도난 또는 유출된 인증정보가 2024년 데이터 유출 사고의 80%를 차지할 것으로 예상되는 가운데 인증정보 기반 공격을 막는 것은 조직의 데이터, 애플리케이션 및 기타 리소스에 대한 액세스를 보호하는 데 매우 중요합니다. 이러한 유형의 공격을 막기 위한 핵심은 보안 리소스에 대한 액세스 권한을 얻기 위해 여러 가지 인증 요소를 요구하는 다단계 인증(MFA)입니다.
이름에서 알 수 있듯이 MFA 인증 방법은 비밀번호, PIN 또는 보안 질문에 대한 답변과 같이 알고 있는 정보, 물리적 또는 가상 인증 장치와 같이 가지고 있는 정보 및/또는 본인 고유의 생체 인식 특성 등 서로 다른 범주에서 두 가지 이상의 요소를 사용하여 인증해야 합니다. 2단계 인증(2FA)은 서로 다른 카테고리의 두 가지 요소가 정확히 필요한 MFA의 하위 집합입니다. 두 가지 요소 외에 추가 요소를 추가하는 경우에도 여전히 MFA입니다.
2FA는 단일 인증 요소보다 더 안전하지만, MFA 방식은 특히 점점 더 정교해지는 피싱 캠페인 및 기타 유형의 공격을 차단하는 데 있어 인증 환경을 더욱 안전하게 만들어 줍니다.
알고 있는 것
비밀번호, PIN, 보안 질문 등 이러한 지식 기반 요소는 모두 보안 리소스에 대한 보호가 필요했던 만큼 오랫동안 존재해 왔습니다. 이러한 정보에는 합법적인 사용자만 알아야 하는 정보가 포함되어 있지만, 피싱, 무차별 대입 공격, 데이터 유출 또는 단순히 비밀번호 위생 상태가 좋지 않은 경우(예: 사용자가 모든 것에 동일한 자격 증명을 반복해서 사용하는 경우) 등 악의적인 공격자가 해당 정보에 대한 경로를 찾아낸 경우도 종종 있습니다.
공격자가 악용할 수 있는 자격 증명을 적어두거나 재사용하는 사용자를 탓하기는 어렵습니다. 추적해야 할 비즈니스 리소스 관련 비밀번호가 많으면 다음과 같은 문제가 발생할 수 있습니다.현재 평균 87, 한 연구에 따르면, 어떤 종류의 도움 없이는 거의 불가능하다고 합니다. 따라서 사이버 보안에 있어 인간은 가장 취약한 고리입니다.
암호에 의존하는 것과 관련된 내재적 취약점을 고려할 때, 더 많은 조직에서 다음을 우선시하고 있습니다. 비밀번호 없는 인증, 생체 인식 및 기타 비암호 메커니즘에 의존하는 패스키를 인증에 사용하는 경우가 많습니다. 또한 조직에서는 실시간 컨텍스트에 연결된 동적 보안 질문 사용을 구현하고 있습니다.
오늘날에도 비밀번호는 계속 사용되고 있지만, 특히 보안에 민감한 업계에서는 거의 항상 추가 인증 요소와 결합되어 사용되고 있습니다. 예를 들어, 오늘날 뱅킹 앱에 로그인하려면 비밀번호로 로그인해야 하며 특히 비정상적인 활동이 감지된 경우 얼굴 인식과 같은 생체 인식 메커니즘을 사용해야 할 가능성이 높습니다.
가지고 있는 것
공식적으로 소유 요소라고 하는 '소유물' 요소는 사용자가 인증에 사용할 수 있는 물리적 또는 가상 개체를 소유하고 있어야 합니다. 예를 들면 다음과 같습니다:
- 특히 모바일 장치를 사용할 수 없는 보안 수준이 높은 환경에서 일회용 비밀번호(OTP)를 생성하는 하드웨어 인증기
- U2F 표준을 기반으로 하며 NFC 무선 기술도 지원하는 보안 키는 USB 또는 무선 환경 모두에서 사용할 수 있습니다.
- 리소스에 안전하게 액세스할 수 있도록 인증 자격 증명이 저장된 스마트 카드
- 사용자가 비밀번호 대신 디바이스 생체인식 또는 PIN으로 로그인할 수 있는 피싱 방지 FIDO 패스키
- 특정 장치와 연결된 장치 바인딩 패스키(보안을 극대화하기 위해 여러 장치에서 동기화할 수 없음)
당신이라는 존재
얼굴 인식을 사용하여 스마트폰 잠금을 해제하거나 지문을 스캔하여 보안 앱에 액세스하는 것은 내재적 요소, 즉 "나라는 존재"를 사용하는 것입니다. 이러한 형태의 인증은 거의 불가능에 가까운 고유한 생체 인식 특성에 전적으로 의존한다는 점을 고려할 때 이보다 더 나은 방어 수단을 상상하기는 어렵습니다.또는 적어도 매우 어렵습니다.-재현할 수 있습니다. 지문 또는 얼굴 인식, 망막 또는 홍채 스캔, 음성 패턴 감지, 심지어 타이핑 속도와 같은 행동 생체 인식까지, 이 모든 것이 본인임을 증명하는 방법입니다.
내재 기반 요소는 특히 생체 인식 데이터가 저장되는 방식(및 보안 수준)과 관련하여 일부 개인정보 보호 문제를 제기할 수 있지만, 사용자가 알고 있거나 가지고 있는 것(따라서 잊거나 잃어버릴 수 있는 것)이 아닌 사용자의 실체를 기반으로 하는 보안의 힘과 가치를 부정하기는 어렵습니다. 또한 제로 트러스트의 핵심 요소인 환경 요인에 기반한 연속 인증과 키 입력 역학 및 마우스 움직임 패턴에 초점을 맞춘 행동 생체 인식과 같은 새로운 트렌드를 포함하여 혁신을 불러일으키는 분야이기도 합니다.
푸시하여 승인
- 정의: 사용자가 탭하여 액세스 요청을 승인하도록 요청하는 장치 내 알림입니다.
- 혜택: 실시간 인증을 위한 추가 요소를 빠르고 편리하게 제공하는 방법
- 시나리오: 안전한 모바일 애플리케이션에 대한 액세스
일회용 비밀번호(OTP)
- 정의: 하나의 로그인 세션에 대해 사용자를 인증하는 자동 생성 코드
- 이점: 한 번만 사용할 수 있는 인증 메커니즘으로 보안 강화
- 시나리오: 온라인 뱅킹 또는 기타 보안에 민감한 거래
생체 인식
- 정의 지문 또는 기타 생체 인식을 인식하는 장치 또는 애플리케이션 사용
- 이점: 스푸핑 또는 모방이 매우 어려운 편리한 인증
- 시나리오: 디바이스 또는 애플리케이션에 대한 보안 액세스
디바이스 바인딩 패스키
- 정의: 생체 인식 또는 기타 비암호 메커니즘에 기반한 인증 방법
- 이점: 여러 장치에서 사용되는 동기화된 패스키보다 보안 위험이 낮습니다.
- 시나리오: 엔터프라이즈급 애플리케이션
하드웨어 인증기
- 정의: 작고 휴대 가능한 OTP 생성 인증기 형태의 토큰입니다.
- 이점: 보안을 강화하는 물리적 소유의 이점
- 시나리오: 모바일 디바이스를 인증 옵션으로 사용할 수 없는 보안 환경
소프트웨어 인증자
- 정의: 스마트폰이나 기타 디바이스에 소프트웨어 앱으로 존재하는 토큰입니다.
- 이점: 휴대가 간편하고 배포가 쉬움
- 시나리오: 회사에서 발급한 디바이스 또는 개인 디바이스를 인증에 사용할 수 있는 모든 곳
조직의 위험 수준 및 데이터 민감도, 사용자 편의성 및 접근성, 비용 및 구현 요구 사항 등 조직에 가장 적합한 MFA 방법을 결정할 때 고려해야 할 몇 가지 요소가 있습니다. 다음은 이러한 요소를 염두에 두고 고려해야 할 구체적인 질문입니다.
고려해야 할 중요한 질문 및 권장 사항
- 현장, 원격 또는 이 두 가지를 결합한 여러 환경의 요구 사항을 처리하기 위해 여러 가지 MFA 방법이 필요하신가요? 한 공급업체에서 전략적으로 선택하고 제공하는 여러 MFA 방법을 사용하면 비용을 관리하고 구현을 간소화하는 데 도움이 됩니다.
- 원격 근무자가 관리되지 않는 개인 디바이스를 사용하여 보안 리소스를 인증하고 있나요? 사용 가능한 MFA 방법 중 하나가 BYOD 디바이스에서 위협을 탐지하고 관리하도록 특별히 설계되었는지 확인하세요.
- 휴대폰 사용이 허용되지 않는 클린룸과 같은 보안 수준이 높은 환경에서 주로 운영하시나요? 클라우드에서 관리할 수 있는 토큰을 사용하는 하드웨어 토큰 인증이 포함된 MFA 방법을 사용하면 안전한 인증과 관리 용이성에 대한 요구를 모두 충족할 수 있습니다.
- 운영 중단 시 비즈니스 연속성, 특히 강력한 인증 및 액세스 유지와 관련된 계획은 무엇인가요? 필요한 경우 온프레미스 MFA 방식으로 장애 조치할 수 있는 하이브리드 환경을 고려하세요.
- MFA 방법에서 피싱 방지 또는 기타 특정 특성을 규정하는 특정 규정이나 지침을 준수해야 하나요? 선택한 MFA 방법이 규제 및 기타 요건을 충족하도록 특별히 설계되었는지 실사를 통해 확인해야 합니다.
특히 오늘날 인증 환경과 위협 환경의 다양성과 복잡성을 고려할 때 현대 사이버 보안에서 MFA 방법의 중요성은 아무리 강조해도 지나치지 않습니다. 여러 MFA 방법을 사용하면 인증에 대한 계층적 접근 방식을 취할 수 있으며, 두 가지 이상의 방법을 사용하면 여러 계층의 보안을 구축하여 권한이 없는 사용자가 액세스하기 어렵게 만들 수 있습니다. 또한 여러 가지 방법을 사용할 수 있으면 다양한 사용자의 요구와 상황에 맞게 인증을 조정할 수 있는 폭넓은 선택권을 제공함으로써 사용자 경험을 개선할 수 있습니다. RSA에 문의 를 클릭해 현재 사용 가능한 다양한 종합 MFA 솔루션을 살펴보세요.
