피싱 방지 비밀번호 없는 모범 사례: Gartner® 보고서 읽기

피싱 방지란 무엇인가요?

피싱 방어가 시급하다는 이야기를 많이 듣는데, 최근 다음과 같은 공격에서 알 수 있듯이 피싱은 심각한 위협이 되고 있습니다. 의료 서비스 변경 및 피델리티 투자 시연합니다.

피싱은 공격자가 사기성 이메일, 웹사이트 또는 메시지를 통해 사용자를 속여 인증정보나 민감한 정보를 공개하도록 유도하는 사이버 공격의 한 유형입니다. 비밀번호 없는 접근 방식을 포함한 피싱 방지 인증 방법은 인증을 디바이스 또는 출처에 바인딩하고 공유된 비밀을 제거하여 자격 증명 도용을 방지하도록 설계되었습니다.

비밀번호 없는 인증: 무엇을 기다리고 계십니까?

또한 M-22-09, 행정명령 14028, M24-14와 같은 지침에서 다중 인증(MFA) 이상의 것을 요구하는 등 조직을 피싱으로부터 안전하게 만드는 데 있어 비밀번호 없는 인증의 중요성에 대해 많이 듣습니다. OMB - M-22-09에 따르면 "기관은 인증 시스템을 현대화할 때 비밀번호 없는 다단계 인증을 더 많이 사용하도록 권장합니다."

그러나 비밀번호 없는 환경의 필요성은 피싱에 대응하는 것을 넘어 모든 종류의 사이버 공격을 차단할 수 있는 실질적인 보호 기능을 제공하는 인증 환경을 구축하는 데까지 확장됩니다. Gartner® 보고서에 따르면 비밀번호 없는 인증으로 마이그레이션하여 보안을 강화하고 UX 최적화하기 지적합니다:

"다단계 인증(MFA)의 일부로라도 계속해서 비밀번호에 의존하는 조직은 비밀번호 없는 방법으로 마이그레이션한 조직보다 안전성이 떨어집니다."

RSA는 왜 더 많은 조직이 비밀번호 없는 인증을 채택하는 데 더 큰 진전을 이루지 못하는지 궁금할 때가 많습니다. 이 Gartner 보고서는 조직이 비밀번호 없는 인증을 도입하지 못하는 이유를 자세히 살펴보고, 앞으로 나아가기 위한 실질적인 권장 사항을 공유하며, 비밀번호 없는 인증으로 전환할 수 있는 모든 기회를 잡기 위한 단계적 접근 방식을 제시합니다.

비밀번호 없이 진행해야 하는 이유

비밀번호 없이 전환할 때 고려해야 할 문화와 시스템의 조정을 고려하면 조직에서 주저하는 것이 당연할 수 있습니다. 하지만 증명된 자격증명 도용의 위험을 고려할 때 조속히 조치를 취하는 것이 합리적입니다. 사용자의 비밀번호가 많은 환경일수록 위험도 커집니다.

CISO나 ID 및 액세스 관리(IAM) 책임자가 새로운 비밀번호 없는 기술에 너무 빨리 투자하는 것을 걱정한다면, 그 사이 자격증명 기반 공격의 피해자가 될 수 있는 매우 현실적인 위험에 직면하게 될 것입니다. 이러한 사이버 보안 위험은 대부분의 조직이 망설이는 이유보다 더 큰 것 같습니다.

FIDO 얼라이언스에 따르면 87%의 기업이 보안과 UX를 강화하기 위해 패스키를 배포하고 있거나 배포할 계획이라고 합니다. 기업뿐만 아니라 소비자들도 비밀번호 없는 인증으로 점점 더 이동하고 있으며, 현재 1억 7,500만 명 이상의 Amazon 고객이 패스키를 사용하여 로그인하고 있습니다.

취약한 MFA를 우회하는 일반적인 피싱 수법

기존 MFA를 사용하는 조직도 인증 방법이 피싱 방지 기능이 없는 경우 취약할 수 있습니다:

자격증명 가로채기: SMS, 이메일 또는 인증 앱을 통해 전송된 OTP를 캡처할 수 있습니다.
중간자 공격: 공격자는 가짜 로그인 포털을 통해 사용자를 속여 자격 증명을 제공하도록 유도합니다.
멀웨어 키로거: 소프트웨어는 비밀번호와 OTP를 포함한 키 입력을 기록합니다.
피싱 키트: 자동화된 공격 프레임워크는 디바이스나 출처에 암호화되지 않은 MFA 방법을 대상으로 합니다.

비밀번호 없는 솔루션 구현을 위한 모범 사례

Gartner 보고서에 따르면 조직은 관리 가능한 단계로 비밀번호 없는 환경을 성공적으로 구현할 수 있습니다: "IAM 리더는 단계적 접근 방식을 따라야 합니다."

이 보고서는 조직이 취해야 할 네 가지 구체적인 단계를 제안합니다:

비밀번호가 사용되는 곳의 목록부터 시작하여 사용 사례를 파악하세요.
보안 및 UX 목표에 따라 목표 상태에 동의합니다.
다양한 방법과 흐름 중에서 선호도를 파악합니다.
인력 및 고객 사용 사례에 대한 로드맵을 만드세요.

에서 RSAC 컨퍼런스 2025, 에서 비밀번호 없는 전환은 미래를 위한 계획만큼이나 현재 인증 방법과 MFA 배포에 대한 감사가 필요한 여정이라고 설명했습니다. 현재 강력한 인증을 도입하고 있는 조직이라면 이미 비밀번호 없는 환경으로 가는 절반의 단계에 도달한 것일 수 있습니다.

피싱 방지 MFA 작동 방식

피싱 방지 MFA는 인증을 사용자의 디바이스와 출처에 바인딩하고 네트워크를 통해 공유된 비밀을 제거하는 방식으로 작동합니다. 방법은 다음과 같습니다:

패스키 및 앱 기반 푸시 알림: 사용자는 네트워크를 통해 비밀번호를 전송하지 않고도 모바일 장치에서 인증 요청을 승인하거나 거부할 수 있습니다.
디바이스 기반 요인: 신원 확인은 공유 자격 증명이 아닌 특정 디바이스에 연결됩니다.
하드웨어 기반 인증: RSA 아이쉴드 키 2 시리즈 및 RSA DS100 인증기는 FIDO2 암호 없는 인증을 지원합니다.
생체 인식: Android, iOS, Windows 디바이스에서 지문 및 얼굴 인식.
스마트 카드 / PKI 인증서: 정부 및 규제가 엄격한 산업에서 일반적으로 사용됩니다.

기업에게 피싱 방지 MFA가 필요한 이유

OTP와 기존 MFA를 노리는 피싱 공격의 정교함 증가
규제 동인(NIST 800-63B, 행정 명령 14028, CISA 제로 트러스트 지침)
실제 인증정보 도용 위험
기존 MFA보다 향상된 보안 및 사용자 경험

지금 바로 비밀번호 없는 전환을 지원하는 RSA 기능 및 리소스

가트너 보고서에 따르면 “IAM 리더는 쉽게 지원되는 곳에 비밀번호 없는 방법을 구현하고 비밀번호 없는 인증을 다른 사용 사례로 확장하기 위한 추가 조치를 취해야 합니다.”라고 명시되어 있습니다.”

암호 없는 솔루션을 구현하려는 조직을 위해 RSA는 AI 기반 RSA 통합 ID 플랫폼 내에서 사용할 수 있는 다양한 특정 암호 없는 기능과 리소스를 제공합니다.

패스키: RSA는 다음을 통해 패스키를 지원합니다. RSA 인증 앱, 를 사용하면 장치를 패스키로 등록하여 비밀번호 없는 인증에 사용할 수 있습니다.
앱 기반 푸시 알림: RSA는 사용자가 모바일 장치에서 인증 요청을 승인하거나 거부할 수 있는 앱 기반 푸시 알림을 제공합니다.
디바이스 기반 요인 RSA 신원 확인 기능에는 피싱 및 기타 공격의 표적이 될 수 있는 인증 정보 집합이 아닌 특정 디바이스에 대한 신원 연결이 포함됩니다.
하드웨어 기반 인증: 하드웨어 기반 인증 RSA iShield Key 2 시리즈 의 인증자와 RSA DS100 인증기 모두 생체 인식이나 휴대폰이 적합하지 않을 수 있는 사용 사례(예: 의료 전문가가 플라스틱 장갑과 마스크를 착용해야 하는 경우 또는 인터넷 연결 장치가 허용되지 않는 클린룸)를 위해 FIDO2 기반 비밀번호 없는 인증을 제공합니다.
생체 인식: RSA는 Android 및 iOS 기기에서 지문 및 얼굴 인식을 지원합니다. 또한 Windows 사용자를 위한 생체 인증 방법으로 Windows Hello를 지원합니다.

기타 피싱 방지 MFA 기술

RSA의 비밀번호 없는 디바이스 기반 솔루션 외에도 조직은 피싱 방지 MFA 기술을 추가로 활용하여 보안을 강화할 수 있습니다:

스마트 카드 / PKI 인증서: 보안 장치에 저장된 인증서는 정부 및 규제가 엄격한 산업에서 강력한 인증을 위해 자주 사용됩니다.
모바일 및 데스크톱용 패스키: 여러 플랫폼에서 비밀번호 없이 원활하게 로그인할 수 있는 디바이스 바인딩 자격 증명을 제공합니다.
적응형 MFA: 디바이스 신호, 지리적 위치, 사용자 행동을 결합하여 위험이 감지될 때 더 강력한 인증을 시행하는 상황 인식 인증입니다.
소프트웨어 보안 토큰: 피싱 방지 표준을 충족하는 보안 앱에 저장된 암호화된 생성 키(예: FIDO2 호환 앱)입니다.

이러한 기술을 단계적 배포 전략과 결합하면 기업은 직원과 고객 신원을 모두 보호하는 계층화된 피싱 방지 인증 프레임워크를 구축할 수 있습니다.

피싱 방지 MFA의 이점

크리덴셜 피싱 및 리플레이 공격 차단
규정 준수 의무 및 규제 표준 충족
OTP 기반 MFA에 비해 사용자 경험 향상
기업 및 고객 시스템 전반에서 계정 유출 위험 감소

RSA로 비밀번호 없이 사용

엔터프라이즈급 하드웨어 인증을 원하는 조직을 위해 RSA iShield Key 2 시리즈 는 안전하고 규정을 준수하며 사용자 친화적인 솔루션을 제공합니다. RSA의 비밀번호 없는 피싱 방지 MFA 옵션 전체 제품군과 결합하여 최신 자격증명 공격으로부터 조직을 보호하는 동시에 사용자 액세스를 간소화할 수 있습니다.

자세히 알아보기 비밀번호 없는 기능 의 일부로 사용 가능 RSA ID Plus, 및 무료 평가판 가입하기 를 통해 RSA가 비밀번호 없는 인증으로의 전환을 가속화하는 데 어떻게 도움이 되는지 직접 확인하세요.

Gartner, Inc. 암호 없는 인증으로 마이그레이션하여 보안을 강화하고 UX를 최적화하세요. 앤트 앨런, 제임스 후버. 최초 게시: 2024년 8월 30일

GARTNER는 미국 및 전 세계에서 Gartner, Inc. 및/또는 그 계열사의 등록 상표 및 서비스 마크이며 허가를 받아 여기에 사용되었습니다. 모든 권리 보유.

피싱 방지 MFA FAQ

피싱 방지 MFA의 예는 무엇인가요?

FIDO2 보안 키, 패스키, 스마트 카드, 디바이스 바인딩 생체인식.

피싱 방지 인증이 필요한 규정에는 어떤 것이 있나요?

NIST 800-63B, 행정 명령 14028 및 CISA 제로 트러스트 지침.

FIDO2는 피싱을 어떻게 방지하나요?

웹사이트 출처를 검증하는 디바이스 바인딩 암호화 키를 사용하여 공유된 비밀을 제거합니다.

MFA 피싱에 강한 이유는 무엇인가요?

인증 요소를 디바이스 또는 오리진에 바인딩하고 네트워크를 통해 비밀을 공유하지 않도록 합니다.

OTP 기반 MFA(SMS, 이메일, 인증 앱)는 피싱 방지 기능으로 간주되나요?

아니요, OTP는 공격자가 가로채거나 재생할 수 있습니다.

피싱 방지 MFA를 기존 IAM 플랫폼과 통합할 수 있나요?

예, 최신 MFA 솔루션은 엔터프라이즈 IAM 시스템, SSO 및 클라우드 앱과의 통합을 지원합니다.

기업에서 사용자를 방해하지 않고 피싱 방지 MFA를 구현하려면 어떻게 해야 할까요?

단계적 접근 방식을 취하고, 사용자 친화적인 인증 방법을 선택하고, 명확한 교육과 지원을 제공합니다.

피싱을 방지하는 비밀번호 없는 모범 사례: Gartner® 보고서 읽기

비밀번호 없는 인증: 무엇을 기다리고 계십니까?

취약한 MFA를 우회하는 일반적인 피싱 수법

기업에게 피싱 방지 MFA가 필요한 이유

피싱 방지 MFA의 이점

데모 요청하기