전 세계 고객 인식 보안 전략 도입률
82
%
자료 제목 :
2021 글로벌 ID 및 사기 보고서
Global Identity and Fraud Report
자료 출처 :
Experian
발행 날짜 :
2021년 08월 26일
보안

비밀번호에 대한 소비자 인식, 더욱 혁신적인 인증을 받아들일 준비가 됐다

Neal Weinberg | CSO 2021.10.01
여러 연구 보고서에 따르면, 소비자는 좀 더 혁신적인 인증 절차를 받아들일 준비가 됐다. 
 
ⓒⓒ Getty Images Bank

사이버 공격을 막기 위해 고객 인증 절차를 강화하려는 CISO는 최종 사용자에게 너무 복잡하거나 혼란스럽거나 부담되지 않으면서 엄격한 보안을 제공할 수 있는 방법을 원한다. 또한 도전 질문이나 안면 인식과 같은 접근 방식에 있어 개인정보보호에 대한 문제도 고려해야 한다.

소비자의 태도는 항상 변하기 때문에 고객에게 가장 적합한 인증 방법을 선택하는 것은 매우 중요한 일이다. 이에 팬데믹은 매우 큰 영향을 미쳤다. 소비자들은 매장 내 쇼핑을 할 수 없게 되자 온라인 소매로 전환했다. 전문가에 따르면, 소비자는 식품과 같은 것을 디지털로 구매하는 것이 익숙해지면서 모바일 뱅킹이나 디지털 지갑과 같은 다른 형태의 디지털 상거래에도 더 익숙해졌다. 

그러나 세대별 차이는 분명 존재한다. 예를 들어, 페이먼트닷컴(PYMNTS.com)과 노크노크(NokNok)에 따르면, ‘디지털 네이티브’ 세대의 소비자는 쇼핑 사이트, 결제 수단, 은행과 같은 여러 플랫폼과 모든 기기 간에 원활하게 이동할 수 있기를 기대한다. 이런 초연결 고객은 비밀번호 없는 인증(passwordless authentication)과 같은 혁신적인 보안 초치에 좀더 개방적이다. 

관련 연구진들이 공통으로 인식하는 한 가지는 비밀번호가 가장 성가신 인증 방법이며, 최소한의 보호만 제공한다는 것이다. 소비자는 기업이 비밀번호 기반 인증에서 생체 인식(지문 또는 안면 인식) 다단계 인증(MultiFactor Authentication, MFA) 또는 사용자가 볼 수 없는 인증 방법과 같은 좀 더 현대적인 대안으로 전환하기를 원하고 있다. 

 
소비자, 보안을 최우선으로 한다 

신용정보기관 익스피리언(Experian)의 2021 글로벌 ID 및 사기 보고서에 따르면, 응답자의 55%가 온라인 거래를 할 때 보안이 최우선이라고 답했다. 익스피리언이 보안 수준에 따라 인증 방법의 순위를 정하라고 요청했을 때, 74%가 가장 안전한 인증 방법으로 생체인식을 꼽았고, 모바일 기기로 전송되는 PIN 코드(72%), 사용자가 별도의 조치를 취하지 않고 관찰된 신호를 통해 인증하는 행동 분석(66%)이 뒤를 이었다.  
 
이 보고서는 “특히 거의 모든 디지털 계정과 기기에 비밀번호를 통한 방식이 포함되어 있음에도 불구하고 비밀번호는 고객을 인증하는 상위 3가지 방법에 자리하지 못했다. 이는 비밀번호의 영역에서 벗어나고자 하는 소비자의 새로운 변화를 나타낸다”라고 밝혔다. 

이 보고서는 “가장 중요한 발견 가운데 하나는 소비자가 물리적 및 행동 기반 또는 보이지 않는 보안 방식에 대해 갖는 편안함과 선호도가 높아졌다는 것이다”라고 덧붙였다. 이 설문조사는 또한 소비자가 기업이 명시적인 개입 없이 자신의 보안과 개인정보를 관리하도록 하는 것을 더 선호한다는 것을 보여준다. 

전통적으로 기업은 고객이 사용자 이름/비밀번호를 기억해 입력하고, 일회성 PIN 코드를 수신하는 등의 고객의 작업에 의존하는 인증 방법을 사용해왔다. 

익스피리언 유럽,아프리카 ID 및 사기 분야 책임자 제임스 브로드허스트는 “기업은 사기 예방과 원활한 고객 경험의 균형을 유지해야 한다. 다행히도, 검사 가운데 많은 부분을 고객이 들어오는 과정에서 실시간으로 보이지 않게 수행할 수 있다. 예를 들어, 기기에서 일관성 검사를 실행하거나, 고객의 행동 생체 인식 평가(behavioral biometric assessment)를 실행하는 것이다”라고 설명했다. 

페이먼트 연구진도 비슷한 결론에 도달했다. 2,000명 이상의 성인 소비자를 대상으로 한 설문조사에서 고객이 은행 계좌에 접근하는 데 사용하는 기존 방법과 선호하는 방법 사이에 상당한 차이가 있음을 발견했다. 

페이먼트 설문조사에서 소비자의 3/4는 여전히 사용자 이름/비밀번호를 사용하고 있지만, 42%만이 이 방법을 선호한다. 대한으로 18%는 PIN 코드 기반 인증을 사용하고, 14%는 지문만으로 인증, 11%는 안면 인식만 원했으며, 13%는 MFA를 선호한다고 답했다. 

익스피리언 연구진은 “소비자 선호도의 변화를 고려할 때, 기업은 보이는 방법과 보이지 않는 방법을 계층화하면서 보안에 대한 새로운 접근 방식을 사용할 수 있다. 고객 이동 과정에서 수집된 데이터와 관찰 결과를 활용해 기업은 각 개별 의사 결정 시 정확한 인식 및 인증을 용이하게 할 수 있다”라고 결론내렸다. 

 
비밀번호, 레가시 접근 방식 

451 리서치는 MFA에 대한 최근 마켓 인텔리전스 보고서에서 “비밀번호는 수년간 보안 실무자들에게 지속적인 골치거리였다. 비밀번호에 내재된 보안 결함이 자격증명 도용과 관련된 데이터 침해의 증가로 나타나고 있다”라고 말했다. 

IDC는 시장조사 보고서인 ‘글로벌 첨단 ID 보안 2021(Worldwide Advanced Authentication for Identity Security 2021)에서 이를 좀 더 직설적으로 표현했다. 이 보고서는 “해킹된 ID 자격 증명이 네트워크 보안 침해 또는 데이터 손실의 주요 원인임을 모르는 보안 팀원은 어려움에 직면해 있다. 비밀번호는 정말 나쁘다”라고 말했다. 

비밀번호는 기존 레거시 방식이며, 고객은 더 나은 옵션을 선택할 준비가 되어 있다. 


SMS를 통한 일회용 비밀번호, 또 다른 레거시 방식 

종종 사용자 이름/비밀번호와 함께 사용되는 SMS를 통한 일회용 비밀번호(One-Time Password, OTP)는 사용자의 휴대폰에 일회용 비밀번호를 보내는 것을 포함한다. 그러나 SMS는 특별히 안전한 전송 모드가 아니며, NIST는 이제 SMS를 두 번째 요소로 사용하지 말 것을 권고하고 있다. 가트너의 사용자 인증 시장 가이드에 따르면, SMS를 사용하는 방식은 상대적으로 취약하다고 덧붙였다.


생체인식(Biometrics), 때가 왔다 

지문 기반 인증(fingerprint-based authentication)은 지난 수년동안 스마트폰의 기능으로 자리잡았으며, 안면 인식(facial recognition)은 새로운 아이폰, 아이패드, 마이크로소프트 서피스의 표준 인증 방법으로 소비자는 생체인식에 익숙해지고 있다. 

생체인식은 비밀번호를 대체할 수 있는 많은 이점을 제공한다. 빠르고 신뢰할 수 있으며, 스푸핑하기 어렵다. 특히 소비자가 무언가를 하거나 기억할 것을 요구하지 않는다. 

유일한 단점은 개인정보 보호 문제와 관련된 것이다. 소비자가 자신의 얼굴을 사용해 휴대폰의 잠금을 해제하는 것과 생체인식 데이터를 서드파티에 제공하는 것은 완전히 차원이 다른 문제다. 업체가 아무리 생체인식 데이터가 제대로 잘 보호되고 암호화되어 있다고 주장하더라도 말이다. 

예를 들어, 최근 KPMG 설문조사에서 소비자의 44%만이 재무 정보에 접근하기 위해 안면 인식을 사용하는 것을 허용할 수 있다고 생각했다. 따라서 생체인식을 구현하는 기업들은 생체인식 데이터를 처리하는 방법을 투명하게 공개하기 위해 공동의 노력을 기울여야 한다. 


MFA, 2가지 요소가 하나보다는 낫다 

가트너는 2023년까지 글로벌 기업의 60%가 MFA를 배포할 것으로 예측했다. 이는 현재 10%에 불과한 수치에서 크게 증가한 것이다. 또한 가트너는 하나의 식별 형태가 사용자 이름/비밀번호이고, 두 번째 방법인 소비자의 전화나 이메일로 전송되는 질문이나 PIN 코드를 사용하는 기존 MFA와 비밀번호를 완전히 없앤 고급 MFA와 구분했다. 

점점 더 인기있는 인증 방법 가운데 하나는 푸시 알림(push notification)이다. 푸시 기술을 통해 사용자는 전용 인증 앱을 통해 모바일 기기에서 알림을 받는다. 고객은 앱을 열고 인증 시도 내역을 검사하며 확인 요청을 확인해야 한다. 

푸시는 사용하기 쉽고, 효율적이며 비용이 저렴하다. 유일한 단점이라면 일부 사용자가 알림을 보지 않고 무심코 승인 버튼을 눌러 허위 거래를 승인할 수 있다는 것이다. 가트너는 은행 업계에서 모바일 푸시와 같은 방법을 채택하려는 고객들의 의지가 증가하고 있다고 말했다. 

MFA의 또 다른 문제는 최종 사용자가 사용자 이름/비밀번호가 아닌 이메일 주소를 입력하도록 요구하는 것이다. 그러면 실제 링크나 PIN 코드가 이메일 주소로 전송된다. 

기업은 보안과 원활한 사용자 경험 사이에서 적절한 균형을 찾기 위해 다양한 다단계 방법을 혼합하고 일치시킬 수 있는 여러 가지 방법을 갖고 있다. 


보이지 않는 인증, 미래의 인증 대세 

가장 유망한 인증 방법은 최종 사용자가 아무것도 하지 않아도 되는, 이른바 보이지 않는 인증(invisible authentication)이다. 여기에는 몇 가지 변형이 있다. 
 
  • 행동 생체인증(Behavioral biometric authentication): 이 방법은 키 입력, 마우스 역학, 심지어 사람이 어떻게 휴대폰을 들고 있는지를 분석한다. 
  • 기기 인식(Device recognition): 인증 당사자는 기기 자체에 인증이 부여됐음을 인식할 수 있다. 
  • 상황적/행동적(Contextual/behavioral) 인식: 여기에는 지리적 위치, 컴퓨팅 환경 및 시도 중인 트랜젹션의 특성이 포함될 수 있다. 

비밀번호가 없고 마찰이 적은 인증과 관련된 또 다른 개념은 고객 행동을 기반으로 한 지속 인증(continuous authentication)이다. 예를 들어, 인증 기관이 로그인 시 상황 정보(IP 주소, 지리적 위치, 과거 기록)가 충분하면 사용자를 허용할 수 있다. 그러나 인증 시스템은 계속해서 고객의 활동을 모니터링하고 의심스러운 점이 있거나 작업을 시도하는 경우, 더 높은 수준의 인증이 필요한 경우에 시스템은 고객에게 트랜잭션을 확인하도록 요청하는 푸시 알림을 보낼 수 있다. 

익스피리언 산업 솔루션 부사장 데이비드 브리튼은 “기업이 보이지 않는 솔루션을 좀 더 자유롭게 채택할 수 있는 기회가 생겼으며, 이를 통해 마찰을 줄이고 고객 만족도를 높일 수 있다”라고 말했다. 

물론 모든 인증 방법에는 장단점이 있다. 보이지 않는 인증을 사용하면 보안 프로토콜이 쉽게 눈에 띄지 않기 때문에 고객이 보안 프로토콜이 존재하는 지 의심할 수 있다. 이런 우려는 교육과 원활한 사용자 경험을 통해 극복할 수 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.