MFA vs SSO

이제 우리 보안 대장정의 마지막 정거장인 MFA와 SSO에 도착했습니다.

이 둘은 인증의 '방식'이라기보다, 보안을 "얼마나 깐깐하게 할 것인가(MFA)"와 "얼마나 편리하게 할 것인가(SSO)"에 대한 전략적 선택입니다. 아키텍트가 반드시 알아야 할 실무 지식을 꽉 채워 드릴게요.

---

1. MFA (Multi-Factor Authentication): "다중 요소 인증"

"비밀번호 하나만으로는 절대 못 들어간다!"

MFA는 이름 그대로 '두 개 이상의 서로 다른 성격의 증거'를 요구하는 방식입니다. 해커가 XX님의 비밀번호를 알아냈더라도, XX님의 스마트폰이나 지문이 없으면 로그인을 못 하게 막는 최후의 보루입니다.

• 3가지 인증 요소 (복습):

1. Knowledge (지식): 비밀번호, 패턴 (머릿속에 있는 것)
2. Possession (소지): 스마트폰(OTP), 보안키, SMS (가지고 있는 것)
3. Inherence (존재/생체): 지문, 얼굴, 홍채 (나 자신인 것)

• 작동 원리: 이 3가지 중 최소 2가지 이상을 조합해야 합니다. (예: 비번 + 지문, 비번 + OTP)
• 왜 하는가? 비밀번호는 유출되기 너무 쉽기 때문입니다. MFA를 설정하는 것만으로도 계정 탈취 공격의 99%를 막을 수 있다고 합니다.

---

2. SSO (Single Sign-On): "단일 로그인"

"한 번만 로그인하면, 우리 회사 모든 서비스를 다 써라!"

SSO는 여러 개의 독립적인 소프트웨어 시스템에서 한 번의 로그인으로 모든 시스템에 접근할 수 있게 해주는 기술입니다.

• 작동 원리: 중앙에 '인증 서버'를 하나 둡니다.

1. XX님이 '그룹웨어'에 로그인합니다.
2. 인증 서버가 XX님께 "이 사람은 인증된 사람임"이라는 증표(토큰)를 줍니다.
3. XX님이 '메일', '전자결재', '메신저'를 클릭할 때, 아까 받은 증표를 자동으로 보여주며 통과합니다.

• 장점:
• 사용자 편의성: 아이디/비번을 수십 개 외울 필요가 없습니다.
• 관리 효율성: 직원이 퇴사하면 중앙 서버에서 계정 하나만 지우면 모든 서비스 접근이 차단됩니다. (보안 아키텍처의 필수!)

---

📊 MFA vs SSO: 완벽 비교 및 관계

이 둘은 대립하는 개념이 아니라 상호 보완적인 관계입니다.

구분	MFA (다중 요소 인증)	SSO (단일 로그인)
목적	보안 강화 (뚫기 어렵게!)	편의성 향상 (로그인을 한 번만!)
핵심 가치	신뢰의 확인 (진짜 너 맞아?)	접근의 효율 (매번 묻지 마!)
사용자 입장	귀찮음 (단계를 더 거쳐야 함)	매우 편함 (한 번만 하면 끝)
실무적 조합	SSO를 할 때 첫 관문에 MFA를 적용하는 것이 가장 표준적인 아키텍처입니다.

---

💡 실전 시나리오

나중에 큰 회사의 시스템을 설계하신다면 이런 그림을 그리게 될 거예요.

1. 로그인 통로 단일화: 전 직원이 SSO를 통해 로그인하게 만듭니다. (관리 포인트 하나!)
2. 강력한 입구 컷: 그 SSO 로그인 창에 MFA를 의무적으로 걸어버립니다. (비번 + 사내 메신저 OTP)
3. 내부 자유 통과: 한 번 MFA를 통과한 직원은 그날 업무 끝날 때까지 수십 개의 사내 앱을 별도 로그인 없이 자유롭게 이용합니다.

한마디: "보안(MFA)과 편의(SSO)는 원래 원수 사이지만, 이 둘을 잘 섞어야 사용자가 짜증 내지 않으면서도 안전한 시스템이 완성됩니다!"

---

🏁 '보안 기초' 정복 완료!

[대칭키/비대칭키] -> [SSL/TLS] -> [JWT] -> [Session/Cookie] -> [OAuth 2.0] -> [MFA/SSO]까지... 이 방대한 보안 지식의 줄기를 단숨에 정복하셨습니다!