다단계 인증(MFA)은 사용자가 웹사이트, 애플리케이션 또는 네트워크에 액세스하기 위해 암호 외에 1개 이상의 인증 요소를 제공하거나 암호 대신 2개 이상의 인증 요소를 제공하도록 요구하는 ID 인증 방법입니다.
여러 인증 요소를 해킹하는 것은 비밀번호만 해킹하는 것보다 더 많은 작업이 필요하고, 다른 유형의 인증 요소를 도용 또는 위조하는 것은 비밀번호보다 어렵기 때문에 MFA는 단일 요소(사용자 이름 및 비밀번호) 인증보다 승인되지 않은 액세스로부터 조직을 보다 효과적으로 보호합니다.
MFA는 많은 조직의 ID 및 액세스 관리 전략의 기본 구성요소가 되었으며, 많은 산업 및 정부 기관에서 의무화했거나 권장하는 인증 방법입니다. 대부분의 직원 또는 인터넷 사용자는 2단계 인증(2FA)이라는 하위 유형의 MFA를 접해보았을 것입니다. 이 MFA는 사용자가 비밀번호와 보조 인증 요소 ( 일반적으로 휴대폰이나 이메일로 전송되는 비밀번호 ) 를 제공하여 시스템 또는 웹사이트에 로그인하도록 합니다. 그러나 은행 카드와 개인식별번호(PIN)를 사용해 ATM를 사용해 본 사람은 누구나 일종의 MFA를 경험했다고 할 수 있습니다.
MFA는 두 가지 수준에서 해커를 혼동하게 만듭니다. 가장 기본적인 수준에서는, 하나의 요소를 해킹하는 것보다 두 가지 이상의 요소를 해킹하는 것이 더 어렵습니다. 그러나 궁극적으로 모든 MFA 스키마의 강도는 사용자가 제공해야 하는 인증 요소 유형에 따라 다릅니다.
지식 요소: 사용자가 알고 있는 것
지식 요소는 비밀번호, PIN 및 보안 질문에 대한 답변과 같이 이론적으로 사용자만 알고 있는 정보입니다. 지식 요소는 가장 널리 사용되고 있지만 가장 취약한 인증 요소 유형입니다. 해커는 피싱 공격을 감행하거나, 사용자 디바이스에 키 스트로크 레코더 또는 스파이웨어를 설치하거나, 효과가 있을 때까지 잠재적인 비밀번호를 생성 및 테스트하는 스크립트나 봇을 실행하여 비밀번호와 기타 지식 요소를 얻을 수 있습니다.
다른 지식 요소의 경우에도 유사한 문제가 발생할 수 있습니다. 일부 보안 질문에 대한 답변은 해커가 사용자를 알고 있거나 소셜 미디어를 조사하여 해독할 수 있습니다. 다른 요소들은 비교적 추측하기 쉽습니다. 따라서 IBM의 2022년 데이터 유출 비용 보고서에 나와 있듯이 2022년에 가장 일반적으로 악용된 초기 공격 백터가 손상된 자격 증명이라는 사실은 크게 놀랄 일이 아닙니다.
일반적으로 비밀번호와 보안 질문에 대한 답변과 같은 두 가지 지식 요소가 MFA를 구성한다고 오해하는 경우가 흔합니다. 보조 지식 요소를 요구하는 경우 보안이 강화되기는 하지만 진정한 MFA에는 두 가지 이상의 인증 요소 유형을 사용해야 합니다.
소유 요소: 사용자가 가지고 있는 것
소유 요소는 물리적 잠금(P-잠금)에 대해 액세스 권한을 부여하는 팝(fob) 또는 ID 카드, 인증 앱이 설치된 모바일 디바이스, 인증 정보가 포함된 스마트 카드와 같이 사용자가 가지고 있는 물리적 객체입니다.
다수의 MFA 구현에서는 사용자의 휴대폰이 소유 요소가 되는데 필요한 정보를 수신하거나 생성하는 'Phone-as-a-Token'이라는 방법을 사용합니다. 위에서 언급했듯 MFA는 일반적으로 문자 메시지, 이메일 메시지 또는 전화 통화를 통해 개인의 휴대폰에 일회용 비밀번호(OTP)를 보냅니다. 그러나 OTP는 OTP 앱이라는 특수 모바일 앱에서도 생성할 수 있습니다. 그리고 일부 인증 시스템은 사용자가 간단히 탭하여 ID를 확인할 수 있는 푸시 알림을 보냅니다.
다른 MFA 솔루션 시스템은 물리적 토큰 또는 전용 하드웨어 보안 키를 사용합니다. 일부 물리적 토큰은 컴퓨터의 USB 포트를 통해 인증 정보를 로그인 페이지로 전송합니다. 다른 토큰은 사용자가 입력할 수 있도록 OTP를 생성합니다.
소유 요소는 지식 요소에 비해 몇 가지 이점을 제공합니다. 악의적 행위자가 사용자를 가장해 로그인하려면 소유 요소를 가지고 있어야 합니다. 이러한 요소는 애플리케이션(IP)이 아닌 다른 네트워크(SMS)에서 작동하기 때문에 해커는 자격 증명을 도용하기 위해 두 개의 서로 다른 통신 채널을 가로채야 합니다. 해커가 OTP를 획득할 수 있는 경우에도 만료되기 전에 획득해 사용해야 하며 재사용할 수 없습니다.
그러나 여러 리스크가 있습니다. 물리적 토큰은 객체(보통 작은 객체)이기 때문에 도용, 분실 또는 잘못 배치될 수 있습니다. OTP는 기존의 비밀번호보다 도용하기 어렵지만 정교한 피싱이나 중간자 공격, 또는 악의적 행위자가 피해자의 스마트폰 SIM 카드를 기능적으로 복제하는 SIM 클로닝에는 여전히 취약합니다.
고유한 요소: 사용자 개인에게만 고유한 것
생체 인식이라고도 하는 고유한 요소는 사용자에게 고유한 물리적 특성입니다. 고유한 요소의 예로는 사람의 지문, 음성, 얼굴 특징 또는 홍채, 망막 패턴 등이 있습니다. 오늘날 많은 모바일 디바이스는 지문이나 얼굴 인식을 사용하여 잠금 해제할 수 있습니다. 일부 컴퓨터는 지문을 사용하여 웹 사이트나 애플리케이션에 암호를 입력할 수 있습니다.
고유한 요소는 해독하기 가장 어려운 요소입니다. 잊거나 분실하거나 잘못 배치할 수 없으며 복제하기가 더욱 어렵습니다.
그러나 고유한 요소가 결코 만능은 아닙니다. 고유한 요소가 데이터베이스에 저장되어 있으면 도용될 수 있습니다. 예를 들어 2019년 100만 명에 이르는 사용자 지문이 포함된 생체 인식 데이터베이스가 유출되었습니다. 이론적으로 해커는 이러한 지문을 도용하거나 자신의 지문을 데이터베이스 내 다른 사용자의 프로필에 연결할 수 있습니다.
생체 인식 데이터가 손상되면 손쉽고 빠르게 변경할 수 없으며, 따라서 피해자가 진행 중인 공격을 차단하기 어려울 수 있습니다.
행동 요소: 사용자가 수행하는 것
행동 요소는 행동 패턴을 기반으로 사용자의 ID를 확인하는 디지털 아티팩트입니다. 행동 요소의 예로는 사용자가 일반적으로 애플리케이션에 로그인하는 IP 주소 범위 또는 위치 데이터입니다.
행동 인증 솔루션은 인공 지능을 사용하여 사용자의 정상적인 행동 패턴의 기준을 결정한 다음 새 디바이스, 전화번호, 웹 브라우저 또는 위치에서 로그인하는 것과 같은 비정상적 활동에 플래그를 지정합니다. 또한 일반적으로 사용자가 신뢰할 수 없는 디바이스에서 로그인을 시도하거나, 애플리케이션에 처음으로 액세스를 시도하거나, 특히 민감한 데이터에 액세스를 시도하는 경우와 같이 리스크가 변경될 때 인증 요구사항도 변경되는 적응형 인증(또는 리스크 기반 인증이라고도 함) 스키마에서 사용됩니다.
행동 요소는 사용자를 인증하는 정교한 방법을 제공하지만 배포하려면 상당한 리소스와 전문 지식이 필요합니다. 또한 해커가 신뢰할 수 있는 디바이스에 액세스하는 경우 이를 인증 요소로 사용할 수 있습니다.
손상된 지식 요소는 사이버 보안 침해의 가장 일반적인 초기 벡터이기 때문에 많은 조직에서 비밀번호 없는 인증 방법을 모색하고 있습니다. 비밀번호 없는 인증은 소유 요소, 고유 요소 및 행동 요소를 사용하여 ID를 확인합니다. 비밀번호 없는 인증은 해커가 한 시스템에서 도용한 자격 증명을 사용하여 다른 시스템에 액세스하는 피싱 공격 및 자격 증명 스터핑의 리스크를 줄입니다.
비밀번호 없는 인증은 ID 확인 체인에서 가장 약한 링크로 널리 간주되는 요소를 대신하지만 여전히 소유 요소, 고유 요소 및 행동 요소의 취약성에 영향을 받을수 있습니다. 조직은 이러한 취약성을 완화하기 위해 사용자가 여러 유형의 비지식 요소 인증 자격 증명을 제공해야 하는 접근 방식을 구현할 수 있습니다. 예를 들어 사용자에게 지문과 물리적 토큰을 요구하면 비밀번호 없는 MFA가 됩니다.
증가하는 사이버 공격에 대응하여 정부와 정부 기관은 민감한 데이터를 처리하는 시스템에 대해 MFA를 요구하기 시작했습니다. 2020년 미국 국세청(IRS)은 온라인 세무 대행 시스템 제공업체에 MFA를 의무화했습니다. 조 바이든 대통령의 2021년 국가의 사이버 보안 향상에 대한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)에 따라 MFA는 모든 연방 기관의 요구사항이 되었습니다. 후속 행정 각서에서는 모든 국가 안보, 국방부 및 정보 커뮤니티 시스템이 2022년 8월 18일까지 MFA를 구현할 것을 요구합니다.
결제 카드 산업 데이터 보안 표준(PCI-DSS)를 비롯한 소수의 업계 규정에 따라 특히 신용카드와 직불카드 데이터를 처리하는 시스템에는 MFA를 구현해야 합니다. 사베인즈 옥슬리법(SOX) 및 HIPAA를 비롯한 많은 다른 규정에서는 MFA를 규정 준수를 보장하는 핵심 요소로 사용할 것을 강력히 권고합니다. 일부 주 규정에서는 수년 동안 MFA를 의무화했습니다. 뉴욕금융감독청(NYDFS)의 2017년 사이버 보안 규정 23 NYCRR 500의 MFA 조항을 준수하지 않는 회사에는 최대 미화 300만 달러의 벌금이 부과됩니다(ibm.com 외부 링크).
싱글 사인온(SSO)은 사용자가 한 세트의 로그인 자격 증명을 통해 여러 관련 애플리케이션 및 서비스에 액세스할 수 있도록 하는 인증 방법입니다. 사용자가 한 번 로그인하면 SSO 솔루션이 사용자의 ID를 인증하고 세션 인증 토큰을 생성합니다. 이 토큰은 상호 연결된 애플리케이션 및 데이터베이스에 대한 사용자의 보안 키 역할을 합니다.
여러 애플리케이션에 단 한 세트의 로그인 자격 증명을 사용하는 데 따른 위험을 완화하기 위해 조직에서는 일반적으로 적응형 SSO 인증을 요구합니다. 적응형 SSO는 적응형 인증 기능을 SSO 스키마에 적용합니다. 사용자가 SSO를 통해 로그인을 시도하는 도중 또는 SSO 인증 세션 도중 비정상적 동작을 표시하는 경우 추가 인증 요소를 제공하라는 메시지가 표시됩니다. 비정상적 동작의 예로는 인식할 수 없는 VPN을 통한 연결, 사용자의 세션 인증 토큰이 적용되지 않는 애플리케이션이나 데이터에 대한 액세스 등이 있습니다.
사용자의 ID를 절대 신뢰하지 않고 항상 확인하는제로 트러스트 사이버 보안 아키텍처는 인증 목적으로 적응형 SSO 및 MFA의 조합을 사용하는 경우가 많습니다. 세션 전반에서 지속적으로 사용자의 ID를 확인하고 리스크에 따라 추가 인증 요소를 요구함으로써, 적응형 SSO 및 MFA는 사용자 경험을 방해하지 않고 액세스 관리를 강화합니다.
IBM Security® Verify IAM 솔루션을 사용하여 모든 사용자를 적절한 액세스 수준으로 연결합니다.
클라우드 및 온프레미스 애플리케이션에 대한 액세스 제어를 중앙 집중화합니다.
비밀번호 없는 인증 또는 다단계 인증을 위한 옵션을 통해 기본 인증 이상의 효과를 제공합니다.
IBM Security Verify의 AI 지원 리스크 기반 인증으로 사용자와 자산을 보호합니다.
매끄러운 보안 액세스를 위해 클라우드 IAM에 리스크 기반 인증의 심층 컨텍스트를 적용합니다.
IBM Security Verify Trust 소프트웨어로 스마트한 인증을 제공하기 위해 IAM 시스템에 리스크 신뢰도를 적용합니다.
모든 사용자, 모든 장치 및 모든 연결을 포괄하는 보안 솔루션을 살펴봅니다.
엔드포인트 및 일반 사용자에 대한 가시성, 관리, 보안을 확보합니다.
가상 또는 대면 형식으로 3시간 동안 진행되는 이 무료 디자인 씽킹 세션에서는 IBM 보안 아키텍트 및 컨설턴트와 함께 귀사의 사이버 보안 환경을 진단하고 여러 이니셔티브의 우선순위를 결정할 수 있습니다.
기업 네트워크 액세스를 제어하여 데이터를 보호하는 보안 프로그램에서 IAM이 어떤 핵심적인 역할을 하는지 알아봅니다.
MDM이 어떻게 기업 데이터를 안전하게 유지하면서 생산성 도구와 애플리케이션의 활용도를 향상시키는지 알아봅니다.
내부자 위협이 위험한 이유, 내부자 위협의 유형과 지표, 이를 완화하는 방법, IBM 솔루션에 대해 알아봅니다.
데이터 보안이 지금 그 어느 때보다 중요한 이유를 알아봅니다. 데이터 보안의 유형, 전략, 동향 및 IBM 데이터 보안 솔루션에 대해 알아봅니다.
글로벌 관점에서 위협 환경에 대한 사이버 공격 위험을 파악합니다.