다단계 인증(MFA)이란 무엇인가요?

많은 인터넷 사용자는 가장 일반적인 형태의 MFA인 2단계 인증(2FA) 에 대해 잘 알고 있습니다. 2단계 인증은 두 가지 증거만 요구하지만, 일부 MFA는 세 가지 이상의 증거를 요구합니다.

예를 들어, MFA로 보호되는 이메일 계정에 로그인하려면 올바른 계정 비밀번호(첫 번째 요소)와 이메일 공급자가 사용자의 휴대폰으로 문자 메시지로 보내는 일회용 비밀번호(두 번째 요소)를 입력해야 할 수 있습니다. 특히 중요한 계정의 경우에는 하드웨어 키 소유와 같은 세 번째 증거가 필요할 수 있습니다.

사용자는 모든 필수 요소가 확인된 경우에만 시스템에 액세스할 수 있습니다. 문제가 발생하면 로그인 시도가 실패합니다.

MFA 방법은 모든 종류의 민감한 계정, 자산 및 시스템에 액세스하는 데 사용됩니다. 심지어 오프라인에서도 사용되는데, 은행 카드(첫 번째 증거)와 PIN(두 번째 증거)을 사용하여 ATM에서 현금을 인출하는 것이 MFA의 한 형태입니다.

MFA는 기업 ID 및 액세스 관리(IAM) 전략에서 점점 더 중요한 요소로 자리잡고 있습니다. 표준 단일 요소 인증 방식은 사용자 이름과 비밀번호를 사용하는데, 이는 도용되거나 해킹되기 쉽습니다. 실제로 IBM의 데이터 유출 비용(CODB) 보고서에 따르면 침해된 자격 증명은 데이터 유출의 가장 일반적인 원인입니다.

MFA 시스템은 사용자의 신원을 확인하기 위해 두 개 이상의 증거를 요구함으로써 보안 계층을 추가합니다. 해커가 비밀번호를 훔치더라도 시스템에 무단으로 액세스할 수 있는 충분한 권한이 없습니다. 여전히 두 번째 요소가 필요하니까요.

또한 두 번째 요소는 대개 지문 스캔이나 물리적 보안 토큰과 같이 간단한 비밀번호보다 훨씬 해독하기 어렵습니다.

MFA 시스템에서 사용자는 자신의 신원을 증명하기 위해 '인증 요소'라고 하는 두 가지 이상의 증거가 필요합니다. MFA 시스템은 여러 유형의 인증 요소를 사용할 수 있으며, 진정한 MFA 시스템은 서로 다른 유형의 요소를 두 가지 이상 사용합니다.

다른 유형의 요소를 사용하는 것이 동일한 유형의 요소를 여러 개 사용하는 것보다 더 안전하다고 여겨지는데, 그 이유는 사이버 범죄자가 각각의 요소를 해독하기 위해 서로 다른 채널에 걸쳐 다른 방법을 사용해야 하기 때문입니다.

예를 들어, 해커는 피해자의 컴퓨터에 스파이웨어를 심어 사용자 비밀번호를 훔칠 수 있습니다. 하지만 이 스파이웨어는 사용자의 스마트폰으로 전송된 일회성 비밀번호를 알아내거나 사용자의 지문을 복사하지는 않습니다. 공격자가 필요한 모든 자격증명을 수집하려면 비밀번호가 포함된 SMS 메시지를 가로채거나 지문 스캐너를 해킹해야 합니다.

인증 요소의 유형은 다음과 같습니다.

• 지식 요소
• 소유 요소
• 내재 요소
• 행동 요소

지식 요소는 이론적으로 사용자만 알 수 있는 정보(예: 암호, PIN, 보안 질문에 대한 답변)입니다. 지식 요소(일반적으로 암호)는 대부분의 MFA 구현에서 첫 번째 요소입니다.

하지만 지식 요소는 가장 취약한 인증 요소이기도 합니다. 해커는 피싱 공격을 감행하거나, 사용자 디바이스에 멀웨어를 설치하거나, 계정의 비밀번호를 맞출 때까지 봇을 사용해 잠재적 비밀번호를 생성해 테스트하는 무차별 대입 공격을 통해 비밀번호와 다른 지식 요소를 확보할 수 있습니다.

다른 유형의 지식 요소로는 취약점도 있습니다. "어머니의 결혼 전 성은 무엇입니까?"와 같은 보안 질문의 답변은 기본적인 소셜 미디어 조사나 소셜 엔지니어링 공격으로 유출되는 개인 정보를 유도하여 해독될 수 있습니다.

비밀번호와 보안 질문을 요구하는 보편적 방식은 동일한 유형의 두 가지 요소(이 경우 두 가지 지식 요소)를 사용하기 때문에 진정한 MFA가 아닙니다. 오히려 이 방식은 2단계 인증 프로세스의 한 예로 볼 수 있습니다. 2단계 인증은 두 가지 이상의 요소가 필요하기 때문에 일부 추가 보안을 제공하지만, MFA만큼 안전하지는 않습니다.

소유 요소는 개인이 본인의 ID를 인증하는 데 사용할 수 있는 소유물을 말합니다. 소유 요소에는 디지털 소프트웨어 토큰과 물리적 하드웨어 토큰이 포함됩니다.

오늘날 보다 일반적으로 사용되는 소프트웨어 토큰은 사용자가 소유한 디바이스(일반적으로 스마트폰 또는 기타 모바일 디바이스)에 저장되거나 생성된 디지털 보안 토큰입니다. 소프트웨어 토큰의 경우 사용자의 디바이스가 소유 요소 역할을 합니다. MFA 시스템은 합법적인 사용자만 디바이스 그리고 디바이스에 있는 모든 정보에 액세스할 수 있다고 가정합니다.

소프트웨어 보안 토큰은 사용자를 자동으로 인증하는 디지털 인증서부터 사용자가 로그온할 때마다 변경되는 일회용 암호(OTP)에 이르기까지 다양한 형태를 취할 수 있습니다.

일부 MFA 솔루션은 SMS, 이메일 또는 전화를 통해 사용자의 휴대폰으로 OTP를 보냅니다. 다른 MFA 구현은 시간 기반 일회용 암호(TOTP)를 지속적으로 생성하는 특수한 모바일 인증 앱을 사용합니다. 많은 TOTP는 30~60초 후에 만료되므로, 시간이 다 되어 비밀번호가 유효하지 않게 되기 전에 훔쳐 사용하기가 어렵습니다.

일부 인증 앱은 TOTP 대신 푸시 알림을 사용합니다. 사용자가 계정에 로그인하려고 시도하면 앱은 사용자 디바이스의 iOS 또는 Android 운영 체제로 푸시 알림을 직접 전송합니다. 사용자는 알림을 눌러 로그인 시도를 확인해야 합니다.

일반적으로 사용되는 인증 앱에는 Google Authenticator, Microsoft Authenticator, LastPass Authenticator가 있습니다.

다른 인증 시스템은 물리적 토큰 역할을 하는 전용 하드웨어를 사용합니다. 일부 물리적 토큰은 컴퓨터의 USB 포트에 꽂으면 앱과 사이트에 인증 정보를 자동으로 전송합니다. 하드웨어 토큰은 온디맨드 방식으로 OTP를 생성하는 독립형 디바이스입니다.

하드웨어 토큰에는 물리적 잠금 장치를 여는 전자 열쇠 또는 사용자가 카드 리더를 통해 스와이프해야 하는 스마트 카드와 같은 보다 전통적인 보안 토큰이 포함될 수도 있습니다.

소유 요소의 큰 이점은 악의적인 행위자가 사용자로 위장하려면 소유 요소를 지니고 있어야 한다는 것입니다. 이는 종종 실제 스마트폰이나 보안 키를 훔치는 것을 의미합니다. 또한 OTP는 일정 시간이 지나면 만료됩니다. 해커가 훔치는 데 성공해도 작동한다는 보장은 없습니다.

하지만 소유 요소는 완벽하지 않습니다. 물리적 토큰은 도난, 분실 또는 잘못 보관될 수 있습니다. 디지털 인증서는 복사할 수 있습니다. OTP는 기존 비밀번호보다 훔치기가 더 어렵지만 특정 유형의 멀웨어, 스피어 피싱 사기 또는 중간자 공격에 여전히 취약합니다.

해커는 더 정교한 수단을 사용할 수도 있습니다. SIM 복제 사기에서 공격자는 피해자의 스마트폰 SIM 카드의 기능적 복제본을 만들어 사용자의 전화번호로 전송된 암호를 가로챌 수 있습니다.

MFA 피로도 공격은 푸시 알림을 사용하는 MFA 시스템을 공격합니다. 해커는 피해자가 실수로 알림을 확인하여 해커가 계정에 액세스할 수 있기를 바라며 사용자의 디바이스에 사기성 알림을 대량으로 전송합니다.

'생체 인식'이라고도 부르는 고유 요소는 지문, 얼굴 특징 및 망막 스캔과 같은 사용자 고유의 신체적 특성을 말합니다. 많은 스마트폰과 노트북에는 얼굴 스캐너와 지문 판독기가 내장되어 있으며, 많은 앱과 웹사이트에서 이 생체 인식 데이터를 인증 요소로 사용할 수 있습니다.

내재 요소는 가장 해독하기 어렵지만, 해독이 아예 불가능하지는 않습니다. 예를 들어, 보안 연구원들은 특정 노트북에서 Windows Hello 지문 스캐너를 해킹하는 방법을 발견했습니다. 이 연구원들은 등록된 사용자의 지문을 자신의 지문으로 교체하여 디바이스에 대한 제어 권한을 효과적으로 부여할 수 있었습니다.

인공 지능(AI) 이미지 생성의 발전도 사이버 보안 전문가에게도 우려를 불러일으키는데, 해커가 이러한 툴을 사용하여 얼굴 인식 소프트웨어를 속일 수 있기 때문입니다.

생체 인식 데이터가 손상되면 쉽고 빠르게 변경할 수 없으므로, 진행 중인 공격을 중지하고 계정에 대한 통제권을 되찾기가 어렵습니다.

행동 요소는 사용자의 일반적인 IP 주소 범위, 위치, 평균 입력 속도와 같은 행동 패턴을 기반으로 사용자의 신원을 확인하는 데 도움이 되는 디지털 아티팩트를 말합니다.

예를 들어, 기업 가상 사설망(VPN)에서 앱에 로그인할 때 사용자는 하나의 인증 요소만 제공하면 될 수 있습니다. 신뢰할 수 있는 VPN에서의 존재는 두 번째 요소로 간주됩니다.

마찬가지로, 일부 시스템에서는 사용자가 신뢰할 수 있는 디바이스를 인증 요소로 등록할 수 있습니다. 사용자가 신뢰할 수 있는 디바이스에서 시스템에 액세스할 때마다 디바이스 사용이 자동으로 두 번째 요소로 작동합니다.

행동 요소는 정교한 사용자 인증 방법을 제공하지만, 해커는 여전히 사용자의 행동을 모방하여 사용자로 위장할 수 있습니다.

예를 들어 해커가 신뢰할 수 있는 디바이스에 액세스하는 경우 이를 인증 요소로 사용할 수 있습니다. 마찬가지로 공격자는 IP 주소를 스푸핑하여 회사 VPN에 연결되어 있는 것처럼 보이게 할 수 있습니다.

적응형 MFA는 '위험 기반 인증'이라고도 하는 적응형 인증을 사용합니다. 적응형 인증 시스템은 AI와 머신 러닝(ML)을 사용하여 사용자 활동을 평가하고 인증 문제를 동적으로 조정합니다. 상황이 위험할수록 사용자는 더 많은 인증 요소를 제공해야 합니다.

예를 들어, 사용자가 신뢰할 수 있는 네트워크의 알려진 디바이스에서 하위 수준 앱에 로그인하는 경우 비밀번호만 입력하면 될 수 있습니다.

동일한 사용자가 안전하지 않은 공용 Wi-Fi 연결에서 동일한 앱에 로그인하려는 경우 두 번째 요소를 제공해야 할 수 있습니다.

사용자가 특히 중요한 정보에 액세스하거나 중요한 계정 정보를 변경하려는 경우 세 번째 또는 네 번째 요소를 제공해야 할 수 있습니다.

적응형 인증 시스템은 조직이 MFA 구현에서 발생하는 가장 일반적인 과제 중 일부를 해결하는 데 도움이 될 수 있습니다. 예를 들어, 사용자는 MFA가 간단한 비밀번호보다 덜 편리하다고 생각하기 때문에 MFA 사용을 거부할 수 있습니다. 적응형 MFA를 사용하면 사용자는 민감한 상황에서만 여러 요소만 제공하면 되므로 사용자 경험이 향상됩니다.

조직의 경우 네트워크의 다양한 자산과 부분에 따라 서로 다른 수준의 보안이 필요할 수 있습니다. 모든 앱 및 활동에 MFA를 요구하면 보안 이점이 거의 없는 나쁜 사용자 환경이 만들어질 수 있습니다.

적응형 인증 시스템을 통해 조직은 모든 상황에 적용되는 단일 솔루션을 적용하는 대신, 관련된 사용자, 활동 및 리소스를 기반으로 보다 세분화된 액세스 관리 프로세스를 정의할 수 있습니다.

즉 적응형 시스템을 유지 관리하기 위해 표준 MFA 솔루션보다 더 많은 리소스와 전문 지식이 필요할 수 있습니다.

암호가 없는 MFA 시스템은 지식 요소가 아닌 소유, 내재적 및 행동적 요소만 허용합니다. 예를 들어, 사용자에게 물리적 토큰과 함께 지문을 요구하는 것은 암호가 없는 다단계 인증에 해당합니다.

널리 사용되는 FIDO 표준을 기반으로 하는 패스키는 비밀번호가 필요 없는 가장 일반적인 인증 방식 중 하나입니다. 패스키는 공개 키 암호화를 사용하여 사용자의 ID를 확인합니다.

패스워드리스 MFA는 손상시키기 가장 쉬운 요소이기 때문에 지식 요소를 제거합니다. 현재 대부분의 MFA 방법은 암호를 사용하지만, 업계 전문가들은 암호의 필요성이 점점 줄어드는 패스워드리스 미래가 될 것으로 예상합니다. IBM, Google, Apple, Microsoft 등의 조직은 암호가 없는 인증 옵션을 제공합니다.

조직은 인증 시스템을 사용하여 이러한 공격으로부터 사용자 계정을 보호합니다. 하지만 가장 기본적인 인증 시스템에서는 비밀번호만 있으면 액세스 권한을 얻을 수 있으며, 이는 "Charlie가 내게 보내줬어"라고 말하는 것보다 훨씬 안전하지 않습니다.

IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 침해의 가장 일반적인 두 가지 사이버 공격 벡터는 자격 증명 유출과 피싱입니다. 이들은 보안 침해의 31%를 차지합니다. 벡터 두 가지 모두 해커들이 암호를 탈취해 정당한 계정과 기기를 빼앗아 혼란을 야기합니다.

해커들은 보안이 약한 암호를 찾아내 강제 대입(Brute Force) 또는 속임수를 통해 암호를 획득합니다. 게다가 사람들이 다양한 계정에 똑같은 암호를 사용하기 때문에 해커가 훔친 암호를 하나만 사용해도 여러 계정에 침입할 수 있는 경우가 많습니다. 유출된 암호는 사용자와 조직 모두에게 심각한 문제를 초래할 수 있습니다. 특히 신원 도용, 재정 도난, 시스템 훼손 등까지 발생할 수 있기 때문입니다.

MFA는 사용자 계정에 추가 보호 계층을 추가하여 공격자와 공격 표적 사이에 더 많은 장애물을 두어 무단 액세스를 방지합니다. 해커가 비밀번호를 훔칠 수 있다고 해도 계정에 침입하려면 적어도 하나 이상의 추가 요소가 필요합니다.

MFA는 또한 조직이 규정 준수 요건을 충족하는 데 도움이 될 수 있습니다. 예를 들어, PCI DSS(Payment Card Industry Data Security Standard)는 결제 카드 데이터를 처리하는 시스템의 경우 MFA를 사용하도록 명시적으로 요구합니다.

사베인스-옥슬리법(SOX) 및 일반 데이터 보호 규정(GDPR)과 같은 기타 데이터 프라이버시 및 보안 규정은 MFA를 명시적으로 요구하지 않습니다. 하지만 MFA 시스템은 조직이 이러한 법률이 정한 엄격한 보안 기준을 충족하는 데 도움이 될 수 있습니다.

데이터 유출로 인해 MFA를 채택해야만 했던 조직들도 있습니다. 한 예로, 미국 연방거래위원회는 250만 명의 고객에게 영향을 미친 데이터 유출 사고 이후 온라인 주류 판매업체 Drizly에 MFA를 도입하라고 명령했습니다.¹

싱글사인온(SSO)은 사용자가 단일 자격 증명 세트를 사용하여 여러 애플리케이션에 로그인할 수 있도록 하는 인증 체계입니다. SSO와 MFA는 모두 인증을 처리하지만, 근본적으로 다른 용도로 사용됩니다. 즉 MFA는 보안을 강화하는 반면, SSO는 사용 편의성을 위해 설계되었습니다.

SSO는 직원이 업무를 수행하기 위해 여러 서비스 또는 앱에 액세스해야 하는 조직 내에서 자주 사용됩니다. 사용자가 각 앱에 대해 별도의 계정을 만들도록 요구하면 비밀번호 피로, 즉 불합리한 로그인 수를 기억하는 것과 관련된 스트레스가 발생할 수 있습니다.

SSO를 통해 사용자는 단일 로그인을 사용하여 여러 애플리케이션에 사용할 수 있으므로 사용자 경험이 향상됩니다.

MFA가 반드시 사용자 환경 문제를 해결하는 것은 아니지만 로그인 프로세스에 보안 계층을 추가합니다.

최신 SSO 시스템이 MFA를 요구하는 경우가 많다는 점에서 MFA와 SSO는 서로 연관되어 있고 상호 보완적이며, 이를 통해 편리하고 비교적 안전한 로그인을 보장합니다.

2FA와 MFA의 차이점은 2FA는 정확히 두 가지 요소를 사용하는 반면, MFA는 필요한 보안 수준에 따라 두 개, 세 개 또는 그 이상의 요소를 요구할 수 있다는 것입니다. 2FA는 MFA의 한 유형입니다.

대부분의 MFA 애플리케이션은 두 가지 요소만으로도 충분히 안전하기 때문에 2FA를 사용합니다. 하지만 조직은 재무 데이터나 개인 식별 정보(PII)가 포함된 파일과 같이 매우 민감한 정보에 대한 액세스 권한을 부여하기 전에 ID를 증명하기 위한 추가적인 요소를 요구할 수 있습니다.