): 최초 인증 시 생성된 토큰을 신뢰 관계가 맺어진 시스템끼리 전달하여 인증 (Web SSO).
-
표준 프로토콜:
- SAML (Security Assertion Markup Language): XML 기반, 엔터프라이즈 및 클라우드(SaaS) 간 연동 표준.
- OIDC (OpenID Connect): OAuth 2.0 기반의 JSON 포맷, 모바일 및 최신 웹 환경 표준.
- CAS (Central Authentication Service): 오픈소스 기반의 티켓 방식 인증.
2.2. EAM (Enterprise Access Management): 접근 통제 강화
EAM은 SSO의 인증 기능에 "인가(Authorization)" 즉, "누가, 언제, 어디에 접근 가능한가"를 제어하는 기능이 추가된 것입니다.
-
핵심 기능:
- 통합 인증 (SSO 포함): 기본적으로 SSO 기능을 내재함.
- 접근 제어 (Access Control): 사용자 속성(부서, 직급)에 따라 URL, 메뉴, 파일 등에 대한 접근 권한을 RBAC(Role Based Access Control) 또는 ABAC(Attribute Based)로 제어.
- 세션 관리: 사용자 세션 타임아웃, 중복 로그인 방지 등 보안 정책 강제.
-
기술적 차별점 (vs SSO):
- SSO는 "문(Door)을 열어주는 것"이라면, EAM은 "문 안에서 금고를 열 수 있는지, 서류를 볼 수 있는지"를 결정합니다.
- PDP (Policy Decision Point): 정책 결정 지점 (서버).
- PEP (Policy Enforcement Point): 정책 수행 지점 (에이전트).
2.3. IAM (Identity and Access Management): 계정 라이프사이클 및 거버넌스
IAM은 IT 자원에 대한 접근 제어를 넘어, 인사 시스템(HR)과 연동하여 비즈니스 프로세스 자동화를 실현합니다.
-
핵심 메커니즘: 프로비저닝 (Provisioning):
- 입사 (On-boarding): HR 시스템에 인사 정보 등록 시, 즉시 AD, 이메일, ERP 등의 계정을 자동 생성 및 권한 부여.
- 이동/승진: 부서 변경 시, 기존 권한 회수 및 신규 부서 권한 자동 부여.
- 퇴사 (Off-boarding): 퇴사 즉시 모든 연결 시스템의 계정 잠금 또는 삭제 (보안 사고 예방의 핵심).
-
구성 요소:
- Self-Service Portal: 사용자가 직접 패스워드 초기화(SSPR), 권한 신청 등을 수행.
- Workflow Engine: 권한 신청 시 상급자 승인 프로세스 처리.
- Audit & Compliance: 누가 언제 어떤 권한을 받았고 사용했는지 감사 리포트 생성 (ISMS-P, SOX 대응).
2.4. 기술 비교 요약 (Comparison)
| 구분 | SSO (Single Sign-On) | EAM (Enterprise Access Management) | IAM (Identity & Access Mgmt) |
|---|---|---|---|
| 핵심 가치 | 편의성 (Efficiency) | 보안성 (Security - Control) | 관리성 & 거버넌스 (Governance) |
| 주요 기능 | 통합 인증, 토큰 발행 | SSO + 권한 관리 (ACL), 자원 접근 통제 | EAM + 계정 수명주기(Life-cycle), 프로비저닝 |
| 대상 | End-User 중심 | System/Resource 중심 | Administrator/Auditor 중심 |
| 기술 요소 | Cookie, SAML, OIDC, JWT | ACL, RBAC, Policy Server | Workflow, HR 연동, Audit |
| 발전 단계 | 1단계: 로그인 통합 | 2단계: 접근 권한 통제 | 3단계: 계정 자동화 및 감사 |
2.5. 실무 적용 및 설계 시 고려사항 (Design Consideration)
- SPOF (Single Point of Failure) 방지:
- 통합 인증 서버 장애 시 전사 업무가 마비되므로, 반드시 이중화(HA) 및 DR(재해복구) 구성이 필수입니다.
- 표준 준수 여부:
- 자체 에이전트 방식은 OS/브라우저 업데이트 시 유지보수 이슈가 큽니다. SAML 2.0, OIDC, SCIM(계정 프로비저닝 표준) 등 표준 프로토콜 지원 여부를 확인해야 합니다.
- Hybrid Cloud 지원:
- On-Premise 레거시 시스템과 AWS, Office365 등 SaaS를 모두 아우를 수 있는 IDaaS (Identity as a Service) 형태 또는 하이브리드 아키텍처를 고려해야 합니다.
3. 결론
[전문가 제언]
과거에는 SSO, EAM, IAM이 순차적으로 도입되었으나, 최근에는 Zero Trust Security (아무것도 신뢰하지 않는다) 모델이 대두되면서 경계가 허물어지고 있습니다. 단순한 내부망 통합 관리를 넘어, MFA (다중 인증), UEBA (사용자 행위 기반 이상 탐지)가 결합된 CIAM (Customer IAM) 및 EIAM (Enterprise IAM)으로 고도화해야 합니다. 특히, 클라우드 네이티브 환경에서는 ID 자체가 새로운 보안 경계(Identity as a Perimeter)임을 인지하고 IAM을 보안 전략의 최상위 우선순위로 두어야 합니다.
[어린이 버전 요약]
"SSO는 놀이공원 자유이용권이고, EAM은 키가 작으면 롤러코스터를 못 타게 막는 직원이며, IAM은 자유이용권을 발급해주고 나갈 때 회수하는 매표소 시스템이에요."
