보안 애플리케이션에 대한 액세스를 허용하기 전에 사용자를 인증하는 것은 조직의 디지털 자산을 보호하는 데 반드시 필요한 보안 단계입니다. 사용자 이름과 비밀번호를 조합하는 방식은 오랜 세월 사용자 인증 및 아이덴티티 증명에 사용되어 온 전통적인 메커니즘이지만, 비밀번호 보안에는 본질적으로 결함이 있습니다. 여러 앱에서 동일한 비밀번호를 재사용하거나 추측이 가능한 단순 비밀번호를 사용하는 등 비밀번호를 허술하게 관리할 경우 시스템이 위험에 빠질 수 있습니다. 하지만 발전된 형태의 인증으로 전환하여 이러한 위협에 대응할 수 있습니다.
2단계인증, 혹은 이중 인증을 의미하는 2FA는 사용자 이름 및 비밀번호와 함께 추가 인증요소를 제출하도록 요구하는 추가 보안 계층입니다. 이러한 두 번째 인증요소는 일반적으로 사용자가 가지고 있는 것(스마트 카드 또는 하드웨어 토큰)이거나 생체 인증과 같이 사용자마다 고유한 것(지문 또는 홍채 스캔)입니다. 이렇게 다층적이고 심층적인 인증 접근 방식은 단일 비밀번호 인증 솔루션을 위협하는 자동화된 공격의 위험을 완화시킵니다.
현재로는 2FA를 사용한 시스템 보호가 모든 산업에서 요구되는 필수 사항은 아닙니다. 하지만 금융, 의료, 국방, 법 집행, 정부 등의 산업 분야에서 특정 비밀번호를 제한하는 요구 사항을 준수하기 위해서는 2FA가 반드시 필요합니다.
금융
금융 산업에서는 오랫동안 2FA 테크놀로지를 사용해 왔습니다. 실제로 ATM을 사용할 때마다 2FA를 사용하고 있습니다. 즉, 은행 계좌에 액세스하려면 PIN(사용자가 알고 있는 것)과 ATM 카드(사용자가 가지고 있는 것)가 모두 필요합니다. 점차 금융 서비스가 온라인화되면서 금융 기관들이 고객과 자산을 보호하기 위해서는 이러한 추가 보안 계층이 필요해졌습니다.
카드 결제 정보를 처리하고 저장하는 모든 조직은 PCI-DSS도 준수해야 합니다. 따라서 보안을 보장하기 위해서는 두 가지 이상의 인증요소를 제공하는 등 한 단계 더 나아가야 합니다. PCI-DSS 버전 3.2부터는 금융 기관들이 카드 소지자 정보에 액세스할 수 있는 모든 사용자에 대해 공급업체가 제공하는 기본 자격 증명과 명명 계정도 변경해야 했습니다.
금융 산업에서 실제로 사용되고 있는 2FA의 또 다른 예로 2002년 제정된 SOX(Sarbanes-Oxley) 법이 있습니다. SOX에서는 2FA가 규정 준수 요구 사항임을 명시하고 있지는 않지만, 금융 정보에 대한 엄격한 내부 통제를 요구하고 있습니다. 마찬가지로 GLBA(Gramm-Leach-Billey Act) 도 비밀번호 정책을 하고 있지는 않지만, 기업이 고객의 금융 정보를 보호하기 위한 적절한 조치를 마련해 따르도록 요구하고 있습니다. 단일 비밀번호 인증 솔루션으로는 SOX에서 요구하는 엄격한 내부 통제와 GLBA에서 요구하는 보호책을 준수하기에 충분하지 않습니다. 이러한 정책에 명시되어 있지는 않지만, 2FA를 구현하는 것이 좋습니다. 다양한 데이터 유출로 인해 10억 개가 넘는 텍스트 비밀번호가 온라인에 퍼져 있는 상황에서 어떤 조직도 데이터 유출로부터 완전히 안전하다고 안심할 수 없습니다. 하지만 2FA, 더 나아가 MFA(Multi-Factor Authentication)를 사용하면 이러한 위험을 완화할 수 있습니다.
의료 서비스
HIPAA(Health Insurance Portability and Accountability Act) 는 개인의 의료 정보를 보호하기 위해 제정되었습니다. HIPAA에 따라 의료 기관들은 비밀번호 보안을 적용하기 위한 조치를 취해야 합니다. HIPAA는 2FA 구현을 강제하고 있지는 않지만, 의료 기관들에게 비밀번호 보안 관행을 개선할 것을 요구하고 있습니다. 금융 산업에서와 마찬가지로 2FA는 의료 기관이 높은 수준의 비밀번호 보안을 유지하고 산업 규정을 준수하도록 보장할 수 있습니다.
국방
미군은 현역 군인, 지정 예비군, 국방부 민간 직원, 자격 조건을 갖춘 계약자에게 발급되는 CAC(Common Access Card) 를 통해 2FA를 적용하고 있습니다. 군인 사용자는 이 카드를 이용해 실제로 건물 및 통제된 공간에 접근할 수 있을 뿐만 아니라, 국방부 컴퓨터 네트워크 및 시스템에도 액세스할 수 있습니다.
법 집행
FBI의 CJIS(Criminal Justice Information Services) 부서를 이용하고 있는 미국 법 집행 기관들이 NCIC(National Crime Information Center) 에 액세스하려면 MFA를 거쳐야 합니다. 미국 법 집행관은 모바일 단말기 또는 휴대용 디바이스를 이용하거나 보안이 되지 않은 위치에서 NCIC에 액세스하는 경우에 2FA를 거쳐야 합니다. 이러한 요구 사항에서 있듯이, 단일 인증요소를 이용하는 인증 시스템으로는 중요한 데이터를 안전하게 유지하는 데 필요한 수준의 보안을 제공할 수 없을 경우 2FA를 적용해야 합니다.
미국 정부
몇 년만에 2FA는 정부 웹사이트에 액세스하기 위한 필수 요구 사항이 되었습니다. 또한 이 액션 플랜은 비영리 공공-민간 파트너십인 NCSA(National Cyber Security Alliance)에게 Google, Facebook 및 Microsoft 같은 업계 최고의 테크놀로지 공급업체와 협력해 2FA 사용을 촉진하도록 지시했습니다. 미국 정부에 의해 시작된 이러한 이니셔티브를 통해 2FA가 단일 비밀번호 인증 시스템에 내재된 위험을 완화할 수 있는 솔루션임이 입증되었습니다.
2FA에 대한 글로벌 요구 사항
조직이 규정이나 사법 기관 및 정부 요구 사항에 명시된 조건을 준수할 의무가 없더라도 2FA는 여전히 중요한 가치를 가집니다. 자격 증명 스터핑 및 비밀번호 살포 같은 자동화된 비밀번호 공격은 취약한 비밀번호 메커니즘을 악용합니다. 어떤 조직이든 2FA 솔루션을 구현하면 시스템, 데이터 및 고객 정보의 보안을 강화하는 데 도움이 될 수 있습니다. 비밀번호가 무단 액세스로부터 시스템을 보호하는 유일한 방어 메커니즘인 온라인 세계에서 2FA는 더 이상 '있으면 좋은 것'이 아니라 반드시 갖춰야 하는 필수 사항이 되었습니다.
Okta는 AMFA(Adaptive Multi-Factor Authentication) 솔루션을 통해 여러 2FA 옵션을 제공하고 있습니다. 조직들은 일회용 핀이나 생체 인식 같은 다양한 인증요소 중에서 원하는 것을 선택해 시스템을 보호할 수 있습니다. 또한 AMFA의 컨텍스트 기반 인식 기능을 사용하면 액세스 권한을 부여하기 전에 사용자의 디바이스 및 위치 같은 요소를 고려하여 추가 보안 계층을 제공할 수 있습니다.