통합 로그인 시스템(SSO), 새 시장 찾는다 중소규모 기업 대상 신제품 개발 활발 2000년에 국내에 소개된 통합로그인시스템(SSO, Single Sign-On)은 현재는 그 관심이 잠시 주춤했으나 최근 새로운 개념을 적용한 솔루션이 등장하는 등 재도약의 움직임이 일고 있다. 한국인터넷진흥원(KISA)의 SSO 시장전망에 따르면 국내 SSO 솔루션 도입은 지속적으로 증가하고 있다. 최근에는 기관 간 상호연동 필요성에 따라 표준화를 추진하면서 SSO가 더욱 활발해지고 있다. 특히 클라우딩 컴퓨팅에 대한 관심의 폭발적 증가로 더욱 가속화될 전망이다. 정나리 기자 nrjeong@ciomediagroup.com 기술개요 1. 시장동향 2. 기술동향 3. 각 사별 서비스 특징(토마토시스템, 펜타시큐리티, 이니텍) 1. 시장동향 데이터베이스 ‘통합’에서 ‘분산’의 개념으로 SSO는 사용자가 한 번의 로그인만으로 여러 서비스에 접속할 수 있는 서비스다. 기업은 적어도 몇 개에서 수십 개의 서비스를 운영하고 있고 그에 따라 사용자는 최소 5~30여 개의 패스워드를 기억해야 하며, 일정 기간마다 변경하라는 요청까지 받고 있다. 이는 사용자 불편은 물론 관리자나 헬프데스크의 관리비용과 노력을 낭비하는 요인이다. 또 관리하지 않은 사용자 패스워드, 정보 등으로 기업은 보안 위험에 빠질 수 있다. SSO 솔루션은 이러한 문제점을 해결하고자 개발됐다. 가트너그룹에 따르면 5만명의 사용자를 가진 기업이 SSO 솔루션을 도입할 경우 연간 2만4,000시간의 관리시간 및 1만7,800시간의 헬프데스크 시간을 줄이는 효과가 있다는 연구결과가 있다. SSO는 1997년 IBM이 개발했다. 국내에는 2000년 코리아닷컴이 처음 도입했다. 이후 삼성전자와 SK 등이 도입하면서 활성화됐다. 현재는 국산 솔루션도 많이 개발됐고 공급업체도 많다. SSO는 초기에 제1금융권이나 대기업이 구축하기 시작했다. 2000년대 초에 시작된 SSO 구축 붐은 교육과 공공 부문의 도입으로 이어졌으나, 그러다 2000년 대 중반부터 시장이 침체되는 양상을 보이기 시작했다. 그러다 기업의 서비스가 많아지고, 관리*보안상의 문제가 생기면서 SSO에 대한 관심이 다시 일기 시작했다. 현재 국산 SSO 솔루션은 8개 정도를 손꼽을 수 있고, 외산은 4개 정도다. 삼성전자나 LG전자 등 대기업은 대부분 외산을 쓰고 있으나, 국산 솔루션의 시장점유율이 점차 높아져 가고 있는 추세다. SSO가 과거에는 단순히 데이터베이스를 합하는 ‘통합’의 개념이었다면, 요즘은 각각의 인증정보를 따로 관리하는 ‘분산’ 데이터베이스 개념이다. 즉 단순히 통합 로그인을 넘어 권한관리, 사용자 관리가 중요해지고 있다. 현재 국내 SSO 도입 비율은 공공(60% 이상) 및 금융(15%), 대기업(20%)이 대다수를 차지한다. 그러나 그 시장이 점차 중소 규모 기업으로 확대되고 있다. 2. 기술동향 권한관리, 계정관리 서비스와의 융합 처음 소개될 당시 SSO는 솔루션 개념이 아니라 단순히 사이트를 엮어주는 기술개발의 개념이 강했다. 당연히 기존 시스템이나 서비스가 많은 기업에게 유리했고, 그래서 중소 규모의 기업보다는 사용자가 많고 시스템이 많은 대기업이 도입을 적극 고려했다. 그러나 초기의 개념이 바뀌면서 시장 규모가 커지고 있다. 개방이라는 개념에 입각해 내부 시스템과 개방된 외부 시스템 간의 통합 로그인을 할 수 있는 기술이 개발됐기 때문이다. 중소 규모 기업에 특화된 SSO 솔루션을 개발해 전략적으로 마케팅을 펼치는 벤더도 생겨나기 시작했다. 사용자 수와 서비스 수가 많아 각각의 서비스에 대한 통합된 계정관리가 필요한 기업뿐만 아니라 계정 관리에 드는 시간과 노력이 불필요하게 많이 낭비되는 기업, 그리고 사용자에 대한 통합관리가 되지 않아 보안상 위협을 지니고 있는 기업 등 SSO의 시장이 넓어진 것이다. 또한 SSO의 개념 자체가 점차 EAM(통합인증관리, Extranet Access Management)과 IAM(통합계정관리, Identity and Access Management)을 포함하는 것으로 확대되면서 재조명을 받고 있는 것도 눈에 띄는 변화다. 단일 로그인을 하더라도 각 서비스별로 접근할 수 있는 정보의 구분이 필요하며, 웹을 통해 이뤄지는 경우에도 내부 직원이냐, 고객이냐에 따라 차별적 접근 허용이 필요하다. 즉 EAM은 SSO와 사용자 인증을 관리하고 애플리케이션이나 사용자 접근을 결정하는 솔루션이다. 그러나 이러한 차등적 접근 제어 구현을 위해 시스템 관리자가 접근 권한을 일일이 입력하는 것 역시 시스템 관리에 드는 시간과 비용의 손실이 크다. 이를 해결하기 위해 기존 EAM에 자동적 권한부여 및 관리 기능이 추가된 것이 IAM 솔루션이다. 최근의 SSO 기술은 인증된 사용자에게 시스템 정보 및 자원에 접근할 수 있는 권한은 물론 중요 접근제어 권한까지 부여하는 PMI(권한체계관리기반구조, Privilege Management Infrastructure)로 발전되는 추세다. 그러나 여기서 명확히 해야 할 것은 SSO는 단일 로그인에 대한 개념으로만 규정해야 한다는 것이다. SSO 제품의 추세가 단순 애플리케이션의 영역을 넘어 추가적 기능과 융합된 서비스화 되고 있지만, SSO 개념 자체에는 접근통제나 권한관리 영역 등을 포함하지 않아야 한다. SSO를 성공적으로 구축하려면 회사 내부적으로 SSO를 위한 업무부서(TF)를 잘 구성해야 한다. 또한 SSO에 관한 인증 정책이 수립됐다 하더라도 단위 시스템 고객사와의 협조가 잘 돼야 한다. 무엇보다 SSO는 벤더보다는 고객사의 역할이 더 중요하다는 점을 유의해야 한다. 3. 각 사별 솔루션 특징 토마토시스템 - 글로벌 통합 오픈 서비스로 새롭게 도약할 때 토마토시스템은 SSO 시장에서는 후발 주자다. 작년에 시스템을 개발했으니 늦어도 아주 늦다. 그럼에도 불구하고 기존 개념과 다른 SSO로 파이를 넓히는 중이다. 토마토시스템은 대학, 공공?광?? 기업 등의 SI를 기반으로 전문 소프트웨어 패키지를 개발하고, 컨설팅 사업을 수행해 왔다. 특히 10가지 이상의 다양한 솔루션을 바탕으로 주로 대학 시스템 구축에 특성화됐다. 개발 후에는 대규모 통신사에 이를 적용하게 되면서 조금씩 업계에서 인정을 받고 있다. 박성준 기술연구소장은 “평균 규모의 대학은 종합정보시스템, 도서관 시스템, 그룹웨어 등 약 6개 정도의 시스템을 운영하는데, 이를 통합하는데 SSO는 필수적”이라며 “토마토시스템도 대학의 SI 구축에서 처음에는 외산 제품을 사용했으나, SSO 솔루션에 대한 문의가 많이 들어와서 직접 개발하기에 이르렀다”고 말했다. 토마토시스템의 SSO는 큰 기업 위주라는 기존 개념에서 탈피해 작은 회사에도 적용할 수 있도록 ‘글로벌 통합 오픈서비스’로 개발됐다. 즉, 개방이라는 개념에 입각해 내부시스템과 개방된 외부시스템간의 통합로그인을 할 수 있는 것. 박 소장은 “작은 회사의 경우 웹메일 등 외부 서비스를 많이 사용하는데, 지금 eXSSOn는 외부서비스도 통합로그인 시스템의 영역으로 확장할 수 있다”고 강조했다. 이런 확장이 가능한 것은 오픈 스탠다드인 오아시스 표준 SALM(보안 프로토콜)을 적용했기 때문이다. 박 소장은 또 “SAML은 내부 인적정보가 네트워크에는 노출되지 않는다는 특징 때문에 보안에도 더 강점을 가진다”고 덧붙였다. 한편 토마토시스템은 11월부터 SSO에서 한발 나아가 포털 콘셉트를 적용한다. eX포털 R&D를 대학에 적용해 엔터프라이즈 포털로 가려는 것. 이와 관련 박 소장은 “SSO는 마켓쉐어가 아니다. 아직 마켓 파이도 제대로 정해지지 않은 시장이다. 즉, 현재도 계속 파이를 키워가고 있는 중이라고 보면 된다”며 SSO의 발전 가능성을 낙관했다. 펜타시큐리티 - SSO 서비스에서 권한관리 개념으로 확장 펜타시큐리티는 2000년에 국내 최초로 자체 기술을 통해 SSO솔루션인 ISign을 개발해 국민은행 등에 도입하였고, 2011년 통합 어플라이언스 타입의 신개념 SSO솔루션인 ISign Plus를 출시했다. SSO의 가장 큰 장점은 사용자 계정관리에 따른 비용절감 효과와 사용자 편의성이다. 물론 단점도 있다. SSO 서비스 구축에 따른 노력과 초기 비용이 발생한다는 점이다. 그러나 박영준 펜타시큐리티 차장은 “기업의 서비스 수가 어느 정도 이상 된다면 이러한 점은 크게 문제가 되지 않는다”고 단언했다. 박 차장은 “ISign Plus는 이러한 초기 구축에 의한 단점을 극복하고자 구축노력과 비용을 최소화시킨 어플라이언스 타입 SSO 솔루션”이라며 “별도의 장비를 구매할 필요가 없고 기업의 서비스와 간단하게 연동할 수 있다는 점”이 장점이라고 덧붙였다. SSO 도입을 기피하는 이유 가운데 하나는 보안이다. 그러나 사용자 인증으로 ID/PW는 물론 PKI, 지문인증 등의 다양한 인증방법을 사용하고 있으며, 사용자에게 보안 토큰(token)을 발급하고 국정원 검증 암호 모듈로 네트워크 구간을 암호화하기 때문에 사용자 정보를 보호하는 등 보안과 관련된 다양하고 강력한 방어벽을 확보하고 있다. 보안은 더 강력해질 수밖에 없다. SSO에서 놓치지 말아야 할 것이 EAM(권한관리)요소에 대한 요구다. 펜타시큐리티는 간단한 UI의 관리자도구를 이용, 자원(서비스/서비스그룹)별로 유저의 접근권한을 제어하여 권한 관리를 하고 있다. 박 차장은 또 SSO 도입시 ‘SSO 솔루션을 얼마나 쉽고, 빠르고, 사용하기 쉽게 구축할 수 있는가’, ‘구축 비용이나 노력이 구축 후 효과보다 크지는 않는가’, ‘SSO 솔루션 구축 후에 보안성은 어떻게 해결할 것인가’ 등의 문제를 고려해 본 후 도입할 것을 강조했다. 이니텍 - 통합 제품을 통한 고도화 전략 강신장 이니텍 부장은 “SSO 솔루션 자체 시장은 이미 끝났다”는 말로 이야기를 시작했다. 사실 SSO에 접근통제나 권한관리 개념이 포함되면서 재조명을 받고 있기는 하지만, 엄밀히 따지면 SSO 자체는 ‘통합 로그인’의 개념만을 담고 있다는 것을 전제로 하기 때문이다. 이니텍은 국내 금융권 SSO 구축 대부분을 수행한 노하우를 바탕으로 SSO 시장에서 높은 점유율을 유지하고 있다. 2001년 이니사인온(INI Sign On)을 선보인 후 2004년 EAM과 권한관리 기능을 추가한 이니세이프(INISAFE Nexess)를 선보였다. 이니사인온을 보완해 기능과 성능을 강화한 이니세이프의 특성에서 유추할 수 있듯이 SSO는 단순 애플리케이션의 통합 로그인 개념을 넘어 시스템 접근 부분까지 포함하며, 권한관리나 계정관리 기능과 융합돼 서비스되고 있다. SSO가 국내 소개된 지 10여 년이 지나면서 점차 SSO자체의 기능은 보완, 강화되면서 제품 간의 특징은 유사해지고 있는 것. 강신장 부장은 “더 이상 SSO 자체로 경쟁 제품과의 기능 비교는 안 되며, 차별화된 전략이 필요하다”면서 “이니텍은 금융권에 특성화된 다양한 구축경험을 토대로 권한관리 영역에 노하우를 가진다”고 밝혔다. 실제로 이니텍은 국내 대부분의 금융권 차세대 프로젝트를 진행하면서 다양한 SSO, EAM 구축 경험을 토대로 입지를 굳히고 있다. 뿐만 아니라, SSO에 계정관리 등을 더 붙이는 등 확장개념을 적용해 기업을 공략할 계획은 물론, 이미 포화상태인 대기업이나 금융, 공공기업에서 눈을 돌려, 중소규모 기업을 위한 서비스를 준비하고 있다. 강 부장은 “SSO와 관련해서 이니텍은 두 가지 전략을 세워놓고 있다”면서 “기존에는 SSO 설치시 필수적으로 설치해야 하는 제품이 많았는데, 이를 없애서 가격경쟁력을 강화하는 경량화 전략, 그리고 고객의 요구에 발맞춰 통합적인 제품을 개발하는 고도화 전략”이라고 말했다.