다중 인증(MFA)이란 무엇입니까?

국립표준기술연구소(NIST)에 따르면 MFA는 웹사이트, 애플리케이션 또는 시스템을 사용하기 위해 둘 이상의 고유한 '인증 요소'가 필요한 인증 방식입니다.

인증 요소는 사용자가 특정 리소스에 액세스하려고 할 때 사용자의 신원을 확인하는 보안 자격 증명입니다. 예를 들어 이메일 계정에 로그인할 때는 일반적으로 사용자 이름과 비밀번호를 제출합니다. 이러한 자격 증명은 신원 확인의 한 형태로, 액세스 요청이 사칭자가 아닌 합법적인 개인이 보낸 것임을 나타냅니다.

다중 인증은 최소한 하나의 추가 요소를 요구하여 이 프로세스를 보다 안전하게 만드는 것을 목표로 합니다. 그래서 이름이 "다중 인증"인 것입니다. 그 이유는 무엇일까요? 해커가 로그인 자격 증명을 손상시키면 주요 리소스와 민감한 정보에 무단으로 액세스할 수 있기 때문입니다.

사이버 범죄자가 권한 있는 사용자(예: 중요한 IT 시스템에 액세스하고 표준 사용자에게 허용되지 않는 활동을 수행할 권한이 있는 사람)의 계정을 해킹한다고 가정해 보겠습니다. 사이버 범죄자는 사회 보장 번호, 금융 정보 등과 같은 기밀 데이터를 유출할 수 있습니다. 데이터 침해는 직원 및/또는 고객 신원 도용으로 이어질 수 있으며 비즈니스에 상당한 영향을 미쳐 평균 445만 달러의 비용이 발생할 수 있습니다.

간단히 말해 이것이 바로 다중 인증 솔루션이 필요한 이유입니다. 올바른 시스템을 사용하면 조직은 강력한 인증 계층을 통해 직원, 소비자 및 시민의 신원을 보호할 수 있습니다.

다중 인증과 2단계 인증(2FA)의 차이점은 무엇입니까?

MFA와 2FA는 매우 유사한 개념이지만 엄밀히 말하면 동일하지는 않습니다.

간단히 말해서 2FA는 더할 것도 없고, 덜할 것도 없이 정확히 두 개의 식별자가 필요한 인증 방식입니다. 따라서 이는 다중 인증의 하위 집합으로 최소한 두 가지 요소가 필요합니다.

이론적으로 다중 인증은 특정 사용 사례에 대해 원하는 만큼 많은 인증 프로그램을 포함할 수 있기 때문에 일반적으로 2FA보다 더 안전합니다. 각각의 추가 요소는 무단 액세스를 더 어렵게 만들어 해커와 민감한 정보 사이에 또 하나의 보호 계층을 구축합니다.

즉, 2FA는 기본적으로 안전하지 않습니다. 기존의 비밀번호 보호는 최신 사이버 위협에 너무 취약하기 때문에 단일 요소 인증을 이용하는 것보다 훨씬 낫습니다.

다중 인증의 예

조직에서는 다중 인증 솔루션을 어떻게 사용합니까? 가장 일반적인 두 가지 사용 사례는 다음과 같습니다.

1. 직원의 원격 액세스: 미국에서만 원격 지원 직원의 3분의 1이 정기적으로 재택 근무를 하고 있습니다. 전 세계적으로 하이브리드 업무가 증가함에 따라 기업은 사용자에게 중요 리소스에 대한 안전한 원격 액세스를 제공해야 합니다. 다중 인증 솔루션을 사용하면 어디서나 편하게 작업할 수 있는 환경을 확보하면서 직원 신원을 식별하고 보호할 수 있습니다.
2. 현장 시스템 액세스: 마찬가지로 병원과 같은 온프레미스 시스템은 보호되는 정보의 중요한 저장소입니다. 적절한 다중 인증 솔루션을 사용하면 직원은 자격 증명과 함께 근접 배지를 사용하여 환자 데이터베이스에 빠르고 안전하게 액세스할 수 있습니다.

프로세스는 사용 중인 정확한 다중 인증 방식에 따라 다릅니다. 그러나 세부 사항에 관계없이 워크플로는 일반적으로 다음과 같이 작동합니다.

• 사용자 로그인: 사용자는 사용자 이름과 비밀번호를 입력합니다.
• 인증 요청: 기본 로그인이 성공하면 시스템에서 추가 요소를 요청합니다.
• 다중 인증 확인: 사용자가 인증 앱에서 생성된 일회용 패스코드(OTP)와 같은 두 번째 인증 요소를 제공합니다.
  • 세 번째 요소(선택 사항): 다중 인증 솔루션은 그렇게 구성한 경우 더 많은 인증 요청을 호출할 수 있습니다.
• 인증 성공: 요소가 모두 확인되면 사용자는 시스템에 액세스할 수 있습니다.

이 프로세스는 일반적으로 완료하는 데 몇 분밖에 걸리지 않으며 사용자 경험에 거의 영향을 미치지 않습니다. 궁극적으로 이는 필요한 다중 인증 요소의 수에 따라 달라지며 이는 세 가지 범주, 즉 지식, 소유, 내재성으로 분류됩니다.

1. 지식 요소

지식 요소는 비밀번호나 PIN과 같이 사용자만 알 수 있는 정보를 나타냅니다. 다중 인증 시스템은 시간이 지남에 따라 더 많은 지식 요소를 추가했으며, 가장 일반적인 예는 비밀 질문(예: 어머니의 결혼 전 성, 고등학교 마스코트 등)에 대한 답변입니다.

그러나 이는 쉽게 추측할 수 있기 때문에 다중 인증 요소 중 가장 약한 요소입니다. 예를 들어, 소셜 미디어 프로필은 개인 정보를 기반으로 하는 경우가 많기 때문에 해커가 비밀 질문 답변을 수월하게 찾아낼 수 있습니다. 마찬가지로 피싱 공격에도 취약합니다.

2. 소유 요소

소유 요소에는 사용자만 가질 수 있는 것이 포함됩니다. 오늘날에는 다음과 같은 몇 가지 고급 소유 기반 확인 유형이 있습니다.

• 일회용 패스코드: 이메일이나 SMS를 통해 일회용 패스코드가 전달됩니다.
• 푸시 알림: 액세스 요청 확인을 요청하는 경고가 사용자의 모바일 장치로 전송됩니다. 이는 소유자만 해당 장치를 가지고 있을 것이라는 생각에서 비롯된 것입니다. 
• 하드웨어 토큰: FIDO2 키 및 사용자가 데스크탑에 연결하는 기타 물리적 장치입니다. 여기에는 사용자의 신원을 인증하는 암호화된 정보가 포함되어 있습니다.
• 그리드 카드: PDF 파일에서 인쇄된 종이 기반 카드로 숫자와 문자로 구성된 행과 열의 그리드가 포함되어 있습니다. 사용자는 자신이 소유한 고유 카드의 해당 셀에 있는 올바른 정보를 제공해야 합니다.

3. 내재성 요소

내재성 요소에는 특정 사용자에게 고유한 정보가 포함됩니다. 다른 두 가지 요소인 아는 것과 가지고 있는 것에 비해 내재된 것은 나라는 존재로 가장 쉽게 고려할 수 있는 요소입니다. 따라서 생체 인식 인증이라고도 하며 다음과 같은 다중 인증 방식을 활용합니다.

• 지문
• 망막 스캐닝
• 음성 인식
• 안면 인식

생체 인증은 본질적으로 우회하기 어렵기 때문에 내재 기반 요소는 가장 안전한 옵션 중 하나입니다.

추가적인 다중 인증 요소

세 가지 기본 식별자 외에도 최첨단 솔루션에서는 다음과 같은 세 가지 새로운 다중 인증 요소를 사용할 수 있습니다.

• 시간: 예상 사용 시간에 대한 액세스 시도를 평가합니다. 업무 외 시간에 요청이 발생하는 경우 솔루션에 추가 요소가 필요할 수 있습니다. 
• 위치: 다중 인증 솔루션은 지리적 위치나 IP 주소를 기반으로 요청을 검증하여 승인된 위치에서 발생하는지 확인할 수 있습니다.
• 행동: 이 요소는 키 입력 역학과 같은 사용자 패턴을 분석하여 과거 또는 습관적인 작업을 기반으로 신원을 확인합니다.

이러한 요소들을 함께 사용하면 더욱더 정교한 보안 메커니즘으로 기존 다중 인증을 강화할 수 있습니다. 중요한 점은 적응형 다중 인증도 가능하다는 점입니다. 이에 대해서는 나중에 자세히 설명하겠습니다.

해커들은 지치지 않는 속도로 신원 정보를 노립니다. 2023년에는 자격 증명 기반 공격으로 82억 개 이상의 기록이 도난당했으며 이 중 34억 개는 단일 데이터 유출로 인한 것이었습니다. 물론 사기, 신원 도용, 규정 위반, 금전적 손실, 평판 손상 등 그 영향은 치명적일 수 있습니다.

불행하게도 많은 기업은 신원 기반 위협에 대한 준비가 부족합니다. 2023년 연구에 따르면 조직의 61%가 디지털 ID 보안을 3대 우선순위로 꼽았습니다. 하지만 그 중 49%만이 완전한 다중 인증을 구현했습니다. 효과적인 다중 인증 솔루션이 있었다면 해킹 가능성을 99%까지 줄일 수 있었을 것입니다.

다중 인증 및 제로 트러스트

실제로 다중 인증은 과거와 현재의 사이버 위협에 대한 적절한 대응책이지만, 중요한 것은 사이버 복원력을 갖춘 미래를 위해서도 필수라는 점입니다. 즉, 제로 트러스트 보안의 필수 구성요소입니다.

제로 트러스트는 한 번이 아니라 세션 전체에서 지속적으로 강력한 인증을 강조하는 최신 보안 프레임워크입니다. ID 및 액세스 관리(IAM) 플랫폼의 일부인 강력한 다중 인증 시스템을 통해 기업은 프레임워크의 세 가지 기본 요소 중 하나를 단번에 구현할 수 있습니다. 결과는 어떨까요? 무단 액세스 및 신원 기반 공격에 대한 노출이 훨씬 줄어듭니다.

다중 인증 혜택 및 과제

왜 다중 인증에 신경을 써야 하나요? 우선, 다음과 같은 많은 이점이 있습니다. 

• 데이터 보안 강화: 다중 인증은 비밀번호 피로, 피싱 공격, 기타 자격 증명 기반 위협을 방지하여 계정 탈취의 위험을 줄여줍니다.
• 향상된 규정 준수: 또한 조직이 다양한 규제 요건 및 산업 표준을 충족하는 데도 도움이 됩니다. 다중 인증을 사용하면 조직은 데이터 보호에 대한 의지를 입증할 수 있습니다.
• 신뢰 강화: 조직이 다중 인증과 같은 강력한 보안 조치를 사용하고 있다는 사실을 고객이 알게 되면 개인 및 금융 데이터의 안전에 대한 신뢰가 높아집니다.
• 비용 절감: 다중 인증은 조직이 사고 대응, 법무 관련 비용, 규제 벌금 및 평판 훼손과 관련된 상당한 비용을 방지할 수 있도록 도와줍니다. 또한 다중 인증은 사용자가 계정 손상을 경험할 가능성이 줄어들기 때문에 비밀번호 재설정 및 기타 지원 관련 비용의 필요성을 줄일 수 있습니다.

그러나 다중 인증에는 어려움이 있다는 점은 주목할 필요가 있습니다. 여기에는 다음이 포함됩니다.

• 불편함: 추가적인 요인으로 인해 사용자 경험이 저하되어 직원과 고객이 불만을 느낄 수 있습니다.
• 잠재적인 취약점: 다중 인증은 훌륭한 보안 메커니즘이지만 공격에 영향을 받지 않는 것은 아닙니다. 프롬프트 공격이나 SIM 교환 공격과 같은 특정 위협 벡터를 통해, 조직에는 다중 인증과 별도로 모든 기능을 갖춘 IAM 플랫폼의 지원이 필요하다는 사실이 더 분명해졌습니다.

적응형 다중 인증 또는 위험 기반 인증이라고도 하는 적응형 인증은 단계별 인증 유형으로 상황별 정보를 분석하여 리소스에 대한 액세스를 요청하는 사용자 프로필의 위험 수준을 결정하고 그에 따라 보안 요건을 늘리거나 줄입니다.

더 간단히 말하면 적응형 다중 인증에는 요청이 불법일 가능성이 더 큰 경우 추가적인 요소가 필요합니다. 위험이 클수록 더 강력한 문제가 발생합니다.

예를 들어 적응형 인증은 다음을 평가합니다.

• 실패한 로그인 시도 횟수
• 소스 IP 주소 또는 지리적 위치
• 장치 평판
• 시도 날짜 및 시간
• 운영 체제
• 사용자 역할

액세스 요청이 의심스러운 경우 사용자에게 OTP 또는 푸시 알림을 사용하여 신원을 확인하라는 메시지가 표시될 수 있습니다. 마찬가지로 모든 것이 정상이라면 어떤 문제도 발생하지 않으므로 원활한 사용자 경험을 제공할 수 있습니다.

다중 인증 솔루션의 구현이 걱정되시나요? 적응형 인증뿐만 아니라 기능을 강화하는 방법도 포함하는 강력한 IAM 시스템을 찾아보세요. 명심해야 할 몇 가지 추가 보안 조치는 다음과 같습니다.

1. 싱글 사인 온(SSO)을 통해 사용자는 하나의 로그인 자격 증명으로 여러 애플리케이션에 액세스할 수 있습니다. IAM 포트폴리오의 일부인 SSO는 적응형 다중 인증의 보안을 활용하면서 열악한 사용자 경험의 위험을 완화합니다. 
2. 패스워드리스 인증은 취약한 비밀번호 위생의 위험을 줄여줍니다. 비밀번호 대신 생체 인식 인증과 디지털 인증서와 같은 자격 증명 기반 방식을 사용하여 신원을 확인합니다.
3. 모바일 푸시 인증은 사용자의 모바일 장치에 푸시 알림을 보내는 패스워드리스 인증 방식의 한 유형입니다. 이를 통해 사용자는 버튼을 스와이프하거나 터치하여 거래를 승인하고, 앱에 액세스하고, 기업 애플리케이션에 로그인할 수 있습니다.

Entrust Identity는 Entrust의 ID 및 액세스 관리 기능 포트폴리오입니다. 하나의 IAM 플랫폼을 사용하면 전체 다중 인증 도구 및 인증 프로그램 제품군을 활용하여 오늘날 진화하는 위협 환경으로부터 직원, 소비자 또는 시민을 보호할 수 있습니다.

적응형 다중 인증부터 패스워드리스 인증 등에 이르기까지, Entrust는 성공에 필요한 모든 보안 조치를 갖추고 있습니다.