비밀번호 없는 인증이란 무엇인가요?

비밀번호 없는 인증은 비밀번호나 기타 지식 기반 요소 또는 정보 없이 사용자 신원을 확인합니다. 대신 보안팀은 사용자를 고유하게 식별하는 물체(예: 모바일 패스키 또는 하드웨어 보안 키)인 '소유하고 있는 것' 유형의 인증 요소 또는 지문이나 얼굴 스캔을 포함한 생체 인식과 같은 '사용자와 같은 것' 유형의 요소를 사용하여 사용자의 신원을 확인합니다. 완료하는 데 사용되는 경우 다단계 인증 (MFA) 요구 사항 및 싱글 사인온 (SSO) 솔루션을 사용하면 비밀번호 없는 인증으로 사용자 경험을 개선하고 보안을 강화하며 IT 운영의 비용과 복잡성을 줄일 수 있습니다. 또한 비밀번호 없는 인증은 비밀번호를 발급, 회전, 기억 또는 재설정할 필요가 없으므로 헬프 데스크의 업무량을 줄이고 로그인 시간을 단축하여 생산성을 높이며 IT 팀이 더 가치 있는 업무에 집중할 수 있도록 해줍니다.

MFA와 비밀번호 없는 인증은 모두 사용자가 신원 확인을 위해 비밀번호 이상의 정보를 제공하도록 요구하여 보안을 강화합니다. 하지만 한 가지 중요한 점에서 차이가 있습니다: MFA는 사용자가 신원 확인을 위해 두 가지 이상의 독립적인 요소를 제공하도록 요구하여 보안을 강화하지만, 그 중 하나는 비밀번호일 가능성이 매우 높습니다.

반면, 비밀번호 없는 인증은 비밀번호를 완전히 사용하지 않으므로 비밀번호로 인한 취약성과 관리의 번거로움 및 헬프 데스크의 부담을 완전히 없앨 수 있습니다.

쉬운 해킹

소유 및 내재적 요소와 달리 기존 인증은 비밀번호와 같이 사용자가 알고 있는 정보만을 기반으로 하므로 재사용, 도용 및 피싱에 취약할 수밖에 없습니다. 하지만 2025 Verizon 데이터 유출 조사 보고서 에 따르면 2024년에 280만 개의 비밀번호가 공개적으로 유출되거나 손상되었으며, 54%의 랜섬웨어가 비밀번호와 직접적으로 연결된 것으로 나타났습니다.

지속적인 관리

IT 직원과 사용자 모두 지속적으로 비밀번호를 관리해야 합니다. 일반 사용자 입장에서는 복잡하고 다양한 비밀번호를 일일이 추적하는 것이 번거롭고 어려운 일이 아닐 수 없습니다. 비밀번호를 잊어버리면 업무가 지연되거나 계정 잠금이 발생할 수 있습니다. 사용자들은 기억을 돕기 위해 여러 계정에 걸쳐 비밀번호를 재사용하거나 적어두는 경우가 많아 이미 취약한 시스템을 더욱 취약하게 만듭니다. 또한 비밀번호 재사용은 하이재킹, 피싱, 데이터 유출의 영향을 배가시켜 공격자가 도난당한 하나의 비밀번호로 여러 계정의 잠금을 해제할 수 있게 만들 수 있습니다.

높은 비밀번호 비용

IT 담당자의 경우, 정상적인 사용자의 비밀번호 재설정을 관리하는 것은 많은 비용과 시간이 소요되는 작업일 수 있습니다. 대기업의 경우 50% 의 IT 헬프 데스크 비용이 비밀번호 재설정에 할당되고 있으며, 이는 직원들의 비밀번호 재설정을 지원하는 데만 연간 1,400만 달러 이상의 인력이 소요될 수 있습니다. 또한 비밀번호 재설정으로 인해 더 중요한 디지털 혁신 아젠다나 정교한 사이버 공격에 대한 방어에 집중할 수 없게 됩니다.

보안

취약하거나 도난당한 인증정보는 조직이 직면하는 가장 빈번하고 가장 큰 피해를 주는 위협 벡터 중 하나입니다. 인증정보 IBM 데이터 유출 비용 보고서 에 따르면 피싱은 데이터 유출의 가장 빈번한 원인 중 하나이며, 평균 $488만 달러의 비용이 발생하고 평균 261일이 소요되는 것으로 나타났습니다. 피싱 공격이 일반적으로 인증정보와 비밀번호를 표적으로 삼는다는 점을 고려하면, 이 통계는 비밀번호가 조직에 초래하는 사이버 보안 위험과 비밀번호 없는 솔루션 구현의 중요성을 강조합니다.

비밀번호가 유출되면 조직은 데이터 도난, 금전적 손실, 평판 손상으로 이어질 수 있는 심각한 위험에 직면하게 됩니다. 보안 자격증명 정책의 우선순위를 정하고 비밀번호 없는 시스템으로 전환하는 것은 이러한 빈번하고 피할 수 있는 취약성을 방지하는 데 필수적인 단계입니다.

사용자 경험

사용자 경험 측면에서 보면, 평균적인 기업 사용자는 번거로운 업무 관련 계정의 비밀번호 87개, 는 부담과 보안 위험을 초래합니다. 따라서 2025 RSA ID IQ 보고서 에 따르면 전체 응답자 중 511명 이상이 매일 업무상 비밀번호를 6회 이상 입력해야 하는 것으로 나타났습니다. 여러 개의 비밀번호를 기억하고 추적하다 보면 비밀번호를 재사용하거나 안전하지 않게 저장하는 등 잘못된 관행으로 이어져 조직의 사이버 보안 위험이 더욱 높아질 수 있습니다. 사용자 인증을 간소화하면 보안이 강화될 뿐만 아니라 직원들의 일상적인 업무 환경이 개선되어 불편함이 줄어들고 비밀번호를 더 잘 관리할 수 있습니다.

총 소유 비용

비밀번호 재설정 요청이 IT 헬프 데스크 통화량의 최대 50%를 차지할 정도로 비밀번호 관리의 총소유비용이 높습니다. 각 재설정 요청은 더 전략적인 IT 이니셔티브에 사용할 수 있는 시간과 리소스를 소모합니다. 보다 안전하고 효율적인 인증 방법을 통해 비밀번호 재설정 횟수를 줄이면 비용을 절감하고 운영 효율성을 개선하여 IT 직원이 더 영향력 있는 업무에 집중할 수 있습니다.

비밀번호 없는 인증은 사용자 신원에 대한 단일하고 강력한 보증을 제공합니다. 조직에게 이는 다음과 같은 의미입니다:

• 더 나은 사용자 경험: 사용자는 더 이상 생산성을 위해 복잡한 비밀번호와 사용자 이름 조합을 기억하고 업데이트할 필요가 없습니다. 간소화된 인증으로 사용자는 불편함을 덜고 더 빠르게 로그인할 수 있습니다.
• 보안 태세 강화: 사용자가 제어하는 비밀번호가 없으면 해킹할 수 있는 비밀번호가 없으므로 모든 종류의 취약성과 데이터 유출의 주요 원인을 제거할 수 있습니다.
• 총소유비용(TCO) 절감: 비밀번호는 비용이 많이 들기 때문에 IT 직원의 지속적인 모니터링과 유지 관리가 필요합니다. 비밀번호를 제거하면 비밀번호를 발급, 보안, 교체, 재설정 및 관리할 필요가 없으므로 헬프 데스크 및 지원 티켓의 양이 줄어들고 IT 팀은 더 긴급한 문제를 처리할 수 있게 됩니다.
• IT 제어 및 가시성: 피싱, 재사용, 공유는 비밀번호로 보호되는 시스템에서 흔히 발생하는 문제입니다. 비밀번호 없는 인증을 통해 IT 부서는 ID 및 액세스 관리에 대한 완벽한 가시성을 되찾을 수 있습니다.
• 대규모 자격증명 수명 주기 관리: 엔터프라이즈급 암호 없는 솔루션 에는 다양한 사용자 그룹에 걸쳐 FIDO 패스키 및 모바일 자격 증명과 같은 인증자의 전체 수명 주기를 관리하는 도구가 포함되어 있는 경우가 많습니다. 이를 통해 직원, 계약자 및 권한이 높은 사용자를 위한 안전한 온보딩, 해지 및 복구가 가능합니다.

하이브리드 환경 전반에서 정책 적용

비밀번호 없는 인증의 주요 이점 중 하나는 클라우드, 하이브리드 및 온프레미스 애플리케이션 전반에서 중앙 집중식 액세스 제어를 지원할 수 있다는 점입니다. 조직은 여러 ID 시스템을 유지하거나 정책을 중복하는 대신 통합된 ID 아키텍처 내에서 비밀번호 없는 인증을 구현할 수 있습니다. 이를 통해 IT 및 보안 팀은 역할 기반 권한, 상황별 위험 평가, 위치 인식 인증과 같은 세분화된 액세스 정책을 정의하고 적용할 수 있습니다. 또한 한 공급업체가 여러 사용 사례에 하드웨어와 소프트웨어를 모두 제공하면 일관된 사용자 경험을 보장하는 데 도움이 됩니다.

이름에서 알 수 있듯이 비밀번호 없는 인증 또는 비밀번호 없는 인증은 인증에 필요한 암기된 비밀번호가 필요하지 않습니다. 대신 사용자는 다음과 같은 보다 안전한 방법으로 신원을 인증합니다:

• 생성된 일회용 비밀번호(OTP)
• 모바일 패스키
• QR 코드
• 코드 매칭
• FIDO2 보안 키
• 인증 프로세스를 완료하는 생체인식

비밀번호 없는 인증은 다양한 인증 및 암호화 프로토콜을 사용합니다. 비밀번호 없는 인증과 기존 인증의 주요 차이점은 기존 인증과 달리 비밀번호 없는 인증은 자격 증명이 고정되거나 재사용되지 않는다는 것입니다. 대신, 각 세션이 시작될 때마다 새로운 인증 데이터가 생성됩니다.

사이버 보안 표준과 규정은 최신 인증 방식을 검증하는 데 필수적입니다. 이러한 표준과 규정은 팀이 어떤 인증 또는 로그인 방법을 투자, 구축 및 배포할 가치가 있는지 결정하는 데 도움을 줄 수 있습니다. 정부 기관, 은행 및 기타 규제가 엄격하고 복잡한 환경에서는 시스템 설계 및 감사 체크리스트를 안내할 수도 있습니다.

비밀번호 없는 인증을 성공적으로 구현하고자 하는 조직은 규제 또는 보안 우선 환경에서 조달, 아키텍처 및 구현을 안내하는 다양한 프레임워크를 살펴볼 수 있습니다. 예를 들어 제로 트러스트 최적 및 고급 단계에서는 패스키 또는 보안 키와 같은 피싱 방지 비밀번호 없는 인증이 필요합니다.

NIST 800-63 규정 준수

• NIST SP 800-63-3은 미국 연방 기관 및 중요 인프라 부문을 위한 디지털 신원 가이드라인의 개요를 설명합니다.
• 비밀번호 없는 인증은 인증 보증 수준(AAL2 및 AAL3)을 지원합니다.
• RSA는 AAL3를 충족하는 피싱 방지 인증자를 통해 멀티팩터 인증을 지원합니다.
• FIDO2, 생체 인식, 암호화 토큰과 같은 방법을 NIST 권장 사항에 매핑할 수 있습니다.

FIDO2 및 피싱 방지

• RSA는 하드웨어 및 소프트웨어 인증자를 위한 FIDO2 및 WebAuthn 표준을 지원합니다.
• FIDO2는 공유 비밀을 제거합니다(저장된 비밀번호 없음).
• FIDO 인증 하드웨어(예: RSA 아이쉴드 키 2)는 엔터프라이즈급 요구 사항을 충족합니다.
• 지원되는 사용 사례에는 워크스테이션 로그인, 웹 앱 및 클라우드 SSO가 포함됩니다.

제로 트러스트 아키텍처(ZTA) 정렬

• 제로 트러스트는 사용자나 디바이스에 대한 암묵적인 신뢰가 없다고 가정하며, 신원을 지속적으로 확인합니다.
• 피싱 방지 비밀번호리스(디바이스 바인딩 패스키 및 보안 키)는 지속적인 인증, 디바이스 바인딩 및 상황에 맞는 액세스를 지원합니다.
• RSA는 위험 점수, 행동 분석, 적응형 인증을 통합하여 제로 트러스트 액세스 결정을 시행합니다.
• ZTA는 광범위한 IAM/GRC 및 엔드포인트 보안 전략과 연계됩니다.

거버넌스, 리스크 및 규정 준수(GRC) 준비 상태

• 강력한 인증은 HIPAA, PCI-DSS, CJIS 및 기타 규정 준수 체제 전반에 걸쳐 요구되는 사항입니다.
• 비밀번호를 사용하지 않으면 비밀번호 순환, 로그 재설정 및 저장소 정책을 제거하여 감사 범위와 제어 오버헤드를 줄일 수 있습니다.
• RSA는 감사 추적 및 ID 보증 메트릭을 제공합니다.

모든 것에 비밀번호를 사용하는 방식에서 비밀번호 없는 미래로 전환하려면 다음 방법을 사용하여 한 번에 한 단계씩 진행하세요. 구현 모범 사례:

1. 사용자에게 쉬운 점진적인 접근 방식을 취하세요. 하나의 액세스 포인트 또는 사용자 그룹으로 시작한 다음 사용자가 시스템을 익힐 수 있는 시간을 주기 위해 거기서부터 확장하세요.
2. 보안만큼이나 편의성에도 집중하세요. 인증 방법을 사용하기 쉬울수록 사용자가 가이드라인을 준수할 가능성이 높아집니다.
3. 취약한 지점에 강력한 인증을 먼저 적용하세요. 기존 인증으로 가장 취약한 부분은 어디인가요? 거기서부터 시작하세요.
4. 상금을 놓치지 마세요. 꾸준한 개선이 합산됩니다.

클라우드, 하이브리드, 온프레미스, 레거시 인프라를 아우르는 복잡한 IT 환경에서 작업하는 조직은 비밀번호 없는 솔루션을 평가할 때 다음과 같은 질문을 해야 합니다:

기존 인프라를 완전히 재구축하지 않고 어떻게 하이브리드 및 멀티클라우드 환경에서 비밀번호 없는 인증을 확장할 수 있을까요?

보안과 제어 비용을 강화하려면 복잡한 환경에 걸쳐 있는 조직은 어디서나 모든 사용자를 지원할 수 있는 비밀번호 없는 솔루션에 우선순위를 두어야 합니다. 비밀번호 없는 엔터프라이즈급 솔루션, 조직은 개별 사용자 그룹과 환경에 대해 포인트 비밀번호 없는 기능을 구현해야 합니다. 이러한 틈새 솔루션은 보안 공백을 남기고 사용자가 관리하기 번거로우며 보안 및 재무 팀이 관리하기에 비효율적입니다.

엔터프라이즈급 비밀번호 없는 솔루션은 이러한 비효율성을 제거합니다. 조직은 하나의 비밀번호 없는 솔루션을 여러 환경에 배포함으로써 모든 인증에 대한 포괄적인 가시성을 확보하고 대규모로 정책을 시행하여 보안을 강화할 수 있습니다. 최고의 비밀번호 없는 솔루션을 사용하면 조직은 '전면 교체' 이니셔티브 없이 레거시 및 온프레미스 투자를 유지할 수 있습니다.

비밀번호 없는 솔루션이 원격 및 현장 인력 전체에 일관된 보안과 사용자 경험을 제공할 수 있을까요?

일관된 보안과 사용자 경험을 제공하려면 조직은 모든 환경의 모든 사용자를 지원할 수 있는 엔터프라이즈급 솔루션이 필요합니다. 전사적 솔루션이 없으면 조직은 개별 사용자 그룹과 환경을 위한 포인트 기능을 배포해야 합니다. 이러한 포인트 솔루션은 일관된 사용자 경험을 제공하지 못하며 보안 공백을 발생시킵니다.

거버넌스 및 규정 준수를 위한 사용자 지정 가능한 정책 제어

성공적인 비밀번호 없는 전략은 액세스 권한을 가진 사람을 식별하는 강력한 인증 방법을 사용하는 것뿐만 아니라 조직의 필요에 맞게 액세스 정책을 조정하여 사용자가 올바른 리소스에 액세스할 수 있도록 하는 데 달려 있습니다. 많은 비밀번호 없는 솔루션은 구성 가능한 정책 엔진을 제공하여 보안 및 규정 준수 팀이 역할 기반 권한을 정의하고, 업무 분리를 시행하고, 특정 거버넌스 요구 사항에 맞게 액세스 제어를 조정할 수 있도록 지원합니다. 이러한 제어는 감사 가능성, 최소 권한 액세스, 조건부 인증이 내부 정책 및 외부 표준과 일치해야 하는 규제 환경에서 필수적입니다.

많은 조직이 Active Directory 또는 LDAP와 같은 온프레미스 ID 공급자와 관련된 미션 크리티컬 인프라에 의존하고 있습니다. 유연한 비밀번호 없는 솔루션은 이러한 레거시 시스템과 통합하는 동시에 클라우드 디렉터리도 지원할 수 있어야 합니다. 이러한 상호 운용성은 최신 인증을 기존 인프라로 확장하여 중단을 최소화하고 IT 팀이 전체 시스템을 교체하지 않고도 ID 액세스를 통합할 수 있도록 함으로써 보다 원활한 전환을 보장합니다.

비밀번호 없는 솔루션은 공격이나 기타 잠재적인 운영 중단으로 인해 위협을 받더라도 안정적으로 계속 운영할 수 있도록 복원력이 중요합니다. DORA와 같은 규제 프레임워크와 NIS2 는 사고 보고, 비즈니스 연속성, 타사 보안 등의 영역에서 이에 대한 지침을 제시하고 있습니다.

RSA는 전 세계 보안 우선 조직이 온프레미스 및 클라우드에서 신뢰하는 세계에서 가장 널리 배포된 MFA 기능을 제공합니다. RSA의 MFA에는 다음이 포함됩니다:

• 다양한 비밀번호 없는 인증 옵션, FIDO 인증을 포함한 RSA iShield Key 2 시리즈 및 RSA iOS 및 Android 모바일 기기용 인증 앱 4.5; 푸시 승인, 코드 일치; 지문 및 얼굴 생체 인식; “사용자 소유 인증기 사용”; 그리고 하드웨어 토큰은 각각 피싱 방지 기능을 제공하여 사용자가 클라우드/SaaS 또는 웹 기반 애플리케이션은 물론 Windows 및 macOS 머신에 로그인할 수 있게 합니다.
• RSA Ready 파트너 관계는 다음과 같습니다. FIDO 인증 리더, 를 통해 FIDO 기반 비밀번호 없는 솔루션과 즉시 상호 운용성을 보장합니다.
• 비즈니스 컨텍스트, 디바이스 속성 및 행동 분석과 같은 다양한 신호를 기반으로 액세스 위험을 계산하고 그에 따라 인증을 강화하거나 차단하는 고급 AI 및 머신 러닝을 통해 위험 점수를 매깁니다. RSA 비밀번호 없는 환경은 Splunk와 같은 SOC 도구와도 통합됩니다.
• 비밀번호에 의존하는 워크플로를 제거하여 온보딩, 자격증명 복구 및 긴급 액세스의 보안을 강화하는 보호된 셀프 서비스 자격증명 관리 옵션입니다.
• 99.99%+ 가용성 및 고유한 멀티 플랫폼으로 상시 가동되는 강력한 인증 하이브리드 장애 조치 네트워크 연결이 중단된 경우에도 안전하고 편리한 액세스를 보장하는 기능

비밀번호 없이 사용한다는 것은 무엇을 의미하나요?

비밀번호 없는 인증은 인증 수단으로 비밀번호를 사용하지 않고 생체인식(본인) 또는 등록된 모바일 디바이스나 하드웨어 토큰과 같은 소유 기반 요소(소유하고 있는 것)와 같은 보다 안전한 요소를 통해 사용자 신원을 확인하는 것을 의미합니다. 비밀번호 없는 인증은 사용자가 비밀번호를 기억하거나 재설정하거나 관리할 필요가 없으며, 피싱 및 자격증명 기반 공격에 대한 강력한 방어 기능을 제공합니다. 조직은 RSA를 사용하여 고위험 영역부터 시작하여 점진적으로 비밀번호 없는 인증을 배포하고 기업 전체로 확장할 수 있습니다.

비밀번호 없는 인증에는 일반적으로 어떤 기술이 사용되나요?

비밀번호 없는 인증 솔루션은 FIDO2 보안 키, 생체인식(지문 또는 얼굴 인식), 모바일 푸시 알림, 디바이스 바인딩 자격증명, 일회용 비밀번호(OTP) 등의 보안 기술을 조합하여 사용합니다. RSA 비밀번호 없는 옵션에는 피싱 방지 하드웨어 인증을 위한 RSA iShield Key 2 시리즈와 RSA Authenticator 앱을 통한 모바일 패스키가 포함됩니다. 이러한 기술은 NIST 800-63, FIDO2, 제로 트러스트 아키텍처와 같은 프레임워크에 맞춰 하이브리드 환경 전반에서 안전하고 확장 가능한 배포를 보장합니다.

비밀번호가 없는 것이 정말 더 안전한가요?

예, 비밀번호 없는 인증은 기존의 비밀번호 기반 방식보다 훨씬 더 안전합니다. 비밀번호는 피싱, 도난, 재사용 또는 무차별 대입으로 인해 보안의 가장 취약한 고리인 경우가 많습니다. 비밀번호를 완전히 없애면 RSA 비밀번호 없는 솔루션 주요 공격 벡터를 제거하여 피싱, 자격 증명 스터핑, 중간자 공격으로부터 보호합니다. 피싱 방지 인증자, 디바이스 바인딩 자격증명, 생체 인증은 인증된 사용자에게만 액세스 권한을 부여하여 자격증명 기반 침해의 위험을 크게 줄입니다.