MFA는 다음을 의미합니다. 다단계 인증, 이름에서 알 수 있듯이 다단계 인증 (MFA)는 애플리케이션, 웹사이트 또는 기타 리소스에 대한 액세스를 요청하는 사람의 신원을 확인하기 위해 여러 가지 요소를 사용하는 것을 말합니다. 예를 들어, 다단계 인증은 비밀번호를 입력하여 액세스 권한을 얻는 것과 비밀번호와 일회용 비밀번호(OTP) 또는 비밀번호와 보안 질문에 대한 답변을 입력하는 것의 차이점입니다.
다단계 인증은 여러 가지 방법으로 신원을 확인하도록 요구함으로써 사용자가 실제 본인임을 더욱 확실하게 확인하여 민감한 데이터에 대한 무단 액세스의 위험을 줄여줍니다. 도난당한 비밀번호를 입력하여 액세스 권한을 얻는 것과 도난당한 비밀번호를 입력한 후 정상적인 사용자의 스마트폰으로 전송된 OTP를 입력해야 하는 것은 완전히 다른 문제입니다.
두 가지 이상의 요소를 조합하는 것은 모두 다단계 인증에 해당합니다. 두 가지 요소만 사용하는 경우도 2단계 인증이라고 할 수 있습니다.
1단계 - 사용자 이름 및 비밀번호 입력
다단계 인증 프로세스의 첫 번째 단계는 일반적으로 사용자가 고유한 사용자 이름과 비밀번호를 입력하는 것입니다. 이 전통적인 인증 방법은 무단 액세스에 대한 초기 방어선인 경우가 많습니다. 사용자는 보안 로그인 페이지에서 자격 증명을 제공하라는 메시지를 받게 됩니다. 그러나 피싱 공격, 소셜 엔지니어링, 중간자 공격, 위협 행위자가 사용자의 자격 증명을 사용할 수 있게 만든 타사 데이터 유출 등 다양한 위협으로 인해 사용자 이름과 비밀번호에만 의존하는 것은 부적절할 수 있습니다.
따라서 기존의 MFA 프로세스를 완료하든 비밀번호를 넘어서든 조직의 보안 태세를 강화하기 위해서는 추가적인 인증 방법이 필요합니다.
2단계 - 토큰 또는 PIN 입력
사용자 이름과 비밀번호를 성공적으로 입력한 후 대부분의 MFA 프로세스는 사용자에게 임시 개인 식별 번호(PIN) 또는 일회용 비밀번호(OTP)를 입력하도록 요청합니다. 이 단계의 주요 특징은 토큰이 시간에 민감하고 종종 일정한 간격으로 변경된다는 것입니다. 즉, 악의적인 공격자가 사용자의 비밀번호를 알아내더라도 로그인 프로세스를 완료하려면 토큰에 대한 액세스 권한이 필요합니다. 이러한 이중 인증 요건은 사용자 계정의 보안을 크게 강화하여 침입자의 접근을 훨씬 더 어렵게 만듭니다.
두 번째 요소로 OTP를 사용하면 비밀번호를 사용하는 것보다 훨씬 더 안전하지만, 다른 프로토콜만큼 안전하지는 않습니다. 또한 조직에서 OTP를 공유하는 방법도 인증 프로세스의 전반적인 보안을 결정하는 중요한 요소이며, 일반적으로 SMS와 이메일은 전반적인 보안 수준이 낮은 것으로 간주됩니다.
3단계 - 지문 또는 기타 생체 인식 인증
다단계 인증 프로세스의 마지막 단계에는 지문 스캔, 얼굴 인식 또는 홍채 스캔과 같은 생체 인증 또는 디바이스 바인딩 패스키와 같이 사용자가 보유한 무언가를 기반으로 한 인증이 포함됩니다. 생체 인식은 복제하거나 위조하기 매우 어려운 고유한 물리적 특성에 의존합니다. MFA는 사용자 이름, 비밀번호, 토큰 외에 생체 인증을 요구함으로써 계정에 액세스하려는 개인이 실제로 권한이 있는 사용자인지 확인합니다. 이 단계는 많은 디바이스에 지문 또는 얼굴 인식 기술이 탑재된 모바일 환경에서 특히 유용합니다. 생체 인증을 구현하면 보안이 강화될 뿐만 아니라 사용자가 복잡한 코드를 기억할 필요 없이 쉽고 빠르게 신원을 확인할 수 있으므로 원활하고 사용자 친화적인 경험을 제공할 수 있습니다.
디바이스 바운드 패스키와 기타 하드웨어 인증자 또는 하드웨어 토큰도 향상된 보안을 제공합니다. 디바이스 바운드 패스키는 일반적으로 특정 '보안 키' 디바이스에서 호스팅되며, 키 쌍이 단일 디바이스에 생성 및 저장됩니다. 또한 키 자료 자체가 해당 디바이스를 벗어나지 않으므로 더욱 안전한 인증 흐름이 만들어집니다.
멀티팩터 인증 방법은 일반적으로 다음 세 가지 방법 중 하나로 분류됩니다:
1. 알고 있는 정보 - PIN, 비밀번호 또는 보안 질문에 대한 답변
비밀번호와 PIN은 지식 요소의 대표적인 예입니다. 이는 사용자가 알고 있는 비밀이며 첫 번째 방어선 역할을 합니다. MFA의 일부로서 사용자가 기억하고 다른 사람이 액세스할 수 없는 것으로 추정되는 정보에 보안을 고정합니다.
2. 소지하고 있는 것 - OTP, 토큰, 신뢰할 수 있는 장치, 스마트 카드 또는 배지, 장치에 바인딩된 패스키
하드웨어 토큰, 디바이스 바인딩 패스키 또는 휴대폰과 같은 물리적 디바이스의 소유는 소유 요소에 해당합니다. 이러한 항목은 암호화 키를 보유하고 있거나 인증 코드를 수신할 수 있는 경우가 많아 무단 액세스에 대한 추가적인 장벽이 됩니다. 소유 요소의 경우 비밀번호를 아는 것만으로는 충분하지 않으며, 사용자가 물리적으로 소유하고 있는 것이 있어야만 액세스할 수 있습니다.
3. 얼굴, 지문, 망막 스캔 또는 기타 생체 인식 정보 3.
고유 요인은 개인의 생체 인식 특성과 관련이 있습니다. 예를 들면 지문, 얼굴 인식, 음성 패턴, 망막 스캔 등이 있습니다. 이러한 요소는 인간 생물학적 특성의 고유성을 활용하므로 잠재적 침입자에게 상당한 장애물이 됩니다.
다음 방법 중 하나를 비밀번호와 함께 사용하여 다단계 인증을 수행할 수 있습니다.
- 생체 인식 - 사람의 지문, 얼굴 특징 또는 눈의 망막이나 홍채와 같은 생체 인식을 인식하는 장치 또는 애플리케이션에 의존하는 인증 형태입니다.
- 푸시하여 승인하기 - 다른 사람의 디바이스 화면을 탭하여 액세스 요청을 승인하라는 알림을 사용자에게 보내는 기능입니다.
- 일회용 비밀번호(OTP) - 한 번의 로그인 세션 또는 거래에 대해서만 사용자를 인증하는 자동 생성 문자 집합
- 하드웨어 토큰 또는 하드 토큰 또는 장치 바인딩 패스키(소형 휴대용 OTP 생성 장치로, 열쇠고리라고도 함)를 사용할 수 있습니다. RSA iShield Key 2 시리즈 또는 RSA DS100 하드웨어 인증기
- 소프트웨어 토큰 또는 소프트 토큰 또는 소프트웨어 인증자(iOS 및 Android에서 사용할 수 있는 RSA의 인증자 앱과 같이 물리적 토큰이 아닌 스마트폰 또는 기타 장치에 소프트웨어 앱으로 존재하는 토큰)입니다.
보안 향상
다단계 인증은 보안을 강화합니다. 결국, 비밀번호와 같은 액세스 지점을 보호하는 메커니즘이 하나만 있으면 악의적인 공격자가 침입하기 위해 해야 할 일은 비밀번호를 추측하거나 도용할 방법을 찾는 것뿐입니다. 그렇기 때문에 대부분의 데이터 유출 사고는 인증정보 유출 또는 피싱으로 시작하여 인증정보 유출로 이어지는 경우가 많습니다.
하지만 생체 인식 기능처럼 추측하거나 도용하기 어려운 것을 요구하는 경우, 두 번째(또는 두 번째와 세 번째 인증 요소까지) 인증이 필요하다면 진입이 훨씬 더 어려워질 수 있습니다.
또한 MFA는 피싱 방지 인증을 통해 조직의 제로 트러스트 성숙도를 향상시키고 피싱을 차단합니다.
디지털 이니셔티브 활성화.
더 많은 조직에서 원격 근무 인력 오늘날 더 많은 소비자가 온라인 쇼핑 로 옮기고, 더 많은 조직이 앱과 기타 리소스를 클라우드, 멀티팩터 인증은 강력한 지원 수단입니다. 디지털 시대에 조직 및 전자상거래 리소스를 보호하는 것은 어려운 일이며, 멀티팩터 인증은 온라인 상호작용과 거래를 안전하게 유지하는 데 매우 유용할 수 있습니다.
보다 안전한 액세스 환경을 만드는 과정에서 덜 편리한 환경을 만들 수 있으며, 이는 단점이 될 수 있습니다. (특히 제로 트러스트, 네트워크와 네트워크에서 실행되는 모든 애플리케이션 또는 서비스를 포함하여 모든 것을 잠재적 위협으로 간주하는 이 기술은 보안 액세스를 위한 기반으로 계속 주목받고 있습니다). 로그인과 리소스 액세스를 방해하는 여러 장애물을 처리하느라 매일 추가 시간을 소비하고 싶은 직원은 없으며, 쇼핑이나 은행 업무를 급히 처리해야 하는 소비자도 여러 인증 요구사항에 얽매이고 싶지 않을 것입니다. 핵심은 보안과 편의성의 균형을 유지하여 액세스는 안전하게 보장하되, 액세스가 꼭 필요한 사람들에게 과도한 불편을 초래할 정도로 번거롭지 않도록 하는 것입니다.
보안과 편의성 보장 사이의 균형을 맞추는 한 가지 방법은 액세스 요청과 관련된 위험에 따라 인증 요건을 강화하거나 완화하는 것입니다. 이는 다음과 같은 의미입니다. 위험 기반 인증. 위험은 액세스 대상, 액세스 요청자 또는 두 가지 모두에 있을 수 있습니다.
- 액세스 대상에 따른 위험: 예를 들어, 누군가 은행 계좌에 대한 디지털 액세스를 요청하는 경우 자금 이체를 시작하기 위한 것인지, 아니면 이미 시작된 이체의 상태를 확인하기 위한 것일까요? 또는 온라인 쇼핑 웹사이트나 앱에 접속하는 경우 물건을 주문하기 위한 것인지, 아니면 기존 주문의 배송 상태를 확인하기 위한 것일까요? 후자의 경우 사용자 이름과 비밀번호로 충분할 수 있지만, 고가의 자산이 위험에 처해 있을 때는 다단계 인증이 적합합니다.
- 액세스를 요청하는 사람에 따른 위험: 원격 직원이나 계약업체가 매일 같은 도시에서 같은 노트북을 사용하여 회사 네트워크에 대한 액세스를 요청하는 경우, 그 사람이 아니라고 의심할 이유는 거의 없습니다. 하지만 어느 날 아침 갑자기 모스크바에서 미니애폴리스에 있는 Mary의 요청이 오면 어떻게 될까요? 잠재적인 위험(정말 메리일까요?)을 고려하면 추가 인증을 요청해야 합니다.
다단계 인증은 조직에 더 안전한 액세스를 제공하고 사용자에게는 불편함을 덜어주기 위해 지속적으로 발전하고 있습니다. 생체 인식은 이러한 아이디어의 좋은 예입니다. 지문이나 얼굴을 도용하기 어렵기 때문에 더 안전하며, 사용자가 비밀번호와 같은 것을 기억하거나 다른 큰 노력을 기울일 필요가 없기 때문에 더 편리합니다. 다음은 오늘날 멀티팩터 인증을 형성하는 몇 가지 발전된 기술입니다.
- 인공 지능(AI) 및 머신 러닝(ML)-AI와 ML은 특정 액세스 요청이 '정상'이므로 추가 인증이 필요하지 않은지 여부를 나타내는 동작을 인식하는 데 사용할 수 있습니다(또는 반대로 인증이 필요한 비정상적인 동작을 인식하는 데 사용할 수 있습니다).
- FIDO(Fast Identity Online)-FIDO 인증은 FIDO 얼라이언스의 무료 개방형 표준을 기반으로 합니다. 이를 통해 웹사이트와 앱 전반에서 비밀번호 로그인을 안전하고 빠른 로그인 환경으로 대체할 수 있습니다.
- 비밀번호 없는 인증-비밀번호를 신원 확인의 주요 수단으로 사용하고 비밀번호가 아닌 다른 방법으로 보완하는 대신, 비밀번호 없는 인증은 인증 수단으로 비밀번호를 사용하지 않습니다.
다단계 인증은 사람들이 자신이 누구인지 확실하게 증명할 수 있는 방법을 찾기 위해 계속해서 변화하고 개선될 것이니 안심하세요.
시도 ID Plus 클라우드 멀티팩터 인증(MFA) 솔루션-시장에서 가장 안전한 제품 중 하나이자 전 세계에서 가장 많이 배포된 MFA입니다. 45일 무료 평가판에 등록하여 그 이유를 알아보세요.
