아이덴티티 제공자 (IDP) 보안: 정의 및 중요성

아이덴티티 프로바이더(Identity Provider) 보안이란?

아이덴티티 프로바이더(IdP)는 디지털 아이덴티티를 관리하고 사용자를 인증한 후, 연합 환경 내에서 신뢰 당사자에게 암호화된 서명 어설션을 발급합니다. NIST SP 800-63C에 따르면, IdP는 가입자 아이덴티티를 검증하는 암호화 작업을 수행한 후 클라우드 애플리케이션, 온프레미스 시스템, 하이브리드 리소스에 대한 접근을 허용합니다.

IdP는 모든 애플리케이션이 신뢰하는 게이트키퍼와 같습니다. Salesforce, Microsoft 365 또는 내부 애플리케이션에 싱글 사인온으로 로그인할 때, IdP가 사용자의 아이덴티티를 보증합니다. IdP가 침해되면 IdP의 어설션을 신뢰하는 모든 것이 노출되므로 아이덴티티 보안은 조직 보호에 필수적입니다.

IdP 보안이 중요한 이유

인증 자격 증명을 노리는 피싱 공격은 2024년에 813% 급증했으며, FBI 인터넷 범죄 신고 센터에 따르면 보고된 사고가 2,856건에서 23,252건으로 증가했습니다. 이는 무작위 공격이 아니라, 자격 증명 수집을 위한 체계적인 캠페인으로 IdP를 표적으로 삼습니다. 공격자가 IdP를 침해하면 환경 내 모든 연합 애플리케이션에 신뢰받는 접근 권한을 얻게 됩니다.

IdP는 다운스트림 시스템이 추가 검증 없이 수용하는 인증 어설션을 발급합니다. NSA-CISA의 아이덴티티 연합 가이드에 따르면, 이 신뢰 관계는 연합 보안이 무너질 때 취약점이 되며, 연합 시스템의 관리자 권한 획득을 위한 알려진 위협 벡터로 작용합니다.

IdP의 실제 동작 방식

IdP는 사용자 인증 및 접근 권한 부여를 위해 함께 작동하는 세 가지 핵심 기술 계층을 통해 운영됩니다.

1. 디렉터리 서비스는 사용자 계정, 그룹 멤버십, 디바이스 등록, 접근 제어 정책 등 계층적 아이덴티티 데이터를 유지합니다. 아이덴티티 접근 관리를 이해하면 조직이 적절한 디렉터리 보안을 구현하는 데 도움이 됩니다.
2. 인증 엔진은 자격 증명을 검증하고 보안 토큰을 발급합니다. 이 엔진은 SAML 어설션, OAuth 액세스 토큰, OpenID Connect ID 토큰 등 프로토콜별 논리를 구현합니다. Entra ID와 같은 최신 IdP는 이러한 인증 엔진이 대규모로 어떻게 동작하는지 보여줍니다.
3. 계정 관리는 프로비저닝부터 해지까지의 아이덴티티 라이프사이클을 처리하며, 비밀번호 재설정, 다중 인증 등록, 자격 증명 교체 등을 포함합니다.

이러한 기술 계층은 외부 애플리케이션 및 서비스와의 통신을 위해 표준화된 프로토콜에 의존합니다.

IdP가 사용하는 프로토콜

IdP는 환경 전반에 연합 접근을 가능하게 하는 세 가지 핵심 인증 프로토콜에 의존합니다.

• SAML 2.0은 IdP와 서비스 제공자 간에 XML 기반 인증 어설션을 교환합니다. NIST NVD CVE-2025-47949는 공격자가 SAML 응답을 위조하여 임의의 사용자로 인증할 수 있는 취약점을 문서화합니다.
• OAuth 및 OpenID Connect는 자격 증명 공유 없이 위임된 접근을 허용합니다. IETF RFC 9700에 따르면, OAuth 구현은 토큰 탈취, 인증 코드 가로채기, 클라이언트 자격 증명 침해 등 특정 위협에 직면합니다.
• OpenID Connect는 OAuth 2.0 위에 아이덴티티 계층을 추가하여 사용자 아이덴티티 클레임이 포함된 ID 토큰을 제공합니다. 세션 하이재킹 공격은 인증 후 유효한 토큰을 탈취합니다. FBI는 LockBit 랜섬웨어 연계자가 Citrix NetScaler의 CVE-2023-4966을 악용해 MFA를 우회한 사례를 문서화했습니다. 피싱 저항성 MFA를 이해하는 것이 이러한 우회 기법을 방지하는 데 필수적입니다.

이러한 프로토콜을 이해하면 공격자가 아이덴티티 인프라를 주요 진입점으로 체계적으로 노리는 이유를 알 수 있습니다.

아이덴티티 프로바이더 보안의 핵심 구성 요소

아이덴티티 프로바이더 보안은 상호 연결된 방어 계층을 통해 무단 접근을 방지합니다.

• 암호화 키 관리는 IdP가 인증 어설션을 발급할 때 사용하는 서명 키와 인증서를 보호합니다. NIST SP 800-57에 따르면, 이러한 키는 하드웨어 보안 모듈(HSM)에 저장하고, 정기적으로 교체하며, 접근 로그를 남겨야 합니다. 서명 키가 침해되면 공격자는 IdP를 직접 공격하지 않고도 임의의 사용자에 대한 유효한 인증 토큰을 위조할 수 있습니다.
• 디렉터리 강화는 사용자 계정, 비밀번호, 그룹 멤버십이 포함된 기본 아이덴티티 저장소를 보호합니다. 이는 권한 계정을 일반 사용자와 분리하는 계층화된 관리자 모델 구현, 관리자 작업을 위한 특권 접근 워크스테이션 배포, DCSync 공격 지표에 대한 디렉터리 복제 트래픽 모니터링을 포함합니다.
• 프로토콜 보안 강화는 SAML 어설션, OAuth 토큰, OpenID Connect ID 토큰이 암호화 요구 사항을 충족하는지 검증합니다. 이는 서명 검증, 타임스탬프 검증, 대상 제한 확인을 의미합니다. 

이러한 구성 요소를 이해하면 아이덴티티 인프라 보호의 성공과 실패 지점을 파악할 수 있습니다.

아이덴티티 프로바이더 보안의 핵심 원칙

세 가지 기본 보안 원칙이 효과적인 IdP 보호 전략을 이끕니다.

1. 신뢰 경계 전반의 다중 방어(Defense in depth)는 단일 보안 통제가 실패할 수 있음을 인식합니다. IdP 보안에는 중첩된 여러 통제가 필요합니다. 피싱 저항성 MFA는 초기 침해를 방지하고, 행위 분석은 이상 인증 패턴을 탐지하며, 세션 통제는 자격 증명 탈취 시 피해 범위를 제한합니다. 
2. 침해 가정(Assume breach) 사고방식은 공격자가 결국 자격 증명을 탈취하거나 엔드포인트를 침해할 것임을 전제로 IdP 보안을 설계합니다. 이는 엄격한 세션 타임아웃 정책, 지속적 인증 검증, 침해 감지 시 모든 세션을 전역적으로 무효화하는 기능을 요구합니다. 초기 접근이 발생할 것을 가정하는 조직은 횡적 이동 제한과 권한 상승 시도 탐지에 집중합니다.
3. 정적 신뢰가 아닌 지속적 검증은 인증된 사용자가 세션 내내 신뢰할 수 있다고 가정하지 않고, 현재 위험 맥락에 기반한 실시간 접근 결정을 요구합니다. 

이러한 원칙은 아이덴티티 기반 공격을 차단하는 기술적 통제 구현의 틀을 제공합니다.

아이덴티티 인프라를 노리는 위협

NSA와 CISA는 온프레미스 IdP 침해를 클라우드 관리자 접근으로 전환하는 "알려진 위협 벡터"로 명시합니다. 계정 탈취 및 자격 증명 탈취 기법을 이해하면 조직이 이러한 아이덴티티 중심 공격에 대응할 수 있습니다.

공격자가 IdP를 침해하는 방법

공격자는 IdP를 침해하고 연합 시스템에 지속적으로 접근하기 위해 세 가지 주요 기법을 사용합니다.

• 연합 인프라 표적화는 온프레미스 환경에서 시작됩니다. 공격자는 로컬 IdP를 침해하고, 연합 인증서 또는 SAML 보안 키를 추출한 후, 탈취한 암호화 자료로 인증 토큰을 위조합니다. NSA-CISA 아이덴티티 연합 가이드에 따르면, 이는 클라우드 리소스의 관리자 접근으로 전환할 수 있습니다. 위조된 토큰은 클라우드 리소스가 연합 관계를 신뢰하기 때문에 경계 보안을 완전히 우회합니다.
• 자격 증명 수집은 피싱 사이트, 악성코드, 사회공학을 통해 체계적으로 자격 증명을 수집합니다. Identity Theft Resource Center는 2024년에 최소 29건의 자격 증명 스터핑 공격을 확인했으며, 공격자는 이전에 침해된 자격 증명을 사용해 무단 접근을 시도했습니다. IdP는 유효한 사용자 이름과 탈취된 비밀번호를 사용한 수천 건의 인증 시도를 목격합니다. IdP 보안과 함께 네트워크 침입 탐지 시스템을 구현하면 이러한 공격 패턴을 사전에 식별할 수 있습니다. IDPS(침입 탐지 및 방지 시스템)란 무엇입니까? 이 시스템은 모니터링과 차단 기능을 결합합니다. 침입 탐지 시스템은 의심스러운 활동을 경고하고, 침입 방지 시스템은 악성 트래픽을 적극적으로 차단합니다. IDPS의 의미를 이해하면 아이덴티티 인프라를 겨냥한 공격을 탐지하고 차단하는 계층적 방어를 구축할 수 있습니다. 중간자 공격을 이해하면 추가적인 계층 방어를 구현할 수 있습니다.
• MFA 우회를 위한 세션 하이재킹은 정상 인증이 완료된 후 발생합니다. 공격자는 MFA를 직접 우회하지 않고, 인증된 세션을 탈취합니다. FBI IC3 LockBit 3.0 랜섬웨어 권고에 따르면, 연방 법 집행기관은 세션 하이재킹을 통한 다중 인증 우회가 실제로 악용되고 있음을 문서화했습니다.

연합 아키텍처의 보안 영향

연합은 연쇄적인 신뢰 취약점을 만듭니다. 연합 신뢰 관계를 구축하면 보안 경계가 IdP의 보안 상태와 신뢰 당사자의 어설션 검증 능력까지 확장됩니다. NSA-CISA 가이드에 따르면, 알려진 위협 벡터는 온프레미스 IdP를 침해하고 관리자 접근으로 전환하는 것입니다. 조직은 아이덴티티 보안 태세를 강화하고, 포괄적인 아이덴티티 위협 탐지 기능을 구현해야 합니다.

연합 보안이 무너지는 지점

연합 아키텍처는 공격자가 체계적으로 악용하는 세 가지 주요 취약점 유형을 도입합니다.

• 하이브리드 환경은 공격 표면을 확장합니다. 동기화 에이전트, 신뢰 경계를 넘는 연합 프로토콜, 교차 출처 정책을 보호해야 합니다. CISA의 하이브리드 아이덴티티 솔루션 가이드에 따르면, 공격 표면은 온프레미스와 클라우드 환경 모두에 걸쳐 있습니다. 클라우드 보안 원칙을 적용하면 이 확장된 공격 표면을 관리할 수 있습니다.
• 프로토콜 구현 결함은 성숙한 명세에도 불구하고 지속됩니다. SAML 보안 취약점과 OAuth 공격은 여전히 흔합니다. NIST NVD CVE-2025-47949에 따르면, SAML 구현의 서명 래핑 공격은 공격자가 "SAML 응답을 위조하여 임의의 사용자로 인증"할 수 있게 합니다.
• 멀티클라우드 연합은 토큰 탈취 위험을 증폭시킵니다. 인증 흐름이 여러 클라우드 제공자를 넘나들면, 토큰이 추가적인 관리 도메인을 통과하며 가로채기, 재사용, 피싱에 노출됩니다. 공급망 침해는 연합의 연쇄 효과를 보여줍니다. ITRC는 2025년 상반기에 79건의 공급망 침해가 690개 하위 엔터티와 7,830만 명의 피해자에게 영향을 미쳤음을 문서화했습니다. 포괄적인 클라우드 워크로드 보호는 이러한 멀티클라우드 연합 위험을 해결합니다.

일반적인 IdP 보안 실수

조직은 자격 증명 탈취와 연합 공격을 가능하게 하는 동일한 IdP 보안 오류를 반복적으로 저지릅니다.

• 취약한 MFA 구현 수용은 우회 기회를 만듭니다. SMS 기반 일회용 비밀번호는 SIM 스와핑 공격으로 가로채질 수 있습니다. 인증 앱도 공격자가 코드를 실시간으로 중계하는 피싱에 취약합니다. 푸시 알림 피로는 사용자가 악의적 인증 시도를 승인하게 만듭니다. FBI IC3 LockBit 3.0 랜섬웨어 권고에 따르면, 공격자는 이러한 MFA 취약점을 적극적으로 악용해 인증 통제를 우회합니다.
• 연합 신뢰 관계 모니터링 실패는 공격자가 인증 토큰을 위조할 수 있게 합니다. 조직은 서비스 제공자와 연합 신뢰를 구축하지만, SAML 인증서가 안전한지, OAuth 클라이언트 자격 증명이 침해되지 않았는지 검증하지 않습니다. NSA-CISA 가이드는 연합 인증서가 침해되면 IdP를 직접 공격하지 않고도 임의의 사용자로 인증할 수 있음을 명확히 경고합니다.
• 세션 타임아웃 정책 미흡은 공격자 접근 기간을 연장합니다. 조직은 사용자 편의를 위해 세션 타임아웃을 며칠 또는 몇 주로 설정하여, 공격자가 탈취한 세션 토큰의 유효 기간을 늘립니다. 자격 증명 침해가 발생하면, 장기 세션은 침해를 신속히 차단할 수 없습니다.
• 기본 설정 신뢰는 알려진 취약점을 노출시킵니다. IdP는 배포 편의성을 우선시하는 관대한 설정으로 제공됩니다. 조직은 설정을 강화하거나 최소 권한 접근, 고급 로깅을 활성화하지 않고 기본값으로 배포합니다. CISA의 ScubaGear 평가에서는 자동 검증만으로도 즉시 탐지할 수 있는 불안전한 기본 설정으로 아이덴티티 인프라를 운영하는 조직이 지속적으로 발견됩니다.

이러한 구성 및 정책 실패는 공격자가 조직의 아이덴티티 인프라를 체계적으로 침해하는 연합 취약점을 만듭니다.

IdP 보안 모범 사례

NIST SP 800-63-3은 아이덴티티 보안에 필요한 위험 기반 프레임워크를 제공합니다. 세 가지 차원(아이덴티티 보증 수준(IAL), 인증기 보증 수준(AAL), 연합 보증 수준(FAL))에서 적절한 보증 수준을 선택합니다. 조건부 접근 정책과 강력한 다중 인증을 구현하면 아이덴티티 보안 프레임워크가 강화됩니다.

공격을 차단하는 인증 통제

피싱 저항성 인증과 제로 트러스트 원칙이 방어 가능한 아이덴티티 보안의 기반을 이룹니다.

FIDO2/WebAuthn을 사용해 피싱 저항성 MFA를 구현하십시오. NSA는 명확히 경고합니다 "모든 형태의 MFA가 동일한 보호 수준을 제공하지 않는다"고. FIDO2 인증은 하드웨어 인증기에 저장된 개인키와 공개키 암호화를 통해 자격 증명 피싱을 차단합니다. SMS 기반 OTP 코드는 피싱 또는 가로채기에 취약합니다. 인증 앱의 TOTP 코드도 실시간 피싱 공격에 노출됩니다. FIDO2의 암호화 챌린지-응답 프로토콜은 이러한 공격 벡터를 완전히 차단합니다. 조직은 피싱 저항성 인증 방식을 우선시해야 합니다.

아이덴티티 인프라에 제로 트러스트 원칙을 적용하십시오. NIST SP 800-207은 접근 결정이 사용자 맥락, 디바이스 상태, 환경 속성을 실시간으로 고려해야 함을 명시합니다. 제로 트러스트 아키텍처를 이해하는 것이 다중 방어 전략 구현에 필수적입니다.

세션 하이재킹에 저항하는 세션 관리

안전한 세션 관리는 암호학적으로 강력한 토큰, 엄격한 타임아웃 정책, 전역 재인증 강제 기능을 요구합니다.

세션 토큰은 최소 128비트 엔트로피의 암호학적으로 안전한 난수 생성기를 사용해 생성해야 합니다. 세션 토큰은 반드시 HTTPS로만 전송하십시오. HttpOnly 플래그를 적용해 클라이언트 측 스크립트가 세션 쿠키에 접근하지 못하게 하십시오. 이는 크로스사이트 스크립팅 공격으로 토큰이 탈취되는 것을 차단합니다. 최대 세션 지속 시간에 대한 절대 타임아웃을 구현하십시오. 자격 증명 침해가 의심될 경우, 모든 세션을 무효화하는 전역 재인증 기능이 필요합니다. 세션 하이재킹 방지 절차를 이해하면 신속한 세션 무효화를 보장할 수 있습니다.

아이덴티티 특화 탐지를 위한 로깅

포괄적인 로깅은 자격 증명 오남용 패턴 및 IdP 침해 시도를 탐지할 수 있는 충분한 맥락의 인증 이벤트를 기록합니다.

로그 관리는 모든 인증 시도와 결과, 방법, 실패 사유를 기록합니다. MFA 등록 변경, 우회 시도, 디바이스 등록 이벤트도 캡처해야 합니다. OWASP 로깅 치트시트에 따르면, 이벤트 로깅에는 언제(타임스탬프), 누가(사용자 아이덴티티, 소스 IP), 무엇(수행된 작업), 어디서(대상 리소스), 결과(성공/실패), 맥락(세션 식별자, 인증 방법)이 포함되어야 합니다. IdP 로그를 SIEM에 통합하고, 자격 증명 스터핑, 패스워드 스프레이, 불가능한 이동, 이상 접근 패턴을 탐지하는 상관 규칙을 적용하십시오. 아이덴티티 공격 탐지 방법론을 이해하면 IdP 침해 지표를 사전 탐색할 수 있습니다.

검증을 통한 구성 보안

자동화된 구성 검증은 보안 드리프트를 방지하고, 공격자가 악용하기 전에 잘못된 구성을 탐지합니다.
CISA의 Secure Cloud Business Applications 프로젝트는 테넌트 구성을 연방 보안 기준에 맞춰 자동으로 평가하는 도구를 제공합니다. 수동 구성 검토는 설정을 놓칠 수 있습니다. 자동 검증은 관리자가 보안 검토 없이 구성을 변경할 때 드리프트를 즉시 탐지합니다. 적절한 보안 구성 관리를 구현하면 아이덴티티 인프라에 접근하는 모든 디바이스에서 강력한 보호가 보장됩니다.

SentinelOne으로 아이덴티티 공격 차단

공격자가 자격 증명 탈취, 권한 상승, 횡적 이동을 통해 IdP를 노릴 때, 아이덴티티와 엔드포인트 데이터를 실시간으로 상관 분석할 수 있는 가시성이 필요합니다. Singularity Identity는 노출 탐지, 자격 증명 오남용 차단, 하이브리드 환경 전반의 아이덴티티 위험 감소를 실시간 보호로 제공합니다. 이 플랫폼은 Entra ID, SecureAuth, Okta, Ping, Duo 등 Active Directory 및 클라우드 IdP를 강화하며, 공격자가 지속성을 확보하기 전에 정찰 및 자격 증명 수집 시도를 탐지합니다.

Storyline 기술은 모든 프로세스 생성, 연결, 아이덴티티 작업을 밀리초 단위로 재구성합니다. 아이덴티티 인프라 조사 시, Storyline은 자격 증명 탈취부터 토큰 생성까지의 전체 과정을 보여주어, 보안 도구 간 수동 상관 분석을 제거하는 포렌식 맥락을 제공합니다.

Singularity Platform은 단일 에이전트와 콘솔을 통해 엔드포인트와 아이덴티티 텔레메트리를 통합하여, 공격자가 연합 인프라를 노릴 때 악용하는 가시성 격차를 제거합니다. 이 통합 접근 방식은 아이덴티티 이벤트와 엔드포인트 활동을 상관 분석하여 기존 아이덴티티 솔루션이 완전히 놓치는 정교한 공격을 탐지합니다.

Purple AI는 자연어 쿼리를 사용해 인증 텔레메트리를 분석하여 위협 조사를 가속화합니다. 보안팀은 "이상 위치에서 실패한 인증 시도 보여줘"와 같이 아이덴티티 보안을 대화형으로 쿼리할 수 있으며, 초기 도입자 기준 조사 시간을 80% 단축합니다.

Singularity Endpoint는 행위 기반 AI로 실시간 자격 증명 탈취 시도를 탐지하여, 경쟁사 대비 88% 적은 오탐 경보를 생성합니다. MITRE 평가에서 Palo Alto는 178,000건의 경보를, SentinelOne은 단 12건의 실질적 위협만을 기록했습니다.

AI SIEM은 100배 빠른 쿼리 성능으로 전체 보안 인프라의 아이덴티티 이벤트를 실시간 상관 분석합니다. 이 플랫폼은 모든 IdP의 인증 로그를 수집하고, OCSF 표준으로 정규화하며, 아이덴티티 이벤트를 엔드포인트, 네트워크, 클라우드 텔레메트리와 상관 분석하여 복잡한 공격 체인을 탐지합니다.

SentinelOne은 자율 AI로 IdP 침해 시도를 기존 SIEM 솔루션보다 67% 빠르게 탐지하며, 인증 패턴과 공격 진행 상황에 대한 완전한 포렌식 가시성을 제공합니다. SentinelOne 데모 요청을 통해 행위 기반 AI가 자격 증명 탈취, 세션 하이재킹, 연합 공격 등 기존 보안 통제를 우회하는 위협으로부터 IdP를 어떻게 보호하는지 확인하십시오.

결론

아이덴티티 프로바이더 침해는 조직이 직면한 가장 심각한 보안 위험 중 하나입니다. IdP의 암호화 어설션은 추가 검증 없이 모든 연합 애플리케이션에 신뢰 접근을 부여하므로, 궁극적인 단일 실패 지점이 됩니다. FIDO2/WebAuthn을 활용한 피싱 저항성 MFA 구현, SIEM 상관 분석이 적용된 포괄적 로깅 배포, 제로 트러스트 원칙 적용, 보안 기준에 따른 지속적 구성 검증을 통해 자격 증명 탈취, 세션 하이재킹, 연합 공격으로부터 아이덴티티 인프라를 방어하십시오.