적응형 인증 및 원리에 대한 이해
적응형 인증을 사용하면 각 방문에 따르는 위험 수준을 기준으로 다양한 자격 증명을 요구하게 됩니다.
기존 인증 시스템에서는 사용자에게 방문할 때마다 비밀번호를 입력하거나, 지문을 제출하는 등 한두 가지 인증요소를 요구합니다. 하지만 적응형 액세스 방식에서는 사용자의 신원이나 위치, 또는 수행하려는 작업에 따라 복잡성을 추가하거나 제거할 수 있습니다.
적응형 액세스 제어는 정교한 컴퓨터 프로그램을 통해 실행되므로 프로그램 비용을 지불해야 합니다. 하지만 지불할 만한 가치가 있습니다.
2020년에 기업의 데이터 유출 피해액은 평균 386만 달러에 달합니다. 보안 솔루션에 투자했더라면 피해 복구에 이 정도의 비용을 지출할 필요도 없었을 것입니다.
적응형 인증이란 무엇인가요?
웹사이트에서 적응형 액세스 제어를 사용하고 있다면 방문자가 로그인하려고 할 때 컴퓨터 프로그램이 실행됩니다. 이 프로그램은 방문자가 있을 때마다 위험 수준(정의하는 기준에 따라 다름)을 평가한 후 그 결과에 따라 인증 요건을 조정합니다.
이러한 시스템을 생각해보면 이내 액세스하기 까다로운 프로그램을 떠올리게 됩니다. 예를 들어 송금처럼 중요한 일을 하려고 할 때 망막 스캔을 요구하는 프로그램을 생각해볼 수 있습니다.
하지만 적응형 액세스 제어를 적용하면 간단한 작업을 보다 쉽게 완료할 수 있습니다. 예를 들어 단순히 개인 일정표를 보려고 한다면 몇 가지 보안 단계를 건너뛸 수 있습니다. 사용자의 1/3이 이른바 "비밀번호 스트레스"를 호소한다는 점을 감안했을 때 이러한 간소화는 누구나 환호할 만한 일입니다.
직원들이 업무 공간에서 사용되는 기술에 만족하려면 보안과 사용 편의성을 균형 있게 조율하는 것이 중요합니다.
적응형 액세스는 어떻게 운영되나요?
적응형 프로그램은 출입 관리자에 비유할 수 있습니다. 사용자가 서버를 활용하려면 먼저 적응형 프로그램과 상호작용해야 합니다.
이는 프로그램마다 차이가 있습니다. 대부분의 프로그램이 어떻게 운영되는지 여기서 간략히 살펴보겠습니다.
- 위험 정의. 사용자 업무, 위치, 시간, 요청 리소스를 기준으로 위험을 간략히 정의합니다. 각 사용자마다 프로필을 지정합니다. 그러면 각 사용자가 시스템과 주로 상호작용하는 방식을 프로그램이 학습할 수 있습니다.
- 기준 규칙 결정. 허용 가능한 최저 수준으로 인증 방법을 정의하고, 위험을 그에 맞게 계층화합니다. 또한 각 시나리오별로 원하는 처리 방식을 프로그램에 지정합니다.
- 프로그램 활성화. 사용자가 로그인을 시도할 때마다 프로그램이 로그인 요청과 위험 수준을 평가합니다. 이 평가 결과에 따라 인증 프로세스가 결정됩니다.
적응형 액세스 제어에 대한 세 가지 예시
여기 Mike라는 이름의 회계사가 있습니다. Mike는 새크라멘토에 살고 있으며 10년째 회사를 다니고 있습니다. 지금주터 Mike가 경험하게 될 적응형 인증에 대해 살펴보겠습니다.
시나리오 1
Mike의 프로필이 새크라멘트 시간으로 오전 8시에 회계 서버에 로그인을 시도합니다. 이 프로필은 30일 동안 동일한 요청을 했습니다.
시스템 응답: 비밀번호로 충분합니다.
시나리오 2
Mike의 프로필이 새크라멘트 시간으로 새벽 2시에 회계 서버에 로그인을 시도합니다. 이전에도 사용했던 익숙한 IP 주소가 사용됩니다. 하지만 새벽에 로그인한 이력이 전혀 없습니다.
시스템 응답: Mike가 인증했던 휴대전화로 전송된 비밀번호와 코드가 필요합니다.
시나리오 3
Mike의 프로필이 새크라멘트 시간으로 새벽 2시에 알려지지 않은 IP 주소로 마케팅 서버에 로그인을 시도합니다.
시스템 응답: 비밀번호와 보조 코드, 그리고 지문을 사용한 생체인식 인증이 모두 필요합니다.
적응형 액세스에 관심이 있나요?
치명적인 데이터 유출을 감당할 수 있는 회사는 거의 없습니다. 대가를 치르고 피해액을 회수하더라도 안전한 업체라는 평판은 이미 물 건너간 후일 것입니다.
걱정하지 마십시오. Okta가 도와드리겠습니다. Okta는 고객이 만족해할만한 적응형 인증 제품을 제공하고 있습니다. 지금 자세히 알아보세요.
참고 자료
What Is the Cost of a Data Breach? (2020년 8월). CSO.
Do You Have 'Password Rage?' A Third of People Admit to Tantrums Over Password Frustration. (2015년 6월). InformationAge.