보안

'접근 권한 관리의 기본' MFA 솔루션 제대로 고르기

Tim Ferrill | CSO 2022.10.24
다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.  
 
ⓒ Getty Images Bank

오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법의 종류 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 모든 공격은 사용자 이름과 암호 같은 자격 증명을 겨냥한다. 아직도 ID와 비밀번호만 사용하는 것은 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다. 

보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다. 

현대 인프라와 웹 기반 비즈니스 애플리케이션으로 보안 상황은 훨씬 더 복잡해졌다. 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워진 것이다.

MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다. 
 

패스워드리스와 제로 트러스트 

MFA와 관련된 두 가지 키워드, 패스워드리스와 제로 트러스트를 지나칠 수 없다. 패스워드리스는 간단한 개념이다. 더 안전한 방법(생체인식 또는 소프트웨어 토큰)으로 사용자를 인증해 비밀번호의 필요성 자체를 없애는 인증 방식을 말한다. 여기서 설명하는 많은 MFA 플랫폼은 비즈니스 사례가 적합한 경우 패스워드리스 인증을 쉽게 만들 때 사용된다. 다만 실제 배포하는 데는 시간이 걸릴 수도 있다. 
 
ⓒ Getty Images Bank

또 다른 일반적인 용어인 제로 트러스트는 인프라 보안을 위한 광범위한 모델이다. 전통적으로 네트워크 보안은 보안 경계를 유지하는 것으로 시작했다. 동시에 어떤 사용자나 장치가 기업 네트워크에 연결되기만 한다면 최소한의 접근 권한을 기본적으로 갖게 된다는 치명적 허점이 있었다. 

반대로 제로 트러스트 모델은 네트워크 경계에 앞서 아무 것도 가정하지 않으며 클라우드 또는 온프레미스 인프라를 모두 총망라한다.
 
ⓒ Getty Images Bank

MFA 솔루션은 다양한 방식으로 제로 트러스트 원칙을 도입한다고 볼 수 있다. 예컨대 사용자에게 접근 권한을 주기 전 해당 장치가 관리 하에 승인된 장치인지 확인한다. 또한 제로 트러스트의 또 다른 핵심 원칙의 하나로서 역동적으로 보안 정책을 바꾼다. 인증 시도의 다양한 구성 요소를 평가하여 기존 위협 데이터와 비교하고, 위험 수준을 채점하고, 신뢰를 강화하기 위해 추가 인증 요구 사항을 적용한다. 

마지막으로, 이러한 동적 정책의 큰 특징은 알고리즘과 기계 학습이 처리하기에 충분한 데이터를 가지고 있다는 것이다. MFA가 이질적인 모든 인증 프로세스를 중앙 집중식 솔루션으로 흘려보냄으로써 기업을 제로 트러스트 모델로 발전시키는 데 기여한다. 따라서 기업은 접근 시도를 추적하고 한 눈에 관리할 수 있다. 
 

MFA 솔루션 선택 장애 벗어나기

모든 보안 솔루션은 최종 사용자가 쓰기 편해야 하므로 까다롭다. 그게 어렵다면 최소한의 효율성을 유지해야 한다. 

최악의 선택은 사용자가 기업 리소스에 아예 접근할 수 없거나 사실상 접근이 불가능할 정도로 보안 요구 기준을 높이는 것이다. 그러나 사용자가 설정한 보안 조치를 무시하고 위태롭게 접근할 방법을 찾을 가능성이 커 매우 위험하다.
 
MFA 솔루션 업체별로 인증 방식은 다양하다. SMS 및 이메일 기반 보안 코드는 기본 중 기본이다. 없는 것보다는 나은 수준이다. 그러나 과연 이런 보안 수준이 충분한지 따져 봐야 할 것이다. 전자 메일과 SMS 모두 잠재적으로 손상되기 쉽다. TOTP(Time-Based One-Time Password)와 같은 MFA 표준은 일반적으로 Google Authenticator와 같은 인증 앱에서 지원되지만, 궁극적으로 인증 서비스와 사용자의 인증 장치 모두에 알려진 단일 인증 토큰에 의존한다는 점을 잊어서는 안 된다. 

많은 MFA 제공자들은 독점 프로토콜에 의존하는 모바일 앱을 두 번째 인증 요소로 제공한다. 강력한 보안과 푸시 알림을 포함한 편리한 기능을 누릴 수 있기 때문이다. MFA에는 몇 가지 표준이 있다: FIDO Alliance의 FIDO(Fast Identity Online)와 W3C의 WebAuthn(Web Authentication)이 인기 있는 두 가지 옵션이다. FIDO 2 표준은 WebAuthn과 FIDO의 Client to Authenticator Protocol 2(CTAP2)를 결합한다. 여러 엔터프라이즈 MFA 플랫폼에서 사용할 수 있다. 
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.