U2F와 Adaptive MFA, 둘 중에 무엇을 선택해야 하는가?

직원이 어디에서든지 기업의 시스템에 자유롭게 로그인할 수 있는 환경은 오늘날 업무 환경에서 빼놓을 수 없는 요건이 되었습니다. 원격 액세스는 조직의 협업과 생상성을 개선하여 효율을 높인다는 점에서 비즈니스 성장 동력이라고 할 수 있습니다. 하지만 안타깝게도 원격 액세스를 허용하면 시스템이 노출되어 보안 침해 위험이 커질 수 있습니다. U2F(Universal 2nd Factor) 인증이 보안 계층을 추가로 제공한다고는 하지만 과연 이러한 침해 문제를 효과적으로, 그리고 실질적으로 해결할 수 있는 방법이 될까요?

공격을 받고 있는 기존 인증 방식

전체 시스템을 보안 침해로부터 보호하는 방법이 사용자 이름과 비밀번호뿐인 조직들이 많습니다. 이러한 인증 시스템은 호기심에서 시작하는 개인 해커에서부터 국가 규모로 운영되는 해커 집단에 이르기까지 다양한 위협 행위자들에게 끊임없이 취약점을 드러내고 있습니다. 피싱 캠페인, 자격 증명 스터핑, 기타 지능적인 비밀번호 해독 기법 등은 사용자의 자격 증명을 표적으로 삼아 취약한 비밀번호나 취약한 비밀번호 관리를 호시탐탐 노리고 있습니다. 

최선의 방어는 MFA

다중 요소 인증(MFA)은 자동 비밀번호 공격이나 피싱 캠페인을 가장 효과적으로 차단할 수 있는 기술입니다. MFA는 인증 프로세스에서 액세스 보안 계층을 하나 더 추가합니다. 이는 사용자에게 필수 비밀번호 외에 일회용 비밀번호(OTP)나 물리적 디바이스 같은 인증요소를 추가로 제출하도록 요구함으로써 조직의 시스템 침해 위험을 줄입니다.

인증 시스템을 안전하게 보호하는 데 도움이 되는 MFA 솔루션은 많습니다. 간단한 보안 질문과 같이 안전 보증 수준이 낮은 솔루션에서부터 안전 보증 수준이 훨씬 높은 U2F 키에 이르기까지 그 종류가 매우 다양합니다. 

U2F(Universal 2nd Factor)란 무엇인가요?

U2F(Universal 2nd Factor)는 Google과 Yubico가 처음에 개발한 개방형 인증 표준입니다. 현재는 FIDO Alliance에서 호스팅하고 있으며, 사용자 이름과 비밀번호를 제출한 후 USB 포트에 연결하는 물리적 보안 디바이스인 U2F 보안 키에 사용됩니다. 물리적 디바이스를 연결하지 않으면 인증에 실패하여 액세스가 거부되기 때문에 2차 인증요소로서 효과적입니다.

U2F 디바이스는 안전을 보증하는 인증 등급 순위에서 상위를 차지하고 있습니다. 비대칭형 암호화 알고리즘을 사용하기 때문에 비공개 키가 디바이스에서 다른 곳으로 전송되지 않아 인증 토큰이 유출될 일이 전혀 없습니다. 

U2F 키가 효과적인 보안 계층을 제공하여 비밀번호 공격을 차단하는 것은 틀림없지만 단점도 물론 존재합니다. 가장 큰 문제는 하드웨어를 하나 더 가지고 다녀야 한다는 것입니다. 하드웨어가 고장 나거나, 분실 또는 도난을 당하면 시스템을 사용하는 데 영향을 미칠 뿐만 아니라 경우에 따라 보안까지 침해될 수 있습니다. 또한 U2F 키는 USB 포트가 필요합니다. 하지만 모바일 디바이스에서는 다는 아니더라도 대부분 USB 포트가 없기 때문에 U2F라고 해도 비밀번호 공격을 방어할 수 있는 솔루션으로 적합하지 않습니다.

컨텍스트를 인증 프로세스에 추가

적응형 다중 요소 인증(AMFA)은 인증 요청에 따른 컨텍스트를 고려하여 시스템 보안을 강화합니다. 액세스 요청 시점에 다수의 인증요소를 이용하기 때문에 보안 계층을 하나 더 추가하여 사용자와 디바이스의 컨텍스트에 따라 보안 및 인증 정책을 동적으로 조정합니다.

Okta의 적응형 MFA는 인증 요청 시 디바이스, 위치, IP 주소, 클라이언트 유형 등의 컨텍스트 정보를 수신합니다. 이렇게 입력되는 정보를 Okta 정책 프레임워크에서 사전에 설정된 정책과 비교하여 액세스 권한을 부여하거나, 액세스를 거부하거나, 혹은 사용자에게 아이덴티티 인증 요소를 추가로 제출하 요구합니다.

U2F(Universal 2nd Factor) 또는 AMFA란?

U2F와 AMFA는 비밀번호 기반 인증 솔루션에서 발생하는 위험을 완화한다는 점에서 모두 효과적인 솔루션입니다. 하지만 각 솔루션의 실질적인 구현성을 감안해보면 하드웨어가 불필요한 AMFA가 더 나은 옵션입니다. 

U2F를 사용하려면 조직 내 모든 사용자에게 물리적 디바이스를 일일이 구매하여 이를 구성해서 배포해야 합니다. 또한 비용이 만만치 않을 뿐만 아니라 시간과 노력이 들고, 구현 이후로도 지속적으로 관리해야 합니다. 반면 AMFA는 클라우드 기반 솔루션이기 때문에 운영 유연성이 우수합니다. 또한 구현이 비교적 쉽고 관리가 용이하며, 무엇보다 비용 효율이 높습니다.