다중 요소 인증(MFA)은 사용자가 인증요소를 두 가지 이상 사용해 자신의 아이덴티티를 입증해야 하는 IT 인증 기법입니다.
MFA를 왜 사용해야 하나요?
탈취된 자격 증명이 150억 개를 넘어서면서 사이버 범죄자들에게 선택의 폭도 넓어졌습니다. 만약 사이버 범죄자들이 당신의 자격 증명을 선택한다면 은행 계좌, 의료 기록, 영업 비밀 등을 탈취할 수 있습니다.
다중 요소 인증은 일반 범죄자들이 정보를 탈취하기 더욱 어렵게 만들기 때문에 매우 중요합니다. 데이터를 빼돌리기가 어렵다면 이들은 다른 사람을 표적으로 삼을 것입니다.
이름에서도 알 수 있듯이 다중 요소 인증은 서로 다른 인증요소를 2가지 이상 혼용합니다. 하나는 일반적으로 알고 있는 사용자 이름과 비밀번호이고, 나머지 하나는 다음과 같습니다.
- 가지고 있는 것. 휴대 전화, 키 카드, USB 등이 모두 아이덴티티를 입증할 수 있습니다.
- 신체 정보. 지문, 홍채 스캔, 기타 생체인식 데이터가 사용자 신원을 입증합니다.
이렇게 사용자 이름/비밀번호 조합에 두 번째 인증요소를 추가하여 개인정보를 보호합니다. 방법도 너무 쉬워서 대부분의 사람이 설정할 수 있습니다.
비밀번호가 보안을 충분하게 보장하나요?
우리는 이메일 시스템이나 업무 데이터베이스, 또는 은행 계좌에 액세스할 때 비밀번호를 사용합니다. 좀 더 안전하기를 원한다면 비밀번호를 주기적으로 변경해야 합니다. 하지만 실제로 비밀번호만으로는 충분한 보안 수준을 보장할 수 없습니다.
Google을 생각해보세요. 비밀번호 하나로 다음과 같은 앱에 액세스할 수 있습니다.
- 이메일. 전송 메시지와 수신 메시지, 그리고 메시지를 주고받는 계정들이 모두 시스템에 저장되어 있지만 이러한 정보를 보호하는 것은 오직 비밀번호뿐입니다.
- 캘린더. 누구를 만났는지, 어디에 갔는지, 무엇을 했는지 알 수 있는 정보가 모두 비밀번호 하나로 연결되어 있습니다.
- YouTube. 비밀번호 하나로 시청 기록, 내 동영상, 좋아요를 표시한 동영상 기록 등이 공개됩니다.
- 기타 웹 앱. 그 밖에도 Hootsuite나 Salesforce 같은 타 온라인 리소스에 연결할 때도 Google 계정을 사용하기 때문에 비밀번호가 엄청난 데이터를 노출시킬 수 있습니다.
Google은 2017년에 해커가 매주 탈취하는 웹 로그인이 약 25만 건에 달한다고 인정했습니다. 이 수치는 더욱 증가할 수 있습니다. 또한 유출 사고가 한 번 발생할 때마다 엄청난 위험이 발생할 수 있습니다.
우리는 데이터 유출이라고 하면 보통 은행 계좌나 피해액을 떠올립니다. 하지만 의료 분야 역시 해커들이 자주 노리는 표적입니다. 사람들이 의료 기록을 조작해서 유령 회사에게 비용을 청구하고 돈을 빼돌릴 수 있기 때문입니다. 조작된 기록은 변경하기 매우 어렵기 때문에 앞으로 자신이 받게 될 의료 서비스와 신용에 피해를 입을 수 있습니다.
기업들도 이러한 위험을 인지하고 적절하게 대처하고 있습니다. 55% 이상의 기업이 MFA를 사용해 보안을 강화하고 있으며, 이 수치는 매년 증가하고 있습니다. 아직 MFA 기법을 고려해보지 않았다면 지금이 시작할 때입니다.
MFA는 어떻게 운영되는가?
대부분의 MFA 시스템은 사용자 이름과 비밀번호를 그대로 사용합니다. 대신 인증 방법을 하나 더 계층화하여 적합한 권한을 가진 사람에게만 액세스를 허용하고 공격자는 차단할 수 있습니다.
일반적인 MFA 프로세스는 다음과 같습니다.
- 등록: 사용자가 휴대 전화나 키 포브와 같은 하드웨어를 시스템에 연결하고 이것이 자신의 것이라고 주장합니다.
- 로그인: 사용자가 사용자 이름과 비밀번호를 안전한 시스템에 입력합니다.
- 확인: 시스템이 등록된 하드웨어와 연결됩니다. 휴대 전화라면 인증 코드가 수신될 수 있고, 키 포브라면 조명이 켜질 수 있습니다.
- 대응: 사용자가 확인된 하드웨어를 사용해 프로세스를 완료합니다. 그 다음 단계는 보통 인증 코드를 입력하거나 키 포브의 버튼을 누르는 것입니다.
로그인할 때마다 인증을 요구하는 시스템도 있고, 디바이스를 기억하는 시스템도 있습니다. 항상 동일한 휴대 전화나 컴퓨터를 사용해 로그인한다면 로그인할 때마다 인증할 필요가 없을 것입니다. 하지만 새로운 컴퓨터에서, 혹은 평소와 다른 시간대에 로그인을 시도한다면 인증이 필요할 수도 있습니다.
MFA는 간단해 보이지만 그 효과는 놀랍습니다. Microsoft에서는 MFA가 계정 해킹을 100% 가까이 차단한다고 홍보합니다. 이렇게 간단한 방법으로 보안을 강력하게 유지할 수 있습니다.
다중 요소 인증의 이점
오늘날 보안 환경과 규제에 대응하기 위해 MFA를 도입한 기업들이 무수히 늘어났습니다.
GDPR이나 NIST 같은 컴플라이언스 표준이 정교한 보안 정책을 요구하고 있기 때문에 MFA 도입은 앞으로도 계속 확산될 것입니다. 하지만 사용 용이성과 보안 수준을 고려하면 직원과 IT 부서 모두에게 유용합니다.
MFA가 이렇게 확산되는 이유는 무엇일까요? 오늘날 MFA가 기업들 사이에서 보급화된 데에는 몇 가지 이유가 있습니다.
더욱 강력한 인증을 보장하는 MFA
기업 입장에서는 위험을 줄이는 것이 매우 중요한데, 이러한 이유로 다중 요소 인증이 기하급수적으로 증가하고 있습니다. 오늘날 자격 증명 추출 위협이 끊임없이 이어지고 해킹 관련 유출 사고의 80% 이상이 탈취되었거나 취약한 비밀번호로 인해 발생함에 따라, 침입을 허용하지 않는 이러한 인증 솔루션이 반드시 필요해졌습니다.
MFA는 다양한 인증요소에 가중치를 적용하여 액세스 권한을 부여하기 때문에 탈취된 비밀번호로 인한 위험을 줄일 수 있습니다. 또한 보안 계층을 추가하여 기업에게 수백만 달러의 피해를 입힐 수 있는 공격을 사전에 차단합니다.
취약한 사용자 비밀번호로 인한 보안 침해가 기업과 기업을 신뢰하는 소비자 모두에게 엄청난 결과를 초래하는 것은 너무나도 당연한 결과입니다.
업무 환경의 변화에 따라 적응하는 MFA
업무 환경이 바뀌고 원격 근무를 선택하는 직원들이 늘어남에 따라, 점차 복잡해지는 액세스 요청을 관리할 수 있는 고급 MFA 솔루션이 필요해졌습니다. 이제 적응형 MFA를 시작할 때입니다.
다중 요소 인증이 다수의 보안 계층을 제공한다면 적응형 다중 요소 인증은 사용자가 툴이나 정보에 대한 액세스를 요청할 때마다 사용자의 디바이스나 위치와 같은 컨텍스트 세부 정보를 검토하여 수반되는 위험 수준을 평가합니다.
예를 들어 직원이 회사 내부에서 로그인하는 경우에는 위치를 신뢰할 수 있기 때문에 보안 인증요소를 추가로 요구하지 않습니다. 하지만 이 직원이 커피숍에서 개인 휴대 전화로 로그인하여 업무 이메일을 확인하거나, 혹은 안전히 보장되지 않는 WiFi 네트워크를 통해 연결한다면 사용자의 위치나 디바이스 또는 연결을 신뢰할 수 없기 때문에 인증요소를 추가로 입증하도록 요구할 수 있습니다.
또한 적응형 MFA는 동적 정책 변경과 단계별 인증을 지원하여 강력한 제어를 통해 중요한 데이터를 안전하게 보호합니다. 가령, Salesforce 고객 데이터와 같이 매우 중요한 정보에 대한 액세스 권한을 사용자에게 부여해야 하는 경우에는 안전 보증 수준을 높여서 2차 인증요소(또는 3차 인증요소)를 요구할 수 있습니다.
사용자 경험을 저해하지 않고 보안을 제공하는 MFA
비밀번호는 기억하기 쉽지 않기 때문에 기억해야 할 비밀번호가 늘어날수록 비밀번호 습관도 더 게을러질 수밖에 없습니다. 더욱이 기업을 보호할 목적으로 비밀번호 정책을 더욱 엄격히 적용했다면 비밀번호 리셋으로 인해 IT 부서에 가중되는 부담을 해소해야 합니다.
MFA는 번거로운 비밀번호 리셋이나 복잡한 정책 없이 업무 환경과 업무 환경에 속한 사람들, 그리고 이들이 사용하는 디바이스를 안전하게 보호합니다. 기업은 선택할 수 있는 인증요소를 다양하게 제공하거나, 필요할 때만 인증요소를 추가로 요구함으로써 사용자 경험을 간소화할 수 있습니다.
MFA는 배포와 관리가 간편하고 광범위한 애플리케이션과 통합되기 때문에 IT 부서가 여유 시간을 확보하여 보다 전략적인 작업에 집중할 수 있습니다.
Okta 무료 체험하기
모든 Okta Single Sign-On 고객에게는 보안이 기본적으로 제공되며, 현재 Okta Verify One-Time Password 보호도 제공됩니다.
적응형 MFA가 현재의 조직에게 얼마나 적합한지 알아보세요. Okta를 30일간 무료로 체험해보세요.
참고 자료
New Dark Web Audit Reveals 15 Billion Stolen Logins From 100,000 Breaches. (2020년 7월). Forbes.
Google Says Hackers Steal Almost 250,000 Web Logins Each Week. (2017년 11월). CNN.
You've Been Breached: Hackers Stole Nearly Half a Billion Personal Records in 2018. (2019년 2월) NBC.
More Enterprises Use Multi-Factor Authentication to Secure Passwords. (2019년 10월). Security.
Back to Basics: Multi-Factor Authentication (MFA). (2019년 12월). NIST(National Institute of Standards and Technology).
Microsoft: Using Multi-Factor Authentication Blocks 99% of Account Hacks. (2019년 8월). ZD Net.