다단계 인증이란 무엇인가요?
개요
보호된 리소스에 액세스할 때는 자격 증명 정보로 데이터 저장소에 대해 인증합니다. 인증 정보는 인증된 신원과 이와 관련된 비밀로 구성됩니다. 전통적으로 간단한 사용자 이름과 비밀번호만으로 인증을 수행해 왔으며, 오늘날 가장 일반적인 인증 방법입니다. 하지만 안타깝게도 사용자 아이디/비밀번호 인증은 피싱과 인증정보 해킹에 매우 취약한 것으로 나타났습니다. 비밀번호는 기억하기 어렵기 때문에 사람들은 간단한 비밀번호를 선택해 여러 온라인 및 클라우드 서비스에서 재사용하는 경향이 있습니다. 즉, 한 서비스에서 인증정보가 해킹되면 악의적인 외부인이 다른 개인 및 전문 디지털 서비스에서 이를 테스트합니다.
MFA(다단계 인증)는 사용자가 애플리케이션, 데이터 저장소 또는 비공개 네트워크와 같은 특정 리소스에 액세스하기 전에 두 가지 이상의 인증 방법을 제공하도록 요구하여 이러한 위협 및 기타 종류의 위협으로부터 보호하도록 설계되었습니다.
'요소'라는 용어는 누군가가 주장하는 신원을 확인하는 데 사용되는 다양한 인증 유형 또는 방법을 설명합니다. 다양한 방법은 다음과 같습니다:
- 비밀번호, 암기된 비밀번호, 도전 문제 등 알고 있는 정보 입니다.
- 과거에는 하드 토큰을 사용했지만, 오늘날에는 스마트폰이나 보안 USB 키를 사용하는 것이 더 일반적입니다.
- 일반적인 생체 인식은 지문, 얼굴 인식이며 음성이나 기타 인식 기술과 같은 생체 인식은 덜 일반적입니다.
다단계 인증
보호된 리소스에 대해 구성해야 하는 요소의 수는 어떻게 결정하나요?
보안 및 사용성 요구사항에 따라 요청자의 신원 확인에 사용되는 프로세스가 결정됩니다. 다단계 인증을 사용하면 보안팀이 요청자(사람 또는 프로그래밍 프로세스)의 상황이나 컨텍스트에 따라 대응할 수 있으므로 가장 일반적인 시나리오인 액세스 방식이 사라집니다. 얼마나 많은 유형의 인증이 필요한지 결정하는 것 외에도 IT 팀은 사용성 요구 사항과 이를 구현하는 데 드는 비용 간의 균형을 맞춰야 합니다.
단일 요소 인증(SFA)
SFA는 모바일, 온라인 및 기타 보안 정보 및 시설에 대한 액세스를 보호하기 위한 기본값으로 사용되어 왔으며 지금도 여전히 사용되고 있습니다. 매우 보편화되어 있고 비용이 저렴하기 때문에 가장 일반적인 SFA 유형은 사용자 이름과 비밀번호입니다. 하지만 다양한 피싱 공격으로 인한 위협을 피하기 위해 비밀번호 없는 기술을 채택하는 비율이 점점 높아지고 있습니다. 예를 들어, 대부분의 모바일 기반 앱에서는 기존의 사용자 이름과 비밀번호 대신 지문 또는 얼굴 인식을 사용할 수 있습니다.
현재 Microsoft와 야후에서 제공하는 온라인 서비스에서는 비밀번호 없는 SFA 옵션을 제공하고 있으며, 내년에 Apple 및 Google과 같은 다른 공급업체에서도 동일한 옵션을 제공할 예정입니다.
인증 토큰은 신원을 확인하는 데 사용되기 때문에 외부인으로부터 보호되어야 합니다. 강력한 토큰 보안과 더불어, 토큰은 종종 상당히 자주 만료되도록 설정되어 새로 고침 빈도를 높입니다. 비밀번호 없는 인터페이스 아래에서 사용되는 수명이 짧은 토큰을 구현하면 보안이 강화되지만 2단계 인증이 제공하는 수준에는 미치지 못합니다.
2단계 인증(2FA)
2FA는 사용자가 신원 확인을 위해 두 번째 유형(알다, 가지고 있다, 있다)을 제공하도록 요구하여 보안을 강화합니다. 하나의 신원 증명은 신분증과 같은 물리적 토큰일 수 있고, 다른 하나는 챌린지/응답, 보안 코드 또는 비밀번호와 같이 기억된 것일 수 있습니다. 두 번째 요소는 악의적인 외부 공격자가 보안을 뚫고 침입할 수 있는 기준을 크게 높입니다.
다음은 널리 사용되는 인증 방법의 일반적인 목록입니다:
- 일회용 비밀번호 - TOTP, HOTP, YubiKey 및 기타 FIDO 호환 장치
- 기타 대역 외 - 음성 통화, 모바일 푸시
- PKI - 인증서
- 생체인식 - 지문, 얼굴, 음성 인식
- 근접성 - 카드, 모바일 앱 지오펜싱
- 알고 있는 정보 - 비밀번호, 도전 문제
- 소셜 자격 증명
3단계 인증(3FA)
이중 인증에 또 다른 요소를 추가하여 하나의 신원을 위조하기 더욱 어렵게 만듭니다. 일반적인 시나리오는 기존 사용자 이름/비밀번호에 생체 인식을 추가하고 근접 카드 로그인을 추가하는 것입니다. 이는 상당한 수준의 마찰이 추가되므로 높은 수준의 보안이 필요한 상황에서만 사용해야 합니다. 은행은 다양한 정부 기관과 마찬가지로 3FA가 적합한 상황을 찾을 수 있습니다. 공항이나 병원 내 특정 통제 구역도 보안팀이 3FA가 필요하다고 판단한 영역입니다.
MFA는 일반적으로 어디에 사용되나요?
많은 조직에서 사용자 인증은 나중에 고려해야 할 사항이라고 생각하지만, Verizon의 연례 DBIR에 따르면 자격증명 해킹이 지속적으로 가장 중요한 침해 전략으로 나타나고 있다는 점에 유의해야 합니다. 거의 모든 조직에서 민감한 정보가 유출되어 실질적인 금전적 손실과 잠재적인 고객 신뢰 상실로 이어지는 사건을 겪는 것은 시간 문제입니다.
이러한 트렌드가 주목할 만한 이유는 멀티팩터 인증이 지금처럼 편리하고 경제적으로 구현할 수 있는 시기가 없었다는 점입니다. 전통적으로 조직은 비즈니스에 높은 수준의 위험을 초래하는 정보를 다루는 소수의 전문 사용자로 MFA 구현을 제한해 왔습니다. 비용과 사용 편의성 때문에 강력한 인증 기술을 더 광범위하게 배포하지 못하는 경우가 많았습니다. 과거에는 강력한 인증 방법을 구매, 배포(사용자 등록 포함) 및 관리하는 데 많은 비용이 들었습니다. 하지만 최근에는 산업 전반, 조직 자체, 고객(또는 환자, 시민, 파트너 등), 그리고 이들이 액세스할 수 있는 기술 전반에 걸쳐 대대적인 변화가 일어나고 있습니다.
멀티팩터 인증을 구현하는 주요 비즈니스 동인은 무엇인가요?
각 조직마다 구체적인 요구 사항은 다르지만, 모든 조직에 공통적으로 적용되는 높은 수준의 비즈니스 동인이 있습니다:
- 대부분의 업계는 고객, 환자 또는 금융 정보에 관한 개인정보 보호법을 준수해야 합니다. 또한 정부 기관은 사용자 신원 확인을 위해 MFA를 요구하는 정책을 지속적으로 강화하고 있습니다.
- 원격 근무 - 그 어느 때보다 많은 전문가들이 외근 또는 원격 근무를 통해 사무실 밖에서 업무를 수행하고 있습니다. 이는 위험 관리 관행의 일부이거나 정부의 인증 의무가 적용되는 정보(고객, 환자, 시민, 인사 등)를 다루는 규정 준수 이니셔티브의 일부입니다.
- 파워 유저와 이들이 근무하는 조직은 널리 연결된 세상에 존재하기 때문에 인증정보가 유출되면 고용주에게 취약점이 노출되므로 MFA를 통해 계정을 보호해야 하는 강력한 이유가 됩니다.
- 거의 모든 사람들이 소셜 미디어, 소비자 맞춤형 콘텐츠, 이커머스 등 일상생활을 영위할 때 주머니 속에 커넥티드 컴퓨터(스마트폰)를 가지고 있습니다. 고객은 자신의 디바이스에서 디지털 방식으로 기업과 상호 작용하기를 기대하기 때문에 조직은 종종 위험을 관리하기 위해 MFA가 필요한 공격적인 모바일 앱 전략을 추구합니다.
조직이 규정을 준수하기 위해 MFA를 사용해야 하는 의무는 무엇인가요?
- 2005년 10월 연방 금융 기관 검사 위원회(FFIEC)는 은행이 유일한 제어 메커니즘으로 사용되는 단일 요소 인증이 액세스 또는 자금 이동과 관련된 고위험 거래에 부적절하다고 판단하여 로그인 프로토콜을 재평가하고 서비스의 위험도에 따라 인증을 강화할 것을 요구하는 지침을 발표했습니다. 의무 사항 외에도 금융 기관은 고객의 신뢰를 얻기 위해 높은 기준을 적용받습니다.
- 그램 리치-블라일리 법(GLBA) - 미국 금융 기관은 고객 기록의 보안과 기밀성을 보장해야 합니다.
- 사베인스-옥슬리법(SOX) 404조는 상장 기업의 CEO와 CFO가 조직의 내부 통제의 효율성을 인증하도록 규정하고 있습니다.
- PCI DSS 요구 사항 8.2는 카드 소지자 데이터 환경(CDE)의 원격 액세스를 위한 MFA를 포함한 인증 요구 사항을 정의합니다. 또한 어떤 방법을 사용해야 하는지 권장합니다.
사용자 경험에 덜 방해가 되는 MFA를 만드는 방법에는 어떤 것이 있나요?
IT 부서는 MFA로 인해 사용자에게 발생할 수 있는 마찰을 줄이기 위해 몇 가지 기술을 활용할 수 있습니다:
- 싱글 사인온.
- 액세스 요청의 위험 평가.
- 사용자에게 가장 적합한 인증 유형을 일치시킵니다.
싱글 사인온(SSO)
싱글 사인온(SSO)을 사용하면 사용자가 단 한 번의 상호 작용으로 여러 리소스에 인증할 수 있습니다. 즉, 사용자가 하나의 자격 증명을 입력하면 그 아래의 인프라가 해당 세션 동안 사용자를 대신하여 보호되는 각 리소스에 인증하는 것입니다. SSO에 대한 가장 안전한 접근 방식은 인증 엔진이 SSO를 위해 설정된 각 리소스에 대해 고유한 자격증명 집합을 사용하는 것입니다. 이렇게 하면 보안이 높은 수준으로 강화됩니다:
- 사용자는 리소스의 실제 자격 증명을 알지 못하고 인증 게이트웨이에 제공된 자격 증명만 알 수 있습니다. 따라서 사용자는 리소스로 직접 이동하지 않고 인증 게이트웨이를 사용해야 합니다. 또한 각 리소스에는 고유한 자격 증명이 있으므로 리소스 중 하나의 ID 저장소가 침해되더라도 다른 리소스가 손상되지 않습니다. 이 접근 방식을 통해 IT 부서는 보호된 리소스에 대한 직렬 인증을 수행하면서 MFA 요건을 준수할 수 있습니다.
- 위험 기반(RBA) 기술은 사용자 컨텍스트를 활용하여 필요할 때만 MFA를 호출하는 데 사용할 수 있습니다. 정부의 의무를 준수하거나 조직의 위험 관리 정책을 시행하기 위해 RBA를 사용하면 사용자에게 인증 요청이 부과되는 경우를 줄일 수 있습니다. 정책은 일반적으로 위치, 디바이스, 액세스 시간 등이 혼합되어 있습니다.
마찰이 적은 인증 옵션
기존의 OTP/TOTP가 계속해서 가장 일반적인 2단계 인증 유형이 될 것이지만, 상황에 따라 더 적합한 다른 옵션이 있을 수 있습니다. 대역 외 푸시 모바일 앱은 사용자가 수락 버튼을 누르기만 하면 되기 때문에 OTP에 비해 마찰이 적은 옵션을 제공합니다. 고위험 상황의 경우 일부 푸시 앱에는 사용자가 데스크톱과 스마트폰을 모두 가지고 있는지 추가로 확인하기 위해 데스크톱에 제시된 번호와 같은 정보 확인뿐만 아니라 본인 확인을 위해 지문을 요구하도록 푸시 모바일 앱을 구성할 수 있습니다.
얼굴 인식은 빠르게 선택되는 생체 인증으로 자리 잡고 있습니다. 시간이 지날수록 개선되는 Windows Hello의 낮은 마찰 특성은 편리한 사용자 환경을 제공합니다. 가장 큰 문제는 Windows Hello가 다양한 조명 상황에서 제대로 작동하지 않는다는 것입니다. 조명에 따라 얼굴을 인식하지 못하는 문제는 추가 얼굴 등록을 통해 해결할 수 있습니다. 최근에는 일부 모바일 앱에서 사람의 홍채 패턴을 등록할 수 있는 기능을 제공합니다. 생체 인증 옵션(얼굴, 지문, 홍채)을 함께 사용하면 외부인이 뚫기 어려운 보안 기준을 상당히 높일 수 있습니다. 생체 인식 방식은 피싱 공격으로부터 보호할 수 있는 마찰이 적은 방법을 찾는 조직에게도 훌륭한 옵션입니다.
음성 인식은 금융 서비스 부문에서 인기를 얻고 있습니다. 고객이 서비스 담당자와 대화할 때 전적으로 수동적이기 때문에 기관들은 이 기능을 좋아합니다. 고객의 신원이 확인되면 담당자에게 알림이 전송됩니다. 정답을 기억하기 어려운 고객에게는 도전 과제 질문 대신 음성 인식을 사용합니다. 이 경우 보안과 사용성이 최적화됩니다.
FIDO/FIDO2는 사용자가 여러 디바이스에서 로밍하는 경우에 매력적인 옵션입니다. FIDO가 매력적인 인증 옵션인 이유 중 하나는 광범위한 벤더 지원과 사용 편의성에 중점을 둔다는 점입니다. FIDO는 다양한 디지털 서비스를 사용하는 많은 학생을 상대하는 대학에서 주목할 만한 주목을 받고 있습니다. FIDO를 사용하면 다양한 디바이스와 플랫폼에서 비밀번호 없는 인증을 이식할 수 있습니다.
스마트폰 제스처 프로파일링은 소유자가 기기를 어떻게 다루고 물리적으로 상호작용하는지에 대한 휴리스틱을 수행하는 행동 분석의 일종입니다. 결과는 추적된 제스처 패턴을 기반으로 한 신뢰도 등급입니다. 시간이 지남에 따라 프로파일링의 신뢰도가 높아지면서 제스처 충실도가 향상됩니다. 처음에는 제스처 프로파일링이 신원 확인의 기본 형태로 사용될 만큼 강력하지는 않지만, 다른 인증 유형과 함께 사용하면 적합한 방법이 될 수 있습니다.
NetIQ 은 다른 MFA 솔루션과 어떻게 다른가요?
보안팀은 종종 도입하는 인증과 함께 제공되는 지원 소프트웨어를 구현합니다. 이는 다른 소프트웨어를 구현해야 하는 다른 디바이스를 구매할 때까지는 잘 작동하는 것처럼 보이지만, 또 다른 사일로를 만들게 됩니다. 대규모 조직에서는 다중 인증 또는 다른 인증 요구 사항을 충족하기 위해 비밀번호 없는 기술을 여러 개의 사일로에서 사용할 수 있습니다. 이 상황의 약점은 각 인증 사일로마다 고유한 정책 집합이 있다는 것입니다. 이러한 여러 정책 저장소를 최신 상태로 유지하려면 관리 오버헤드가 증가하고 정책이 일관되지 않을 위험이 있습니다.
OpenText™ NetIQ™ 고급 인증은 대규모 조직의 멀티팩터 인증 요구 사항도 충족하도록 설계되었습니다. 표준 기반 접근 방식은 벤더 종속의 위험이 없는 개방형 아키텍처를 제공합니다. 이 프레임워크는 다양한 장치와 추가 방법을 기본적으로 지원하지만 새로운 기술이 시장에 출시됨에 따라 확장할 수도 있습니다.
AA는 플랫폼(웹, 모바일, 클라이언트)에 관계없이 가장 일반적인 플랫폼과 애플리케이션에 대해 바로 사용할 수 있는 지원도 제공합니다. AA는 기업 전체 인증을 위한 중앙 정책 엔진 역할을 하는 것 외에도 위험 기반 엔진을 제공하여 MFA가 호출되는 시기를 제어하고 다양한 위험 수준에 따라 제공되는 인증 유형을 제어할 수 있습니다. AA는 자체 내장 엔진 외에도 적응형 액세스 관리 사용 사례의 일부로 사용할 수 있는 강력한 싱글 사인온 옵션 및 위험 메트릭을 제공하는 NetIQ Access Manager 과 통합됩니다.
