~에 따르면, 도난당한 인증 정보는 여전히 모든 산업 분야에서 초기 침입 경로 상위 두 가지 중 하나로 꼽히고 있다. 2026년 버라이즌 데이터 유출 조사 보고서—그리고 디지털 계좌를 통해 금융 서비스에 직접 접근할 수 있는 은행의 경우, 계좌 탈취 사기, 자격 증명 재사용 공격, 실시간 피싱 공격이 여전히 대규모로 발생하고 있습니다.
규제 당국의 대응은 분명합니다. PSD3와 PSR1이 EU 회원국 전역에서 적극적으로 시행되고 있으며, DORA가 발효되었고, EU, 미국, 아시아·태평양 지역의 규제 당국들은 ‘피싱 방지 인증’이라는 단일 요건을 향해 의견을 모아가고 있습니다.
현재 FIDO2 패스키가 그 기준을 충족할 수 있는 가장 확실한 방법입니다. 하지만 논의는 패스키에서 그치지 않습니다. 양자 컴퓨팅의 등장은 오늘날 인증 아키텍처의 암호화 기반이 장기적인 위협에 직면해 있음을 의미하며, 선견지명을 가진 기관들은 이에 대비해 지금부터 계획을 수립해야 합니다. 이 기사에서는 은행 업계에서 FIDO2 무비밀번호 인증이 어떻게 작동하는지, PSD3 및 PSR1이 요구하는 사항은 무엇인지, 그리고 왜 양자 저항 암호학이 귀사의 로드맵에 포함되어야 하는지 설명하며, 귀사의 현재 상황을 평가할 수 있는 8가지 질문도 함께 제시합니다.
현대적인 은행 사기 사건에서 비밀번호만을 단독으로 노리는 경우는 거의 없습니다. 공격자들은 비밀번호를 중심으로 구축된 시스템을 악용합니다. 실시간 피싱 프록시는 사용자가 SMS 일회용 인증 코드를 입력하기 전에 이를 가로채고, SIM 스왑 공격은 인증 메시지를 공격자가 제어하는 기기로 우회시키며, 헬프데스크 진입 지점에서 이루어지는 사회공학 공격은 1차 인증 절차를 아예 우회합니다. 공유 비밀을 기반으로 한 인증 방식은 정책 통제만으로는 차단할 수 없는 공격 표면을 만들어 냅니다.
은행업이 자격 증명 공격의 주요 표적이 되는 이유는 무엇일까요?
계정 탈취 사기는 여전히 디지털 뱅킹 분야에서 가장 주요한 공격 수단으로 남아 있습니다. ‘크레덴셜 스터핑’ 도구는 자동화된 캠페인을 통해 이전에 유출된 수십억 건의 사용자 이름-비밀번호 조합을 은행 포털에 대입해 테스트합니다. 다단계 인증(MFA)은 보안 수준을 높였지만, 모든 MFA가 동등한 것은 아닙니다. SMS 일회용 비밀번호(OTP)와 푸시 알림은 여전히 피싱 공격의 대상이 될 수 있습니다. 공격자가 사용자를 속여 실시간 푸시 알림을 승인하게 만들면, 인증 흐름에 포함된 두 번째 인증 요소와 상관없이 계정에 접근할 수 있게 됩니다.
FIDO2 패스키(passkeys)는 정책 수준이 아닌 아키텍처 수준에서 이 문제를 해결합니다. 공유 비밀을 없애고 자격 증명을 특정 신뢰 당사자(RP) 도메인에 바인딩함으로써, 피싱 공격을 경제적으로 타당하게 만드는 메커니즘을 제거합니다. 즉, 가로채거나 중계하거나 재전송할 대상이 전혀 없게 되는 것입니다.
FIDO2는 다음 기관에서 개발한 개방형 인증 표준으로, FIDO 얼라이언스 W3C와 협력하여 개발되었습니다. 이 WebAuthn 사양을 통해 브라우저와 애플리케이션은 비밀번호 대신 암호화 자격 증명(패스키)을 사용하여 사용자를 인증할 수 있습니다.
사용자가 패스키를 등록하면 기기에서 공개-개인 키 쌍이 생성됩니다. 개인 키는 기기 밖으로 절대 유출되지 않으며, 은행은 공개 키만 저장합니다. 인증 과정에서 은행이 챌린지를 전송하면, 기기는 이를 개인 키로 서명하고, 은행은 해당 서명을 검증합니다. 어떤 비밀 정보도 전송되지 않습니다. 또한 각 인증 정보는 특정 도메인에 암호학적으로 바인딩되어 있으므로, 정식 은행 포털과 픽셀 단위로 완벽하게 일치하는 피싱 사이트에서도 사용할 수 없습니다.
패스키 대 하드웨어 보안 키: 귀행에 적합한 선택은 무엇일까요?
패스키에는 크게 두 가지 형태가 있습니다. 동기화된 패스키(passkeys)는 Apple iCloud 키체인이나 Google 비밀번호 관리자와 같은 플랫폼 생태계를 통해 사용자의 여러 기기에 자동으로 복제됩니다. 이는 비밀번호 복구를 간소화하며 소매 고객에게 특히 적합합니다. 기기 전용 패스키는 단일 기기에만 연동되며 외부로 내보내지지 않아, 특권 액세스, 기업 금융 사용자 또는 고액 거래 흐름에 대해 더 높은 보안성을 보장합니다.
최고 수준의 보안을 필요로 하는 기관(기업 금융, 특권 관리자, 또는 사용자의 주 기기와 분리된 환경을 요구하는 경우 등)의 경우, 하드웨어 보안 키는 인터넷에 노출되지 않는 전용 인증 수단을 제공하며, 사용 시마다 반드시 사용자의 존재를 확인해야 합니다. RSA iShield Key 2 시리즈 다음과 연동되는 FIDO2 인증 하드웨어 인증 기능을 제공하며 RSA ID Plus 클라우드, 하이브리드 및 온프레미스 환경을 아우르며, 은행이 단일 플랫폼을 통해 각 사용자 그룹에 적합한 인증기를 배포할 수 있도록 지원합니다.
RSA는 자사의 전 세계 직원들을 대상으로 FIDO2 비밀번호 없는 인증 방식을 도입했으며, 12개월 만에 관리 대상 엔드포인트에서 거의 100%에 가까운 도입률을 달성했습니다. 레거시 시스템과의 연동 문제 처리 방법 및 기업 차원의 변경 관리 방안 등을 포함한 전체 사례는 다음 문서에 상세히 기록되어 있습니다. RSA 내부: FIDO 및 암호 없는 솔루션을 대규모로 배포하기 FIDO 얼라이언스와 공동으로 개발한 사례 연구.
FIDO2는 올바르게 구현될 경우 PSD2의 강력한 고객 인증(SCA) 요건을 충족할 수 있습니다. 인증 장치는 ’소지’ 요소를 제공하며, 생체 인식 또는 PIN은 ‘본질’ 또는 ‘지식’ 요소를 제공합니다. 특정 거래 금액 및 수취인과 인증을 연동하는 ‘동적 연동’ 기능을 FIDO2 프로세스에 통합함으로써, 신원 인증과 결제 승인 모두를 아우르는 완벽한 SCA 솔루션으로 활용할 수 있습니다.
PSD3/PSR1은 은행 인증에 어떤 변화를 가져오나요?
PSD3와 이에 수반되는 규정인 PSR1은 2025년에 정치적 합의에 도달했으며, 현재 적극적으로 시행되고 있으며, 이행 기한은 2027년과 2028년까지 이어집니다. 인증 담당 팀에게 가장 중요한 세 가지 변경 사항이 있습니다. 첫째, PSD3/PSR1은 피싱 방지형 SCA에 대한 강화된 기준을 도입하여, PSD2의 기본 2단계 인증 모델을 넘어 가로채거나 중계할 수 없는 방식으로 전환하고 있습니다. 둘째, 피싱 방지형 인증 수단이 있었음에도 이를 도입하지 않은 사기 사건의 경우, 은행이 부담해야 할 법적 책임이 커집니다. 셋째, 금융 기관은 주 인증 방식을 사용할 수 없는 사용자를 위해 대체 인증 방식을 의무적으로 제공해야 하며, 이는 단일 방식의 배포가 아닌 다중 인증기 아키텍처를 요구합니다.
기기 전용 패스키 또는 하드웨어 보안 키를 사용하는 FIDO2 방식은 PSD3/PSR1의 지침과 직접적으로 부합합니다. 이미 FIDO2를 도입한 기관은 규정 준수 여부를 입증하고, 규제 당국이 요청할 접근 검토 기록 및 감사 문서를 제출하는 데 더 유리한 입장에 서게 될 것입니다. RSA 거버넌스 및 수명 주기 접근 검토 기록 및 규정 준수 보고서를 자동화하여, 감사 준비 기간을 몇 주에서 몇 시간으로 단축합니다.
현재의 비대칭 암호화를 해독할 수 있는 양자 컴퓨터는 아직 상용화되지 않았습니다. 그러나 이에 대한 대비 문제는 이미 대두되고 있습니다. “지금 수집하고 나중에 해독하기(harvest now, decrypt later)”로 알려진 공격 전략—즉, 양자 기술이 성숙해지면 해독할 목적으로 오늘날 암호화된 네트워크 트래픽을 수집하는 것—은 이미 고가치 기관을 표적으로 삼는 정교한 위협 행위자들에 의해 실행되고 있습니다. 인증 트래픽과 장기적인 고객 데이터가 지속적인 관심 대상인 은행의 경우, 이는 양자 위협이 현실화되기 전에 조치를 취해야 할 실질적인 위험 요인으로 작용합니다.
“지금 수집하고 나중에 복호화하기” 위협이란 무엇인가요?
TLS, 디지털 서명, FIDO2 자격 증명 운영의 토대가 되는 오늘날의 표준 공개 키 암호화는, 기존 컴퓨터로는 대규모로 해결할 수 없는 수학적 문제에 의존하고 있습니다. 쇼어의 알고리즘을 실행하는 충분히 강력한 양자 컴퓨터라면 이러한 문제를 효율적으로 해결할 수 있으며, 이로 인해 오늘날의 표준에 따라 암호화된 모든 데이터가 소급적으로 노출될 수 있습니다. 인증 관련 데이터를 저장하거나 전송하는 기관은 정교한 공격자들이 향후 복호화를 위해 이미 해당 데이터를 보관하고 있을 수 있다는 점을 가정해야 합니다.
NIST의 양자 컴퓨팅 시대 대비 표준과 은행 업계의 향후 방향
2024년 8월, NIST는 양자 암호화 시대 이후를 대비한 첫 세 가지 암호화 표준을 최종 확정했다: ML-KEM(격자 기반 키 캡슐화), ML-DSA(격자 기반 디지털 서명), SLH-DSA(해시 기반 서명)는 모두 고전적 공격과 양자 공격 모두에 대해 안전하도록 설계되었습니다. FIDO 얼라이언스는 PQC 알고리즘을 FIDO2 표준에 통합하기 위해 적극적으로 노력하고 있으며, 이를 통해 양자 컴퓨팅 기술이 발전하더라도 패스키와 하드웨어 보안 키가 피싱 공격에 대한 저항성을 유지할 수 있게 될 것입니다.
하이브리드 및 온프레미스 배포를 지원하는 RSA ID Plus는 신원 관리 인프라에 PQC 표준이 통합됨에 따라 금융 기관에 아키텍처적 유연성을 제공합니다. 은행은 대규모 일괄 마이그레이션을 진행할 필요 없이, 지금 당장 인증 방식을 강화하고 FIDO 얼라이언스의 PQC 사양이 성숙해짐에 따라 양자 저항 알고리즘을 단계적으로 도입할 수 있습니다. 자세히 알아보기 RSA의 포괄적인 비밀번호 없는 인증 기능.
이 질문들은 RSA의 기업 도입 경험과 금융 기관을 대상으로 한 최신 규제 지침을 바탕으로 작성되었습니다. 감사 지적 사항으로 이어지기 전에 미비점을 파악하는 데 활용하시기 바랍니다.
- 기본 로그인 경로뿐만 아니라, 가입, 복구 및 정책 처리 흐름 전반에 걸쳐 모든 비밀번호 종속 관계를 파악하셨습니까?
가입 및 계정 복구 프로세스는 가장 흔히 간과되는 비밀번호 의존 요소입니다. 패스키를 도입하기 전에 이러한 요소를 제거하는 것은 진정한 무비밀번호 아키텍처를 구축하는 데 필수적입니다.
- 귀사의 현재 인증 방식은 결제 승인을 위한 동적 연결을 포함하여, 피싱 방지 기능을 갖춘 PSD3/PSR1 SCA 요건을 충족하고 있습니까?
FIDO2는 SCA 요건을 충족할 수 있지만, 실제 준수 여부는 구현 세부 사항에 따라 결정됩니다. 설정 내용이 로그인 시 신원 인증과 결제 승인 시 거래 서명 두 가지 모두를 포함하는지 확인하십시오.
- 귀사의 인증 아키텍처는 소매 고객, 기업 고객, 지점 직원, 특권 관리자 등 다양한 사용자 그룹에 걸쳐 여러 유형의 인증기를 지원할 수 있습니까?
단일 인증 방식만으로는 모든 사용자 그룹의 요구 사항을 충족시키기 어려운 경우가 많습니다. 다중 인증 아키텍처는 향후 업그레이드가 아닌, 계획 단계에서 반드시 고려해야 할 사항입니다.
- 계정 복구 절차가 주 인증 방식만큼 탄탄한가요?
복구 프로세스는 피싱 공격에 견고한 아키텍처에서도 종종 가장 취약한 고리로 작용합니다. 헬프데스크 복구 경로를 통한 사회공학적 공격은 이미 널리 알려진 공격 경로입니다.
- 인증 서비스와 관련된 귀사의 ICT 제3자 계약이 가용성 보장, 사고 통지 기한, 감사 권한 등을 포함한 DORA 제30조의 요건을 준수하고 있습니까?
인증 서비스는 DORA에 따라 핵심 ICT 제3자 서비스로 분류됩니다. 2025년 1월 이전에 체결된 계약의 경우, 다음 감독 검토 전에 계약 내용을 수정해야 할 수 있습니다.
- 현재 사용 중인 인증 스택의 포스트 양자 취약성을 평가해 보셨습니까? 특히, 어떤 암호화 알고리즘이 사용 중이며, 어떤 알고리즘을 전환해야 할지 검토해 보셨습니까?
이는 지금 당장 시작해야 할 계획 수립 작업으로, 아직 일정이 넉넉하여 사후 대응이 아닌 체계적인 방식으로 대처할 수 있는 시기입니다.
- 귀사의 아이덴티티 플랫폼은 운영 탄력성 및 데이터 보관 규정 준수를 위해 하이브리드 또는 온프레미스 배포를 지원합니까?
하이브리드 장애 조치 기능이 없는 클라우드 전용 인증 방식은 DORA의 운영 연속성 요건을 충족하지 못할 수 있습니다. 하이브리드 배포는 규제 당국의 기대 사항으로 점점 더 자리 잡고 있습니다.
- 귀사의 플랫폼은 DORA, PSD3/PSR1 및 국가 규제 감사에 필요한 접근 검토 기록, 사고 로그 및 규정 준수 보고서를 자동으로 생성할 수 있습니까?
대규모로 수동으로 규정 준수 보고를 수행하는 것은 지속 가능하지 않습니다. 인증 플랫폼을 평가할 때 자동화는 명확한 선정 기준이 되어야 합니다.
RSA ID Plus 이것은 8가지 질문 모두에 ‘예’라고 답할 수 있도록 고안되었습니다. RSA의 비밀번호 없는 인증 솔루션을 살펴보세요 또는 상담 신청하기 RSA 신원 보안 팀과 함께.
비밀번호 없는 뱅킹은 단순히 하나의 제품에 대한 결정이 아닙니다. 이는 인증 방식, 계정 복구 절차, 규제 관련 문서, 제3자 계약, 그리고 장기적인 암호화 계획에 이르기까지 광범위한 영역에 영향을 미치는 아키텍처적 전환입니다. FIDO2 패스키(passkeys)는 피싱 방지 기능, 강력한 도메인 기반 암호화, PSD3/PSR1 및 DORA와의 직접적인 규제 준수를 통해 그 기반을 제공합니다. 성공적인 도입을 위해서는 이러한 모든 측면에 걸쳐 조율된 계획이 필요합니다.
RSA는 전 세계 직원들을 대상으로 FIDO2 무비밀번호 인증 시스템을 도입하면서, 그 과정에서 발생한 모든 통합 문제, 레거시 시스템 의존성, 변경 관리상의 난관을 상세히 기록해 두었습니다. RSA의 비밀번호 없는 기능을 살펴보세요, 다음을 읽어보세요. RSA 엔터프라이즈 도입 사례 연구, 또는 상담 신청하기 귀 기관의 준비 상태를 평가하기 위해.
은행 업무에서 비밀번호 없는 인증은 비밀번호와 공유 비밀을 암호화 자격 증명으로 대체하여, 민감한 데이터를 전송하지 않고도 사용자를 인증합니다. FIDO2 패스키(passkey)는 공개-개인 키 암호화를 사용하며, 개인 키는 사용자의 기기를 절대 벗어나지 않고, 은행은 암호화 서명을 검증합니다. 인증 정보는 도메인에 바인딩되어 있으므로, 피싱 및 인증 정보 재사용과 같은 공격 경로를 차단합니다.
사용자가 패스키를 등록하면 기기에서 공개-개인 키 쌍을 생성합니다. 개인 키는 기기에 안전하게 저장되며 외부로 유출되지 않습니다. 인증 과정에서 은행이 챌린지를 전송하면, 기기는 이를 개인 키로 서명하고, 은행은 저장된 공개 키를 사용하여 서명을 검증합니다. 각 인증 정보는 은행의 도메인과 암호학적으로 바인딩되어 있으므로 피싱 사이트에서는 사용할 수 없습니다.
FIDO2는 올바르게 구현될 경우 PSD3/PSR1의 강력한 고객 인증 요건을 충족할 수 있습니다. 기기에 연동된 패스키 또는 하드웨어 보안 키는 ‘소지’ 요소를 충족하며, 생체 인증 또는 PIN은 ‘본질’ 또는 ‘지식’ 요소를 충족합니다. 결제 승인을 위한 동적 연동 기능을 FIDO2 흐름에 통합할 수 있습니다. 은행은 자체 구현 방식이 신원 인증과 거래 서명 모두를 포괄하는지 확인해야 합니다.
동기화된 패스키(passkey)는 iCloud 키체인이나 Google 비밀번호 관리자와 같은 플랫폼 생태계를 통해 여러 기기에 복제되어 사용 편의성을 높이고 셀프 서비스 복구를 지원합니다. 기기 전용 패스키는 단일 인증 장치에 연동되며 외부로 절대 내보내지지 않아, 특권 액세스, 기업 뱅킹 또는 고액 거래에 대해 더 높은 보안성을 보장합니다.
포스트 양자 인증은 양자 컴퓨터 공격에 저항할 수 있는 암호화 알고리즘을 사용합니다. 현재의 FIDO2는 타원 곡선 암호에 의존하고 있는데, 이는 충분히 강력한 양자 컴퓨터라면 해독할 수 있습니다. ”지금 수집하고 나중에 복호화(harvest now, decrypt later)”라는 위협은 공격자들이 향후 복호화를 위해 이미 암호화된 인증 트래픽을 보관하고 있을 수 있음을 의미합니다. NIST는 2024년 8월 세 가지 양자 이후 암호화 표준을 확정했습니다. 은행들은 지금 당장 인증 로드맵에 PQC 전환 계획을 포함시켜야 합니다.
DORA는 EU 금융 기관들이 사이버 사고 발생 시 인증 서비스를 포함한 ICT 시스템의 운영 연속성을 유지할 것을 요구합니다. 인증 플랫폼은 가용성 보장, 사고 통보 기한, 감사 권한 등을 포함하는 ICT 제3자 제공업체에 대한 DORA 제30조의 요건을 충족해야 합니다. 또한 DORA는 인증 시스템의 가용성을 다루는 포괄적인 감사 로그와 검증된 사업 연속성 계획을 요구합니다.
PSD3 및 PSR1은 피싱 방지 인증에 대한 명확한 요구 사항, 피싱 방지 방법이 존재함에도 불구하고 이를 도입하지 않은 사기 사례에서 은행의 책임 확대, 그리고 대체 인증 방법의 의무화를 통해 PSD2의 SCA 요건을 강화합니다. 이행 기한은 2027년과 2028년까지로 연장됩니다.
플랫폼과 계약이 제30조를 충족한다면, 클라우드 기반 인증은 DORA의 요건을 충족할 수 있습니다. 하이브리드 장애 조치 기능 없이 클라우드 인증에만 전적으로 의존하는 기관은 DORA가 요구하는 운영 연속성을 입증하는 데 어려움을 겪을 수 있습니다. RSA ID Plus는 단일 플랫폼에서 클라우드, 하이브리드 및 온프레미스 인증을 모두 지원하며, 하이브리드 장애 복구 기능을 통해 클라우드 연결이 중단되더라도 인증 서비스를 지속적으로 이용할 수 있도록 보장합니다.