인증 기술 : SSO, Kerberos, OAuth, OTP
보안/신기술보안기능인증 기술
읽는데 3분 소요
처음 쓰여진 날: 2025-10-09
마지막 수정일: 2025-01-11
조회수: 954
요약
SSO, Kerberos, OAuth, OTP의 핵심 개념과 차이점을 정보처리기사 실기 시험 대비용으로 정리합니다.
인증 기술 비교표
| 구분 | SSO | Kerberos | OAuth | OTP |
|---|---|---|---|---|
| 주요 목적 | 인증 (Authentication) | 인증 (Authentication) | 권한 부여 (Authorization) | 인증 (Authentication) |
| 핵심 개념 | 한 번 로그인으로 여러 서비스 이용 | 티켓 기반 상호 인증 | 비밀번호 없이 권한 위임 | 일회용 비밀번호 |
| 사용 환경 | 기업 내부, 클라우드 | 내부 네트워크 (AD 등) | 소셜 로그인, API 접근 | 금융권, 2차 인증 |
| 보안 방식 | SAML, JWT 토큰 | 대칭키 암호화, 티켓 | Access Token | 해시함수 기반 |
SSO (Single Sign-On)
SSO는 한 번의 인증으로 여러 서비스에 자동 접속할 수 있게 해주는 시스템입니다.
- 구성: 중앙 인증 서버(IdP)에서 인증 → 토큰 발급 → 다른 서비스(SP)에 추가 로그인 없이 접근
- 구현 기술: SAML, JWT, Kerberos 등
- 특징: Kerberos의 핵심 기술로도 사용됨
Kerberos
Kerberos는 티켓 기반으로 사용자와 서버를 상호 인증하는 프로토콜입니다.
| 구성 요소 | 설명 |
|---|---|
| KDC | Key Distribution Center, 키 분배 센터 (AS + TGS) |
| AS | Authentication Server, 사용자 인증 후 TGT 발급 |
| TGS | Ticket Granting Server, TGT 확인 후 서비스 티켓(ST) 발급 |
동작 흐름: 사용자 → AS(TGT 발급) → TGS(ST 발급) → 서비스 접근
- 특징: 대칭키 암호화 사용, SSO 지원, 시간 동기화 필요
OAuth
OAuth는 비밀번호 없이 접근 권한을 위임하는 개방형 표준 프로토콜입니다.
| 용어 | 설명 |
|---|---|
| Resource Owner | 사용자 (자원 소유자) |
| Client | 제3자 애플리케이션 |
| Resource Server | 자원이 저장된 서버 (예: 구글) |
| Authorization Server | Access Token 발급 서버 |
- 사용 예시: '구글 계정으로 로그인하기'
- 특징: 비밀번호 노출 없음, 권한 범위 선택적 위임 가능
OTP (One-Time Password)
OTP는 한 번만 사용 가능한 일회용 비밀번호입니다.
| 방식 | 설명 |
|---|---|
| TOTP | 시간 동기화 방식, 일정 시간(30~60초)마다 새 비밀번호 생성 |
| HOTP | 이벤트 동기화 방식, 인증 요청 횟수(카운터) 기반 |
- 기술적 특징: 단방향 해시함수 사용, 유효 시간 제한
- 장점: 탈취되어도 재사용 불가, 패턴 유추 어려움