소셜 로그인이란? 정의, 이점 및 구현 가치
소셜 사인 인 (Social Sign-in) 또는 소셜 사인 온 (Social Sign-on)이라고도 하는 소셜 로그인은 소셜 네트워킹 사이트의 정보를 이용해 타사 애플리케이션과 플랫폼에 손쉽게 로그인할 수 있는 프로세스를 말합니다. 이 프로세스는 계정을 만들 필요 없이 편리한 방법을 제공하여 로그인 및 등록 경험을 간소화할 목적으로 개발되었습니다.
- 사용자의 관점에서 보았을 때 소셜 로그인은 자격 증명을 따로 만들 필요 없이 번거로운 등록 절차를 건너뛰어 사이트와 앱에 원활하게 액세스할 수 있는 방법입니다.
- 개발자와 기업의 관점에서는 사용자 확인을 간소화하는 동시에 개인화를 목적으로 사용자 데이터에 더욱 안정적으로 액세스할 수 있는 방법을 제공한다는 점에서 매력적인 기능입니다.
소셜 인증의 이점은 확실히 편리함을 가져다 줍니다. 하지만 이는 데이터 보안 위험을 초래하기도 합니다. 이번 게시물에서는 소셜 로그인을 성공적으로 구현하기 위해 알아야 할 방법 및 주의사항에 대해 자세히 알아보겠습니다.
소셜 로그인의 작동 원리 및 프로세스
소셜 로그인은 몇 단계만에 마칠 수 있을 정도로 간단한 프로세스입니다.
- 사용자가 앱 또는 사이트에 접속하여 원하는 소셜 네트워크를 선택합니다. 이는 일반적으로 소셜 로그인 버튼이나 “[소셜 플랫폼] 로그인” 링크 형태로 표시됩니다.
- 소셜 네트워크 공급업체가 로그인 요청을 수신하고 사용자를 인증합니다. 이때 사용자는 앱 또는 사이트에 대한 액세스 권한을 수락해야 합니다.
- 소셜 공급업체가 아이덴티티를 확인하면 사용자가 사이트 또는 앱에 액세스할 수 있습니다.
소셜 로그인은 몇 가지 핵심 구성요소를 이용합니다. OAuth 2.0은 신뢰를 기반으로 소셜 네트워크 데이터를 로그인 용도로 사용할 수 있는 권한을 앱에 부여합니다. OpenID Connect는 타사 로그인을 지원하는 인증 프로토콜로서, 사용자가 다른 웹사이트의 로그인 자격 증명을 사용해 앱 및 계정 서비스에 액세스할 수 있게 해줍니다. 소셜 로그인은 이러한 인증 및 권한 인증 메커니즘을 바탕으로 구현됩니다 (하기 이미지 참조).
대표적인 소셜 로그인 플랫폼의 특징 및 차이점
소셜 로그인 플랫폼마다 개인정보 보호 기능이나 구현 주의사항이 다릅니다. 가장 많이 사용되는 소셜 아이덴티티 공급업체를 간략히 설명하면 다음과 같습니다.
Facebook Login은 편의성과 개인정보 보호가 조화롭게 균형을 이루고 있습니다. Facebook Login을 사용하는 기업은 최종적으로 사용자에게 요청할 정보를 결정하는 반면 개발자는 Facebook의 검토 프로세스에 따라 다양한 권한을 맞춤 설정할 수 있는 방법을 사용자에게 제공해야 합니다. 사용자는 이렇게 맞춤 설정된 권한을 통해 다양한 유형의 정보를 타사 기업과 공유할 범위를 제어할 수 있습니다.
Google Sign-In은 사용자가 자신의 Google 계정을 사용해 다른 웹사이트에 액세스할 수 있는 소셜 로그인 플랫폼입니다. 개발자는 사용자의 공개 프로필, 연령대 및 친구 목록에 액세스하는 동시에 사용자의 공개 피드에서 데이터를 읽고 쓸 수 있습니다. 사용자는 인증 과정에서 공유할 정보를 맞춤 설정할 수 있습니다. 다만 Google의 소셜 로그인 솔루션에서는 타사 웹사이트마다 인증 후 정보를 변경하려면 접속을 끊었다가 다시 인증 절차를 거쳐야만 합니다.
LinkedIn Login에서는 사용자가 회사 ID를 사용해 로그인할 수 있습니다. 사용자는 앱에서 액세스할 수 있는 정보에 대한 권한을 제어하지 못하지만 LinkedIn은 정보 요청에 대한 승인 프로세스가 가장 엄격한 것으로 알려져 있습니다. 예를 들어 타사 사이트 소유자와 개발자가 기본적인 프로필 데이터, 근무 장소, 고용 상태의 범주에서 벗어나는 사용자 정보를 요청할 때는 반드시 사전에 승인을 받아야 합니다.
Microsoft
Sign In With Microsoft에서는 사용자가 자신의 Microsoft 계정을 사용해 로그인할 수 있습니다. 앱이나 웹사이트에 이 소셜 로그인 플랫폼이 설치되어 있으면 사용자가 자신의 개인 이메일 주소와 계정 자격 증명을 사용해 손쉽게 로그인할 수 있습니다. 단, 학교나 회사와 같이 규모가 큰 조직에서 이 방법을 배포하려면 먼저 애플리케이션이나 사이트를 Azure AD에 등록해야 합니다.
Apple
Sign In With Apple에서는 사용자가 자신의 Apple ID를 사용해 다양한 계정에 로그인할 수 있습니다. Apple의 서비스는 엔드 유저에게 유용한 개인정보 보호 및 보안 기능을 독자적으로 제공하고 있습니다. 예를 들어 앱과 웹사이트는 처음 로그인할 때만 사용자에게 이름과 이메일 주소를 요청할 수 있으며, 사용자는 각 사이트마다 무작위로 이메일 주소를 만들어 사용할 수 있기 때문에 자신의 개인 계정을 노출시킬 필요가 없습니다. 또한 Apple은 로그인할 때마다 이중 요소 인증을 요청하여 비교적 안전한 플랫폼에 속합니다. 그 밖에도 App Store에서 소셜 인증을 지원하는 앱들은 Sign In With Apple을 옵션으로 제공해야 합니다.
Sign In With Apple은 위와 같은 기능을 제공한다는 점에서 다른 소셜 로그인 솔루션과 워크플로우가 약간 다릅니다. 예를 들어 이중 요소 인증 기능이 활성화되면 사용자가 Apple ID로 로그인한 후 다른 디바이스에서 로그인을 확인하고 인증 코드를 입력해야 합니다. 또한 앱이나 웹사이트로 다시 리디렉션되기 전에 로그인 확인이 한 번 더 필요합니다.
포괄적 OIDC (Generic OIDC)
포괄적 OIDC는 사용자가 다양한 아이덴티티 공급업체의 계정 자격 증명을 사용해 앱에 로그인할 수 있는 Okta 기능입니다. 기업이 Okta 기능으로 로그인할 수 있는 OIDC 인증 시스템을 구현하면 다수의 소셜 플랫폼 중에서 원하는 것을 자유롭게 선택하여 고객에게 안전한 맞춤형 로그인 경험을 선사할 수 있습니다. 이러한 타사 OIDC 공급업체로는 Dropbox, Github, Reddit 등이 있습니다.
소셜 로그인의 특징 및 이점
소셜 미디어 로그인은 아래와 같이 다양한 방식으로 사용자 경험을 개선합니다.
- 로그인 간소화: Facebook이나 Google 계정을 이용하면 버튼만 몇 번 클릭하여 타사 웹 페이지에 간편하게 로그인할 수 있습니다. 가입 양식을 따로 작성할 필요가 없기 때문에 사이트에 더욱 빠르게 액세스할 수 있습니다.
- 비밀번호에 대한 의존도 감소: 비밀번호 로그인의 근본적인 취약점 외에도 비밀번호를 하나 더 기억해야 한다는 불편함 때문에 사용자는 또 다른 사이트 가입을 주저할 수밖에 없습니다. 하지만 소셜 로그인 사용자는 자격 증명을 추가로 만들어 기억할 필요가 없기 때문에 비밀번호 피로와 로그인 오류에서 해방될 수 있습니다.
- 신뢰할 수 있는 프로세스: 소셜 로그인은 사용자가 액세스하는 사이트에 관계없이 쉽게 알 수 있는, 일관된 로그인 방식을 제공합니다. 따라서 사용자는 알지 못하는 새로운 사이트와 앱에서도 이미 신뢰하고 있는 소셜 네트워킹 플랫폼을 통해 자신의 데이터를 안심하고 공유할 수 있습니다.
소셜 인증 솔루션을 구현하는 기업은 아래와 같이 다양한 방식으로 이점을 누릴 수 있습니다.
- 더욱 지능적인 사용자 개선: 사용자가 자신의 소셜 네트워크를 사용해 앱이나 사이트에 로그인하면 사이트 소유자는 해당 플랫폼의 데이터를 분석해 사용자의 선호도를 알아낼 수 있습니다. 개발자는 이렇게 도출된 인사이트를 이용해 맞춤 설정이 가능한 사용자 환경을 개발하는 동시에 사용자에게 필요한 기능을 구축할 수 있습니다.
- 더욱 강력한 사용자 인증: 소셜 로그인은 인증 계층을 추가로 제공하여 액세스 시도가 실제로 신뢰할 수 있는 사용자에게서 비롯되었는지 확인합니다. 이러한 유형의 인증은 선택한 소셜 플랫폼에서도 확인이 필요하기 때문에 스팸이나 그 밖에 악의적인 로그인을 차단할 수 있는 또 하나의 방어선을 확보하는 셈입니다.
- 무료 구현(일반적): 소셜 미디어 로그인이 통합되면 Facebook Login, Google+ API 등 해당하는 소셜 플랫폼마다 API를 사용하게 됩니다. 일부 API는 타사 앱에서 무료로 사용할 수 있는 리소스가 제한적이기도 하지만 일반적으로 이러한 API 사용은 무료일 뿐만 아니라 다양한 소셜 로그인을 무료로 지원하기도 합니다.
- 설정 자동완성 기능: 사용자가 소셜 미디어 계정을 사용해 로그인할 경우 사이트 소유자는 소셜 계정에 저장된 정보를 가지고 사용자 설정을 자동으로 완성하거나 채울 수 있습니다. 이를 통해 기업은 사용자에게 편리하다는 첫 인상을 남겨서 자사 앱과 사이트를 계속해서 사용하도록 만들 수 있습니다.
- 로그인 실패로 인한 오버헤드 감소: 소셜 로그인에서는 비밀번호가 필요 없기 때문에 보안 문제를 비롯해 로그인 실패에 따른 비밀번호 요청을 해결하는 데 걸리는 시간이 줄어들게 됩니다.
- 장바구니 포기 감소와 이에 따른 모바일 구매 전환 증가: 전자상거래 브랜드는 소셜 로그인을 통해 온라인 고객의 체크아웃 경험을 간소화할 수 있습니다. 이를 통해, 웹과 모바일 환경에서 장바구니 포기율을 낮추고 구매율을 높일 수 있습니다.
- 계정 연결: 사용자가 여러 애플리케이션에서 소셜 로그인 옵션을 선택할 경우 기업은 각 스토어의 데이터에 대한 액세스 권한을 얻어 더욱 포괄적인 고객 프로필을 만들 수 있습니다.
- 고객 충성도 제고: 사용자 경험이 유쾌하다면 사용자가 계속해서 제품이나 서비스를 사용하여 결국 충성도 높은 고객으로 남을 가능성이 높습니다. 결과적으로 소셜 로그인은 원활한 인터페이스를 지원하여 고객의 재방문을 유도할 수 있습니다.
소셜 로그인의 단점
소셜 미디어 로그인이 사용자 경험을 간소화하는 데 효과가 있는 반면, 아래와 같은 보안 취약점에 노출될 가능성도 존재합니다.
- 데이터 유출 또는 도난가능성 증가:: Facebook이나 LinkedIn과 같은 소셜 아이덴티티 공급업체들은 수년 동안 악명 높은 데이터 침해 사고를 겪으면서 수백만 개의 사용자 계정이 동시에 유출되는 피해를 입었습니다.
- 취약한 비밀번호 사용: 불행하게도 다수의 계정과 사이트에서 자격 증명을 재사용한다고 응답한 사용자가 65%에 이릅니다. 소셜 로그인 사이트에서 데이터 도난이 발생할 경우 동일한 비밀번호를 반복해서 사용한 사용자는 이용 중인 계정이 다수 유출되었을 가능성이 높습니다. 자격 증명이 유출되면 피해를 입은 소셜 미디어 계정과 연결된 앱이나 사이트 역시 위태로워지기 때문에 소셜 로그인을 자주 사용하는 사용자가 가장 큰 위험에 노출되게 됩니다.
- 개인정보 및 컴플라이언스: 소셜 로그인을 구현하는 기업은 개인정보 보안 현황을 주의 깊게 살펴야 합니다. 사용자는 CCPA이나 GDPR과 같은 규정에 의거하여 각종 데이터 수집 및 공유 방침에 대해 법적으로 동의 또는 거부할 권한이 있기 때문입니다. 따라서 엔드 유저는 각 플랫폼마다 상이한 권한 요청에 대해서 자세히 살펴보고 이를 수락하기 전에 그 정당성을 판단해야 합니다.
소셜 로그인의 구현 가치
넓게 보았을 때 소셜 로그인은 기업과 엔드 유저의 경험을 개선하는 효과가 있습니다. 하지만 소셜 로그인 경험을 안전하게 보호하려면 몇 가지 추가적인 조치가 필요합니다.
계정 탈취를 방지하려면 MFA (multi-factor authentication, 다중 요소 인증)을 사용해 소셜 로그인을 백업하십시오. 인증 요소를 추가하면 해커가 유출된 자격 증명을 사용하더라도 소셜 미디어 계정이나 연결된 앱과 웹사이트를 침해할 수 없습니다. 권한 맞춤 설정이 가능한 소셜 아이덴티티 공급업체를 이용하는 것도 좋은 방법입니다. 권한을 맞춤 설정하면 기업이 컴플라이언스 요건을 이행하는 동시에 신뢰할 수 있는 사용자 경험을 구현하는 데에도 도움이 되기 때문입니다.
Okta를 소셜 로그인에 활용하는 방법이 궁금하신가요? Okta는 일반 OIDC, Facebook, Google, LinkedIn, Microsoft, 그리고 이번에 정식으로 추가된 Apple까지 지원합니다. 자세한 방법은 아래 퀵 가이드에서 확인하시기 바랍니다.