보안

MFA 솔루션 선택 방법과 대표적인 멀티팩터 인증 제품 8선

Tim Ferrill | CSO 2021.10.21
크리덴셜(Credential) 기반 공격이 점점 더 정교해지고 있다. 고급 피싱 기술, 크리덴셜 스터핑(Credential Stuffing), 심지어 소셜 엔지니어링이나 서드파티 서비스 침해를 통한 크리덴셜 손상 등으로 인해 크리덴셜은 기업 시스템을 방어하는 데 있어 가장 취약한 지점이 됐다. 이런 모든 공격은 합법적인 보안 조치로 만료 일자가 지난 기존 크리덴셜, 사용자명 및 비밀번호가 대상이다. 접근 보안을 강화하는 확실한 방법은 다중 인증(Multi-Factor Authentication, MFA)이다.
 
ⓒ Getty Images Bank

보안 전문가들은 제어가 필요하다고 입을 모은다. 물리적 보안에서는 진입 지점을 제한해 제어를 얻는 경우가 많다. 내부로 들어가는 곳을 한 곳으로 모으면 보안 인력이 ID를 확인하거나 사람들에게 금속 탐지기를 통과하도록 할 수 있다. 인터넷과 웹 기반 앱이 폭발적으로 증가하기 전에는 회사 디렉터리가 하나의 디지털 진입 지점이었다. 직원들은 단일 크리덴셜을 사용해 회사 리소스를 인증하고 비즈니스 앱에 접근했다.

현대의 인프라와 웹 기반 비즈니스 애플리케이션 때문에 보안 상태를 유지할 수 있는 전문 도구가 없으면 이런 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다. MFA는 인증 프로세스를 상당히 개선한다. 첫 번째가 스마트폰, 하드웨어 MFA 토큰, SMS 또는 이메일 기반 인증 코드 등 추가 팩터 자체다. 인증 프로세스는 피싱이나 기타 악의적인 기법을 통해 손상될 수 있는 사용자 이름 및 비밀번호와 같은 지식 기반 요소에 더 이상 의존하지 않는다. 추가 MFA 팩터를 활용하는 인증 시도에는 손상된 사용자 이름 및 비밀번호의 영향을 최소화하기 위해 등록된 기기 사용자로부터의 상호작용이나 물리적 하드웨어 기기가 필요하다.


MFA 솔루션의 선택

보안 조치와 관련해 까다로운 부분은 최종 사용자를 위해 편리하거나 최소한 효율적으로 보안을 유지하는 것이다. 가장 나쁜 방법은 사용자가 회사 리소스에 접근할 수 없거나 시행 중인 보안 조치를 우회할 방법을 찾게 만들 정도로 보안 요구 사항을 강화하는 것이다. 

MFA 팩터는 인증 공급업체를 선정할 때 중요한 특징이다. SMS 및 이메일 기반 보안 코드는 최하 수준이어서 없는 것보다는 낫지만, 이런 팩터가 기업이 필요로 하는 보안 수준을 제공하는지는 고려해봐야 한다. 이메일과 SMS 모두 잠재적으로 해킹에 취약할 수 있다. TOTP(Time-based One-Time Passwords)와 같은 MFA 표준은 일반적으로 구글 인증기 등이 지원하지만 궁극적으로는 인증 서비스와 사용자의 인증 기기 모두에 알려진 단일 인증 토큰에 의존한다. 많은 MFA 제공업체가 등록된 모바일 기기에 대한 푸시 알림을 사용해 강력한 보안과 편리한 인증 플로우를 모두 제공하는 독점 프로토콜에 의존한다.

엔터프라이즈 MFA 공급업체는 인증 보안을 강화하기 위한 추가 도구와 기능을 제공한다. 적절하게 구현되는 경우 MFA 서비스는 다양한 애플리케이션 및 기업 리소스에서 인증에 대한 단일 초점을 확보할 수 있도록 지원한다. 인증 트래픽에 대한 이런 중앙 지점을 확보하면 개선된 로깅 및 분석, 인증 정책, AI 및 리스크 기반 조건부 접근과 같은 추가 기능을 구현할 수 있다.

MFA 솔루션을 선택할 때 고려해야 할 또 다른 측면은 안전하게 만들고자 하는 기업 리소스의 종류와 관련이 있다. 오피스 365, 구글 워크스페이스 또는 세일즈포스와 같은 클라우드 앱은 MFA의 명백한 목표 대상이자 쉽게 제어할 수 있는 상대다. 

기업 VPN은 MFA의 또 다른 일반적인 사용례이다. VPN은 기본적으로 네트워크에 대한 게이트웨이이며 보호해야 한다. 또한, 회사 시설에 대한 물리적 접근도 마찬가지다. 내부 또는 맞춤형 비즈니스 앱에서 MFA를 활용하는 것은 다소 어려운 일이며, 안전하게 만들고자 하는 앱의 완성도에 크게 좌우된다. 마지막으로, 특히 점점 더 많은 사용자가 원격으로 작업하는 시대에는 기업 데스크톱 및 서버 인증을 위해 MFA를 구현해야 하는 확실한 이유가 있다.

MFA로 보호하는 리소스와 긴밀하게 연결되어 있는 것은 이러한 리소스를 기존 ID 리포지토리와 연결하는 데 필요한 인프라다. 사용례에 관계없이 MFA 공급업체를 회사 ID 리포지토리에 연결할 가능성이 높다. 이 경우 사내 LDAP(Lightweight Directory Access Protocol) 디렉터리와의 통합이 자주 관련된다. 많은 MFA 공급업체는 로컬 네트워크에 설치된 소프트웨어 에이전트를 사용하거나 LDAPS(SSL에 대한 LDAP)를 통해 이 작업을 수행한다. 

사용례별 인프라 측면에서 클라우드 앱은 많은 경우 SAML(Security Assertion Markup Language)과 같은 표준을 사용해 원활하게 통합되기 때문에 쉽게 성공적일 수 있다. 대부분의 VPN 솔루션은 RADIUS(Remote Authentication Dial-In User Service)와의 통합을 지원한다. 이는 기존 RADIUS 서버와 그 후 MFA 공급업체에게 인증을 전달하는 데 사용되거나 경우에 따라 표준 RADIUS 프로토콜을 사용해 MFA 공급업체와 직접 통신할 수 있다. 맞춤형 또는 내부적으로 호스팅되는 비즈니스 앱은 API를 통해 MFA 제공업체와 상호 작용해야 할 수도 있고 또는 잠재적으로 SAML을 활용할 수 있다. 데스크톱 및 서버용 MFA의 경우 각 엔드포인트에 설치된 소프트웨어가 인증 워크플로우에 자체적으로 삽입해야 한다.


최고의 MFA 제품 8선

MFA 분야는 구매자 우위 시장이다. 몇 가지 매우 견고한 옵션이 있는데, 각각은 포괄적인 기능 세트와 상당한 유연성을 갖추고 있다. 다음의 서비스 목록이 모든 것을 포괄하는 것은 아니며, 포함된 제품이라고 해서 인정받았다는 것도 아니다. 

1. 시스코 듀오(Cisco Duo)
2. 이셋 보안 인증(ESET Secure Authentication)
3. HID 어프로브(HID Approve)
4. 라스트패스(LastPass) MFA
5. 옥타 어댑티브(Okta Adaptive) MFA
6. RSA 시큐어ID(SecurID)
7. 실버포트(Silverfort)
8. 트윌리오 오씨(Twilio Authy)


- 시스코 듀오: 듀오는 MFA의 강자 중 하나이다. 경쟁업체에게는 통합 지점으로 제공되며 듀오 푸시에서 보다 유명한 푸시 기반 MFA 옵션 가운데 하나를 특징으로 한다. 또한 듀오는 기기의 생체 팩터와 긴밀하게 통합되어 등록된 사용자가 기기를 소유하고 있는지 확인함으로써 추가적인 보안을 제공한다.

- 이셋 보안 인증: 이셋은 악성코드 방지 및 엔드포인트 보호 제품으로 더 잘 알려져 있지만, 이셋 보안 인증은 이 목록에 있는 모든 경쟁 솔루션과 필적하는 기능 세트를 갖춘 완전한 MFA 솔루션이다. VPN 및 RADIUS를 지원하는가? 그렇다. 브라우저 기반 관리 콘솔을 지원하는가? 그것도 포함된다. 기존 LDAP 디렉터리 또는 클라우드 기반 ID 스토어와의 통합이 가능한가? 당연히 그렇다. 푸시 알림 또는 하드웨어 토큰과 같은 유연한 MFA 요소를 가지고 있는가? 가지고 있다. 자사의 앱들을 서비스와 좀 더 긴밀하게 통합하고자 하는 기업을 위해 이셋은 API와 SDK도 제공한다.

- HID 어프로브: HID 글로벌은 RSA와 함께 대기업 및 정부 부문에서 가장 잘 자리를 잡은 업체 가운데 하나다. 실제로 HID는 물리적 보안 솔루션(근접/스와이프 카드 및 카드 리더)으로 인해 MFA가 주류로 고려되기 전부터 상당한 발판을 마련했다. 컴퓨터 시스템에 대한 기업 인증 요구 사항이 성숙함에 따라 HID는 기업 고객의 요구를 충족시킬 수 있도록 잘 자리매김했다. 
HID는 하드웨어 및 스마트카드 솔루션 외에도 탄탄한 소프트웨어 기반 MFA 솔루션을 HID 어프로브를 보유하고 있어 하드웨어에 투자할 필요없이도 신속한 배치가 가능하다. HID 어프로브는 푸시 인증 및 보안 정책을 지원하며, 이 서비스는 런타임 애플리케이션 자가 보호(Runtime Application Self Protection, RASP) 기능을 갖추고 있어 인증 시도를 모니터링하고 즉각적인 공격을 방지하는 데 도움이 된다.

- 라스트패스 MFA: 라스트패스는 비밀번호 관리자로 가장 잘 알려져 있지만, MFA가 인증 보안 분야에 가까운 기능이기 때문에 라스트패스가 그 영역에 관여하는 것은 수긍할만 하다. 실제로 라스트패스는 비밀번호 관리자와 라스트패스 MFA 모두에 동일한 라스트패스 인증 모바일 앱을 활용하는데 이것이 장점이다. 라스트패스 MFA 서비스는 VPN, 웹 앱, 데스크톱, 온프레미스 앱 등 앞서 설명한 모든 사용례를 지원하며 에저 액티브 디렉터리 및 옥타와 같은 공통 ID 관리 플랫폼과 긴밀하게 통합된다.

- 옥타 어댑티브 MFA: 옥타는 인증 분야에서 한동안 가장 인기 있는 업체 가운데 하나였다. 옥타 어댑티브 MFA는 옥타 서비스에 대한 공격과 같은 이전 공격과 서드파티 위협 데이터으로부터 수집한 데이터를 사용한 ID 공격에 대해 자동으로 보호하는 보안 플랫폼으로 시작한다. 또한 옥타는 이런 위협 데이터를 활용해 합법적인 인증 시도와 관련된 위험을 평가함으로써 좀 더 강력한 인증 팩터를 동적으로 관리할 수 있다.
사전 예방적 애널리틱스 기반 방어 기능 외에도 옥타는 사용자에 의한 단순화된 위협 보고 기능을 활성화해 관리자에게 통지하거나 자동화된 완화 조치를 취할 수 있다. 또한 옥타 어댑티브 MFA 서비스를 사용하면 인증을 불가피하게 고도화할 때 다양한 옵션과 유연성을 제공한다. 

- RSA 시큐어ID: RSA는 MFA 분야의 또 다른 선구자였다. 자체적인 순환 숫자 키를 갖춘 RSA 하드웨어 토큰은 기업 VPN 및 원격 접근 보안을 위한 대표적인 MFA 솔루션 가운데 하나였다. RSA는 옥타에 필적하는 보안 제품 포트폴리오와 함께 오랜 역사를 보유하고 있어 중요한 비즈니스 리소스에 대한 보안 인증을 지원하는 데 이상적인 후보다. RSA 시큐어ID는 모바일 및 하드웨어 기반 인증 팩터를 지원할 뿐만 아니라, 비행기와 같이 인터넷 서비스가 없는 경우에도 원활한 인증 경로를 지원한다. 또한 RSA는 동적 리스크 기반 인증 정책을 지원해 추가 보안 요구와 최종 사용자를 위한 효율적인 인증 프로세스 요구 간의 균형을 유지한다.

- 실버포트: 실버포트는 전에 들어보지 못한 이름일 수도 있겠지만, 이 MFA 서비스는 필수 목록의 꽤 많은 칸을 채운다. 위험 점수를 기반으로 한 변칙적인 동작 감지, 패턴 기반 위협 탐지 및 단계적 인증 팩터는 실버포트가 제공하는 몇 가지 기능 가운데 일부에 불과하다. 실버포트는 원격 파워셸 세션, 원격 데스크톱(Remote Desktop) 및 SSH와 같은 일반적인 관리 도구에 MFA를 실행할 수 있다. 

- 트윌리오 오씨: 트윌리오 오씨는 트윌리오 산하에 있지는 않지만, 한동안 트윌리오 제품군에 있었던 서비스다. 트윌리오가 제공하는 인증 서비스라는 점에서 예상할 수 있듯이, 오씨의 주요 장점은 풍부한 문서화와 커뮤니티 지원으로 뒷받침되는 강력한 API를 통한 유연성이다. 오씨는 확실히 앞서 설명한 다른 플러그 앤 플레이 솔루션과 같지는 않지만, 사용자 지정 비즈니스 앱을 위한 고도로 유연하고 확장 가능한 솔루션이 필요하다면, 바로 적격인 서비스일 수 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.