당연한 말처럼 들리지만 조직의 사이버 보안 태세는 단편적일 수 없습니다. 조직에서 특정 사용자를 다른 사용자와 다르게 취급할 수도 있고 고위험군 사용자에 대한 추가 보호가 필요할 수도 있지만, 보안 프로그램은 모든 사용자를 고려해야 합니다.
IT 리더는 강력한 사이버 보안 프레임워크를 구축하는 동시에 사용자 행동과 함께 다단계 인증(MFA) 솔루션의 비용을 평가해야 하므로 조직의 규모에 따라 이러한 요구 사항을 충족하는 것은 점점 더 복잡해질 수 있습니다.
많은 조직에서 모바일 디바이스는 보안, 비용, 편의성 사이에서 실용적인 타협점을 찾는 경향이 있습니다. 모바일 디바이스는 어디에나 있고 사용하기 쉬워 다단계 인증(MFA) 요건을 충족하는 데 적합합니다: 73% 의 사용자가 스마트폰이 MFA를 이행하는 가장 편리한 방법이라고 생각합니다.
모바일 앱 기반 인증은 조직 전반의 보안 프로그램을 구축하고 비용 균형을 맞추는 데 유용할 수 있지만, 모든 사람에게 항상 효과가 있는 만병통치약은 아닙니다. 다단계 인증 비용은 솔루션의 유형과 구현 전략에 따라 달라집니다.
사용자 기본 설정 및 기능
특정 상황에서는 일부 사용자가 모바일 디바이스를 사용할 수 없거나 모바일 연결에 의존하여 인증할 수 없는 경우도 있습니다(제조 클린룸을 예로 들 수 있습니다). 다른 경우에는 직원들이 보안 요구 사항을 충족하기 위해 개인 디바이스에 회사에서 요구하는 애플리케이션을 설치하는 것을 불편해할 수 있습니다.
하드웨어 토큰
조직에서는 이러한 사용자를 인증하기 위해 두 가지 유형의 솔루션을 배포하는 것을 볼 수 있습니다. 첫 번째는 일회용 비밀번호(OTP)를 사용하는 하드웨어 인증 솔루션입니다. 하드웨어 인증기는 DS100 인증의 황금 표준인 FIDO2 프로토콜의 암호화 장점과 OTP의 보안 이점을 통합하여 조직이 비밀번호를 사용하지 않도록 도와줍니다.
두 번째 솔루션은 SMS 기반 인증(사용자의 개인 디바이스로 직접 OTP를 전송하는 방식) 및 음성 OTP와 같은 전통적인 MFA입니다.
유지 관리 및 지원 비용
유지 관리 및 지원 비용도 시간이 지남에 따라 총 비용에 추가될 수 있으며, 특히 모바일 기반 MFA 솔루션의 경우 더욱 그렇습니다. 이러한 비용에는 모바일 애플리케이션에 대한 지속적인 업데이트, 최신 운영 체제와의 호환성 보장, 모바일 플랫폼 고유의 보안 취약성 해결 등이 포함되는 경우가 많습니다. 또한 공급업체는 안정적인 푸시 알림 서비스 유지, 디바이스별 문제 해결, 다양한 모바일 디바이스를 사용하는 사용자를 위한 지원 제공에 대한 비용을 청구할 수도 있습니다. 또한 조직은 모바일 앱 업데이트를 처리하고 IT 에코시스템과의 원활한 통합을 보장하기 위해 사용자 교육에 투자해야 할 수도 있습니다. 시간이 지남에 따라 이러한 요소는 모바일 MFA 구현의 총 소유 비용에 큰 영향을 미칠 수 있습니다.
SMS와 음성 OTP에는 알려진 보안 결함이 있습니다: SMS OTP는 암호화되지 않으며 네트워크 중단, SIM 스와핑, 소셜 엔지니어링, SS7 및 중간자 공격에 취약합니다. RSA는 조직이 장기적으로 더 강력하고 진정한 의미의 비밀번호 없는 인증으로 전환할 것을 권장합니다.
하지만 여전히 많은 조직에서 이러한 방법을 사용하고 있습니다:
- 다양한 액세스 수준과 위험도를 가진 다양한 사용자 그룹을 지원합니다.
- 는 소규모 기업이나 특정 환경에 가장 적합한 MFA 옵션인 경우가 많습니다.
미국 국립표준기술연구소(NIST)는 기관들이 "현재 구현의 실용성과 미래의 요구 사항"의 균형을 맞춰야 하며, "오늘날 두 번째 요소로 SMS를 모바일에 활용하는 것은 다른 접근 방식보다는 덜 효과적이지만 단일 요소보다는 더 효과적"이라고 썼을 때 이와 같이 말했습니다.
모든 사용자를 고려하고, 사이버 보안을 강화하며, 비용을 관리해야 하는 필요성 사이에서 균형을 맞출 수 있는 올바른 방법은 없습니다. 조직은 이러한 각 요소를 자체적으로 검토하고 고유한 위험 프로필, 리소스, 사용자 및 목표에 따라 솔루션을 선택해야 합니다.
다음은 멀티팩터 인증 비용을 관리하기 위한 실용적인 단계입니다:
- 휴대폰과 같은 기존 디바이스를 활용하여 하드웨어 투자를 최소화하세요.
- 조직과 함께 성장하는 확장 가능한 MFA 솔루션을 선택하세요.
- 장기 투자를 결정하기 전에 무료 평가판 또는 파일럿을 사용하여 솔루션을 평가하세요.
올바른 방법은 없지만 적어도 한 가지 잘못된 방법은 있습니다. 조직은 보안 솔루션이 공급업체에 의해 좌우되도록 해서는 안 됩니다. 공급업체가 기한을 강요하거나 불완전하지만 여전히 중요한 요구 사항을 충족하는 기능을 제거하면 이러한 요소의 균형을 맞추는 것은 그 자체로도 충분히 어렵습니다.
