다음은 모두를 괴롭히는 두 가지 숫자입니다: 92% 의 조직이 비밀번호 없는 환경을 구현하고 있습니다. Only 7% 비밀번호가 완전히 사라졌습니다.
이러한 격차는 기술적인 문제가 아닙니다. 도구가 존재합니다. 표준이 성숙되어 있습니다. 의도가 있습니다. 취약성 감소, 비용 절감, 사용자 경험 향상이라는 비즈니스 사례는 분명합니다. 그럼에도 불구하고 대부분의 조직은 여전히 매일 비밀번호를 입력하고 있습니다.
그렇다면 왜 이런 차이가 있을까요?
조직이 레거시 시스템, 다양한 사용자, 일관되지 않은 실제 환경 등 복잡한 환경을 이해하기 위한 데이터가 충분하지 않다고 생각하기 때문에 도입의 역설이 존재하는 것일 수 있습니다.
ID 플랫폼은 이미 인증 이벤트, 액세스 패턴, 실패율, 행동 신호 등 매일 방대한 양의 텔레메트리를 생성하고 있습니다. 대부분의 보안팀은 이러한 데이터를 소비합니다. 데이터를 조사하는 팀은 극소수입니다.
실제로 ID 원격 분석은 감사 및 규정 준수 보고에 주로 사용되며, 거기서 그칩니다. 따라서 조직이 비밀번호 없이 전환하는 데 어려움을 겪고 있는 이유와 같은 가장 중요한 질문에 대한 해답을 얻지 못합니다:
- 사용자들은 실제로 어디에서 어려움을 겪고 있으며 그 이유는 무엇인가요?
- 실제로 신뢰가 무너지는 곳은 어디일까요?
- 어떤 컨트롤이 진정으로 결과를 개선할까요?
지난 1년 동안 저는 신원 데이터는 그 자체만으로는 가치가 없다는 것을 깨달았습니다. 데이터는 행동으로 이어질 때만 의미가 있습니다. 그리고 조직이 이러한 행동을 유도하는 데 필요한 올바른 신호를 드러내는 것은 올바른 질문입니다.
비밀번호 없는 도입을 예로 들어보겠습니다. 세 가지 질문으로 요약할 수 있습니다:
첫 번째: 누구나 비밀번호 없이 사용할 수 있나요?
이론이 아니라 실제로는 그렇지 않습니다. 배포된 내용과 사용자가 실제로 사용할 수 있는 내용 사이의 격차는 대시보드가 제시하는 것보다 훨씬 큰 경우가 많습니다. 이러한 격차에 대한 신호는 대개 팀이 적극적으로 살펴보지 않는 곳에서 나타납니다.
두 번째: 사용자가 어디서나 비밀번호 없이 액세스할 수 있나요?
사용자가 필요한 곳에서 보안 경로에 액세스할 수 있나요? 해결 방법을 강요하는 단일 워크플로, 시스템 또는 예외로 인해 비밀번호 없는 도입이 지연될 수 있습니다. 사용자는 시스템을 생각하는 것이 아니라 경험을 생각합니다.
세 번째: 비밀번호 없이도 항상 작동하나요?
사무실에서, 좋은 날이 아니라 항상, 사용자가 실제로 작업하는 모든 환경에서. 사용자는 비밀번호를 선호하기 때문에 비밀번호를 사용하지 않습니다. 가장 중요한 순간에 보안 경로가 실패했기 때문입니다.
Identiverse에서는 이러한 질문을 통해 측정 대상을 어떻게 변화시킬 수 있는지, 어떤 신호가 팀을 오도하는지, 그리고 이러한 질문이 어떻게 구축되는지 살펴봅니다.
RSA에서는 이 가설을 직접 테스트했습니다. 모든 직원, 모든 로그인, 모든 사용 사례에 비밀번호 없는 방식을 도입했습니다. 기업이 테스트 베드가 되었습니다.
목표는 간단했습니다: 비밀번호 없는 100%. 그리고 우리는 우리가 옳았다고 믿었습니다.
그런 다음 원격 분석을 살펴봤습니다.
사용자들은 여전히 비밀번호를 입력하고 있었습니다. 매일. 배포, 교육, 정책에도 불구하고 말이죠.
그 이유는 무엇일까요?
정직한 답은 추측을 멈추고 데이터를 따르는 것뿐이었습니다.
그 결과 의사 결정, 정책, 제품 설계가 재편되었고 결국 다양한 환경의 전 세계 인력을 위한 비밀번호 없는 환경이라는 목표에 도달할 수 있었습니다. FIDO 얼라이언스는 이 여정을 다음과 같이 문서화했습니다. 사례 연구, 를 통해 기술, 도전 과제, 그 과정에서 얻은 교훈을 설명합니다.
여기서부터 이야기가 달라집니다. 12개월 만에 전 세계 직원 94%의 비밀번호 없는 도입을 달성했습니다.
처음에는 어려운 부분이 끝난 것처럼 느껴졌습니다.
하지만 대부분의 최신 침해 사고는 인증을 크래킹하지 않습니다. 인증을 우회합니다. MFA 피로도 공격, 헬프데스크 소셜 엔지니어링, 시스템이 아닌 사람의 프로세스를 노리는 AI 기반 스피어 피싱이 대표적입니다. 최근 발생한 많은 사고에서 공격자들은 인증을 건드리지 않았습니다. 그들은 인증을 우회했습니다.
데이터 유출 시저스 엔터테인먼트 그룹, MGM 리조트, 마크스 앤 스펜서, 를 비롯한 여러 조직에서 신원 확인 여정에서 신뢰가 실제로 무너지는 지점에 대해 다시 생각하게 되었습니다.
강력한 자격 증명은 필요하지만 충분하지 않습니다.
그래서 인증을 넘어 전체 자격증명 수명 주기, 특히 복구 및 계정 액세스 워크플로로 원격 분석을 확장했습니다.
그리고 한 가지 질문이 중요해졌습니다:
로그인보다 복구가 더 쉬운가요?
복구 전반에 걸쳐 추적하기 시작한 신호와 이를 통해 밝혀진 내용, 그리고 그 간극을 좁히면서 지속적인 신뢰에 대한 우리의 관점이 어떻게 바뀌었는지 공유하겠습니다.
Identiverse에서는 이러한 아이디어에 대해 더 자세히 살펴보겠습니다. 비밀번호가 없는 것이 우리의 증명 기반이었지만, 신원 원격 측정에 대해 올바른 질문을 하는 것은 비밀번호가 없는 것이 아닙니다. 만 비밀번호가 필요 없습니다. 이는 MFA의 피로, 제로 트러스트 격차 또는 추진하려는 모든 보안 이니셔티브에도 동일하게 적용됩니다.
내 세션 6월 18일 목요일 오전 10시 15분에 진행됩니다.
그리고 다음 주소에서 RSA를 방문하세요. 아이덴티버스 부스 #451 를 통해 RSA가 모든 사용자, 모든 환경, 모든 사용 사례에 대해 어떻게 암호 없는 환경을 제공하는지 확인하고 RSA 라이브 인증 는 우리가 논의해 온 복구 격차를 줄이는 데 도움이 됩니다.
