위험 기반 인증이란 무엇인가요
위험 기반 인증은 실시간 인텔리전스를 사용해 로그인 컨텍스트를 총체적으로 파악합니다.
사용자가 로그인을 시도하면 위험 기반 인증 솔루션이 다음과 같은 인증요소를 분석합니다.
- 디바이스. 사용자가 알려진 컴퓨터를 사용하고 있는가? 혹은 사용자가 로그인한 적이 없는 모바일 디바이스를 사용하고 있는가?
- 위치. 사용자가 서버가 설치된 건물에 있는가? 혹은 시간대가 다른 지역에 있는가?
- 네트워크. 사용자가 알려진 IP 주소에서 로그인하고 있는가? 혹은 IP 주소가 외국인가?
- 중요도. 요청한 파일이 회사에 중요한 파일인가? 혹은 비교적 중요하지 않은 정보인가?
시스템은 이러한 인증요소를 기준으로 결정을 내립니다. 사용자는 다음 중 한 가지를 선택할 수 있습니다.
- 정상적인 입력. 비밀번호 같이 익숙한 시스템을 사용해 액세스 권한을 얻습니다.
- 추가 입증. 액세스 권한을 얻으려면 다른 형태의 인증 양식을 제출해야 합니다.
지능적인 시스템은 파일 요청 시 이러한 프로세스를 사용합니다. 사용자가 시스템에 대체로 손쉽게 액세스할 수 있지만 중요한 파일에 대한 읽기/쓰기를 요청할 경우에는 시스템이 인증 프로세스를 한 번 더 실행합니다.
이점과 고려 사항
인증 프로세스를 즉흥적으로 변경해서는 안 됩니다. 장점(보안 강화 등)과 단점(사용자 부담 증가 등)을 세심하게 조율하게 여 현명한 결정을 내려야 합니다.
위험 기반 인증과 관련하여 알려진 이점은 다음과 같습니다.
- 사용 확산. 많은 정부 기관들이 위험 기반 인증을 사용 및 장려하고 있습니다. 소비자들 대부분이 이러한 기법에 대해 들어봤거나 사용해본 적이 있기 때문에 그리 놀라운 일은 아닙니다.
- 적은 요구 횟수. 시스템을 올바르게 설정하기만 하면 추가 인증을 매번 실행할 필요가 없습니다. MasterCard에 따르면 거래의 80%가 저위험으로 분류되어 소비자에게 인증 단계를 추가로 요구할 필요가 없다고 합니다.
- 수많은 위험. 해킹은 엄청난 비용 손실을 초래합니다. 한 유출 사고 공개 자료에 따르면, 해커는 1,200만 건의 암호화되지 않은 신용 카드 세부 정보. 에 액세스한 것으로 습니다. 소비자들은 이러한 유출 사고의 책임을 기업에게 물을 것입니다.
- 검증된 컴플라이언스. 금융 산업에 종사하는 기업을 포함해 일부 기업들은 안전 관련 규칙을 엄격하게 따르고 있다는 사실을 증명해야 합니다. 이때 위험 기반 인증 원칙을 도입하면 보안을 최우선으로 생각한다는 것을 증명할 수 있습니다.
위험 기반 인증 솔루션을 배포할 때 고려해야 할 잠재적 단점은 다음과 같습니다.
- <배포 계획 수립. 프로젝트 예산을 예측할 수 있으려면 시스템을 신중하게 개발하고, 테스트하고, 배포해야 합니다.
- 신중한 검토. 시스템 설정이 잘못되면 사용자가 필요한 앱에 액세스하지 못할 수도 있습니다. 그렇다고 너무 느슨한 방법을 사용하게 되면 누구나 액세스할 수 있는 환경이 되고 맙니다.
- 엔드 유저 교육 보안 조치에 불만을 느끼는 사용자도 있을 수 있습니다. 바쁜 와중에 앱에 액세스조차 되지 않는다면 항의를 들을 수도 있습니다. 특히 생소한 시스템이라면 더욱 그렇습니다. 따라서 로그인 방식의 변동사항을 사용자들에게 미리 알려야 합니다.
프로그램을 개시하기 전에 팀원들과 장단점에 대해 신중하게 토론하십시오.
고위험 혹은 저위험에 따른 시스템 대응
시스템은 로그인의 위험성 수준을 어떻게 판단할까요? 실생활을 예로 들면 좀 더 쉽게 이해할 수 있습니다.
누가 밤늦게 문을 두드리는 소리가 들립니다. 처음에는 문을 열기를 주저하지만 이내 당신을 부르는 친구의 목소리가 들립니다. 이때 목소리를 알아듣는다면 아마도 문을 열어줄 것입니다.
위험 기반 인증 솔루션도 이와 다르지 않습니다. 사용자가 시스템이 알지 못하는 디바이스로 로그인을 시도하는 경우, 별도의 인증요소로 자신의 아이덴티티를 입증하지 않는 한은 액세스가 허용되지 않습니다.
추가할 수 있는 인증요소는 다음과 같습니다.
- 영구 또는 임시 PIN
- 보안 질문에 대한 답변
- 생체인식 데이터(지문 등)
- 스마트폰으로 전송되는 코드
핵심 기능
위험 기반의 인증 기능을 제공하는 기업들이 많이 있습니다. 하지만 전부다 같은 기능은 아닙니다.
상품을 구매한다고 가정하면 다음과 같은 기능을 수행하는 솔루션이 필요합니다.
- 실시간 위협 데이터에 액세스하여 잠재적 보안 위험을 식별합니다.
- 디바이스, 위치, 네트워크 연결 등 사용자의 컨텍스트를 분석합니다.
- 고위험 시나리오에서는 사용자가 인증요소를 추가로 입력하여 자신의 아이덴티티를 입증할 수 있습니다.
- 관리자가 구성 정책을 통해 비밀번호 입력보다 안전하게 인증 절차를 설정할 수 있습니다.
Okta를 통한 위험 기반 인증 솔루션 구현
Okta의 적응형 MFA(Adaptive Multi-Factor Authentication)는 로그인 시점에 사용자의 컨텍스트를 분석합니다. 사용자가 로그인을 시도하면 Adaptive MFA에 포함된 위험 기반 인증 기능이 위치, 디바이스, IP 주소 등의 컨텍스트 단서를 기준으로 로그인 시도에 위험 점수를 할당합니다. 그러면 Adaptive MFA가 할당된 위험 점수에 따라 액세스를 거부하거나, 혹은 잠재적 보안 침해를 차단하기 위해 사용자에게 인증요소를 추가로 제출하도록 요구합니다.
여기에 Okta ThreatInsight를 함께 사용하면 더욱 강력한 위험 평가 툴을 구성할 수 있습니다. ThreatInsight는 다양한 소스의 데이터를 분석하여 문제를 초래할 수 있는 위험을 사전에 식별합니다.
예를 들어 IP 주소가 의심스럽게 보이지는 않지만 Okta 네트워크에서 위험한 것으로 플래그 처리되어 있다면 위험 등급을 높게 할당할 수 있습니다. 또한 ThreatInsight에서는 다음과 같이 3가지 단계를 통해 비밀번호를 단계적으로 없앨 수도 있습니다.
1. 로그인 시 사용자 이름을 입력합니다.
2. ThreatInsight가 해당 로그인의 컨텍스트를 분석하여 위험을 평가합니다.
3. I사용자가 저위험 환경에서 액세스를 시도했다면 Okta Verify 푸시 알림 메시지를 탭하여 간단하게 액세스할 수 있습니다.
위험 기반 인증은 비밀번호와 달리 필요한 사용자 정보를 모두 알려줍니다. 따라서 사용자의 컨텍스트가 적합하다면 IT 부서가 더욱 손쉽게 필요한 액세스 수준을 허용할 수 있습니다.
자료
Global Risk-Based Authentication Market, 2019 to 2014: Analyzed by Offering, Deployment, End-User Vertical, and Geography. (2019년 7월). Globe Newswire.
Advantages of a Risk-Based Authentication Strategy for MasterCard SecureCode. (2011년). MasterCard.
Protecting Data With Advanced Risk-Based Authentication Techniques. (2013년 11월). The Wall Street Journal.
Online Risk-Based Authentication Using Behavioral Biometrics. (2013년 7월). ResearchGate.