여러분은 아침에 출근하시면 사내 자원 및 네트워크에 접근하기 위해 몇 번의 로그인을 수행하시나요?
ActiveDirectory 연동으로 Windows 로그인 한 번으로 모든 사내 자원에 접근이 가능하신 분도 계시고, 또는 밀려오는 각종 로그인 창의 파도와 매번 사투를 벌이는 분도 계실겁니다. 잦은 로그인은 단순히 불편을 초래할 뿐만 아니라 보안에도 취약합니다. 사용자 입장에서는 여러 개의 비밀번호를 관리하기 어렵고, 관리자 입장에서는 비밀번호를 안전하게 보호하기 위한 부담이 증가하고, 감사로그 또한 증가하여 보안 관리가 어려워집니다.
하지만 SSO와 LDAP 같은 인증 프로토콜을 활용하면 이러한 문제를 해결할 수 있습니다. SSO(Single-Sign-On) 프로토콜은 사용자가 한번의 로그인으로 여러 애플리케이션이나 서비스에 접근 가능하게 하고, LDAP(Lightweight Directory Access Protocol) 프로토콜은 조직의 사용자, 그룹, 장치 같은 정보를 통합 저장 및 관리하여 보안성을 높입니다.
이러한 프로토콜을 이용한 연동 시스템을 구축하기 위해서는, 여러 인증 프로토콜을 지원하는 솔루션이 필요합니다. 사용자의 단말, 서비스 제공자, 인증 제공자 모두가 동일한 프로토콜을 사용할 수 있어야 하기 때문입니다.
예를 들어 인증 제공자는 SAML Protocol을 지원하는데, 서비스 제공자가 SAML Protocol을 지원하지 않으면 해당 프로토콜을 이용한 인증은 불가능 할 것입니다.
Genian NAC와 Genian ZTNA는 다양한 인증 프로토콜을 지원하여 간편하고 안전한 인증 환경을 제공합니다.
이번 글에서는 Genian NAC와 ZTNA 제품에서 제공하고 있는 연동 프로토콜을 소개하고, 이를 활용한 간편 인증 시나리오를 안내합니다.
지니언스의 연동 프로토콜
○ Genian NAC와 ZTNA는 다양한 연동 프로토콜과 인증 방식을 제공하여 보안과 사용자 편의성, 두 마리 토끼를 모두 잡을 수 있도록 지원합니다.
○ 지니언스에서 지원하는 주요 연동 프로토콜과 그 역할에 대해 소개 해드리겠습니다.
1. SSO (Single Sign-On)
- SAML(Security Assertion Markup Language) 및 OAuth 2.0 기반의 SSO 지원
- 단 한번의 로그인으로 사내 주요 자원이나, 클라우드 서비스(M365, Google Workspace)에 접근 가능
- 활용 사례 : 사용자가 Windows 로그인 이후 추가 별도의 인증 없이 사내의 주요 자원에 접속
○ 많은 SSO 솔루션과 관련 프로토콜이 존재하지만, 지니언스는 최근 가장 주목 받는 방식인 SAML Protocol을 이용한 인증 연동을 지원하고 있습니다.
○ SAML Protocol을 사용하는 대표적인 인증 플랫폼은 Cloud 기반 IDaaS 솔루션의 Okta가 있으며, MS Azure나, Google WorkSpace(舊.G Suite) 에서도 SAML 인증 프로토콜을 지원하고 있습니다.
○ SAML 프로토콜을 지원하는 플랫폼이라면 지니언스에서 제공하는 Entity ID와 X.509 인증서 등을 이용하여 간단하게 연동 설정을 완료할 수 있습니다.
![[그림 1] SAML 인증연동 설정 메뉴](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%201%5D%20SAML%20%EC%9D%B8%EC%A6%9D%EC%97%B0%EB%8F%99%20%EC%84%A4%EC%A0%95%20%EB%A9%94%EB%89%B4.png)
[그림 1] SAML 인증연동 설정 메뉴
![[그림 2] Genians SAML 인증 옵션](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%202%5D%20Genians%20SAML%20%EC%9D%B8%EC%A6%9D%20%EC%98%B5%EC%85%98.png)
[그림 2] Genians SAML 인증 옵션
○ 다양한 인증 Flow 중에서도 대표적인 인증 시나리오를 살펴보겠습니다.
인증 Flow
- 인증되지 않은 사용자가 네트워크 접근 시 Genians 정책에 의해 차단됩니다.
- 사용자는 Genians CWP(Captive Web Portal) 페이지로 Redirection 됩니다.
- SAML 로그인 옵션으로 인증을 시도 합니다.
- 이 요청은 SAML IdP (ex : Okta) 로 전달 됩니다.
- SAML IdP는 사용자의 자격증명(ID, PW, OTP 등)이 유효한지 확인 합니다.
- 유효한 경우, SAML 응답을 Genians에 반환 합니다.
- Genians는 반환된 결과를 토대로 인증처리 후, 사용자의 네트워크 접근을 허용합니다.
![[그림 3] SAML 인증 시나리오](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%203%5D%20SAML%20%EC%9D%B8%EC%A6%9D%20%EC%8B%9C%EB%82%98%EB%A6%AC%EC%98%A4.png)
[그림 3] SAML 인증 시나리오
○ 핵심은 간단합니다. 지니언스는 비인가 사용자의 네트워크 접근을 자동으로 차단하고, 인증 페이지로 리디렉션합니다. 사용자는 SAML 로그인 버튼 클릭 한 번으로 자신의 Workspace (Google 등) 계정 정보를 연동하여 실시간 인증을 완료할 수 있습니다.
2. RADIUS (Remote Authentication Dial-In User Service)
- 네트워크 장치(스위치, AP등)와 연동하여 802.1x Protocol 기반 인증 지원
- EAP(Extensible Authentication Protocol) 방식 지원
- 활용 사례 :사내 Wi-Fi 접속 시 사용자의 Active Directory 계정으로 인증 후 네트워크 접근 허용
○ RADIUS는 대표적인 인증 프로토콜 중 하나로, 특히 무선 환경에서 널리 사용되고 있습니다. 802.1X와 같은 보안 인증 환경에서는 필수적으로 사용되는 프로토콜입니다.
○ 대표적인 RADIUS 시스템으로는 MS NPS(Network Policy Server), FreeRADIUS, Cisco ISE 등이 있습니다. 그리고 Genian NAC와 Genian ZTNA 정책 서버 또한 RADIUS 서버로 동작할 수 있습니다.
○ 별도의 RADIUS 솔루션 도입에는 수천만 원의 예산이 소요될 수 있습니다. 하지만 Genian NAC 또는 ZTNA를 도입하시면 RADIUS 서버 기능을 활용할 수 있어 비용 절감 효과를 누릴 수 있습니다.
![[그림 4] Genians Radius 설정 메뉴](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%204%5D%20Genians%20Radius%20%EC%84%A4%EC%A0%95%20%EB%A9%94%EB%89%B4.png)
[그림 4] 지니언스 Radius 설정 메뉴
![[그림 5] 802.1x 인증 Flow (CLOUDRADIUS)](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%205%5D%20802.1x%20%EC%9D%B8%EC%A6%9D%20Flow%20(CLOUDRADIUS).png)
[그림 5] 802.1x 인증 Flow (CLOUDRADIUS)
○RADIUS를 이용한 인증 Flow도 살펴보겠습니다.
※ 환경 조건
- 사내 Wi-FI를 이용하여 네트워크 접속
- Genians 정책서버를 Radius 서버로 활용
- 계정 정보는 ActiveDirectory, IdP(Okta, Google Workspace) 를 활용
인증 Flow
-
사용자가 Wi-Fi 네트워크를 선택하고 ID/PW 또는 인증서를 입력합니다.
-
Wi-Fi AP는 사용자의 자격증명(ID/PW)을 포함한 RADIUS 요청을 RADIUS서버(Genians)로 전송 합니다.
-
Genians 서버는 받은 정보를 AD서버로 전달하여 유효성을 확인합니다.
-
AD서버는 자격 증명이 유효하다면, 인증 결과를 반환 합니다.
-
Genians 정책 서버는 인증 결과를 AP로 다시 전달 합니다.
-
AP는 사용자의 네트워크 접근을 허용 합니다.
-
최종적으로 사용자는 네트워크에 정상적으로 접근할 수 있습니다.
![[그림 6] Radius 인증 Flow](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%206%5D%20Radius%20%EC%9D%B8%EC%A6%9D%20Flow.png)
[그림 6] RADIUS 인증 Flow
3. Webhook
- 특정 이벤트 발생 시, 사전 등록된 URL로 인증 요청 데이터를 자동으로 전달하는 이벤트 기반 인증 방식
- 외부 인증 시스템이나, 클라우드 서비스와 연동해 실시간 인증 처리를 지원
- 활용 사례 : RestAPI 기반으로 타 시스템과 인증 연동, MFA, IDaaS(Indentity as a Service)
앞서 NAC 주요 알림을 Slack으로 받는 Webhook 로그 전송 방식을 소개해 드린 바 있습니다. 이는 특정 이벤트 발생 시 지정된 URL(Slack)로 로그를 전송하는 방식이었습니다. 동일한 원리로 인증에도 활용할 수 있습니다.
![[그림 7] Webhook를 이용한 감사로그 Slack 연동](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%207%5D%20Webhook%EB%A5%BC%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%EA%B0%90%EC%82%AC%EB%A1%9C%EA%B7%B8%20Slack%20%EC%97%B0%EB%8F%99.png)
[그림 7] Webhook를 이용한 감사로그 Slack 연동
○ Webhook은 사용자가 로그인을 시도할 때, 사전 등록된 URL로 특정 형식의 호출을 통해 지정된 응답값을 기반으로 인증을 처리하는 방식입니다. 이러한 방식은 RestAPI 형식으로 다른 솔루션이나 웹 포털과 쉽게 연동할 수 있기 때문에 널리 활용되고 있습니다.
![[그림 8] Webhook를 이용한 감사로그 Slack 연동](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%208%5D%20Webhook%EB%A5%BC%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%EA%B0%90%EC%82%AC%EB%A1%9C%EA%B7%B8%20Slack%20%EC%97%B0%EB%8F%99.png)
[그림 8] Webhook를 이용한 감사로그 Slack 연동
이 외에도 지니언스 제품은 수많은 표준 프로토콜을 이용한 인증연동을 지원하고 있습니다.
Genian Docs에서 설정 방법을 안내해드리고 있습니다.
※ Protocol 별 상세 설정 방법
4. 맺음말
기술 발전과 더불어 디지털 환경에서 사용자들은 점점 더 많은 서비스와 애플리케이션을 이용하게 되었고, 이를 관리해야 하는 IT/보안 관리자들의 부담 또한 증가하고 있습니다. 이러한 문제를 해결하는 데에는 SSO(Single Sign-On)와 보안이 강화된 인증 프로토콜이 핵심적인 역할을 수행합니다.
오늘날 조직의 성공은 안전한 보안과 사용자 편의성 사이에 효과적인 균형을 이루는 데에 달려 있다고 해도 과언이 아닙니다. 인증 프로토콜은 단순한 인증 기술을 넘어 현대 디지털 보안 전략의 핵심 요소로 자리매김했습니다.
지니언스는 사용자 편의성과 보안성 강화를 동시에 실현할 수 있는 방법을 끊임없이 고민하고 연구해 왔습니다. 이미 다양한 인증 프로토콜을 지원하고 있으며, 앞으로도 새로운 보안 기술에 대한 연구 개발을 지속하고, 사용자 환경에 최적화된 솔루션을 제공할 것입니다.
지니언스와 함께 보안과 편리성을 모두 갖춘 효과적인 인증 체계를 경험해보시기 바랍니다. 지니언스는 고객의 성공을 위해 언제나 앞서 나가겠습니다. 감사합니다.
글쓴이. 이은성
지니언스 기술지원센터 Global TA팀에서 Global 고객 및 파트너 기술지원을 담당하고 있습니다.
