각 조직마다 구체적인 요구사항은 다르지만, 모든 조직에 공통적으로 적용되는 높은 수준의 비즈니스 동인이 있습니다: 대부분의 업계는 고객, 환자 또는 금융 정보와 관련된 일종의 개인정보 보호법을 준수해야 합니다. 또한 정부 기관은 사용자 신원 확인을 위해 MFA를 요구하는 정책을 계속 강화하고 있습니다. 그 어느 때보다 많은 전문가들이 재택근무 또는 원격 근무를 통해 사무실 밖에서 업무를 수행하고 있습니다. 위험 관리 관행의 일부로 또는 정부 인증 의무가 적용되는 정보(고객, 환자, 시민, 인사 등)를 다루는 규정 준수 이니셔티브의 일부로 MFA를 사용합니다. 파워 유저와 이들이 근무하는 조직은 널리 연결된 세상에 존재하기 때문에 인증정보가 유출되면 고용주에게 취약점이 노출되므로 MFA를 통해 계정을 보호해야 하는 강력한 이유가 됩니다. 거의 모든 사람이 소셜 미디어, 소비자 맞춤형 콘텐츠, 전자상거래 등 일상생활을 영위하는 데 있어 연결된 컴퓨터(스마트폰)를 주머니에 넣고 다닙니다. 고객은 디바이스에서 디지털 방식으로 비즈니스와 상호 작용하기를 기대하기 때문에 조직은 위험을 관리하기 위해 MFA가 필요한 공격적인 모바일 앱 전략을 추구하는 경우가 많습니다.

Q: 조직이 규정을 준수하기 위해 MFA를 사용해야 하는 의무는 무엇인가요?

MFA는 이제 기본 요구 사항입니다: 카드 소지자 데이터를 처리하는 시스템에 대한 모든 원격 액세스에 대한 PCI DSS v4.0. HIPAA - 전자 보호 의료 정보(ePHI) 보안을 위한 것입니다. 중요 부문에서 강력한 액세스 제어가 필요한 NIS2 및 DORA. 사이버 보험 정책은 대부분 MFA를 의무적으로 적용합니다.

개요

보호된 리소스에 액세스할 때는 자격 증명 정보를 사용하여 데이터 저장소에 대해 인증합니다. 이는 주장된 신원과 이와 관련된 비밀로 구성됩니다. 기존에는 간단한 사용자 아이디와 비밀번호만으로 인증이 이루어졌으며, 이는 오늘날 가장 일반적인 인증 방식입니다. 안타깝게도 사용자 아이디/비밀번호 인증은 피싱과 자격증명 해킹에 상당히 취약한 것으로 나타났습니다. 비밀번호는 기억하기 어려울 수 있기 때문에 사람들은 간단한 비밀번호를 선택하여 여러 온라인 및 클라우드 서비스에서 재사용하는 경향이 있습니다. 즉, 한 서비스에서 인증정보가 해킹되면 악의적인 외부인이 다른 개인 및 전문 디지털 서비스에서 해당 인증정보를 테스트합니다.

MFA(다단계 인증)는 사용자가 애플리케이션, 데이터 저장소 또는 비공개 네트워크와 같은 특정 리소스에 액세스하기 전에 두 가지 이상의 인증 방법을 제공하도록 요구하여 이러한 위협 및 기타 종류의 위협으로부터 보호하도록 설계되었습니다.

'요소'라는 용어는 누군가가 주장하는 신원을 확인하는 데 사용되는 다양한 인증 유형 또는 방법을 설명합니다. 다른 방법은 다음과 같습니다:

비밀번호, 암기된 PIN 또는 도전 문제와 같이 알고 있는 정보
과거에는 하드 토큰을 사용했지만, 최근에는 스마트폰이나 보안 USB 키를 사용하는 것이 일반적입니다.
일반적인생체 인식은 지문이나 얼굴 인식이며, 음성이나 기타 인식 기술과 같은 생체 인식은 덜 일반적입니다.

다단계 인증

보호된 리소스에 대해 구성해야 하는 요소 수를 어떻게 결정하나요?

보안 및 사용성 요구사항에 따라 요청자의 신원 확인에 사용되는 프로세스가 결정됩니다. 다단계 인증을 통해 보안팀은 요청자(사람 또는 프로그래밍 프로세스)의 상황이나 컨텍스트에 따라 대응할 수 있으므로 가장 일반적인 시나리오인 액세스를 제거할 수 있습니다. 몇 가지 유형의 인증이 필요한지 결정하는 것 외에도 IT는 사용성 요구 사항과 구현 비용의 균형을 맞춰야 합니다.

단일 요소 인증(SFA)

SFA는 모바일, 온라인 및 기타 보안 정보 및 시설에 대한 액세스를 보호하는 기본값이었으며 지금도 마찬가지입니다. 매우 보편적이고 저렴하기 때문에 가장 일반적인 SFA 유형은 사용자 이름과 비밀번호입니다. 하지만 다양한 피싱 공격으로 인한 위협을 피하기 위해 비밀번호 없는 기술을 도입하는 비율은 점점 높아지고 있습니다. 예를 들어, 대부분의 모바일 기반 앱에서는 기존의 사용자 이름과 비밀번호 대신 지문 또는 얼굴 인식을 사용할 수 있습니다.

비밀번호 없는 옵션(예: FIDO2 및 패스키)은 현재 Microsoft, Apple, Google을 포함한 모든 주요 플랫폼 공급업체에서 사용할 수 있습니다.

인증 토큰은 신원을 확인하는 데 사용되므로 외부인으로부터 보호해야 합니다. 강력한 토큰 보안은 물론, 토큰이 상당히 자주 만료되도록 설정하여 새로 고침 빈도를 높이는 경우가 많습니다. 비밀번호 없는 인터페이스 아래에 사용되는 수명이 짧은 토큰을 구현하면 보안이 강화되지만, 2단계 인증이 제공하는 수준에는 미치지 못합니다.

패스키나 WebAuthn과 같은 최신 비밀번호 없는 메커니즘은 일반적으로 단순한 SFA로 분류되지 않으며, 여러 가지 암호화 보증을 결합하는 더 강력한 형태의 인증입니다(사용자가 가지고 있는 것과 때로는 사용자 자신이 있는 것). 진정한 의미의 비밀번호 없는 기능은 올바르게 구현하면 그 자체로 강력한 다중 요소 또는 고급 인증의 한 형태가 될 수 있습니다.

2단계 인증(2FA)

2FA는 사용자가 신원 확인을 위해 두 번째 유형(알다, 가지고 있다, 있다)을 제공하도록 요구하여 보안을 강화합니다. 하나의 신원 증명은 신분증과 같은 물리적 토큰일 수 있고, 다른 하나는 챌린지/응답, 보안 코드 또는 비밀번호와 같이 기억된 것일 수 있습니다. 두 번째 요소는 악의적인 외부 공격자가 보안을 뚫고 침입할 수 있는 기준을 크게 높인다는 것입니다.

다음은 널리 사용되는 인증 방법의 일반적인 목록입니다:

일회용 비밀번호-TOTP, HOTP, YubiKey 및 기타 FIDO 호환 장치
기타 대역 외 음성통화, 모바일 푸시
PKI 인증서
생체인식-지문, 얼굴, 음성 인식
근접 카드, 모바일 앱 지오펜싱
알고 있는 정보-비밀번호, 도전 질문

3단계 인증(3FA)

이 방법은 이중 인증에 또 다른 요소를 추가하여 하나의 신원을 위조하기 더욱 어렵게 만듭니다. 일반적인 시나리오는 기존 사용자 이름/비밀번호에 생체 인식을 추가하고 근접 카드 로그인을 추가하는 것입니다. 상당한 수준의 마찰이 발생하므로 높은 수준의 보안이 필요한 상황에서만 사용해야 합니다. 은행은 다양한 정부 기관과 마찬가지로 3FA가 적합한 상황을 찾을 수 있습니다. 공항이나 병원 내 특정 통제 구역은 보안팀이 3FA가 필요하다고 판단한 구역이기도 합니다. 3FA는 흔하지 않으며 적응형 MFA(컨텍스트 위험을 평가하는)가 업계의 일반적인 방향입니다.

MFA는 일반적으로 어디에 사용되나요?

많은 조직에서 사용자 인증을 나중에 고려하는 것으로 생각하지만, Verizon의 연례 DBIR에 따르면 자격 증명 해킹이 지속적으로 가장 중요한 침해 전략으로 나타나고 있다는 점에 유의해야 합니다. 거의 모든 조직이 민감한 정보를 잃어버려 금전적 손실과 잠재적인 고객 신뢰 상실을 초래하는 사건을 겪는 것은 시간 문제입니다.

이러한 트렌드가 주목할 만한 이유는 멀티팩터 인증이 지금처럼 편리하고 경제적으로 구현할 수 있는 시기가 없었다는 점입니다. 전통적으로 조직은 비즈니스에 더 높은 수준의 위험을 초래하는 정보를 다루는 소수의 전문 사용자로 MFA 구현을 제한해 왔습니다. 비용과 사용성 때문에 강력한 인증 기술을 더 널리 배포하지 못하는 경우가 많았습니다. 기존에는 강력한 인증 방법을 구매, 배포(사용자 등록 포함) 및 관리하는 데 많은 비용이 들었습니다. 하지만 최근에는 산업 전반, 조직 자체, 고객(또는 환자, 시민, 파트너 등), 그리고 조직이 접근할 수 있는 기술에서 대대적인 변화가 일어나고 있습니다.

멀티팩터 인증을 구현하는 주요 비즈니스 동인은 무엇인가요?

각 조직마다 구체적인 요구 사항은 다르지만, 모든 조직에 공통적으로 적용되는 높은 수준의 비즈니스 동인이 있습니다:

대부분의 업계는 고객, 환자 또는 금융 정보에 관한 개인정보 보호법을 준수해야 합니다. 또한 정부 기관은 사용자 신원 확인을 위해 MFA를 요구하는 정책을 지속적으로 강화하고 있습니다.
그 어느 때보다 많은 전문가들이 재택근무 또는 원격 근무를 통해 사무실 밖에서 업무를 수행하고 있습니다. 위험 관리 관행의 일부로 또는 정부 인증 의무가 적용되는 정보(고객, 환자, 시민, 인사 등)를 다루는 규정 준수 이니셔티브의 일부로 MFA를 사용합니다.
파워 유저와 이들이 근무하는 조직은 널리 연결된 세상에 존재하기 때문에 인증정보가 유출되면 고용주에게 취약점이 노출되므로 MFA를 통해 계정을 보호해야 하는 강력한 이유가 됩니다.
거의 모든 사람이 소셜 미디어, 소비자 맞춤형 콘텐츠, 전자상거래 등 일상생활을 영위하는 데 있어 연결된 컴퓨터(스마트폰)를 주머니에 넣고 다닙니다. 고객은 디바이스에서 디지털 방식으로 비즈니스와 상호 작용하기를 기대하기 때문에 조직은 위험을 관리하기 위해 MFA가 필요한 공격적인 모바일 앱 전략을 추구하는 경우가 많습니다.

조직이 규정을 준수하기 위해 MFA를 사용해야 하는 의무는 무엇인가요?

이제 MFA는 기본 요구 사항입니다:

카드 소지자 데이터를 처리하는 시스템에 대한 모든 원격 액세스를 위한 PCI DSS v4.0.
HIPAA -전자 보호 의료 정보(ePHI) 보안을 위한것입니다.
중요 부문에서 강력한 액세스 제어가 필요한 NIS2및 DORA.
사이버 보험 정책은 대부분 MFA를 의무적으로 적용합니다.

사용자 경험에 덜 방해가 되는 MFA를 만드는 방법에는 어떤 것이 있나요?

IT 부서는 MFA로 인해 사용자에게 발생할 수 있는 마찰을 줄이기 위해 몇 가지 기술을 활용할 수 있습니다:

싱글 사인온.
액세스 요청의 위험 평가.
사용자에게 가장 적합한 인증 유형을 매칭합니다.

싱글 사인온(SSO)

SSO를 사용하면 사용자가 단 한 번의 상호 작용으로 여러 리소스에 인증할 수 있습니다. 즉, 사용자가 하나의 자격 증명을 입력하면 그 아래의 인프라가 해당 세션 동안 사용자를 대신하여 보호되는 각 리소스에 인증합니다. SSO에 대한 가장 안전한 접근 방식은 인증 엔진이 SSO를 위해 설정된 각 리소스에 대해 고유한 자격 증명 집합을 사용하는 것입니다. 이렇게 하면 보안이 높은 수준으로 강화됩니다:

사용자는 리소스의 실제 자격 증명을 알지 못하고 인증 게이트웨이에 제공된 자격 증명만 알 수 있습니다. 이렇게 하면 사용자가 리소스로 직접 이동하지 않고 인증 게이트웨이를 사용하게 됩니다. 또한 각 리소스에는 고유한 자격 증명이 있다는 의미이기도 합니다. 따라서 이 중 하나의 ID 저장소가 유출되더라도 다른 ID 저장소는 손상되지 않습니다. 이 접근 방식을 통해 IT 부서는 보호된 리소스에 대한 직렬 인증을 수행하면서 MFA 요구 사항을 준수할 수 있습니다.
사용자 컨텍스트를 활용하면 위험 기반(RBA) 기술을 사용하여 필요할 때만 MFA를 호출할 수 있습니다. 정부의 의무를 준수하거나 조직의 위험 관리 정책을 시행하기 위한 것이든, RBA를 사용하면 사용자에게 인증 요청이 부과되는 경우를 줄일 수 있습니다. 정책은 일반적으로 위치, 디바이스, 액세스 시간 등이 혼합되어 있습니다.

마찰이 적은 인증 옵션

기존의 OTP/TOTP가 계속해서 가장 일반적인 2단계 인증 유형이 되겠지만, 상황에 따라 더 적합한 다른 옵션이 있을 수 있습니다. 대역 외 푸시 모바일 앱은 사용자가 수락 버튼을 누르기만 하면 되기 때문에 OTP에 대한 마찰이 적은 옵션을 제공합니다. 고위험 상황의 경우, 일부 푸시 앱은 사용자의 신원 확인을 위해 지문을 요구하거나 데스크톱과 스마트폰을 모두 소지하고 있는지 추가로 확인하기 위해 데스크톱에 표시된 번호와 같은 정보 확인을 요구하도록 설정할 수 있습니다.

얼굴 인식은 빠르게 생체 인증의 대세로 자리 잡고 있습니다. 시간이 지날수록 더 좋아지는 Windows Hello의 저마찰 특성은 편리한 사용자 환경을 제공합니다. 가장 큰 문제는 Windows Hello가 다양한 조명 상황에서 제대로 작동하지 않는다는 것입니다. 조명에 따라 얼굴을 인식하지 못하는 문제는 추가 얼굴 등록을 통해 관리할 수 있습니다. 최근에는 일부 모바일 앱에서 개인의 홍채 패턴을 등록할 수 있는 기능을 제공합니다. 생체 인증 옵션(얼굴, 지문, 홍채)을 함께 사용하면 외부인이 뚫기 어려운 보안 수준을 높일 수 있습니다. 생체 인식 방식은 피싱 공격으로부터 보호할 수 있는 마찰이 적은 방법을 찾고 있는 조직에게도 훌륭한 옵션입니다.

음성 인식은 금융 서비스 부문에서 인기를 얻고 있습니다. 고객이 서비스 담당자와 대화할 때 전적으로 수동적이기 때문에 기관에서는 이 방식을 선호합니다. 고객의 신원이 확인되면 담당자에게 알림이 전송됩니다. 정답을 기억하기 어려운 고객에게는 도전 과제 질문 대신 음성 인식을 사용합니다. 이 경우 보안과 사용성이 최적화됩니다.

FIDO/FIDO2는 사용자가 여러 디바이스에서 로밍할 때 매력적인 옵션입니다. FIDO가 매력적인 인증 옵션인 이유 중 하나는 광범위한 공급업체 지원과 사용 편의성에 중점을 두고 있다는 점입니다. FIDO는 다양한 디지털 서비스를 사용하는 많은 학생을 상대하는 대학에서 주목할 만한 주목을 받고 있습니다. FIDO를 사용하면 다양한 디바이스와 플랫폼에서 비밀번호 없는 인증의 이동성을 사용할 수 있습니다.

스마트폰 제스처 프로파일링은 사람이 기기와 물리적으로 상호 작용하는 방식을 분석하는 행동 분석의 한 형태입니다. 휴리스틱을 사용하여 제스처의 패턴을 추적하고 해당 패턴의 일관성을 기반으로 신뢰도 점수를 생성합니다. 더 많은 데이터가 수집될수록 시스템은 사용자의 고유한 행동을 더욱 확실하게 인식하여 제스처 프로필의 정확도 또는 충실도를 높일 수 있습니다. 제스처 프로파일링은 처음에는 신원 확인의 기본 방법으로 사용할 만큼 강력하지는 않지만, 다른 인증 방법과 함께 사용하면 유용한 보완 요소가 될 수 있습니다.

OpenText의 지원 방법

OpenText™ Advanced Authentication은 엔터프라이즈급 ID 및 액세스 관리 포트폴리오의 일부입니다. 이를 통해 다음과 같은 MFA를 유연하게 배포할 수 있습니다:

비밀번호 없는 생체 인증.
위험 기반 및 상황에 따른 액세스 결정.
하이브리드 및 멀티 클라우드 환경 전반에서 정책 적용.
API, SDK 및 페더레이션 프로토콜(SAML, OAuth, OIDC)을 통한 통합.

내부 사용자, 파트너, 소비자 등 어떤 대상을 보호하든 OpenText는 엔터프라이즈 규모에 맞게 안전하고 규정을 준수하며 확장 가능한 인증을 제공합니다.

OpenText Advanced Authentication은 다른 MFA 솔루션과 어떻게 다른가요?

보안 팀은 종종 채택하는 인증과 함께 제공되는 지원 소프트웨어를 구현합니다. 이는 다른 소프트웨어 구현이 필요한 다른 기기를 구매하여 또 다른 사일로를 만들 때까지는 잘 작동하는 것 같습니다. 대규모 조직에서는 다중 인증 또는 다른 인증 요구 사항을 충족하기 위해 여러 개의 비밀번호 없는 기술을 사일로화하여 사용할 수 있습니다. 이 상황의 약점은 각 인증 사일로마다 고유한 정책 집합이 있다는 것입니다. 이렇게 여러 개의 정책 저장소를 최신 상태로 유지하려면 관리 오버헤드가 증가하고 정책이 균일하지 않을 위험이 있습니다.

OpenText Advanced Authentication은 대규모 조직의 멀티팩터 인증 요구 사항도 충족하도록 설계되었습니다. 표준 기반 접근 방식은 벤더 종속의 위험이 없는 개방형 아키텍처를 제공합니다. 이 프레임워크는 다양한 디바이스와 추가적인 즉시 사용 가능한 방법을 지원하지만 새로운 기술이 시장에 출시됨에 따라 확장할 수도 있습니다.

플랫폼(웹, 모바일, 클라이언트)에 관계없이 OpenText Advanced Authentication은 가장 일반적인 플랫폼 및 애플리케이션에 대한 기본 지원도 제공합니다. 기업 전체 인증을 위한 중앙 정책 엔진 역할을 하는 것 외에도 OpenText Advanced Authentication은 위험 기반 엔진을 제공하여 MFA가 호출되는 시기를 제어하고 다양한 위험 수준에 따라 제공되는 인증 유형을 제어할 수 있습니다. 자체 내장 엔진 외에도 OpenText 고급 인증은 OpenText Access Manager와 통합되어 적응형 액세스 관리 사용 사례의 일부로 사용할 수 있는 강력한 싱글 사인온 옵션 및 위험 메트릭 세트를 제공합니다.