다단계 인증(MFA)-또는 누군가가 보안 리소스에 대한 액세스를 요청할 때 둘 이상의 식별 요소를 사용하는 것은 자격 증명 관련 공격을 차단하고 사이버 보안 규정을 준수하며 리소스를 안전하게 유지하는 데 매우 중요합니다. MFA는 단순한 사용자 이름/비밀번호 조합 외에 추가적인 인증 요소(또는 요소들)를 요구함으로써 액세스를 시도하는 공격자에게 또 다른 장애물을 만듭니다. MFA는 지난 수십 년 동안 널리 채택된 이후 매우 효과적이었으며, 한 연구에 따르면 다음과 같은 분야에서 성공적인 것으로 입증되었습니다. 99.99% 이상의 계정 보안 유지.
공격을 차단하는 MFA의 효과로 인해 공격자들은 점점 더 복잡한 전술을 고안하고 조직의 방어를 우회하는 새로운 공격 경로를 만들려고 끊임없이 노력하고 있습니다. 다행히도 MFA는 새로운 도전 과제에 대응하기 위해 끊임없이 적응하고 있습니다. 이 글에서는 MFA가 고려해야 할 과제, 새로운 MFA 방법, 조직이 MFA 혁신을 평가할 때 고려해야 할 사항 등 앞으로 다가올 MFA 트렌드를 살펴봅니다.
1. 적응형 인증
적응형 인증은 사용자의 부담을 늘리지 않으면서 보안을 강화하기 위해 기존 MFA에서 발전한 방식입니다. 이는 액세스를 위해 자격 증명을 제시하는 사람에 대해 액세스 시도와 관련된 위험 수준에 따라 동적으로 반응하는 고급 형태의 MFA입니다. 예를 들어, 평소 사용하는 디바이스에서 평소 사용하는 위치에서 로그인하는 경우, 적응형 MFA는 이를 인식하여 추가 인증 요소 없이 액세스를 허용합니다.
하지만 낯선 위치에서 인식되지 않는 디바이스로 로그인하거나 평소와 다른 브라우저 또는 네트워크를 사용하는 경우, 적응형 MFA에서 추가 인증 요소를 제공하라는 메시지가 표시될 수 있습니다. 시스템의 인증 요구 사항이 위험도에 따라 실시간으로 증가하기 때문에 이러한 추가 요소를 '단계 인증'이라고 부르기도 합니다. 위협이 계속 진화함에 따라 더 많은 조직에서 적응형 인증을 배포하여 보안이 위협에 대응할 수 있도록 할 것으로 예상됩니다.
적응형 MFA는 정적 인증 방법 및 정책보다 더 강력한 보안을 제공합니다. 적응형 MFA는 실시간으로 위협에 동적으로 적응함으로써 자격 증명 스터핑 및 피싱과 같은 정교한 공격을 탐지하고 차단할 수 있으며, 다음과 같은 문제를 줄일 수 있습니다. MFA 피로 공격자가 악의적인 로그인 시도를 허용하기 위해 사용자에게 인증 프롬프트를 폭격하는 것과 관련이 있습니다. 적응형 인증은 보안을 개선할 뿐만 아니라 사용자가 인증 시 처리해야 하는 인증 프롬프트의 수를 줄여 사용자 경험을 향상시킵니다.
2. 컨텍스트 인식 인증
컨텍스트 인식 인증은 적응형 인증의 구성 요소로, MFA의 주축이 될 것으로 기대할 수 있습니다. 상황 인식 인증은 적응형 인증과 달리 다양한 데이터 포인트를 분석하여 다음과 같은 인증 결정을 내립니다:
- 디바이스 유형: 알려진 디바이스에서 로그인이 이루어지고 있나요?
- 위치: 사용자가 알려진 위치에서 로그인하고 있나요?
- IP 주소: IP가 VPN과 연결되어 있나요?
- 접속 시간: 비정상적인 시간에 로그인이 발생했나요?
- 동작: 타이핑 속도나 마우스 움직임이 일반적인 동작을 반영하나요?
컨텍스트 인식 인증과 적응형 인증 모두 로그인 정보를 분석하지만, 이 둘을 구분하는 한 가지 큰 차이점이 있습니다: 컨텍스트 인식 인증은 로그인 조건을 확인하고 보고하지만 감지된 컨텍스트에 따라 보안을 동적으로 조정하지는 않으며, 대신 사람이 정보에 따라 조치를 취하도록 남겨둡니다. 반면 적응형 인증은 실시간 AI 기반 기능으로 인증을 변경하고 고위험 로그인을 자동으로 차단하는 등 순간적으로 위험을 조정할 수 있습니다.
3. 비밀번호 없는 인증
사용자가 기억하기 어렵고 공격자가 추측하기 쉬운 비밀번호는 특히 보안 액세스가 필요한 리소스의 수가 급증하면서 인증의 취약한 고리가 되고 있습니다. 비밀번호 없는 인증 는 비밀번호에 의존하지 않고 신원을 확인함으로써 이러한 딜레마를 해결합니다. 비밀번호 없는 인증 프로세스는 검증된 하드웨어 토큰, 생성된 일회용 비밀번호(OTP), 푸시 투 승인과 같은 앱 기반 작업 등 광범위한 비암호 기반 요소를 사용합니다. 비밀번호 없는 옵션이 많을수록 기업은 특정 요구 사항이나 특정 사용자 그룹에 맞게 비밀번호 없는 환경을 맞춤화할 수 있는 기회가 더 많아집니다.
비밀번호 없는 인증은 점점 더 정교하고 효과적으로 진화하고 있습니다. MFA의 진화에 영향을 미치는 한 가지 트렌드는 사용자 경험을 개선하기 위해 비밀번호 없는 방법을 사용하는 조직이 늘고 있다는 것입니다. 예를 들어, 내부 시스템 보안을 강화하고 피싱을 방지하며 제로 트러스트 상태를 성숙시키기 위한 수단으로 생체 인식을 통한 비밀번호 없는 로그인으로 전환하는 기업이 점점 더 많아지고 있습니다.
패스키 는 비밀번호 없는 인증 방법을 통해 기업 보안을 개선할 수 있는 또 다른 방법을 제공합니다. 과거에는 주로 소비자 경험과 연관되어 있었지만, 이제는 특히 기업에서 사용하는 MFA의 미래가 점점 더 중요해지고 있습니다. 조직이 패스키를 성공적으로 배포하기 위해서는 기업용으로 적합한 솔루션을 활용하고 보안을 극대화하는 것이 관건입니다.
이를 위해 조직은 일반적으로 다음을 사용해야 합니다. 디바이스 바인딩 패스키 여러 기기에서 자유롭게 동기화되는 패스키가 아니라.
4. 탈중앙화 신원 확인(DID)
의 조합 탈중앙화 신원 확인(DID) 및 블록체인 기술 는 MFA의 진화에 영향을 미칠 것입니다. DID 환경에서는 데이터베이스나 대규모 기술 플랫폼과 같은 중앙화된 기관에 의존하지 않고 사용자가 직접 자신의 신원을 소유하고 제어합니다. 예를 들어, 사용자는 조직 계정을 사용하여 리소스에 로그인하는 대신 블록체인을 인증 기록의 변조 방지 원장으로 사용하여 검증된 자격 증명을 탈중앙화된 지갑에 추가할 수 있습니다.
DID + 블록체인 접근 방식은 여러 가지 방식으로 MFA를 개선할 수 있는 잠재력을 가지고 있습니다. 인증 데이터를 제어하는 중앙 기관의 존재를 제거함으로써 데이터 유출의 위험을 줄입니다. 또한 블록체인에 저장된 암호화 키를 통해 신원을 확인함으로써 비밀번호 없는 인증을 지원합니다. 그리고 안전하게 저장된 개인 키를 인증에 사용하기 때문에 피싱 공격을 무력화할 수 있습니다.
5. MFA의 새로운 기술
몇 가지 새로운 기술은 좋은 쪽으로든 나쁜 쪽으로든 MFA에 엄청난 영향을 미칠 수 있는 잠재력을 가지고 있습니다. 긍정적인 측면, AI 는 선제적이고 적응적이며 자동화된 위협 탐지를 가능하게 하고 있으며, 사이버 위협이 진화함에 따라 AI 기반 시스템이 실시간 위협 방어의 열쇠를 쥐게 될 것입니다. 하지만 사이버 공격자들은 AI를 사용하여 새롭고 강력한 위협 메커니즘을 만들 수도 있습니다. 하지만 최근 사이버 보안 전문가 대다수가 실시한 설문조사에 따르면 RSA 설문 조사 (80%)는 향후 몇 년 동안 AI가 사이버 범죄자를 돕는 것보다 사이버 보안을 강화하는 데 더 많은 역할을 할 것으로 기대한다고 보고했습니다.
IoT 및 커넥티드 디바이스를 MFA 요소로 사용하면 인증에 잠재적인 이점과 잠재적인 위협이 모두 존재합니다. IoT 디바이스는 근접 기반 인증(스마트워치로 노트북의 잠금을 해제하는 것), 상황 인식 액세스(IoT 센서가 위치 및 기타 요소를 기반으로 사용자를 확인하는 것), 디바이스가 인증된 사용자를 자동으로 인식하는 제로 터치 인증을 구현하는 데 중요한 역할을 합니다. 하지만 동시에 IoT는 여러 디바이스 및 리소스와 상호 연결되어 있기 때문에 인증 위험을 초래할 수 있는 경로가 더 많이 열릴 수도 있습니다.
MFA에 잠재적인 문제가 될 수 있는 신흥 기술 중 하나는 양자 컴퓨팅으로, 이는 MFA 시스템을 보호하는 암호화 기술에 심각한 위협이 될 수 있습니다. 하지만 다행히도 양자 컴퓨팅을 사용하여 암호화 또는 MFA를 뚫은 사례는 아직까지 확인된 바 없습니다. 그리고 양자 컴퓨팅 는 현재 사용 가능한 것보다 더 많은 리소스가 필요하며, 이 기술은 아직 초기 단계에 있으며, MFA 또는 암호화에 대한 위험은 아직 이론적인 것에 불과합니다. NIST는 2048비트 키가 최소 2030년까지 충분한 보호 기능을 제공할 것이며, 대부분의 최신 웹 브라우저는 필요한 경우 4096비트 키를 지원할 수 있다고 밝혔습니다.
또한, 양자 안전 MFA 프로토콜을 생성하는 양자 내성 암호화 알고리즘을 표준화하기 위해 NIST가 취하고 있는 조치를 포함하여 MFA를 양자 내성으로 만들기 위한 작업이 순조롭게 진행 중입니다. 이 기관은 새로운 포스트퀀텀 FIPS 암호화 표준을 발표했습니다(FIPS 203, FIPS 204, 및 FIPS 205). 조직은 이 지침을 검토하고 지금 바로 시행을 시작해야 합니다.
귀사의 인증 기능이 오늘날 MFA가 직면한 과제와 이를 우회하기 위해 진화하는 새로운 위험에 어떻게 대응할 수 있을까요?
방어는 이러한 트렌드를 인지하고 최신 정보를 파악하는 것에서 시작되며, 올바른 조치를 취하여 앞서나가는 것에서 계속 이어집니다. 즉, 적응형 인증, 비밀번호 없는 인증으로 전환, 새로운 MFA 관련 기술 탐색과 같은 MFA의 발전된 기술을 채택하여 이러한 기술이 가져올 수 있는 이점과 발생할 수 있는 위험을 이해해야 합니다. 언제나 그렇듯이 RSA가 도와드리겠습니다.
