사용자 아이디와 비밀번호로 거의 모든 것을 이용할 수 있었던 시절을 기억하시나요? 신원 관련 위협의 지속적인 진화에 대응하여 신원 보안은 상당히 발전해왔고 앞으로도 계속 발전할 것입니다.
다단계 인증(MFA)부터 위험 기반 및 비밀번호 없는 인증에 이르기까지, 신원 보안 전문가들이 위협의 증가에 대응하기 위해 노력하면서 신원을 보호하는 새로운 방법과 도구가 끊임없이 등장하고 있습니다. ID 인증은 이러한 진화의 중요한 단계입니다.
신원 확인은 신원 보안의 진화에서 가장 중요한 발전 중 하나입니다. 이는 조직의 시스템, 애플리케이션 및 데이터에 대한 무단 액세스를 가능하게 하는 자격증명 도용을 억제하는 데 있어 중요한 단계입니다.
신원 확인은 사용자 자격 증명을 검사하고 평가하는 것 이상의 의미를 지닙니다. 이 프로세스는 신원 자체의 진위 여부를 확인하는 대신, 해당 자격 증명을 소유한 사람이나 사물이 아니라 액세스를 요청하는 실제 사용자 또는 디바이스가 진짜인지 확인하는 데 중점을 둡니다.
예를 들어, 누군가를 직접 만나게 하는 등 수동으로 신원을 확인하는 것은 이론적으로는 항상 가능했지만, 특히 원격 근무 시대에는 그렇게 하는 것이 항상 실용적인 것은 아닙니다. 그렇기 때문에 신원 확인을 통한 안전한 등록이 필수적입니다.
신원 확인은 ID 보안 수명 주기의 주요 시점, 특히 새 사용자를 온보딩하거나 자격 증명을 재설정하거나 복구해야 하는 경우와 같은 고위험 상황에서 매우 중요합니다. 특히 직원, 관리자, IT 헬프 데스크가 서로 다른 위치에서 근무하는 경우와 같이 사용자의 신원을 확인하는 것이 비현실적인 상황에서 유용합니다.
또한 보안 등록은 조직이 기대하는 사람과 실제로 함께 일하고 있는지 확인하는 데 필수적입니다. 조직에서 John을 고용하고, 온보딩하고, 액세스 권한을 부여하는 경우 해당 사용자가 실제로 John이어야 합니다. 2023년 데이터 유출로 인한 IBM 보안 비용 보고서 에 따르면 "악의적인 내부자에 의해 시작된 공격이 평균 490만 달러로 가장 비용이 많이 들었으며", 내부자에 의해 시작된 침해는 탐지하는 데 308일이 걸렸습니다. Verizon 2024 데이터 유출 조사 보고서에 따르면 내부 공격자가 351TB의 데이터 유출을 일으킨 것으로 나타났는데, 이는 "작년의 201TB보다 크게 증가한 수치"입니다.
처음부터 직원의 신원을 확인하는 것은 장기적인 보안을 위해 매우 중요합니다. 최근 FBI/IC3 공익 광고 는 북한이 미국에 기반을 둔 개인을 이용해 부정 고용을 하고 미국 기업 네트워크에 접근하는 위협에 대해 강조했습니다. FBI는 지원자의 사기를 방지하기 위해 채용 시 신원 확인을 실시하는 것이 가장 중요하다고 강조하며 강력한 신원 확인 절차의 중요성을 강조했습니다.
국가가 후원하는 스파이 활동은 너무 극적으로 들리지만, 여전히 소름 끼치는 (그러나 여전히 소름 끼치는) 위험이 있습니다. 가짜 후보 트렌드 X가 채용 면접을 볼 때 Y가 나타나지 않는 경우입니다.
신원 확인을 하지 않으면 사칭자가 자격 증명을 부여받거나 다른 사람의 자격 증명을 도용하여 그 사람인 것처럼 가장하여 자격 증명을 복구하는 것이 전적으로 가능합니다. 신원 확인은 사용자의 신원, 사용자 인증 절차 또는 사용자가 가져야 할 자격이 불분명할 때 고위험 지점에 개입할 수 있는 방법을 제공합니다. 2022년 위협 행위자가 비정부 조직의 클라우드 및 이메일 계정에 액세스한 경우 이 프로세스를 부분적으로 사용합니다.
ID 확인 프로세스는 각각을 명확히 하여 사용자가 가지고 있는 자격 증명을 기반으로 자신이 누구인지 증명하도록 요청할 뿐만 아니라 실제로 는 해당 자격 증명을 보유할 자격이 있는 사람입니다.
앞서 언급한 주요 포인트에서 작동하는 방식은 다음과 같습니다:
- 자격 증명 등록: 신원 확인은 신규 사용자에게 생체 인식 또는 정부 발급 신분증과 같은 신원 증명을 요구하여 등록을 안전하게 보호합니다. 오늘날의 온라인 플랫폼은 이 과정을 안전할 뿐만 아니라 편리하고 실용적으로 만들어 줍니다. 사용자는 신원 증명을 직접 제시하지 않고도 디지털 방식으로 신원 확인을 할 수 있습니다. 이를 통해 원격 근무자와 조직은 안전하고 효과적으로 업무를 수행할 수 있습니다.
- 자격 증명 복구: 사용자 이름과 비밀번호와 같은 기본 인증 정보를 가지고 있는 경우, 헬프 데스크에 연락하여 잊어버렸다고 주장하며 이러한 인증 정보를 탈취하려는 악의적인 행위가 드물지 않게 발생합니다. 사용자 이름 ALPHV 랜섬웨어 공격 라스베가스 리조트에서 이 기법을 사용한 것으로 알려졌으며, 피해액은 1조 4천억 원에 달하는 것으로 알려졌습니다. 이러한 시도를 막으려면 신원 증명을 요구하는 것이 필수적이며, 이제 합법적인 사용자에게는 원활한 방법으로 신원 증명을 요구할 수 있습니다. 이것이 바로 RSA가 올해 말 신원 확인 워크플로에 자격증명 복구 기능을 추가하는 이유입니다.
RSA는 다음과 협력하고 있습니다. ID Dataweb, 와의 파트너십을 통해 RSA 고객을 위한 안전한 등록과 안전한 자격증명 복구 프로세스를 모두 지원합니다. 양사의 파트너십은 싱글 사인온(SSO) 기능인 RSA 마이 페이지에 이러한 프로세스를 내장합니다.
ID 데이터웹 기술은 RSA 마이 페이지에 원활하게 통합되어 사용자가 가까운 사무실을 찾아 방문할 필요 없이 디지털 방식으로 빠르고 안전하게 신원을 확인할 수 있습니다. 자격증명 복구도 마찬가지로 간편합니다.
"RSA는 최첨단 통합 ID 플랫폼을 통해 보안 분야의 리더로 자리매김하고 있습니다."라고 ID 데이터웹의 제품 및 운영 담당 부사장인 매트 코크란은 말합니다. "ID 데이터웹의 독보적인 신원 확인 기능을 통합함으로써 RSA는 이제 코드 없이 클릭 한 번으로 간편하게 고급 신원 증명 워크플로우를 배포할 수 있게 되었습니다. 동급 최고의 솔루션을 통합함으로써 RSA 사용자는 원활하고 안전하게 온보딩하고 생산성을 높일 수 있습니다."
등록 및 자격 증명 모두에서 ID 확인은 초기 인증 후 ID Dataweb의 확인 워크플로우를 따르는 간단한 프로세스입니다. 이 워크플로는 다음을 통해 활성화됩니다. RSA의 OpenID Connect(OIDC) 커넥터를 사용하여 사용자 인증을 수행합니다.
이 모든 것은 인증, 액세스, 거버넌스 및 수명주기를 결합하여 조직이 위험을 방지하고 위협을 감지하며 IAM을 넘어 발전할 수 있도록 지원하는 RSA 통합 ID 플랫폼의 일부입니다.
다운로드 솔루션 개요 를 클릭하여 RSA를 사용한 본인 인증에 대해 자세히 알아보세요.
