비밀번호 없는 인증이란 무엇인가요?
개요
비밀번호 없는 인증은 일반적인 클레임(사용자 이름)과 비밀번호를 사용하지 않고 사용자의 신원을 확인하는 프로세스입니다. 로그인 프롬프트에 기존 자격 증명을 삽입하는 도구는 비밀번호 없는 인증이 아닙니다.
가장 일반적인 비밀번호 없는 인증 방법은 지문 및 얼굴 인식과 같은 생체 인식과 스마트폰에서 흔히 사용되는 대역 외 앱입니다. 이러한 스마트폰 앱은 여러 요소를 하나의 인증 프로세스에 결합한 생체 인식 ID 인증이 필요한 경우가 많습니다.
NetIQ 비즈니스를 강화합니다
OpenText™ NetIQ™는 포괄적인 ID 및 액세스 서비스를 제공하여 직원들이 언제 어디서나 모든 디바이스에서 적시에 안전하게 리소스에 액세스할 수 있도록 지원합니다. NetIQ 또한 조직이 소비자와 효과적이고 안전하게 상호 작용할 수 있도록 지원합니다.
전단지 읽기비밀번호 없는 인증이 인기 있는 이유는 무엇인가요?
비밀번호 없는 인증이 기존 자격 증명을 대체할 것이라는 약속은 30년 이상 지속되어 왔지만, 오늘날의 기술은 이를 현실로 만들었습니다. 2022년 비밀번호 없는 시장의 규모는 156억 달러였지만 2030년에는 530억 달러 이상으로 성장할 것으로 예상됩니다. 오늘날 비밀번호 없는 도입의 대부분은 스마트폰을 통해 이루어지고 있습니다.
지난 10년 동안 정부의 의무를 준수하는 것이 조직이 비밀번호 없는 기술을 채택하는 동기가 되었습니다:
- 정부-정부및 공공 부문 기관은 이제 특정 다단계 인증 요건을 따라야 합니다. 이러한 요건은 처음에는 권장 사항으로 시작되었지만 수년에 걸쳐 정책으로 바뀌었습니다. 이 정책은 일반적인 지침으로 시작되었지만 시간이 지나면서 기밀 문서에 대한 액세스에 대한 구체적인 2단계 인증 의무로 발전했습니다.
- 의료 -미국을 비롯한 전 세계에서 발생하는 의료정보 유출 사고는 금융을 포함한 다른 어떤 시장보다 의료분야의 조직에 더 많은 재정적 고통을 안겨줍니다. 정부 기관은 비밀번호 없는 2단계 인증 요구 사항으로 이에 대응하고 있습니다.
- 금융 서비스 -정부 규제에 따라고객의 개인 금융 및 개인정보를 보호해야 하는 금융 서비스 업계에서는소비자 신뢰를 유지하는 것이 데이터 보안에 더욱 큰 영향을 미칩니다. 금융 서비스는 다단계 인증을 선도적으로 도입해 왔지만, 스마트폰 플랫폼은 신원 확인을 위한 비밀번호 없는 인증 도입을 더욱 촉진했습니다.
인력을 위한 신원 확인
지금까지 비밀번호 없는 기술을 인력 보안의 일부로 사용하는 것은 특수한 애플리케이션과 사용자들에게만 국한되어 있었습니다. 지난 10년간 비밀번호 없는 기술을 가로막는 가장 중요한 네 가지 장벽이 무너졌습니다:
- 하드 토큰, 기업용 지문 인식기 및 기타 생체 인식 장치는 기업 전체에서 사용하기에는 너무 비쌌습니다.
- 특히 현장 IT 지원을 정당화하기에는 너무 작은 원격 사무실과 원격 근무 직원의 경우, 등록 비용은 대량 도입에 엄청난 비용이 들었습니다. 원격 관리 기능이 없으면 기기를 설정하기 위해 물리적인 접촉이 필요했습니다.
- 인증 디바이스의 지속적인 원격 관리가 불가능했습니다. 원격 사용자는 재설정 및 재구성을 수행하기 위해 어플라이언스를 보내야 했습니다.
- 보안팀과 경영진, 특히 사용자들은 비밀번호 없는 기술에 대한 신뢰가 부족했습니다. 최근 비밀번호 없는 사용자가 주류가 된 사용 사례가 확산되면서 인증 현대화 및 계획의 물결이 일고 있습니다.
디바이스의 발전과 더불어 인증 사용 사례와 관련 요구 사항도 정부 규정을 넘어서 변화하고 있습니다.
원격 근무
과거 그 어느 때보다 현장 근무자들은 모바일 플랫폼을 통해 서로 연결되어 있고 개인 정보에 자주 액세스합니다. 전형적인 출장 근무자 외에도 재택근무의 도입은 지난 3년 동안 크게 증가했습니다. 팬데믹 이전에도 재택근무는 꾸준히 성장해왔지만, 새로운 원격 근무 정책은 모든 산업에서 광범위하게 채택되고 있습니다.
클라우드
정형 및 비정형 개인 데이터는 점점 더 데이터센터가 아닌 클라우드에서 저장되고 액세스되고 있습니다. 데이터센터가 기업 서비스를 호스팅하는 비중이 줄어들면서 데이터센터를 통한 원격 트래픽 라우팅이 급격히 감소하고 있습니다. 이는 일반적인 방화벽 보안 기술이 무의미해지고 있음을 의미합니다.
개인 디바이스 사용
보안 제어를 더욱 약화시키면서 BYOD(Bring-Your-Own-Device)는 계속해서 주목을 받고 있습니다. BYOD 디바이스에서 클라우드에 호스팅된 리소스에 원격으로 액세스하면 관리되는 디바이스에 대한 기본적인 의존도가 ID 기반 보안으로 이동합니다. 이러한 의존도는 신원 확인을 우회하는 피싱 및 기타 신원 공격에 대한 노출이 높아진다는 의미로 해석됩니다.
관리형 네트워크, 사내 디지털 리소스(서비스 및 비정형 데이터), 디바이스에서 벗어난다는 것은 보안팀이 더 이상 전략의 일부로 이들에 의존할 수 없다는 것을 의미합니다. 대신, 신원 확인을 강화하려면 사칭에 대한 저항력이 높은 검증된 전략이 필요합니다. 멀티팩터 인증의 도입은 계속 증가할 것이지만, 싱글 팩터 비밀번호는 인증 프로세스를 간소화하면서 사용자 이름과 비밀번호에 대한 보안 기준을 높입니다. 직원은 얼굴 인식, 지문 인증 또는 일부 수동적인 경험을 통해 빠르게 인증할 수 있습니다. 동시에 가장 눈에 띄는 취약점이자 빈번하게 발생하는 침해 기법인 피싱에 대한 보호 기능도 강화했습니다.
비밀번호 없이 전환하는 소비자
비밀번호 없는 환경을 구현하는 핵심은 스마트폰입니다. 작은 패키지에 엄청난 양의 컴퓨팅 성능을 담고 있는 것은 사실이지만, 스마트폰이 수많은 디바이스의 연장선상에 있다는 점이 바로 비밀번호 없는 세상을 만드는 원동력입니다. 사람들은 문자 메시지부터 소셜 미디어, 온라인 쇼핑 및 뱅킹에 이르기까지 모든 용도로 스마트폰을 사용합니다. 즉석에서 사진을 찍고, 길을 찾거나 답을 검색합니다. 소비자들이 휴대용 컴퓨팅 장치에 자신을 연결함으로써 인증 패러다임에 전례 없는 변화가 일어났습니다:
- 범용 연결을 통해 인증 중에 대역 외 신원 확인이 가능합니다.
- 휴대용 처리 능력은 일회성 핀으로 작동할 수 있는 시드와 키를 생성할 수 있습니다.
- 스마트폰이 발전함에 따라 생체 인식 및 수동 인증 방식이 발전하여 인증이 더욱 정교해지고 진화할 것입니다.
소비자들은 기존 인증이 자신에게 가하는 위협에 대해 점점 더 많이 인식하고 있습니다. 기업들은 이러한 변화를 인식하고 디지털 서비스를 개선할 수 있는 기회를 포착하고 있습니다.
비밀번호 없는 인증은 얼마나 안전한가요?
Verizon의 데이터 침해 팀은 스피어 피싱이 범죄자들이 인증 정보를 탈취하는 주된 방법이라고 밝혔습니다. 스피어 피싱은 공격자가 은행, 동료 또는 기타 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 이메일을 보내 피해자를 모의 웹사이트로 유도하는 방식으로 시작됩니다. 이 웹사이트는 인증을 요구하므로 피해자가 자신의 자격 증명을 공개하거나 신용카드 번호를 입력하거나 기타 개인 정보를 제공하도록 속입니다.
이 공격의 변종에서는 링크를 클릭하면 피해자의 컴퓨터에 멀웨어가 설치되는 링크를 제공합니다.
비밀번호 없는 기술은 이러한 유형의 공격으로부터 보호하는 데 매우 적합합니다. 비밀번호를 제거하도록 구성된 플랫폼의 경우 입력 또는 키 입력 캡처를 통해 어떠한 정보도 캡처할 수 없습니다. 비밀번호 없이 비밀번호를 옵션으로 제공하는 플랫폼의 경우, 스마트폰과 같이 비밀번호 없는 다단계 인증 또는 생체 인식과 같은 인증으로 비밀번호를 강화할 수 있습니다.
스마트폰에 대한 의존도가 높아지면서 보안 논의의 중심에 스마트폰의 취약성이 자리 잡고 있습니다. 해커나 다른 악의적인 사용자가 이러한 모바일 디바이스를 손에 넣는다고 가정해 보겠습니다. PIN, OTP, 대역 외 푸시 승인을 가로챌 수 있을 뿐만 아니라 생체 인식을 자신과 일치하도록 재구성할 수 있는 위험이 있습니다. SIM 카드 도난은 SMS/OTP에도 위험을 초래합니다. 사용자가 주의를 기울이더라도 공격자가 서비스 제공업체를 조종하여 합법적인 SIM 카드의 중요한 정보를 취소하고 전송할 수 있다면 보안이 침해될 수 있습니다.
조직이 모든 위협을 막을 수 있는 방법은 없지만, 비밀번호 없는 패러다임으로 전환하는 것만으로도 가장 일반적인 위협으로부터 보호할 수 있는 것은 사실입니다. 단일 인증의 경우에도 입력하는 자격증명에서 벗어나면 보안 수준이 높아지지만 더 많은 것을 할 수 있습니다. 조직은 위험 기반 인증(RBA)으로 전략을 보강하여 보안 수준을 높일 수 있습니다. RBA는 신원 확인을 위해 추가 단계가 필요한 시기를 제어하는 데 있어 오랫동안 입증된 실적을 보유하고 있습니다. 조직은 다음과 같이 사전 정의된 조건에서 2단계 인증을 호출할 수 있습니다:
- 이 장치를 이전에 본 적이 있나요?
- 디바이스 지문 인식
- 브라우저 쿠키
- 사용자가 예상되는 위치에 있나요?
- IP 지리적 위치 서비스
- 지오펜싱(GSM)
- 사용자가 예상대로 행동하고 있나요?
- 정보의 위험 수준은 어떻게 되나요?
조직은 이러한 유형의 기준을 사용하여 필요한 신원 확인 수준을 결정할 수 있습니다. 예를 들어, 조직은 대부분의 정보에 액세스하기 위해 지문을 요구하는 정책을 정의할 수 있습니다. 하지만 위에 나열된 기준에 따라 측정된 위험도가 높거나 리소스의 민감도가 높은 경우 다단계 인증이 필요한 더 민감한 하위 집합이 있습니다.
비밀번호 없는 인증으로 어떻게 비즈니스를 차별화할 수 있나요?
위의 이전 질문에 대한 답변에는 비밀번호 없는 인증이 기업에 제공할 수 있는 장점과 보안상의 한계가 나열되어 있습니다. 요컨대, 생체 인식(예: 지문 또는 얼굴 인식) 또는 스마트폰과 같은 소유물을 통한 비밀번호 없는 방법은 특히 스피어 피싱에 대해 기존의 비밀번호 기반 방법보다 더 강력한 보안을 제공합니다. 이 섹션에서는 추가 보안이 제공하는 몇 가지 비즈니스 가치를 살펴봅니다.
조직이 디지털 고객과의 소통에 내재된 위험을 보다 효과적으로 통제할 수 있다면, 보다 포괄적인 상황에서 보다 의미 있는 상호작용이 이루어질 수 있습니다.
헬스케어
의료 서비스 제공자는 ePHI 정보와 임상의의 구체적인 지침을 공유하여 더 나은 원격 진료를 제공할 수 있습니다. 2단계 인증이 필요하지만, 비밀번호가 없는 경우 환자는 복잡한 자격 증명을 기억할 필요가 없습니다. 또한 비밀번호가 없으면 키보드가 없는 모바일 장치에서 더 간편하게 사용할 수 있습니다. 단순하면서도 안전한 액세스는 복잡한 인증 체계에 불만을 가진 장애 환자에게 획기적인 변화를 가져올 수 있습니다.
금융
금융 포트폴리오 관리자는 매우 민감한 정보를 고객과 공유합니다. 투자 및 계좌 정보에는 정기적으로 많은 금액이 포함됩니다. 일반적으로 이러한 유형의 포털은 신원 확인을 위해 복잡한 비밀번호를 요구합니다. 비밀번호 없는 인증을 통해 이러한 조직은 고객에게 빠르고 안전한 액세스를 제공할 수 있으며, 이는 고객 만족을 달성하는 데 큰 도움이 됩니다.
전자 상거래
이커머스 서비스는 가장 일반적인 스피어 피싱 공격 지점입니다. 이러한 공격은 전자적 비즈니스 수행에 대한 소비자의 신뢰를 약화시킵니다. 비밀번호 없는 인증을 사용하면 이커머스 소매업체는 수동적인 방법으로 위협에 대응할 때 위험 기반 인증의 영향을 최소화할 수 있습니다. 다른 산업보다 이커머스 거래에서 용납할 수 없는 마찰이 발생하면 거래하기 쉬운 소매업체를 찾는 고객을 잃게 됩니다. 새로운 디지털 고객에 대한 장벽을 피하는 가장 효과적인 방법 중 하나는 비밀번호 없는 인증을 사용하여 복잡한 비밀번호나 다단계 인증 프로세스를 피하는 것입니다.
교육
이동이 잦은 사용자를 보호하는 대학 및 기타 조직 - FIDO(Fast Identity Online)는 기존의 고가의 독점적인 옵션, 물리적 키 또는 토큰 대신 표준 기반의 표준을 사용하여 신원을 확인할 수 있도록 하는 표준입니다. 이러한 피싱 방지 방법은 공격자가 우회할 수 없는 장벽이 되어 소중한 학생 정보를 비공개로 유지합니다. 학생, 교직원 및 교직원은 소형 휴대용 FIDO 장치를 Bluetooth 포트가 있는 컴퓨터에 연결할 수 있습니다. 보안 리소스에 빠르게 액세스하거나 다단계 인증 구성의 일부가 될 수 있습니다.
인증의 미래인 비밀번호 없는 인증을 통해 보안과 편의성이 향상되는 시나리오는 이 몇 가지 예보다 훨씬 더 광범위합니다. 또한 비밀번호 없는 인증은 싱글사인온(SSO)의 광범위한 도입을 위한 탁월한 보안 기반을 제공합니다. SSO는 단일 인증 인스턴스로 보안 리소스에 대한 원활한 액세스를 제공합니다. SSO는 비밀번호 없는 기술보다 훨씬 더 사용자가 겪을 수 있는 마찰을 줄이거나 없애줍니다. SSO는 보안보다는 편의성에 더 중점을 두기 때문에 단일 인증으로 사용자의 모든 디지털 리소스에 액세스할 수 있기 때문에 일부 보안팀은 광범위한 도입을 경계합니다. 비밀번호 없는 방식은 가장 일반적인 침해 공격에 대한 저항력을 갖추고 있어 이러한 위험을 크게 줄여주므로 IT 부서는 사용자의 업무 중단과 지연을 크게 줄일 수 있는 환경을 구성할 수 있는 여유를 갖게 됩니다.
