2단계 인증(2FA)이란 무엇인가요?

오늘날에는 데이터 침해가 일반적으로 발생하고 전 세계적으로 비즈니스에 우려할 만한 영향을 미치는데, 연간 총피해액이 2조 달러가 넘습니다. 조직이 디지털 인프라와 자산을 보호하기 위해 노력하고 있지만, 단일 요소 인증(특히 비밀번호 기반 인증)으로는 턱없이 부족하다는 것은 분명합니다. 비밀번호는 특히 비밀번호 위생이 열악한 까닭에 쉽게 침해될 뿐만 아니라, 거의 변경되지 않고 여러 계정에서 다시 사용되며 자주 공유되고 안전하지 않은 위치에 저장되는 경우가 많습니다.

사용자를 인증하기 위한 두 번째 요소를 추가하는 것은 오늘날 거의 모든 기업 사용 사례에서 필요합니다.

2단계 인증은 다음을 포함한 가장 일반적인 유형의 사이버 위협 중 대다수를 방지하는 추가 보호 기능을 제공합니다.

• 도난당한 비밀번호: 위에서 언급한 바와 같이 비밀번호 위생이 좋지 않으면 비밀번호를 도난당하기 쉽습니다. 2FA는 도난당한 비밀번호가 계정을 침해하는 데 필요한 전부가 아님을 보장합니다.
• 무차별 대입 공격(비밀번호 해킹): 해커는 점점 더 액세스하기 쉬운 컴퓨팅 성능을 사용하여 코드를 '해독'할 때까지 비밀번호를 무작위로 생성합니다. 그러나 컴퓨팅 성능으로 두 번째 요소를 해킹할 수는 없습니다.
• 피싱: 피싱은 여전히 사용자 자격증명을 훔치는 아주 일반적이고 효과적인 수단 중 하나입니다. 다시 한번 강조하지만, 2FA는 피싱 공격을 통해 사용자 이름과 비밀번호가 도용된 경우 무단 액세스로부터 보호합니다.
• 소셜 엔지니어링: 영리한 해커는 점점 더 소셜 미디어를 이용해 사용자가 자격증명을 자발적으로 포기하도록 속이는 공격을 시작합니다. 그러나 두 번째 요소 없이는 해커가 계정에 액세스할 수 없습니다.

기본 2FA 로그인 워크플로는 이제 거의 모든 사람에게 친숙합니다. 사용된 요소에 따라 세부 사항이 다르지만, 기본 프로세스는 다음과 같습니다.

1. 애플리케이션/웹사이트에서 로그인하라는 메시지가 표시됩니다.
2. 사용자가 첫 번째 요소를 입력합니다. 이 첫 번째 요소는 사용자 이름/비밀번호 조합 또는 하드웨어 토큰이나 스마트폰 앱에서 생성된 일회용 패스코드같이 사용자가 거의 항상 '알고 있는' 것입니다.
3. 사이트/앱에서 첫 번째 요소를 검증한 다음 사용자에게 두 번째 요소를 입력하라는 메시지를 표시합니다. 이 두 번째 요소는 일반적으로 보안 토큰, ID 카드, 스마트폰 앱 등과 같이 사용자가 '갖고 있는' 것입니다.
4. 사이트/앱에서 두 번째 요소를 검증하면 사용자에게 액세스 권한이 부여됩니다.

인증자와 인증 토큰은 네 가지 주요 범주, 즉 사용자가 갖고 있는 것, 사용자가 알고 있는 것, 사용자 자신에 관한 것 또는 사용자가 있는 곳으로 구성되어 있습니다.

• 사용자가 갖고 있는 것: 물리적 액세스 카드, 스마트폰이나 기타 장치 또는 디지털 인증서
• 사용자가 알고 있는 것: 핀 코드 또는 비밀번호
• 사용자 자신에 관한 것: 지문이나 망막 스캔 같은 생체 인식

기존의 사용자 이름/비밀번호 조합은 기술적으로 2단계 인증의 기본 형태입니다. 그러나 사용자 이름과 비밀번호는 모두 '사용자가 알고 있는 것' 범주에 속하기 때문에 이 조합은 더 쉽게 침해됩니다.

하드웨어 토큰

하드웨어 토큰은 사용자가 리소스에 액세스하기 위해 제시하는 소형의 물리적 장치입니다. 하드웨어 토큰은 연결식(예: USB, 스마트 카드, 일회용 암호 전자 열쇠)이거나 비접촉식(예: Bluetooth 토큰)일 수 있습니다. 이러한 토큰은 사용자가 휴대합니다. RSA가 1993년에 도입한 최초의 현대적인 2FA는 작은 화면이 있는 휴대용 장치를 사용하여 장치 소유자를 검증하는 알고리즘과 일치하는 임의 생성된 숫자를 표시하는 형식이었습니다. 하드웨어 토큰도 분실하거나 도난당할 수 있습니다.

SMS 기반 토큰

휴대폰이 점차 보편화되면서 SMS 기반의 2FA가 빠르게 대중화되었습니다. 사용자는 사용자 이름을 입력하면 SMS(문자) 메시지를 통해 일회용 패스코드(OTP)를 받습니다. 비슷한 옵션으로, 휴대폰으로 음성 통화를 사용해 OTP를 제공합니다. 두 경우 모두 OTP 전송을 비교적 해킹하기 쉬워서 이상적인 형태의 2FA가 아닙니다.

앱 기반 토큰

스마트폰과 기타 스마트 모바일 장치가 출현하면서 앱 기반 2FA가 매우 대중화되었습니다. 사용자가 장치에 앱을 설치합니다(데스크톱에서도 사용할 수 있음). 사용자가 로그인하면 앱에 OTP와 같은 '소프트 토큰'이 장치에 표시되고 로그인 화면에 입력해야 합니다. 소프트 토큰은 장치에 있는 앱에서 생성되기 때문에 OTP 또는 소프트 토큰을 전송 중에 가로챌 위험이 없습니다.

푸시 알림

사용자 관점에서 가장 원활하고 편리한 푸시 알림을 통한 2FA의 경우 사용자에게 소프트 토큰을 입력해 달라고 요청하지 않습니다. 대신 웹사이트나 앱에서 사용자의 모바일 장치에 직접 푸시 알림을 보냅니다. 알림을 통해 사용자에게 인증 시도를 경고하고 한 번 클릭하거나 탭하여 액세스를 승인 또는 거부해 달라고 요청합니다. 이 2FA 방법은 매우 안전하고 굉장히 편리하지만 인터넷 연결성에 좌우됩니다.

비밀번호가 필요 없는 인증자

사용 가능한 인증자 유형은 인증을 위한 FIDO, 생체 인식 및 PKI 기반 디지털 자격 증명처럼 비밀번호가 없는 옵션을 포함하도록 발전했습니다.

2FA 및 다중 인증 비교: 이들의 차이점은 무엇일까요?

2단계 인증(2FA)은 사용자가 두 가지 인증 유형을 제시해야 하는 반면, 다중 인증(MFA)은 사용자가 더 많은 인증 유형은 아니더라도 두 가지 이상을 제시해야 합니다. 즉, 모든 2FA는 MFA이지만 모든 MFA가 2FA는 아닙니다. 다중 인증에서는 리소스, 애플리케이션 또는 웹사이트에 대한 액세스 권한을 얻기 위해 인증자와 인증 토큰의 조합이 필요할 수 있지만, 2FA 인증에서는 리소스에 액세스하기 위해 사전 정의된 두 개의 인증자만 필요합니다. 조직의 요구 사항에 따라 2FA 인증은 최종 사용자에게 원활한 경험을 지원하면서 조직이 찾고 있는 보안 수준을 높일 수 있습니다.

위에서는 2단계 인증을 활성화하는 데 사용할 수 있는 다양한 유형의 요소에 대해 살펴봤습니다. 그러나 각 유형의 인증자 내에서도 선택할 수 있는 다양한 옵션이 있으며, 끊임없이 새로운 기술이 등장하고 있습니다. 2FA 프로토콜에 사용할 요소를 어떻게 선택하시겠습니까? 다음은 올바른 선택을 고려하는 데 도움이 되는 몇 가지 질문입니다.

• 인증이 사용자에게 투명하게 공개되도록 하시겠습니까?
• 사용자가 물리적 장치를 휴대하거나 온라인으로 인증하기를 원하십니까?
• 웹사이트가 사용자에게 자신을 인증하도록 하시겠습니까?
• 보호하는 정보는 얼마나 민감하며 관련된 위험은 무엇입니까?
• 사무실, 실험실 또는 기타 영역에 대한 물리적 액세스(링크)가 사용자 요건에 포함됩니까?

Entrust는 고수준 보안 보장의 다중 인증을 통해 보안 수준을 높일 수 있도록 전문가 지침을 제공합니다. 가장 광범위한 2FA 보안 인증자를 지원하여 보안 요구 사항과 사용 사례에 가장 적합한 옵션을 선택할 수 있습니다. 더 중요한 점은 Entrust가 올바른 옵션을 선택하고 고수준 보안 보장, 2단계 인증으로의 전환 작업을 간소화하는 데 도움이 되는 전문가의 컨설팅 지침을 제공할 수 있다는 것입니다.

2단계 인증은 가장 보편적인 다중 인증 형식으로, 다양한 사람들이 데이터에 액세스해야 하는 사용 사례에 적합합니다. 예컨대 의료 서비스 애플리케이션의 경우 의사와 기타 임상의가 요구에 따라 종종 개인 장치에서 민감한 환자 데이터에 액세스할 수 있기 때문에 일반적으로 2FA를 사용합니다.

마찬가지로 2FA 뱅킹/금융 애플리케이션은 피싱과 소셜 엔지니어링으로부터 계정 정보를 보호하는 동시에 소비자를 위한 모바일 뱅킹을 지원하는 데 도움이 될 수 있습니다.

2FA용 산업 애플리케이션:

• HSM 의료
• 뱅킹
• 엔트러스트 HSM 리테일
• 고등 교육
• 소셜 미디어
• 정부/연방 기관

2단계 인증의 위협/위험은 무엇입니까?

해커가 MFA 및 2FA를 방해하기 위해 사용하는 접근 방식이 몇 가지 있습니다. 여기에는 다음이 포함됩니다.

• 소셜 엔지니어링: 소셜 엔지니어링 공격에서 해커는 개인 식별 정보를 요청하는 합법적인 소스로 가장합니다.
• 기술적 공격: 기술적 공격에는 맬웨어와 트로이 목마가 포함됩니다.
• 물리적 절도: 악의적인 공격자가 스마트폰이나 기타 모바일 장치를 물리적으로 차지하면 2FA에 위협이 될 수 있습니다.
• 계정 복구 파괴: 비밀번호 재설정 프로세스는 2FA를 우회하는 경우가 많아서 해커는 때때로 사용자 이름만 활용하여 2FA를 파괴할 수 있습니다.

2FA가 기존의 비밀번호 기반 인증을 사용하고 모든 인적 요소 결함이 있는 단일 요소 인증에서 한 단계 더 발전했습니다. 2FA로도 충분히 안전하지만, 이제는 다중 인증(MFA)이 사실상 사용자 인증을 위한 솔루션으로 인정받고 있습니다. 지불 카드 보안 표준 같은 규정 준수 요건도 2FA를 MFA로 대체했으며, 정부 기관에서는 연방 기관 전반에 걸쳐 MFA를 의무화하고 있습니다. MFA를 사용하면 다른 폼 팩터(비밀번호 아님)를 추가하여 보안을 강화할 수 있습니다. 장치 확인과 함께 사용자 인증에 생체 인식을 사용하고 위험 기반의 상황별 제어 성능을 추가하면 액세스 권한을 부여하기 전에 사용자와 장치의 위험 상태를 평가할 수 있습니다. 비밀번호가 필요 없는 옵션과 위험 기반 적응형 인증 기능이 포함된 MFA는 보안을 강화하기 위한 방법입니다.

가장 일반적인 인증자/인증 토큰은 무엇입니까?