업무 목적으로 사용하든, 혹은 일상적인 활동에 사용하든 상관없이 모든 유형의 애플리케이션은 인증을 통해 사용자에게 서비스에 대한 액세스를 허용합니다. 앱을 통한 정보 필터링의 민감도에 따라 다양한 유형의 인증 방법이 필요하며, 각각 해당하는 위험 수준도 다릅니다.
데이터 유출 사고가 갈수록 증가하고 있는 가운데, 사용자 이름과 비밀번호를 이용한 자격 증명만으로는 액세스를 인증하기에 충분하지 않습니다. 대신 기업은 각 인증요소마다 장단점이 있다는 사실을 이해하고 다수의 인증요소를 함께 도입해야 합니다.
인증요소의 유형
각 인증 방법을 인증요소라고 부릅니다. 인증요소는 사용자의 아이덴티티를 확인하고, 신원이 다른 사람의 액세스를 차단하는 데 사용됩니다. 이러한 인증요소는 안전 보안 수준이 낮음, 중간, 높음의 세 가지 그룹으로 구분됩니다.
지식 인증요소: 비밀번호, 보안 질문에 대한 답변 등 사용자가 알고 있는 인증요소를 말합니다.
소유 인증요소: 사용자가 가지고 있거나 이용할 수 있는 인증요소를 말합니다. 모바일 디바이스로 전송되는 SMS 코드, 이메일을 통해 전송되는 일회용 비밀번호(OTP), 푸시 알림 등이 여기에 해당합니다.
생체인식 인증요소: 사용자가 곧 인증요소입니다. 지문 스캔이나 얼굴 인증 등이 여기에 해당합니다.
위의 인증요소들은 자체만으로 충분히 안전한 것처럼 보일 수 있지만 조직의 리소스와 데이터를 안전하게 보호할 인증요소를 결정하기 전에 반드시 고려해야 할 보안 사항이 있습니다.
인증요소를 통한 인증 보호
사용자 아이덴티티를 검증할 수 있는 툴을 구현할 때는 어떤 인증요소가 더 강력한지 알고 있어야 합니다. 가장 안전하다고 생각하는 인증요소가 실제로 쉽게 유출될도 수 있기 때문입니다. 예를 들어 보안 질문은 이메일에서부터 온라인 정부 포털에 이르기까지 다양한 애플리케이션에 사용됩니다. Google이 계정 복구에 대해 폭넓게 조사한 결과, 보안 질문에 대한 답변은 공격자가 유추하기 쉬우며 사용자 입장에서는 기억해내기 어려운 것으로 나타났습니다.
SMS 코드 전송은 또 다른 인증요소이지만 생각만큼 그리 안전하지 않습니다. 실제로 미국 국립표준기술연구소(NIST)는 SMS 코드를 더는 인증 툴로 인정하지 않습니다. 공격자가 다른 사람의 휴대전화로 전송되는 메시지를 너무나도 손쉽게 가로챌 수 있기 때문입니다. 물리적 USB 키나 인증자 앱이 설치된 모바일 디바이스는 분실이나 도난의 위험이 있어서 일단 공격자가 소유 인증요소에 액세스할 수 있게 되면 리소스의 아이덴티티 확인 과정에서 보안 위협을 받게 됩니다. 강력한 인증요소로 알려져 있긴 하지만 지문 인식이나 안면 인식과 같은 생체인식에도 취약점은 존재합니다. 테이프를 사용해 지문을 채취하는 기법은 이미 너무나 잘 알려져 있으며, 다른 생체인식 역시 복제가 가능하여 애플리케이션을 속여서 사용자의 아이덴티티를 검증할 수 있습니다.
적응형 다중 요소 인증(MFA)
안전한 인증 방법을 배포하는 것은 각 인증요소에서 발생하는 위험 수준을 파악한 후 인증요소를 효과적으로 결합하여 위험을 완화하는 것입니다. 네트워크, 지역, IP 구간 등의 각종 환경을 평가하는 적응형 방식은 위험 수준에 따라 적합한 인증요소를 할당하는 데 효과적일 수 있습니다.
예를 들어 기업의 내부 데이터베이스가 기업 소재 도시 및 우편번호 지역 내에서 기업 네트워크에 접속한 사용자로부터 인증 요청을 받은 경우, 물리적 보안 키나 생체인식 인증요소와 같이 안전 보증 수준이 중간 이상인 인증요소와 비밀번호만 있으면 해당 사용자의 아이덴티티를 확인할 수 있습니다. 하지만 인증 요청이 알 수 없는 네트워크나 해당 사용자에게 생소한 도시에서 수신되었다면 아이덴티티 검증을 위해 모바일 푸시 요청을 추가하는 방법을 고려해볼 수 있습니다.
모든 인증요소는 안전 보증 수준이 다르더라도 저마다 취약점이 존재하기 마련입니다. 자사의 데이터를 비롯해 인력과 고객의 데이터까지 안전하게 보호할 수 있는 방법을 모색하는 기업이라면 각 로그인 요청에 따른 위험을 평가하여 적합한 인증요소를 선택하는 적응형 MFA 접근법을 구현해야 합니다.