ActYourValue 님의 블로그

강력한 SSO, 하지만 위험도 크다?SSO(Single Sign-On)는 정말 편리한 기술입니다. 하지만 이 편리함은 보안이 제대로 설정되지 않으면 오히려 **전사적 보안의 단일 실패 지점(Single Point of Failure)**이 되기도 합니다."한 번 뚫리면, 다 뚫린다." 특히 SAML 기반의 SSO는 XML 서명과 리디렉션 흐름을 기반으로 하기 때문에, 아는 사람에겐 익숙하지만, 모르는 사람에겐 취약한 구조가 되기 쉽습니다.1. SAML Assertion 위조 공격공격 시나리오:공격자가 SP로 전달되는 **SAML Assertion(XML)**을 위조해 자신이 인증된 사용자처럼 속이는 시도.admin@example.com로 바꾸는 식.XML 구조는 유지하지만, 서명을 일부만 감싸도록 조작할..

연결을 시작합니다: IP를 알았으니 인사부터앞서 2편에서, 브라우저가 login.company.com의 IP 주소를 DNS를 통해 찾는 과정을 따라가 봤습니다. 이제 우리는 주소를 얻었으니, 다음은 "이 주소에 말을 걸어보는 일"입니다. 이게 바로 서버와의 연결입니다. 하지만 인터넷 세상에선 아무나 대뜸 말을 걸 수 없습니다. 정중하게, 규칙에 따라 “통신해도 되나요?”라는 악수 절차를 밟아야 하죠. 이 과정은 크게 두 가지 단계로 나뉩니다:TCP 3-way 핸드셰이크HTTPS 연결 (TLS Handshake)TCP 3-Way Handshake – “만나도 될까요?”비유: 통화를 시작하는 전화기이 과정을 전화 통화로 비유해보면 이렇게 됩니다:내가 친구에게 전화 건다 (SYN)친구가 “여보세요? 누구세요?..

로그인 여정의 시작: 도메인부터 찾아야 한다지난 글에서 우리는 SSO(Single Sign-On)의 전체적인 흐름을 간단히 살펴봤습니다. 이번 글부터는 그 여정 하나하나를 따라가 볼 텐데요, 첫 번째 주제는 바로 **"주소 찾기"**입니다. 생각해보세요. 여러분이 회사 웹메일 사이트에서 로그인 버튼을 누르자 브라우저에 SSO 로그인 창이 떴습니다. 그런데 이 로그인 창이 뜨려면 먼저 **“어디에 접속할지”**를 알아야 합니다. 사람은 login.company.com처럼 주소를 기억하지만, 컴퓨터는 숫자(IP 주소)로만 통신합니다. 이 주소를 숫자로 바꾸는 게 바로 DNS의 역할입니다. 그런데, 무조건 물어보는 게 아니라 우선 "예전에 가봤던 기억"부터 떠올립니다. 즉, 캐시를 먼저 뒤지는 거죠.1단계: ..

웹에서 SSO(Single Sign-On)를 이용하면 한 번 로그인으로 여러 서비스에 접근할 수 있습니다. 예를 들어 회사 계정 하나만으로 메일, 협업 툴, 사내 시스템 등에 다시 로그인할 필요 없이 사용할 수 있습니다. 하지만 이런 편리함 뒤에는 DNS 조회, HTTPS 연결, IdP/SP 통신, SAML Assertion 같은 복잡한 과정이 숨어져 있습니다. 이번 글에서는 사용자가 SSO 로그인 창에서 ID/PW를 입력하는 순간부터 인증이 완료돼 다른 서비스까지 자동 로그인되는 전체 흐름을 살펴봅니다. DNS/캐시로 도메인을 찾고, HTTPS로 보안 연결을 설정한 후, IdP에서 인증한 뒤 SAML Assertion을 통해 SP가 로그인을 처리하는 과정을 살펴보겠습니다. 끝으로 이어질 연재 시리즈에서..