2025년 4월 25일
2단계 인증(2FA)은 온라인 계정의 비밀번호(첫 번째 단계)와 인증 앱의 일회용 비밀번호(두 번째 단계) 등과 같은 두 가지 증명을 요청하여 사용자의 ID를 확인합니다.
대부분의 사람들은 SMS 문자 기반 2FA 보안 시스템에 익숙합니다. 이 버전은 로그인 시 앱이 사용자의 휴대전화로 숫자 코드를 전송합니다. 계속 진행하려면 사용자는 비밀번호와 숫자 코드를 모두 입력해야 하며, 둘 중 하나만 입력하는 것만으로는 인증에 충분하지 않습니다.
2FA는 가장 일반적인 형태의 다단계 인증(MFA)으로, 사용자가 ID를 증명하기 위해 두 개 이상의 인증 요소를 제공해야 하는 모든 인증 방식을 말합니다.
2FA는 일반적으로 컴퓨터 시스템과 관련이 있지만, 물리적 자산과 구역을 보호할 수도 있습니다. 예를 들어, 출입이 제한된 건물에 들어갈 때 사람들은 신원 확인용 카드를 제시하고 지문 스캔을 통과해야 할 수 있습니다.
IBM의 데이터 유출 비용(CODB) 보고서에 따르면 자격 증명 유출은 데이터 침해의 가장 일반적인 원인입니다. 위협 행위자는 피싱, 스파이웨어 또는 무차별 대입 공격을 통해 비교적 쉽게 비밀번호를 훔칠 수 있습니다.
2단계 인증을 사용하면 두 번째 요소를 요구하여 계정 보안을 더욱 강화할 수 있습니다. 해커는 시스템에 침입하기 위해 두 개의 자격 증명을 훔쳐야 하는데, 두 번째 요소는 해킹하기 어려울 때가 많습니다. 일반적인 두 번째 요소로는 지문 및 생체 인식, 물리적 보안 키, 일정 시간 후 만료되는 비밀번호 등이 있습니다.
보안 인텔리전스 강화
매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.
인증 요소는 사용자가 자신의 ID를 확인하기 위해 제공하는 자격 증명입니다. 2단계 인증 시스템은 여러 유형의 인증 요소를 사용하며, 진정한 2단계 인증 시스템은 서로 다른 유형의 인증 요소 두 가지를 사용합니다.
서로 다른 유형의 요소 두 가지를 사용하는 것이 동일한 유형의 요소 두 가지를 사용하는 것보다 더 안전한 것으로 간주되는데, 그 이유는 해커가 요소를 해독하기 위해 서로 다른 방법을 사용해야 하기 때문입니다.
예를 들어, 해커는 컴퓨터에 스파이웨어를 심어 사용자의 비밀번호를 훔칠 수 있습니다. 하지만 이 스파이웨어로는 사용자의 스마트폰으로 전송되는 일회용 암호를 알아낼 수 없습니다. 일회용 암호가 담긴 메시지를 가로챌 수 있는 다른 방법을 찾아야만 합니다.
인증 요소의 유형은 다음과 같습니다.
- 지식 요소
- 소유 요소
- 내재 요소
- 행동 요소
지식 요소: 사용자가 알고 있는 정보
지식 요소는 이론적으로 사용자만 알 수 있는 정보입니다. 가장 일반적으로 사용되는 지식 요소는 비밀번호이며, 개인 식별 번호(PIN)와 보안 질문에 대한 답변도 보편적으로 사용됩니다.
지식 요소는 대부분의 2FA에서 첫 번째 인증 요소로 사용됩니다.
지식 요소는 널리 사용되지만 가장 취약한 유형의 인증 요소입니다. 해커는 피싱 공격, 멀웨어 또는 무차별 대입 공격을 통해 비밀번호를 탈취할 수 있습니다. 무차별 대입 공격의 경우 봇을 사용하여 성공할 때까지 계정에 대한 잠재적인 비밀번호를 생성하고 테스트합니다.
다른 유형의 지식 요소도 사이버 범죄자에게 큰 문제가 되지 않습니다. "어머니의 결혼 전 성은 무엇입니까?" 등의 보안 질문의 답변은 기본적인 조사나 사용자를 속여 개인 정보를 유출하는 소셜 엔지니어링 공격을 통해 손쉽게 해독할 수 있습니다.
비밀번호와 보안 질문을 요구하는 보편적 방식은 동일한 유형의 두 가지 요소(이 경우 두 가지 지식 요소)를 사용하기 때문에 진정한 2FA가 아닙니다.
두 가지 지식 요소는 2단계 인증 프로세스의 한 예라고 할 수 있습니다. 이 프로세스에는 비밀번호 입력과 질문에 대한 답변이라는 두 가지 단계가 있지만, 한 가지 종류의 요소만 사용합니다.
2단계 인증은 두 가지 증거를 요구하므로, 비밀번호만 사용하는 것보다 더 안전할 수 있습니다. 하지만 이 두 요소는 같은 유형이기 때문에 두 가지 다른 유형의 요소를 사용할 때보다 더 쉽게 유출될 수 있습니다.
소유 요소: 사용자가 가지고 있는 것
소유 요소는 사람이 소유한 것입니다. 가장 일반적인 유형의 소유 요소로는 소프트웨어 토큰과 하드웨어 토큰을 꼽을 수 있습니다.
소프트웨어 토큰은 일회용 비밀번호(OTP)의 형식을 취하는 경우가 많습니다. OTP는 일정 시간이 지나면 만료되고 대개 4~8자리로 구성되는 일회용 비밀번호입니다. 소프트웨어 토큰은 문자 메시지, 이메일 또는 음성 메시지를 통해 사용자의 휴대전화로 전송할 수 있습니다. 또한 디바이스에 설치된 인증 앱에서 토큰이 생성될 수도 있습니다.
소프트웨어 토큰의 경우 사용자의 디바이스가 소유 요소 역할을 합니다. 2FA 시스템은 합법적인 사용자만 해당 디바이스로 전달되거나 디바이스를 통해 생성된 모든 정보에 접근할 수 있다고 가정합니다.
SMS 테스트 기반 OTP는 가장 사용자 친화적인 소유 요소 중 하나이지만, 보안 수준은 가장 낮습니다. 사용자가 인증 코드를 받으려면 인터넷이나 휴대전화 연결이 필요하고, 해커가 정교한 피싱이나 중간자 공격을 통해 그러한 인증 코드를 탈취할 수 있기 때문입니다.
OTP는 범죄자들이 피해자 스마트폰 SIM 카드의 기능을 복제하고 이 복제본을 사용해 문자 메시지를 가로채는 SIM 복제에도 취약합니다.
Google Authenticator, Authy, Microsoft Authenticator 및 Duo와 같은 인증 앱은 네트워크 연결 없이 토큰을 생성할 수 있습니다. 사용자는 종종 QR 코드를 스캔하여 인증 앱을 서비스와 페어링합니다. 그런 다음 앱은 페어링된 서비스에 대한 시간 기반 일회용 암호(TOTP)를 지속적으로 생성합니다. 각 TOTP는 30~60초 내로 만료되므로 도난하기가 어렵습니다.
일부 인증 앱은 TOTP 대신 푸시 알림을 사용합니다. 사용자가 계정에 로그인하면 앱이 iOS 또는 Android 운영 체제로 푸시 알림을 보내며, 사용자는 이 알림을 눌러 해당 시도가 합법적인지 확인해야 합니다.
인증기 앱은 문자 메시지보다 해독하기가 어렵지만, 완벽하지는 않습니다. 해커는 멀웨어를 사용하여 인증기로부터 직접 TOTP를 훔칠 수 있습니다. 또한 피해자가 실수로 확인하기를 바라며 디바이스에 사기성 푸시 알림을 대량으로 전송하는 MFA 피로 공격을 개시할 수 있습니다.
하드웨어 토큰은 보안 키 역할을 하는 전용 디바이스(전자 열쇠, ID 카드, 동글)를 말합니다. 하드웨어 토큰에는 컴퓨터 USB 포트에 꽂으면 로그인 페이지로 인증 정보를 전송하는 유형도 있고, 사용자가 수동으로 입력할 수 있는 인증 코드를 생성하는 유형도 있습니다.
하드웨어 토큰은 해킹하기가 어렵지만, 소프트웨어 토큰이 포함된 사용자의 모바일 장치와 마찬가지로 도난당할 위험이 있습니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 디바이스 분실 및 도난은 데이터 유출의 최대 6%를 차지하는 요인입니다.
내재 요소: 사용자 개인에게 고유한 것
“생체 인식”이라고도 하는 고유 요소는 지문, 얼굴 특징 또는 망막 패턴과 같은 사용자 고유의 물리적 특성 또는 특성입니다. 많은 스마트폰과 노트북에는 얼굴 및 지문 인식기가 내장되어 있으며, 많은 앱과 웹사이트에서 이 생체 인식 데이터를 인증 요소로 사용할 수 있습니다.
내재 요소는 가장 해독하기 어렵지만, 해독될 경우 치명적일 수 있습니다. 해커가 생체 인식 데이터베이스에 액세스하면 해당 데이터를 훔치거나 자신의 생체 인식 데이터를 다른 사용자의 프로필에 연결할 수 있습니다. 생체 인식 데이터가 유출되면 금방 쉽게 변경할 수 없기 때문에 진행 중인 공격을 막기가 어렵습니다.
인공 지능(AI) 이미지 생성 기술이 발전함에 따라 사이버 보안 전문가들은 해커가 이러한 툴을 사용하여 얼굴 인식 소프트웨어를 속일 수 있다고 우려하고 있습니다.
행동 요소: 사용자가 하는 행동
행동 요소는 행동 패턴을 기반으로 사용자의 신원을 인증하는 디지털 아티팩트를 말합니다 그 예로는 사용자의 IP 주소 범위, 일반적인 위치, 평균 입력 속도 등을 들 수 있습니다.
행동 인증 시스템은 AI와 머신 러닝(ML)을 사용하여 사용자의 정상적 패턴에 대한 기준을 정하고, 새로운 디바이스나 전화번호, 위치에서 로그인하는 것과 같은 비정상적인 활동을 감지하여 표시합니다.
일부 2단계 인증 시스템에서는 사용자가 신뢰할 수 있는 장치를 요소로 등록할 수 있습니다. 사용자가 처음 로그인할 때 두 가지 요소를 제공해야 할 수도 있지만, 향후에는 신뢰할 수 있는 장치를 사용하면 자동으로 두 번째 요소로 작동합니다.
행동 요소는 위험 수준에 따라 인증 요구 사항을 변경하는 적응형 인증 시스템에서도 사용됩니다. 예를 들어, 사용자가 회사 네트워크에 있는 신뢰하는 디바이스로 앱에 로그인할 때는 비밀번호만 있으면 됩니다. 하지만 새 디바이스나 알 수 없는 네트워크에서 로그인하려면 두 번째 요소를 인증해야 할 수 있습니다.
행동 요소는 사용자를 인증하는 정교한 방법을 제공하지만, 배포하려면 상당한 리소스와 전문 지식이 필요합니다. 또한 신뢰할 수 있는 디바이스에 해커가 액세스할 경우 사용자로 쉽게 가장할 수 있습니다.
비밀번호가 없는 2단계 인증 시스템은 지식 요소가 아닌 소유, 내재 및 행동 요소만 허용합니다. 예를 들어, 사용자에게 물리적 토큰과 함께 지문을 요구하는 것은 비밀번호가 없는 2FA에 해당합니다.
비밀번호 없는 인증은 침해되기 쉬운 지식 요소를 제거합니다. 현재 대부분의 2FA 방법은 비밀번호를 사용하지만, 업계 전문가들은 비밀번호의 필요성이 점점 줄어드는 미래가 될 것으로 예상합니다.
널리 사용되는 FIDO 표준을 기반으로 하는 것과 같은 패스키는 가장 일반적인 암호 없는 인증 형식 중 하나입니다. 그들은 공개 키 암호화를 사용하여 사용자의 신원을 인증합니다.
데이터 유출 비용(CODB) 보고서에 따르면 자격 증명 침해와 피싱은 가장 일반적인 두 가지 사이버 공격 경로입니다. 이를 합하면 데이터 침해의 31%를 차지합니다. 두 가지 공격 경로 모두 비밀번호를 훔치는 방식으로 실행되며, 해커는 훔친 비밀번호로 합법적인 계정과 디바이스를 탈취해 큰 피해를 야기할 수 있습니다.
해커는 보통 비밀번호를 표적으로 삼습니다. 왜냐하면 비밀번호는 무차별 대입이나 속임수를 통해 해독하기가 비교적 쉽기 때문입니다. 게다가 사람들이 다양한 계정에 똑같은 비밀번호를 사용하기 때문에 해커가 훔친 비밀번호를 하나만 사용해도 여러 계정에 침입할 수 있는 경우가 많습니다. 유출된 암호는 사용자와 조직 모두에게 심각한 문제를 초래할 수 있습니다. 특히 신원 도용, 재정 도난, 시스템 훼손 등까지 발생할 수 있기 때문입니다.
2단계 인증은 ID 및 액세스 관리(IAM) 시스템에 보안 계층을 추가하여 무단 액세스를 방지할 수 있습니다. 해커가 비밀번호를 훔칠 수 있다고 해도 계정에 접근하려면 여전히 두 번째 요소가 필요합니다.
더욱이, 이러한 두 번째 요소는 일반적으로 지식 요소보다 훔치기가 더 어렵습니다. 해커가 생체 인식을 위조하거나, 행동을 모방하거나, 물리적 디바이스를 훔쳐야 하기 때문입니다.
2단계 인증 방식은 조직이 특정한 규정 준수 의무를 충족하는 데도 도움이 될 수 있습니다. 예를 들어, 결제 카드 산업 데이터 보안 표준(PCI DSS)은 결제 카드 데이터를 처리하는 시스템의 경우 MFA를 사용하도록 명시적으로 요구합니다.
사베인스-옥슬리법(SOX), 유럽연합 일반 데이터 보호 규정(GDPR) 등의 다른 규정에서는 2FA 사용을 명시적으로 요구하지 않습니다. 하지만 2FA는 조직이 이러한 법률이 정한 엄격한 보안 기준을 충족하는 데 도움이 될 수 있습니다.
2FA는 단일 요소 인증 방식(특히 비밀번호만 사용하는 방식)보다 강력하지만, 2FA도 완벽하지는 않습니다. 특히 해커는 계정 복구 시스템을 악용하여 2FA를 회피하고 계정을 탈취할 수 있습니다.
예를 들어, 해커는 액세스 권한을 잃어 계정 자격 증명을 재설정해야 하는 유효한 사용자인 것처럼 가장할 수 있습니다. 계정 복구 시스템에서는 보안 질문에 대한 답변과 같은 다른 인증 수단을 요구하는 경우가 많습니다. '어머니의 결혼 전 이름'과 같은 기본적인 질문이라면 해커는 약간의 조사를 통해 답을 알아낼 수 있습니다. 그런 다음에는 계정 비밀번호를 재설정하여 실제 사용자를 차단할 수 있습니다.
해커는 한 계정에 대한 액세스 권한을 확보하여 또 다른 계정을 침해할 수도 있습니다. 예를 들어 ,공격자가 민감한 기업 시스템에 침입하려는 경우 먼저 사용자의 이메일 계정을 탈취할 수 있습니다. 그런 다음, 기업 시스템에 비밀번호 재설정을 요청하면, 기업 시스템은 현재 해커가 제어하는 계정으로 이메일을 보냅니다.
가장 일반적인 형태의 2FA인 SMS 기반 2FA는 정교한 소셜 엔지니어링을 통해 해킹될 수 있습니다. 공격자는 표적으로 삼은 사용자로 가장하여 해당 사용자의 통신사에 전화를 건 후 휴대전화를 도난당했으니 새 휴대전화로 OTP 번호를 전송해야 한다고 주장할 수 있습니다. 그러면 OTP 번호는 목표로 삼은 사용자가 아니라 해커가 제어하는 휴대전화로 전송됩니다.
사용자는 이메일 계정부터 휴대전화 공급업체 계정에 이르기까지, 모든 계정에 강력한 2FA 또는 MFA를 설정하여 이러한 공격을 방어할 수 있습니다. 모든 계정에 MFA를 설정하면 해커가 한 계정을 사용하여 다른 계정을 침해하기가 더욱 어려워집니다.
또한 사용자는 해독하기 어려운 인증 요소를 선택해야 합니다. 예를 들어, 생체 인식이나 물리적 보안 토큰은 보안 질문 답변보다 도용하기가 더 어렵습니다.