적응형 다단계 인증(적응형 MFA 또는 A-MFA)은 로그인 또는 액세스 요청을 둘러싼 상황에 따라 다른 인증 요소 또는 추가 인증 요소를 요구하는 다단계 인증 방법입니다.
화창한 가을 아침에 사무실 워크스테이션에서 준비하는 대신, 시내에 막 문을 연 카페에서 원격으로 작업하기로 결정했다고 상상해 보세요. 커피를 주문하고 노트북을 꺼내 회사 대시보드에 로그인하기 시작합니다. 시스템은 사용자가 이전에 등록한 적이 없는 디바이스와 함께 새로운 Wi-Fi 네트워크를 사용하고 있음을 즉시 인식합니다. '액세스가 거부되었습니다'라는 직설적인 답변 대신 지문 스캔을 위한 단일 컨텍스트 인식 프롬프트가 표시됩니다.
이 상황에서는 위험이 평소보다 높기 때문에 추가 보안 계층이 나타납니다. 이러한 원활한 '필요에 따른' 보호가 적응형 다단계 인증(A-MFA)의 핵심입니다. 이 위험 기반 인증은 편리함을 희생하지 않으면서도 보안 태세를 강화할 수 있는 더 스마트한 방법입니다.
IBM 데이터 유출 비용(CODB) 보고서에 따르면, 평균 침해 비용은 440만 달러입니다. 이 사실만으로도 조직이 모든 사용자에게 동일한 기본 방어 수단을 사용할 여유가 없는 이유를 알 수 있습니다. 인공 지능(AI)으로 구성된 피싱 공격이 증가함에 따라 MFA 솔루션은 보안을 위한 최소한의 요건이 되어야 합니다. 다행히 Auth0 및 Duo와 같이 많은 A-MFA 구현 옵션이 있습니다. 이 문서에서는 적응형 MFA가 실시간으로 위험을 측정하는 방법을 설명합니다. 또한 이 기능이 잘 작동하는 사용 사례를 살펴보고 보안 프레임워크에서 이 기능의 적합한 위치를 결정하는 데 필요한 기본적인 이해를 제공합니다.
지금쯤이면 대부분의 사람들이 다단계 인증(MFA)을 사용해 본 경험이 있을 것입니다. MFA는 추가 인증 방법을 사용하여 신원을 증명하도록 요구하여 계정에 추가적인 보안 요구 사항을 추가합니다. 싱글사인온(SSO) 및 2단계 인증(2FA)과 마찬가지로 MFA는 ID 및 액세스 관리(IAM)의 인증 축에 속합니다. 비밀번호에만 의존하는 기존 방식 대신, 일반적으로 두 가지 이상의 요소가 있어야 로그인할 수 있습니다. 이러한 요소는 세 가지 주요 카테고리로 분류됩니다.
예를 들어 비밀번호(지식)를 입력하라는 메시지가 표시되면, 휴대폰(내가 가진 것)으로 SMS 코드가 전송되거나, 지문(나에 대한 것)을 스캔하라는 메시지가 표시될 수 있습니다. MFA는 이러한 요소를 결합하여 비밀번호가 유출된 경우에도 권한이 없는 사용자가 계정에 액세스하는 것을 훨씬 더 어렵게 만듭니다. 이제 이 접근 방식을 더 큰 보안 위험이 감지될 때만 추가 보안 조치를 적용하는 시스템과 결합하면 적응형 MFA의 본질을 갖추게 됩니다.
적응형 MFA는 기존 MFA에서 크게 발전한 것이라고 생각하면 됩니다. Abhijit Kumar Nag와 Dipankar Dasgupta가 발명한 이 보호 조치는 기존 MFA를 한 단계 더 발전시킵니다. 사용자의 일일 패턴에서 얻은 컨텍스트 정보를 사용하여 특정 로그인 시도와 관련된 위험 수준을 평가합니다. 특정 사용자 로그인 시도에 대한 위험 수준이 미리 정해진 임계값을 초과하면 트리거 이벤트로 간주됩니다.
적응형 MFA를 통해 시스템 관리자는 사용자 역할 및 회사 자산을 포함한 여러 요소를 기반으로 트리거 기준의 순위를 매길 수 있습니다. 앞서 사용했던, 카페에서 회사 대시보드에 로그인하는 경우를 예로 들어 보겠습니다. 해당 카페에 한 번도 가본 적이 없다면 트리거 이벤트로 간주할 수 있습니다. 하지만 같은 시간대에 충분히 자주 방문한다면 트리거 이벤트로 간주되지 않을 수 있습니다. 또는 다음 날 이상한 시각에 누군가가 지구 반대편 국가에서 사용자의 자격 증명을 사용하여 회사 대시보드에 접속하려고 시도한다면 거의 확실히 경고 메시지가 표시될 것입니다. 이 데모는 적응형 MFA가 무엇인지 보여줍니다. 바로 특정 사용자의 패턴을 이해하고 의심스럽거나 표준에서 벗어난 경우에만 보안을 위해 추가 조치를 적용하는 것입니다. 다음 섹션에서는 기존 MFA 기능과 적응형 MFA와의 차이점에 대해 알아보겠습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
적응형 MFA는 기존 MFA와 매우 유사하며, 사용 편의성을 희생하지 않고도 민감한 데이터를 안전하게 보호할 수 있도록 몇 가지 개선 사항이 추가되었습니다. 아래에서는 적응형 MFA의 단계와 작동 방식을 설명합니다.
사용자가 사용자 이름과 비밀번호 또는 패스키를 입력하여 시스템(예: 회사 대시보드, 애플리케이션 등)에 로그인을 시도합니다. 시스템은 저장된 자격 증명을 기준으로 이러한 자격 증명의 유효성을 검사하기 시작합니다.
이 단계에서 적응형 MFA가 기존 MFA와 차별화됩니다. 기존 MFA는 단순히 두 번째 인증 요소만 요구하는 반면, 적응형 MFA는 위험 수준을 분석한 다음 해당 위험에 대한 적절한 인증 수준을 결정합니다.
현재 로그인 또는 액세스 요청의 데이터를 수집하고 이전 로그인 또는 액세스 요청의 데이터와 비교하는 것으로 시작됩니다. 이 데이터에는 다음이 포함될 수 있습니다.
위험 점수 시스템은 결과를 가중치로 부여하여 이번 로그인 시도에 위험 수준을 할당합니다. 예를 들어, 인식되지 않은 IP 주소로 업무 외 시간에 다른 국가에서 새 디바이스로 로그인하는 경우 높은 수준의 위험이 할당될 수 있습니다.
위험 점수는 컨텍스트별 인증 응답으로 이어집니다. 여기에는 다음이 포함될 수 있습니다.
A-MFA 시스템은 각 사용자의 활동과 행동을 지속적으로 모니터링하여 시간이 지남에 따라 이상 징후를 더 잘 식별합니다. 점점 더 A-MFA 시스템은 사용자의 과거 로그인 또는 사용자 액세스 시도에서 학습하기 위해 머신 러닝 알고리즘을 채택하고 있습니다. 로그인 시도가 많을수록 시스템이 유효한 시도와 의심스러운 시도를 더 능숙하게 식별하게 됩니다.
조직은 다음과 같은 여러 가지 이유로 적응형 MFA를 채택합니다.
Phan, Kim Gwen. “Implementing Resiliency of Adaptive Multi-Factor Authentication Systems.” Master’s Specialization in Information Assurance, St. Cloud State University, 2018년. https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.
Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang 및 Eugene Wang. “A Review of Multi-Factor Authentication in the Internet of Healthcare Things.” Digit Health 9(2023): 20552076231177144. https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.
Ghosh, Arpita 및 Sayak Nag. “A Comprehensive Review of Secure Authentication Systems in Healthcare IoT.” Digit Health 2023; 9: 20552076231177146. https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.
Springer, Paul. Cyber Security: A Practitioner’s Guide. Cham: Springer, 2017년. https://link.springer.com/book/10.1007/978-3-319-58808-7.
IBM. “Multi-Factor Authentication.” IBM Think. 2025년 11월 3일 액세스. https://www.ibm.com/kr-ko/think/topics/multi-factor-authentication.