펜타시큐리티 > Insight > 늘어나는 SSO 계정 탈취 공격에 대비하는 방법

늘어나는 SSO 계정 탈취 공격에 대비하는 방법

2025-12-19 Insight
SSO(Single Sign On)_인증 보안 플랫폼 아이사인(iSIGN)

최근 몇 년 사이 침해사고 통계를 보면, 서버 취약점 공격이나 랜섬웨어만 늘어난 것이 아니라 ‘이미 유출된 계정 정보’를 재활용하는 공격이 크게 늘고 있다는 점이 반복해서 지적됩니다. 기업 및 기관에서 클라우드와 SaaS(Software as a Service, 서비스형 소프트웨어)를 적극 도입하면서 많은 시스템 로그인이 하나의 계정으로 통합되었고 그 결과 공격자 입장에서는 단 한 번 계정을 털어도 여러 서비스를 동시에 장악할 수 있는 환경이 만들어졌습니다.​ SSO 계정 탈취 공격

예전에는 메일, 그룹웨어, 개발 시스템, 재무 시스템이 각각 다른 계정과 비밀번호를 쓰는 경우가 많았습니다. 이제는 ‘회사 메일 주소+SSO(Single Sign On, 사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있게 해주는 통합 인증 시스템)’ 하나로 대부분의 업무 시스템에 접속하는 구조가 일반적입니다. 사용자 편의성은 높아졌지만, 하나의 계정만 뚫리면 조직 전체의 데이터와 업무가 연쇄적으로 무너질 수 있다는 점에서 SSO 계정은 공격자에게 매력적인 타깃이 되고 있습니다.

 

SSO(Single Sign On)란?

SSO는 마치 ‘출입증 하나로 여러 건물에 들어가는 것’과 같습니다. 회사가 사용하는 인증 서버가 하나의 출입증을 발급하고 이메일, 인사 시스템, CRM, 개발 도구 같은 각 서비스는 이 출입증을 믿고 문을 열어주는 구조입니다. 사용자는 한 번 로그인하면 다른 서비스에 들어갈 때마다 다시 비밀번호를 입력하지 않아도 되는 것이 SSO의 핵심 장점입니다.​

이때 중요한 것은 ‘누가 누구를 믿고 있느냐’입니다. 각 서비스는 ‘이 토큰(출입증)을 발급해 준 인증 서버를 신뢰한다’는 전제를 바탕으로 문을 열어 줍니다. 만약 공격자가 계정 또는 토큰을 탈취하거나 잘못된 설정을 악용해 가짜 출입증을 만들 수 있게 되면 그 뒤에 연결된 여러 서비스가 한꺼번에 무방비로 열릴 수 있습니다.

 

SSO(Single Sign On) 계정 탈취 공격_인증 보안 플랫폼 아이사인(iSIGN)

SSO 계정 탈취 공격

SSO 계정을 노리는 주요 공격 방식

SSO 계정을 노리는 공격에는 여러 가지가 있습니다. 첫 번째는 계정 정보와 인증 정보를 직접 노리는 방식입니다. 피싱 메일이나 가짜 로그인 페이지를 만들어 SSO 로그인 화면과 거의 똑같이 꾸미고 사용자가 회사 계정과 비밀번호, 심지어 일회용 인증코드까지 입력하게 만드는 전형적인 공격 패턴이 많이 활용됩니다. 이미 유출된 대량의 계정·비밀번호 목록을 자동으로 입력해 보는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 통해 여러 서비스에서 비밀번호를 재사용하는 사용자의 계정을 찾아내기도 합니다.​

두 번째는 다중 인증(MFA)을 우회하려는 시도입니다. 예를 들어 ‘MFA 피로(MFA fatigue, 다중 인증 피로)’ 공격은 사용자가 실수로 승인 버튼을 누를 때까지 푸시 알림을 계속 보내는 방식으로 피로감을 유발합니다. 사용자는 ‘버튼 한 번 누르면 조용해지겠지’라고 생각해 승인 버튼을 눌렀다가 공격자 세션을 승인해 버리는 결과를 낳습니다. 이 밖에도 SIM 스와프 등을 통해 문자 및 전화 기반 인증코드를 빼앗는 사례도 꾸준히 보고되고 있습니다.​

세 번째는 여러 서비스가 서로 로그인 정보를 공유하는 구조 자체를 노린 공격입니다. 예를 들어 잘못된 설정을 악용해 조직이 신뢰하는 것처럼 보이는 가짜 인증 시스템을 끼워 넣거나 토큰에 담기는 사용자 정보 및 권한 정보를 마음대로 조작하는 식으로 자신에게 유리한 인증 정보를 만들어내는 일이 생길 수 있습니다. 또한 사용자 그룹이나 역할 설정이 잘못되어 있으면 원래 일반 사용자여야 할 계정이 관리자만 들어가야 하는 시스템까지 접근해버리는 권한 문제로 이어질 수도 있습니다.

SSO 계정 탈취는 단순히 ‘메일함 하나 털렸다’ 수준에서 끝나지 않습니다. 메일과 협업툴이 뚫리면 내부 문서, 회의 링크, 프로젝트 정보가 유출되고 그 정보가 다시 다른 피싱 또는 사회공학 공격에 활용됩니다. 개발·운영 계정까지 연결되어 있다면 소스코드 저장소, 배포 시스템, 클라우드 콘솔로까지 침투 경로가 이어지면서 공급망 공격과 대규모 데이터 유출로 확산될 수 있습니다.​ 또한 최근 국내외 주요 침해사고를 보면 초기 침투 이후 장기간 내부에 숨어 있다가 적절한 시점에 데이터 유출이나 금전 탈취를 시도하는 사례가 반복적으로 나타납니다. 이 과정에서 공격자는 탈취한 계정과 SSO 세션을 활용해 정상 사용자로 위장하기 때문에 전통적인 네트워크 보안장비만으로는 이상 행위를 식별하기가 어렵습니다.

 

SSO 계정을 지키기 위한 보안 전략, 펜타시큐리티 인증 보안 플랫폼 아이사인(iSIGN)

SSO는 업무 생산성과 사용자 경험을 높여 주지만 하나의 계정에 책임이 집중되는 구조이기도 합니다. 그래서 계정과 인증 자체를 더 강하게 만드는 것이 중요합니다.

펜타시큐리티의 인증 보안 플랫폼 iSIGN은 국정원 검증필 암호모듈을 적용해 인증 데이터 위·변조를 방지하고, 중복 로그인 방지 기능으로 계정 도용에 따른 피해를 줄여 줍니다.​ 또한 강력한 인증 및 권한 관리, 사용자 감사 기능을 통해 내부자 위협과 개인정보보호법 요구사항을 함께 대응할 수 있도록 설계되어 있어, 기존 SSO가 취약해지기 쉬운 지점을 통합 인증·권한·감사 기능으로 보완합니다.​

또한 펜타시큐리티는 아이사인 패스워드리스(iSIGN Password-less)를 통해 OS 로그인과 SSO를 통합하여 한 번의 인증으로 모든 서비스에 접근할 수 있도록 돕습니다. iSIGN Password-less는 비밀번호를 기억하지 않아도 되는(password-less) 로그인과 PC OS 로그온·SSO를 결합한 차세대 통합 인증 플랫폼으로, 한 번의 인증만으로 모든 서비스에 안전하게 연결돼 사용자는 비밀번호 없이도 업무를 끊김 없이 이어가고 관리자는 정책과 권한을 중앙에서 통합 관리할 수 있습니다. 많은 패스워드리스 솔루션이 비밀번호를 생체인증 등 다른 수단으로만 대체하는 수준에 머무르는 반면, iSIGN Password-less는 OS 로그인과 SSO를 결합한 통합 인증 플랫폼입니다.​ PC에 한 번 로그인하면 주요 업무 시스템까지 자동으로 연결되기 때문에, 사용자는 추가 로그인 없이 업무를 시작하고 관리자는 인증 정책과 권한을 중앙에서 통합 관리할 수 있습니다. 여기에 PIN, 생체인증, 모바일 앱, PKI, OTP, QR, FIDO 표준 기반 인증 등 다양한 방식 중에서 환경에 맞는 수단을 선택할 수 있어 사용자 편의성과 보안성을 동시에 확보할 수 있습니다.

많은 조직이 ‘SSO를 도입했으니 로그인은 이제 안전하다’라고 생각하지만, 실제로는 SSO가 새로운 단일 실패 지점이 될 수 있다는 사실을 인정하는 것에서부터 다음 단계가 시작됩니다. SSO는 편리함을 제공하는 열쇠일 뿐 그 자체로 완전한 보안 대책이 아닙니다. 따라서 조직은 기존 SSO의 구조적 한계를 보완한 강화된 SSO 솔루션을 선택하는 것이 중요합니다. 펜타시큐리티의 iSIGN은 국정원 검증필 암호모듈, 중복 로그인 방지, 세밀한 권한·감사 기능을 통해 기존 SSO가 안고 있는 구조적 취약 지점을 보완합니다.​ 여기에 비밀번호 자체의 위험을 제거하는 iSIGN Password-less를 더하면, SSO의 편의성과 패스워드리스 기반의 강력한 계정 보안을 동시에 확보해 SSO 계정을 노린 공격에 가장 현실적인 대응 전략을 마련할 수 있습니다. SSO 계정 탈취 공격

 

[관련 페이지]

👉 인증 보안 플랫폼 아이사인(iSGIN)

👉 패스워드리스 솔루션 아이사인 패스워드리스(iSGIN Password-less) 

Tags: