OpenText™ ID 및 액세스 관리 (NetIQ)는 포괄적인 ID 및 액세스 서비스 세트를 제공하여 작업자가 언제 어디서나 모든 디바이스에서 적시에 리소스에 안전하게 액세스할 수 있도록 지원합니다. 또한 OpenText 사이버 보안은 조직이 소비자와 효과적이고 안전하게 소통할 수 있도록 지원합니다.

비밀번호 없는 인증이 인기 있는 이유는 무엇인가요?

기존 자격 증명을 대체할 비밀번호 없는 인증의 가능성은 30년 이상 존재해 왔지만, 오늘날의 기술은 이를 현실로 만들었습니다. 2022년 비밀번호 없는 시장의 규모는 156억 달러였지만, 2030년에는 530억 달러 이상으로 성장할 것으로 예상됩니다. 오늘날 비밀번호 없이 비밀번호를 입력하는 방식은 대부분 스마트폰을 통해 이루어지고 있습니다. OpenText가 의뢰한 "비밀번호 없는 현황" 다크 리딩 보고서에 따르면 응답자의 64%가 완전한 비밀번호 없는 인증 모델로 전환하는 것이 중요하다고 생각하는 것으로 나타났습니다.

지난 10년 동안 정부의 의무를 준수하는 것이 조직이 비밀번호 없는 기술을 채택하는 동기가 되었습니다:

정부-정부및 공공 부문 기관은 이제 특정 다단계 인증 요건을 적용받습니다. 이러한 요구 사항은 처음에는 권장 사항으로 시작되었지만 수년에 걸쳐 정책으로 바뀌었습니다. 이 정책은 일반적인 가이드라인으로 시작되었지만 시간이 지나면서 기밀 문서 액세스에 대한 구체적인 이중 인증 의무로 발전했습니다.
의료 -미국을 비롯한 전 세계에서 의료정보 유출은 금융을 포함한 다른 어떤 시장보다 이 시장의 조직에 더 많은 재정적 고통을 안겨줍니다. 정부 기관은 구체적인 비밀번호 없는 2단계 인증 요구 사항으로 대응하고 있습니다.
금융 서비스 -정부 규정은 고객의 개인 금융 및 개인 정보 보호를 의무화하고 있지만, 소비자 신뢰를 유지하려면 데이터 보안이 필요합니다. 금융 서비스에서 다단계 인증을 선도적으로 도입해 왔지만, 스마트폰 플랫폼은 신원 확인을 위한 비밀번호 없는 인증 도입을 더욱 촉진하고 있습니다.

인력을 위한 신원 확인

지금까지 인력 보안에 비밀번호 없는 기술을 사용하는 것은 특수한 애플리케이션과 사용자에게만 국한되어 있었습니다. 지난 10년 동안에야 도입을 가로막는 가장 중요한 네 가지 장벽이 무너졌습니다:

하드 토큰, 기업용 지문 인식기 및 기타 생체 인식 장치는 더 이상 기업 전체에서 사용하기에 너무 비싸지 않습니다.
특히 원격 근무자나 사무실 규모가 너무 작아 현장 IT 지원을 정당화할 수 없는 경우, 대량 도입에 부담스러웠던 등록 및 기기 설정 비용이 이제 더 저렴해졌습니다.
한때 불가능했던 인증 장치의 지속적인 원격 관리는 이제 원격 재설정 및 재구성이 일상화되어 일상화되고 있습니다.
이전에는 보안팀과 경영진, 특히 사용자들이 비밀번호 없는 기술에 대한 확신이 부족했지만, 최근 사용 사례가 확산되면서 인증 현대화 및 계획의 물결이 일고 있습니다.

디바이스의 발전과 더불어 인증 사용 사례와 관련 요구 사항도 정부 규정을 넘어서 변화하고 있습니다.

원격 근무

이제 현장 작업자들은 그 어느 때보다 모바일 플랫폼을 사용하여 개인 정보에 액세스합니다. 지난 3년 동안 재택근무의 도입은 로드 워리어를 훨씬 뛰어넘어 상당한 성장을 보였습니다. 팬데믹 이전에도 재택근무는 꾸준히 증가해 왔지만, 이후 모든 산업에서 새로운 원격 근무 정책이 널리 채택되고 있습니다.

클라우드

정형 및 비정형 개인 데이터는 점점 더 데이터 센터가 아닌 클라우드에서 저장되고 액세스되고 있습니다. 기업 서비스를 호스팅하고 원격 트래픽을 라우팅하는 데이터 센터의 사용이 급격히 감소함에 따라 방화벽 보안 기술의 중요성이 점점 더 커지고 있습니다.

개인 디바이스 사용

보안 제어를 더욱 약화시키는 것은 BYOD(Bring-Your-Own-Device)의 채택이 증가하고 있다는 점입니다. BYOD를 통해 클라우드 호스팅 리소스에 원격으로 액세스하면 관리되는 디바이스에 대한 기본적인 의존도를 ID 기반 보안으로 전환할 수 있습니다. 이러한 의존도는 신원 확인을 우회하는 피싱 및 기타 신원 공격에 더 많이 노출된다는 의미로 해석됩니다.

관리형 네트워크, 사내 디지털 리소스(서비스 및 비정형 데이터), 회사 디바이스에서 벗어난다는 것은 보안팀이 더 이상 전략의 일부로 이러한 리소스에 의존할 수 없다는 것을 의미합니다. 대신 신원 확인을 기반으로 보안을 구축하려면 사칭에 대한 저항력이 높은 검증된 전략이 필요합니다. 멀티팩터 인증의 채택은 계속 증가할 것이지만, 단일 인증 비밀번호는 인증 프로세스를 간소화하면서 사용자 이름과 비밀번호에 대한 보안 기준을 높입니다. 직원들은 얼굴 인식, 지문 인증 또는 기타 수동적 경험의 속도와 편리함을 즐깁니다. 한편, 조직은 가장 두드러진 취약점이자 침해의 원인인 피싱에 대한 보호 기능을 강화할 수 있습니다.

비밀번호 없이 전환하는 소비자

비밀번호 없는 환경을 구현하는 핵심 요소는 스마트폰입니다. 작은 패키지에 엄청난 양의 컴퓨팅 성능을 담아 많은 사람들에게 없어서는 안 될 필수품이 되었으며, 암호가 필요 없는 게임 체인저가 되었습니다. 문자 메시지부터 소셜 미디어, 온라인 쇼핑, 뱅킹에 이르기까지 모든 용도로 사용합니다. 우리는 순간적으로 사진을 찍고, 길을 찾거나 답을 검색합니다.

핸드헬드 컴퓨팅 디바이스에 대한 이러한 의존성으로 인해 이전에는 없었던 인증 패러다임의 변화가 일어났습니다:

범용 연결을 통해 인증 중에 대역 외 신원 확인이 가능합니다.
휴대용 처리 능력은 일회성 핀 역할을 하는 시드와 키를 생성할 수 있습니다.
스마트폰이 발전함에 따라 생체 인식 및 수동 인증 방식이 발전하여 인증이 더욱 정교해지고 진화할 것입니다.

소비자들은 기존 인증이 자신에게 가하는 위협에 대해 점점 더 많이 인식하고 있습니다. 조직은 이러한 변화를 인식하고 디지털 서비스를 개선할 수 있는 기회를 포착하고 있습니다.

비밀번호 없는 인증은 얼마나 안전한가요?

Verizon의 데이터 침해 팀은 스피어 피싱이 범죄자들이 주로 사용하는 인증정보 탈취 방법이라는 사실을 확인했습니다. 스피어 피싱은 공격자가 은행, 동료 또는 기타 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 이메일을 보내 피해자를 모의 웹사이트로 유도하는 방식으로 시작됩니다. 이 웹사이트는 인증을 요구하며 피해자가 자격 증명을 공개하거나 신용카드 번호를 입력하거나 기타 개인 정보를 제공하도록 유도합니다.

이 공격의 변종에서는 링크를 클릭하면 피해자의 컴퓨터에 멀웨어가 설치되는 링크를 제공합니다.

비밀번호 없는 기술은 이러한 유형의 공격으로부터 보호하는 데 매우 적합합니다. 비밀번호를 제거하도록 구성된 플랫폼의 경우 입력 또는 키 입력 캡처를 통해 캡처할 수 없습니다. 비밀번호 없이 비밀번호를 옵션으로 제공하는 플랫폼의 경우, 스마트폰과 같이 비밀번호가 없는 다단계 인증이나 생체인증과 같은 비밀번호 없는 인증으로 비밀번호를 강화할 수 있습니다.

스마트폰에 대한 의존도가 높아지면서 스마트폰의 취약성이 보안 논의의 최전선에 서게 되었습니다. 모바일 디바이스를 방치하면 해커 및 기타 악의적인 공격자의 손에 넘어갈 수 있으며, 이들은 PIN, OTP 및 대역 외 푸시 승인을 가로채고 생체 인식을 자신과 일치하도록 재구성할 수 있습니다. SIM 카드 도난은 SMS/OTP에도 위험을 초래합니다. 사용자가 주의를 기울이더라도 공격자가 서비스 제공업체를 조종하여 합법적인 SIM 카드의 중요한 정보를 취소하고 전송하도록 하면 보안이 침해될 수 있습니다.

어떤 조직도 모든 위협을 막을 수는 없지만,비밀번호 없는 패러다임으로 전환하는 것만으로도 가장 일반적인 위협으로부터 보호할 수 있는 것은 사실입니다. 단일 인증의 경우에도 입력한 자격 증명에서 벗어나면 보안이 강화됩니다. 예를 들어 위험 기반 인증(RBA)을 통해 보안 수준을 높이는 등 더 많은 작업을 수행할 수 있습니다. RBA는 사용자 신원 확인을 위해 추가 단계가 필요한 시점을 판단하는 데 있어 오랫동안 입증된 실적을 보유하고 있습니다. 조직은 다음과 같이 미리 정의된 조건에서 2단계 인증을 호출할 수 있습니다:

이 장치를 이전에 본 적이 있나요?
- 디바이스 지문 인식
- 브라우저 쿠키
사용자가 예상되는 위치에 있나요?
- IP 지리적 위치 서비스
- 지오펜싱(GSM)
사용자가 예상대로 행동하고 있나요?
- 사용자 및 엔티티 행동 분석(UEBA)
정보의 위험 수준은 어떻게 되나요?

이러한 기준은 조직에서 필요한 신원 확인 수준을 결정하는 데 도움이 됩니다. 예를 들어, 정보에 액세스하기 위해 지문을 요구합니다. 하지만 위험도가 높은 경우 다단계 인증이 필요한 더 민감한 하위 집합이 있습니다.

비밀번호 없는 구매자 가이드

디지털 ID의 위험과 마찰을 줄이기 위한 실용적인 가이드입니다.

구매자 가이드를 읽으세요

구현 방법

비밀번호 없는 인증을 구현하는 방법

비밀번호 없는 로그인을 구현하려면 비밀번호 사용을 중단하는 것 외에도 사용자 흐름을 신중하게 설계하고, 강력한 인증자를 선택하고, 대체 경로를 계획해야 합니다. 다음은 로드맵입니다(자세한 내용은 OpenText의 비밀번호 없는 구매자 가이드에서 확인할 수 있습니다):

1. 보증 계층 및 사용 사례 매핑을 정의합니다. 리소스를 위험 수준별로 분류하는 것부터 시작하세요(예 기본 계정 정보 대 재무 운영). NIST의 인증 보증 수준(AAL)과 같은 표준을 사용하여 각 시나리오에 대해 인증이 얼마나 강력해야 하는지 결정하세요. 그런 다음 각 사용자 여정(로그인, 트랜잭션, 관리자 작업)을 적절한 보증 계층에 매핑합니다.

2. 올바른 인증 방법을 선택합니다. 위험, 사용성, 비용 목표에 맞는 비밀번호 없는 방법을 하나 이상 선택하세요. 상호 운용 가능한 표준을 선택하는 것이 이상적입니다(예 FIDO2)를 지원하므로 벤더에 구애받지 않고 크로스 플랫폼을 유지할 수 있습니다. 옵션은 다음과 같습니다:

하드웨어 보안 키/FIDO2/WebAuthn
대역 외 푸시 또는 TOTP를 사용하는 모바일 앱
생체 인증(지문, 얼굴, 음성)
상황적/수동적 요인(디바이스 자세, 지리적 위치, 블루투스)

3. 안전한 등록 흐름을 설계합니다. 사용자와 인증자 간의 바인딩은 매우 중요합니다. 기존 자격증명, 신원 증명 또는 대면 확인 등을 통해 신원을 확인한 다음 인증자를 암호화하여 등록합니다. 계정당 여러 인증서를 지원하고(사용자가 백업할 수 있도록), 사용자가 인증 방법을 비활성화하거나 변경할 수 있도록 합니다.

4. 인증 흐름을 구현합니다. 각 상호 작용(로그인, 거래, 세션 갱신)에 대해:

사용자가 등록한 인증자에 도전합니다.
암호화된 보안 거래소(예: WebAuthn, CTAP)를 사용합니다.
사기/위험 신호(디바이스 지문, 위치, 행동)를 포함하여 필요한 강도를 조정합니다.
필요한 경우에만 열지 않거나 에스컬레이션하세요(위험도가 낮은 액세스는 차단하지 마세요).

5. 폴백/복구 경로를 제공합니다. 완벽한 시스템은 없습니다. 사용자가 휴대폰이나 열쇠를 분실할 수 있습니다. 안전한 고수준 보장 복구 옵션 제공(예 신원 확인, 대체 인증자 또는 챌린지 응답 폴백 지원)을 통해 보안을 약화시키지 않고 액세스를 복원할 수 있습니다.

6. 롤아웃을 모니터링, 반복 및 단계적으로 진행합니다. 제한된 파일럿 그룹 또는 중요하지 않은 경로로 시작하세요. 사용자 피드백, 이탈률, 지원 티켓 및 보안 이벤트를 모니터링하세요. 이 데이터를 사용하여 흐름을 개선하고, 위험 임계값을 보정하고, 적용 범위를 확장하세요. 이상 징후를 감지할 수 있는 로깅 및 포렌식 추적이 마련되어 있는지 확인하세요.

자주 묻는 질문

"비밀번호 없는 인증"이란 무엇인가요?

비밀번호 없는 인증은 사용자가 비밀번호를 외우거나 입력하지 않고도 로그인할 수 있다는 의미입니다. 대신 인증은 디바이스(또는 생체 인식/PIN)에 연결된 암호화 자격 증명에 의존하여 신원을 증명합니다.

비밀번호 없는 인증은 다단계 인증(MFA)과 어떻게 다른가요?

MFA는 일반적으로 비밀번호 위에 추가 검사를 계층화합니다. 비밀번호 없는 인증은 비밀번호를 전혀 사용하지 않고, 더 강력한 요소(장치, 생체 인식 또는 소지품)에만 의존하며 선택적으로 추가 요소를 혼합합니다.

비밀번호 없이 로그인할 수 있는 기술 또는 방법에는 어떤 것이 있나요?

일반적인 비밀번호 없는 접근 방식은 다음과 같습니다:

하드웨어 보안 키/FIDO2/WebAuthn
생체 인식 확인(지문, 얼굴) 또는 디바이스 PIN
모바일 푸시 알림 또는 앱
매직 링크 또는 일회성 코드(안전하게 설계된 경우)

비밀번호가 없는 것이 비밀번호보다 더 안전한가요?

많은 경우 비밀번호가 없는 것이 비밀번호보다 더 안전하며, 특히 올바르게 구현된 경우 더욱 그렇습니다. 도용할 수 있는 비밀번호가 없기 때문에 자격증명 재사용, 무차별 대입 및 다양한 피싱 공격에 강합니다.

사용자가 디바이스를 분실하면 어떻게 되나요?

대체 인증자, 신원 확인 단계, 사전 등록된 복구 방법 등 대체 또는 복구 옵션을 구축하여 사용자가 보안을 약화시키지 않고도 다시 액세스할 수 있도록 해야 합니다.

비밀번호 없는 서비스를 도입하기 어렵거나 비용이 많이 드나요?

비밀번호를 사용하지 않는 경우 초기 비용(인프라, 사용자 온보딩, 디바이스 프로비저닝)이 발생할 수 있지만 비밀번호 재설정, 헬프데스크 부하 및 보안 위험이 감소하여 이를 상쇄하는 경우가 많습니다.

사용자가 비밀번호 없이도 쉽게 사용할 수 있나요?

일반적으로 그렇습니다. 많은 사용자가 비밀번호보다 생체 인식 또는 푸시 기반 방식을 더 쉽고 빠르게 생각합니다. 그러나 마찰을 줄이려면 사용자 교육과 원활한 흐름이 필수적입니다.