[보안뉴스, 2021 MFA 리포트] 디지털 시대의 철저한 신원 증명, 다요소 인증

브루트 포스, 사전공격, 크리덴셜 스터핑 등 사용자 계정 탈취 위한 공격 늘고 있어
계정 정보 유출돼도 다요소 인증(MFA) 통해 외부인 접근 차단할 수 있어
‘단계’가 아닌 ‘요소’ 다양화해 제대로된 MFA 구성해야
MFA 전문기업 이니텍, 미래테크놀로지, 한국보안인증의 솔루션 분석

[보안뉴스 이상우 기자] 디지털 중심의 세상에서 ID와 비밀번호는 자신의 신원이나 자격을 증명할 수 있는 수단이다. 사용자는 자신의 ID와 비밀번호를 입력해 각종 온라인 서비스에 로그인하고, 권한에 맞춰 서비스를 이용하거나 활동을 한다. 친구와 연락하는 메신저나 콘텐츠를 구독하는 일상적인 활동은 물론, 쇼핑, 금융 서비스 이용, 회사 업무 시스템 접속 등 다양한 목적으로 ID를 만들고 비밀번호를 설정한다.

 

[이미지=utoimage]

 

코로나19 기간 동안 빠르게 이뤄진 디지털 전환은 오늘날 우리 사회가 온라인을 기반으로 하는 비대면 소통에 익숙하도록 만들었다. 하지만 이 과정에서 개인과 기업이 관리해야 할 ID와 비밀번호가 늘어났으며, 이러한 추세는 결과적으로 사용자가 자신의 계정보호에 대한 인식을 안일하게 만들 수 있다.

IBM시큐리티가 실시한 설문조사에 따르면 한국 성인들은 코로나19 기간 동안 평균 14개의 새로운 온라인 계정을 만든 것으로 나타났으며, 응답자의 45%는 코로나19 이후에도 이 계정을 삭제하거나 비활성화하지 않을 계획이라고 밝혔다. 즉, 향후 몇 년간 사이버 공격자가 노릴 수 있는 대상도 많아진 셈이다. 특히, IBM시큐리티는 이번 조사에서 관리해야 할 계정이 급증한 것은 느슨한 비밀번호 관리로 이어질 수 있다고 경고했다. 실제로 10명 중 약 9명(88%)이 같은 기간에 생성한 계정에 대해 동일한 암호를 사용한 바 있다고 답변했다. 이는 코로나 기간 동안 생성된 새로운 계정 다수에 이미 유출됐을 가능성이 큰 ID와 비밀번호가 재사용됐을 가능성을 시사한다.

ID와 비밀번호를 도용하는 사이버 공격 유형은 다양하다. 우선 비밀번호를 풀기 위해 가능한 모든 경우의 수를 대입하는 ‘브루트 포스(Brute Force, 무차별 대입 공격)’는 시도는 쉬운 반면, 성공 확률이 낮고 특히 로그인 시도 횟수에 제한이 있다면 금방 차단된다. 이와 함께 쓰이는 ‘사전 공격(Dictionary Attack, 사전 대입 공격)’은 사전에 등재된 단어를 중심으로 비밀번호를 풀기 때문에 상대적으로 시간은 짧게 걸리나, 무작위 난수를 이용한 비밀번호를 풀 수는 없다.

하지만 여전히 단순한 비밀번호를 사용하는 사람이 많기 때문에 ‘단순한’ 공격 역시 유효하다. 가령, 미국 트럼프 전 대통령의 트위터 계정이 해킹된 사고의 경우 비밀번호를 단순히 maga2020!로 설정했기 때문에 발생한 것으로 보고 있으며, 사상 최악의 공급망 공격이라 일컫는 솔라윈즈 사태에 대해 외신에서는 공격자가 최초 솔라윈즈 침투 시 비밀번호를 solarwinds123으로 추측해 침입했다고 보도하기도 했다.

계정을 탈취하는 공격 유형 중 크리덴셜 스터핑(Credential Stuffing)은 다른 경로로 유출된 ID와 비밀번호 조합을 이용하는 방식이다. 보안이 취약한 일부 홈페이지의 DB 서버, 악성코드에 감염된 PC 및 스마트폰, 피싱 사이트 등을 통해 사용자의 계정 정보가 쉽게 유출될 수 있으며, 이렇게 유출된 정보는 다크웹은 물론, 표면웹을 통해 유포되기도 한다. 유포된 정보를 획득한 사이버 공격자는 이를 여러 다른 서비스에 대입하며 유효한 조합을 찾는다. 무작위로 대입하는 방식과 달리, 실제로 사용하는 ID와 비밀번호기 때문에 상대적으로 성공률 또한 높다. 만약 사용자가 보안이 취약한 동호회 홈페이지에서 사용하는 ID와 비밀번호를 인터넷 뱅킹에도 동일하게 사용하고 있다면 이는 금융 사고로 이어질 수 있다.

실제로 아카마이가 최근 발표한 보고서에 따르면, 지난 2020년 한 해 동안 관측된 크리덴셜 스터핑 공격은 총 1,930억 건이며, 이 중 34억 건은 금융 서비스를 대상으로 발생했다. 해당 보고서를 통해 아카마이는 공격자가 다양한 방법을 통해 유효한 사용자 계정 정보를 조합해가고 있으며, 이를 위해 피싱을 주로 이용하고 있다고 설명했다. 특히, 재택근무가 빈번해지고, 기업 근무 환경에 모바일 기기가 쓰이면서 스미싱을 이용하는 방식 역시 증가하고 있다고 덧붙였다. 이 때문에 사용자 ID와 비밀번호는 물론, 이를 이용한 시스템 접근에 대해 철저히 검증하는 것은 디지털 중심의 세상에서 집중해야 할 보안 과제로 자리 잡고 있다.

국내 기업·기관 보안 담당자는 ID와 비밀번호를 어떻게 보호하고 있을까

<보안뉴스>와 <시큐리티월드>는 기업 및 기관, 의료계 등의 보안담당자를 대상으로 설문조사를 실시했다. 이번 설문조사는 보안담당자의 개인용·기업용 계정 보호 방안을 묻고 다요소 인증(2단계 인증, Multi Factor Authentication, 이하 MFA) 적용 수준을 조사하기 위해 진행했다.

설문조사 결과 응답자의 58.7%는 자신의 계정 정보를 통해 알 수 없는 타인이 로그인을 시도한 경험이 있다고 답변했다. 사용자가 자신의 계정을 타인에게 알리지 않았더라도 브루트 포스나 사전공격 등을 통해 유효한 정보가 노출됐을 가능성이 있으며, 이미 공격자가 다크웹 등에서 입수한 정보로 크리덴셜 스터핑 공격을 시도했거나, 아예 피싱을 통해 실제 사용자의 정보를 탈취했을 가능성도 있다.

 

▲계정 보호 방안 및 MFA 인식 설문조사[자료=보안뉴스]

 

이번 설문조사에서 응답자의 60.9%는 사용하는 개인용 서비스마다 서로 다른 ID와 비밀번호를 설정한다고 응답했다. 보안과 관련한 업무를 담당하는 만큼, 일반 사용자와 비교해 비밀번호 설정에 신경쓰는 것으로 풀이할 수 있다. 이밖에 ID만 다르게 설정한다는 응답은 18.6%, 비밀번호만 다르게 설정한다는 응답은 3.6%로 나타났으며, 완전히 동일하게 설정한다는 응답자도 15%나 있었다. 이밖에 기타 1.8% 중에는 ID와 비밀번호가 너무 많아 어떻게 설정했는지 기억이 나지 않는다는 사용자도 있다.

응답자가 개인용 계정을 보호하기 위해 주로 사용하는 방안으로는 복잡한 비밀번호 설정(35.4%), MFA 사용(29.3%), 주기적인 비밀번호 변경(18.9%) 순으로 많았으며, 이 세 가지 방안을 모두 이용한다는 사람은 2.1%였다. 다만, 특별히 비밀번호를 관리하지 않는다는 사용자도 13.9%나 있었다.

이들의 기업에서 실시하는 비밀번호 보호 정책은 주기적인 비밀번호 변경이 46.8%로 가장 높았으며, 그 뒤를 MFA 사용(22.1%), 복잡한 비밀번호 설정(20%) 등이 있었고, 해당 수단을 복합적으로 사용한다는 응답은 1.4%였다. 한 달에 한 번 정도 쉽게 예측하기 어려운 난수를 비밀번호로 변경한다면, 개인과 기업은 여러 형태의 비밀번호 탈취 공격을 충분히 예방할 수 있다.

하지만, 사전에 등록된 단어가 아닌 난수를 이용해 숫자, 대·소문자, 특수문자 등을 조합한 비밀번호를 한 달마다 변경하고, 매번 이를 기억하는 것은 아주 번거로운 일이다. 자주 사용하지 않는 서비스의 경우 몇 번의 로그인 시도 끝에 결국 비밀번호 찾기를 통해 새로 비밀번호를 설정한 뒤 로그인하는 모습도 흔할 것이다. 기업의 경우 이러한 방식으로 비밀번호를 찾는 것은 직원의 업무의 진행 속도를 늦추는 것은 물론, IT 부서에 불필요한 업무를 제공하게 된다.

반대로 ‘복잡한’ 비밀번호를 기억하기 쉽게 하기 위해 기존 비밀번호 뒤에 1이나 ! 같은 것을 추가하는 수준에 그친다면 보안 강화라는 비밀번호 변경의 근본적인 이유를 부정하는 셈이다. 이 때 사용할 수 있는 현실적인 방법은 비밀번호 관리 솔루션을 이용하는 것이지만, 이번 설문조사에서 회사 차원의 관리 솔루션을 도입해 사용한다고 답한 사람은 6.1%에 그쳤다.

흔히 2단계 인증이라고 부르는 MFA는 복잡한 비밀번호 설정이라는 부담을 줄이면서도 유출로 인한 보안사고를 예방할 수 있는 수단이다. ID와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 전용 애플리케이션 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용한다.

특히, MFA가 적용된 계정은 비밀번호가 노출되더라도, 사용자가 설정한 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 기업 보안담당자 입장에서도 반복적인 2차 인증 요구에도 실제 로그인이 이뤄지지 않은 이벤트를 발견했다면, 이를 사이버 공격자로 의심하고 IP를 차단하거나 해당 계정의 소유자에게 비밀번호 변경을 알릴 수도 있다.

앞서 언급한 것처럼 이번 설문조사에서 MFA를 통해 계정을 보호한다고 응답한 기업은 22.1%로 나타났다. 그렇다면 기업이 이를 적극적으로 도입하지 않는 이유는 무엇일까? 많은 기업이 도입 비용에 대한 부담(44%)을 들었으며, 로그인 시 사용이 번거롭다(39.1%)고 응답한 기업도 다수를 차지했다. 비밀번호 변경만으로 충분하다고 응답한 기업은 10.7%. 필요성을 느끼지 못한다고 응답한 기업은 3.7%로 나타났다.

이러한 이유에서인지, 향후에도 MFA를 도입할 계획이 없다고 응답한 기업이 45.7%를 차지했다. 도입을 고려하고 있으나 비용이 고민이라는 기업도 31.4%로 나타났다. 6개월 이내 이를 도입하겠다는 기업은 6.2%였으며, 1년 이내 도입하겠다는 기업은 12.8%다. 도입 예산으로는 1,000만 원 이하가 38.8%로 가장 많았고, 2,000만 원 이하 16.7%, 3,000만 원 이하 23%, 3,000만 원 초과 21.5% 등으로 조사됐다.

주요 MFA 솔루션 기업이 제안하는 보안 강화 방안

미국 바이든 행정부는 최근 사이버보안 집행 명령 발표해 손상된 자격증명, 즉 유출된 계정을 악용한 사이버 공격에 대응하도록 했다. 여기에는 제로 트러스트 모델과 MFA를 통한 추가 인증, 암호화 명령 등 더 강력한 사이버 보안 표준을 미국 연방정부에서 현대화하고 구현한다는 계획이 포함돼 있다.

이처럼 MFA는 오늘날 디지털 중심의 세상에서 알 수 없는 외부인의 접근을 통제하는 데 중요한 역할을 하고 있다. 그렇다면 국내에서 활동하는 주요 MFA 솔루션 기업은 오늘날 보안 환경에 대해 어떤 조치가 필요하다고 말할까?

 

[이미지=utoimage]

 

이니텍은 최근 유출된 자격증명으로 인해 발생하는 보안사고를 예방하기 위해서는 시스템 약점 최소화, 보안운영조직 확대 등 내부 보안 역량 강화, 유출사고 대비를 위한 데이터 암호화(DRM), 원격접속 제어(악성코드에 의한 불법적인 원격접속 차단) 등이 필요하며, OSINT(Open Source Intelligence)를 활용해 계정정보가 유출됐는지 확인할 필요가 있다고 설명했다. 특히, 다요소 인증의 활용(사용자 식별·인증을 위한 간편인증 등을 활용한 2단계 인증체계 적용), 사용자 비밀번호 관리 강화(주기적 비밀번호 변경 강제화 등 비밀번호 변경규정 강화, 분실·도용·해킹에 대비해 비밀번호 초기화 적용) 등의 방식을 들 수 있다고 덧붙였다.

현재 이니텍은 생체인증(FIDO), 모바일 OTP. PKI 등을 활용한 인증 기능을 구현하고 있으며, 이밖에 간편인증과 신규 사설인증기관을 모두 아우르는 인증통합 플랫폼 또한 공급하고 있다. 주요 기술로는 FIDO2 사양에 따라 구현한 FIDO2, 시간 동기화 정보와 특수정보를 활용한 mOTP, 사용자가 등록한 패턴을 NONCE와 조합하고 해시화해 검증하는 패턴인증, 사용자가 입력한 PIN 정보 활용, 화이트박스 암호화 기술을 이용하는 SE(Security Element) 방식의 암호화도 적용한다.

이니텍은 자사 솔루션에 대해 MFA의 일반적인 사양을 구현한 모듈로 제공하지만, 화이트박스 방식으로 암호화돼 있어 암호키 노출에 민감하지 않고, 2가지 요소 인증에 국한되지 않으며, 기존 제품과 연계 구성이 가능하다는 것이 가장 큰 강점이라고 설명했다. 특히, 싱글 사인 온 등의 프로젝트를 통해 서로 다른 요소를 연계하는 노하우 역시 누적돼 있으며, 하나의 모바일 앱에서 다양한 형태의 인증 방식을 모은 모듈형 구성으로 기업에 맞게 MFA를 적용할 수 있다고 덧붙였다.

미래테크놀로지는 기업이 유출된 계정 정보로부터 정보자산을 보호하기 위해서는 사용자의 정보를 올바르게 확인할 수 있어야 한다며, 이를 위해 MFA가 필요하다고 설명했다. ID·비밀번호가 유출돼도 2차 인증을 적용한 경우 OTP·생체인증·QR인증 등의 실시간 생성정보를 활용해 로그인 단계에서 사용자를 식별하는 것이 효율적인 방안이다. 이 때 웹 페이지에서 파라미터 변조나 세션 탈취 등에 대비해 시큐어코딩을 같이 적용해야 한다고 덧붙였다.

MFA의 경우 지식기반·소유기반/속성기반/행위기반 등의 인증 카테고리 중 2가지 이상의 인증을 구현하는 것을 의미한다. 지식기반의 경우 대부분의 시스템에서 ID·비밀번호 체계를 유지하고 있기 때문에 소유기반/속성기반/행위기반 등의 요소를 로그인 절차에 추가로 적용하는 것을 의미한다. 미래테크놀로지는 비밀번호 같은 지식기반의 경우 탈취가 가능하지만 나머지 방식의 경우 탈취가 쉽지 않기 때문에 보안강화를 위한 효과가 높다고 설명했다.

미래테크놀로지는 “OTP로 대표되는 인증기술은 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증방식이다. 보안을 강화하기 위해 로그인 할 때마다 일회성 패스워드를 생성해 동일한 패스워드가 반복해서 사용됨으로써 발생하는 보안상의 취약점을 극복하기 위해 도입됐다. 우리는 자체 생성알고리즘을 개발해 금융거래용과 동일한 기술을 적용하고, QR인증, FIDO인증 등에 접목해 인증방식을 지원하고 있다. 이 밖에도 SW방식의 사용이 제한되는 업무대상자를 위한 H/W(일반형, 보안형, 카드형, 음성형)방식의 제품도 혼용사용이 가능하도록 지원하고 있다”고 말했다.

한국보안인증은 계정 도용 등을 방지하기 위해서는 사용자가 자신의 정보가 유출됐다는 사실을 인지하는 순간, 자신의 비밀번호를 변경하는 것이 가장 중요하고, 무엇보다 비밀번호를 주기적으로 변경해야 한다고 강조했다. 주기적으로 하는 것이 중요한 이유는 유출됐다는 사실조차 모르는 경우가 많기 때문이다. 따라서 비밀번호가 유출됐더라도 해커가 시스템에 접근할 수 없도록 비밀번호 변경과 함께 2차 인증 방식도 구현해야 한다고 덧붙였다.

한국보안인증은 “통합보안 인증플랫폼(OKey)은 OTP의 안전성, 생체정보를 기반 인증, PKI 인증서 기반 인증뿐만 아니라 QR코드, 패턴, 위치 기반 인증 등이 있으며, 사용자의 정책에 따라 이들을 결합하거나 선택 적용이 가능하다”며, “OKey는 국제 표준을 준수해 구글과 MS 등의 글로벌 제품과 호환한다. 또한, 현재 한국보안인증은 FIDO 얼라이언스 회원사이며, U2F, UAF, WebAuth를 이용해 FIDO 인증을 진행하고 있다. 그 밖에, 위치기반 인증, QR인증, AI인증 등 차세대 인증기술을 OKey 내에 새롭게 적용하고 있다”고 말했다.

누리아이티는 유출된 자격증명 정보가 도용되지 않게 하기 위해서는 비밀번호를 바꾸는 것보다는 추가 인증 수단을 적용하고, 일정 횟수 이상 인증 실패 시 접속을 차단하는 조치가 필요하다고 말했다. 또한, 인증 수단을 특정하지 않고 지식기반, 소유기반, 특징기반 인증 요소 중 서로 다른 방식을 복합적으로 조합해야 한다고 덧붙였다.

누리아이티의 MFA 솔루션은 별도의 인증 서버가 필요 없는 모듈인증 방식의 2세대 인증 솔루션으로, SHA-512를 적용한 OTP로 생성기로는 스마트폰 앱(BaroPAM)와 플라스틱 OTP 카드(BaroCARD)에 생체정보인 지문 정보를 카드에 직접 등록하는 방식을 적용했다. 정보자산의 다양한 운영체제 및 애플리케이션에서 2차 인증(추가 인증)으로 OTP를 접목하는 등 중앙집중적 인증 메커니즘을 지원하는, 단순하면서도 강력한 정보자산의 접근제어 인증 솔루션이라는 설명이다.

누리아이티는 “BaroPAM은 별도의 인증 서버가 필요 없는 모듈 인증 방식의 솔루션으로 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있으며 추가 장비 도입도 불필요하다. 통신을 필요로 하는 방식이 아니기 때문에 빈번하게 발생하는 통신 장애가 발생하지 않으며, 인증 속도나 서비스가 중단 등의 장애도 발생하지 않는다”고 설명했다.

라온시큐어는 손상된 자격증명으로부터 기업을 보호하기 위해서는 비밀번호를 주기적으로 변경하는 것은 물론, 사이트 혹은 서비스마다 비밀번호를 다르게 설정하는 등의 방법으로 개인정보 유출 사고에 대비할 수 있으며, 생체인증, 문자 인증, OTP와 같은 2차 인증을 설정하면 크리덴셜 스터핑 등을 통한 추가적인 개인정보 유출 피해를 막을 수 있다고 설명했다.

현재 라온시큐어는 FIDO 방식의 생체인증 기술을 중심으로 MFA 체계를 구현하고 있다. 라온시큐어는 2015년 FIDO 글로벌 인증을 획득했으며, 현재 구글, 아마존, 마이크로소프트, 삼성전자, 애플 등 글로벌 IT 기업들과 함께 FIDO 얼라이언스 이사회 멤버로서 전 세계 생체인증 관련 정책 및 기술, 솔루션 등에 대한 의사결정에 참여하고 있다.

FIDO 기반 다채널 인증 플랫폼 ‘원패스(OnePass)’는 국제 기술 표준 규격인 FIDO1.0, FIDO2 인증을 통해 모바일 단말기, PC, 웹 브라우저 등 인증 환경에 제약 없이 생체인증을 사용 가능하도록 설계된 것이 특징이다. SAML, JWT, RestAPI 등 표준 기술을 지원해 기존 시스템의 환경 변화를 최소화할 수 있으며, 모바일 OTP, PC OTP, 보안 PIN 등 다양한 2차 인증 수단을 모듈식으로 제공해 높은 보안 수준의 MFA 체계를 편리하게 구현할 수 있다. 또한, 2차 인증뿐만 아니라 민간인증서 기반의 전자서명도 지원한다.

센스톤은 사용자가 IT 환경을 이용할 때 비밀번호를 주기적으로 변경하는 등의 관리를 해야 하지만, 대부분의 사용자는 동일한 계정과 비밀번호를 여러 곳의 사이트에서 사용하고 있어 사이버 위협에 놓인다고 말했다. 이를 예방하기 위해서는 주기적인 비밀번호, 동일한 계정정보 사용 지양, 2단계 인증 혹은 다요소 인증을 통한 접근제어가 필요하다고 덧붙였다. 또한, 공격자가 유출된 정보로 접근을 시도할 때, 정상적인 ID, 비밀번호로 접속을 한다면 막을 방법이 딱히 없는 것이 현실이지만, 비정상적으로 대량의 정보가 유입될 때 임계치를 두거나 비밀번호 시도횟수를 제한하는 등의 대책을 고려할 수 있다고 말했다.

센스톤은 “2단계 인증은 사용자에게 다소 불편을 초래할 수 있으나, 이미 유출된 개인들의 ID와 비밀번호로 접근하는 것을 사용자가 설정한 2단계 인증수단 없이는 접근할 수 없기 때문에 민감한 서비스를 보다 안전하게 이용할 수 있게 한다. 센스톤의 OTAC 기술을 이용해 인증코드나 QR코드를 적용한다면 사용자는 비밀번호를 기억하는 것으로부터 자유로워질 수 있으며, 일회용 코드이므로 다른 곳에 유출되어도 문제가 없기 때문에 여러 장점을 얻을 수 있다”고 설명했다.

센스톤의 OTAC 기술은 ID와 비밀번호, 인증코드 생성 RSA 하드웨어 및 소프트웨어, 토큰화(tokenization) 등 가장 보편적으로 사용되는 3가지 인증 시스템의 장점들을 모두 제공한다. 개별 시스템들이 제공하는 기능들이 모두 결합돼 있으며, 통신이 불안하거나 네트워크가 없는 환경에서도 사용자 및 기기 사이의 식별 및 인증을 동시에 지원하는 단일 다이내믹 코드를 생성할 수 있다. 센스톤은 이를 기반으로 암호가 필요없는 다요소 인증, 초소형 알고리즘을 통한 적용 유연성 및 확장성, API·SDK를 통한 시스템 통합, 토큰같은 인프라 구축 불필요로 비용 절감 등을 OTAC 기반 MFA의 장점으로 내세웠다.

시큐브는 사이버 공격자는 자동화 툴을 이용해 공격하는 것이 일반적이므로 제한된 시간 안에 로그인 시도가 증가하고, 트래픽의 변화가 생기고, 평소보다 로그인 실패 빈도가 높아지므로 탐지를 통해 차단할 수 있다고 말했다. 또한, 다요소 인증(MFA) 체계를 구축해 공격자의 접근 시도를 차단할 수 있으며, 추가로 시스템의 비밀번호 조합 정책과 변경 주기 정책을 강력히 적용해야 한다고 덧붙였다.

시큐브는 행위기반의 서명인증 기술과 소유기반의 모바일 기기를 활용한 OTP·QR 인증 솔루션을 구현하고 있다. 서명인증인 시큐사인은 서명의 최종 이미지뿐만 아니라 서명과 연관된 개인의 고유한 행위특징 정보를 인식 및 분석해 서명자의 신원을 확인하는 행위적 특징 기반 생체인증 솔루션이다. 서명자가 직접 서명을 입력해야 하므로, 무의식 상태에서는 인증이 불가해 타인에 의한 도용을 방지하며, 동적인 데이터를 통해 인증하므로 단순 복제가 불가능하다. 또한 모바일 디바이스의 터치스크린 외에 다른 부가적인 인식 센서도 불필요하다.

시큐브 Q인증은 QR코드 인증 방식과 Time-Sync 기반 OTP 인증 방식을 지원하는 소유기반 인증이다. QR코드 방식은 인증번호가 포함된 QR코드와 별도의 통신채널을 사용하는 랜덤값으로 보안인증 코드로 인증하기 때문에, 하나의 인증 정보만을 사용하는 일반적인 QR코드 인증보다 보안성이 강화됐다. OTP 방식은 시간 동기화를 통해 앱과 서버의 통신 없이 사용자를 인증할 수 있으므로, 네트워크 공격으로부터 안전하며, 망 분리 환경에 적용하기 적합한 인증 기술이다.

유넷시스템은 손상된 자격증명 악용을 방지하기 위해서는 ID와 비밀번호를 동일하게 설정하거나 공유하는 것을 삼가고, 2차 인증을 적극적으로 활용해야 한다고 말했다. 또한, 계정정보는 물론, 기업 정보 자산이 유출돼도 활용 할 수 없도록 암호화 및 비식별화를 적용해야 한다고 덧붙였다.

유넷시스템의 MFA 기술인 인증서 기반 MFA는 인가된 사용자만 발급받은 인증서 및 개인키의 소유, 개인키의 비밀번호 등 ID·비밀번호 외에 다른 기반의 인증을 적용해 전자서명 및 인증서 검증을 제공한다.

유넷시스템은 “인증서 기반의 MFA 기술인 ‘트러스트넷’ 솔루션은 2003년 당사 창업시 기반기술인 암호·인증기술을 지난 18년간 꾸준히 발전시켜온 것으로, 공인인증서 폐지에 따른 여러 대안을 제시할 수 있는 암호인증부문의 다양한 솔루션을 보유해 국내 주요 대기업, 금융권, 의료계 등에서 전문성과 기술력을 인정받아오고 있다”며, “발급대상자의 제약이 적어 인가된 협력사 및 해외임직원을 대상으로 자유롭게 발급이 가능하며, 인증서 기반의 다중인증 외 행위사실에 대한 부인방지 및 감사·증적의 활용으로 법적효력도 높다”고 덧붙였다.

펜타시큐리티는 사용하는 온라인 서비스는 많은 반면, 다양한 비밀번호를 외우는 것은 한계가 있고, 운영체제나 웹 브라우저가 비밀번호 저장 기능 역시 동기화된 계정이 노출되면 유출 사고가 발생할 수 있다고 말했다. 이에 로그인 보안 관리 기능이나 MFA가 필요하다고 덧붙였다. 특히, 기업의 경우 MFA 기술, 이력 분석을 통한 비정상 로그인 판별 기술, 로그인 시간·지역·브라우저 정보 감지 등의 기술을 적용하고, 로그인 후에 사용자가 취하는 행위가 기존에 행하던 행위와 다른 지의 여부를 분석하는 이상행위(anomaly) 감지 기술 등이 필요하다고 강조했다.

펜타시큐리티는 “우리는 지식기반(비밀번호, PIN, 패턴), 특징기반(지문, 홍채 등 FIDO 인증), 소유기반(모바일 OTP. 스마트카드 등) 요소 등 다양한 인증 수준을 활용한 인증 기술을 제공하고 있다. 이러한 요소를 결합해 사용자의 인증을 제공할 수 있으며, QR Code를 사용한 인증 등과 같이 사용자의 편의를 추가한 기법도 제공하고 있다”며, “우리 솔루션은 다양한 인증 방식 제공, 사용자의 권한 설정 및 접근제어 기능. 중복 로그인 방지 등의 인증 관리 기능, SSO(Single Sign On)을 통한 기업 내 사용자 편의, OAuth와 SAML 지원을 통해 다양한 외부 인증서비스와 연동, 사물에 대한 인증을 제공, DID(Decentralized IDentity) 지원, 웹방화벽, 개인정보 보호 솔루션과의 연동 등이 장점“이라고 소개했다.

제대로 된 MFA 구성 위해서는 ‘단계’가 아닌 ‘요소’를 다양화해야

사용자가 자신의 비밀번호를 더 복잡한 비밀번호로 수시 변경해서 보호하는 것은 아주 어려운 일이다. FIDO 얼라이언스가 실시한 설문조사에서는 온라인 사용자 45% 이상이 매우 쉬운 (예: password, 123456, 123ab, 생일 등) 비밀번호를 사용하고 있는 것으로 나타났으며, 온라인 사용자 61% 이상이 하나의 비밀번호를 다양한 계정에 사용하고 있다. 특히, 사용자 평균 30개, 최대 100개 이상 계정을 사용하고 있기 때문에 외우기 쉽도록 비슷한 유형의 비밀번호를 사용하게 된다.

MFA는 이미 유출됐거나 쉽게 추측 가능한 비밀번호를 통한 계정의 접근 시도를 차단할 수 있는 방법이다. 하지만, 단순히 여러 단계를 거쳐 로그인 하는 것이 MFA라는 생각은 버려야 한다. 가령, 비밀번호 외에 패턴을 2차 인증 수단으로 적용했을 경우 이는 MFA를 올바르게 적용한 것이 아니다. 신원 증명을 위해 지식기반 정보를 연속으로 사용했기 때문이다.

이처럼 잘못된 MFA 구성은 날로 진화하는 사이버 공격 기법에 무력할 수밖에 없다. 예를 들어 미국의 게임 개발사 일렉트로닉 아츠(EA)는 관리자 계정 보호를 위해 문자메시지로 일회용 비밀번호(OTP)를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 관리자인 것처럼 IT 부서에 연락을 하고, 전화기를 잃어버렸으니 다른 번호로 OTP를 보내달라고 요청해 2차 인증을 뚫었다. 이러한 사례에서 알 수 있듯, 제대로 된 MFA 구성을 위해서는 단계를 늘리는 것이 아닌, 인증 방식(지식기반, 소유기반, 특징기반, 행위기반 등), 즉 요소(Factor)를 다양하게 해야 한다.

로그인 시 비밀번호+스마트폰에 설치된 인증 앱을 함께 사용한다면 지식기반+소유기반 인증을 함께 사용하는 셈이다. 특히, 여기에 지문, 정맥, 얼굴 같은 특징기반 생체인증을 더한다면 높은 수준의 보안을 기대할 수 있다. 물론, 앞서 언급한 문자메시지 기반 OTP 역시 단순한 온라인 서비스 등에서 보안을 강화하는 수단이 될 수 있지만, 기업이나 기관의 중요한 정보자산 접근통제용으로 활용하기에는 부족하다. 이에 보안담당자는 더 많은 고민과 노력으로 디지털 시대에 맞는 철저한 신원 확인을 도입할 필요가 있다.

 

원문보기 ==> https://www.boannews.com/media/view.asp?idx=98632