주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ BaroSolution/기술문서

다른 건 몰라도 2차 인증 도입 시 검토사항

누리아이티 2024. 1. 22. 10:51

 

 

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미한다.

 


2차 인증 도입 시 다른 건 몰라도 이것 만큼은 반드시 검토해야 할 사항은 다음과 같다.

1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지?

2. 별도의 인증서버 방식인지, 모듈인증 방식인지?
 
3. 통합인증인지 분산인증인지?

4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 

5. 제한된 시간 내에 횟수 제한을 할 수 있는지?

6. 다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지?

7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지?

8. 인증 폭주 시 인증 속도는 얼마나 저하되는지? 

9. 통신망을 사용하는지?

10. 보안시스템의 우회 및 원격접속을 차단할 수 있는지?

11. 보안지역이나 통신장애에 영향을 받는지?

12. 인증절차 시 데이터를 위변조하여 우회 인증절차에 대한 문제가 없는지?

 

13. 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?

14. 모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?

15. 리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조인지?

16. 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"을 방어할 수 있는지?

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.