게시일: 2023년 12월 20일
기고자: Matthew Kosinski, Amber Forrest
2요소 인증(2FA)은 사용자가 본인의 신원을 증명하고 온라인 계정이나 기타 민감한 자료에 접근할 때 비밀번호, 일회용 비밀번호 등 2가지 증거를 제공해야 하는 신원 확인 방법입니다.
대부분의 인터넷 사용자는 SMS 문자 기반 2FA 시스템에 익숙할 겁니다. 이 버전은 로그인 시 앱이 사용자의 휴대전화로 숫자 코드를 전송합니다. 계속 진행하려면 사용자는 비밀번호와 이 코드를 모두 입력해야 하며, 둘 중 하나만 입력하는 것만으로는 충분하지 않습니다.
2요소 인증은 가장 일반적인 형태의 다요소 인증(MFA)입니다. MFA는 사용자가 최소 2가지 이상의 증거를 제공해야 하는 모든 인증 방법을 말합니다.
2FA가 광범위하게 채택된 이유는 계정 보안을 강화하는 데 도움이 되기 때문입니다. 사용자 비밀번호는 쉽게 해독되거나 위조될 수 있습니다. 2FA는 두 번째 요소를 요구해 보안 수준을 한 단계 더 강화합니다. 해커가 시스템에 침입하려면 2가지 인증 정보를 모두 훔쳐야 하고, 두 번째 요소는 지문이나 시간제한 암호처럼 해킹하기 어려운 경우가 많습니다.
IBM은 최신 Gartner Magic Quadrant 액세스 관리 보고서에서 리더로 선정되었습니다.
IBM 뉴스레터 구독하기
사용자가 2단계 보안 시스템으로 보호되는 리소스(예: 회사 네트워크)로의 액세스를 시도하면 시스템은 사용자에게 첫 번째 인증 요소를 입력하라는 메시지를 표시합니다. 첫 번째 요소로는 대부분 사용자 이름과 비밀번호 조합을 사용합니다.
첫 번째 요소가 유효하면 시스템이 두 번째 요소를 요구합니다. 두 번째 코드는 임시 코드부터 생체 인식에 이르기까지 다양한 방식을 사용할 수 있습니다. 사용자는 두 요소가 모두 확인된 경우에만 리소스에 액세스할 수 있습니다.
2FA는 일반적으로 컴퓨터 시스템과 관련이 있지만, 물리적 자산과 위치를 보호할 때 사용되기도 합니다. 예를 들어, 출입이 제한된 건물에 들어갈 때 ID 배지를 보여준 후 지문 스캔을 통과해야 할 수 있습니다.
2FA 시스템에서 사용할 수 있는 인증 요소에는 여러 가지 유형이 있고, 진정한 2FA 시스템은 유형이 서로 다른 2가지 요소를 사용합니다. 서로 다른 유형의 요소 2가지를 사용하는 것이 동일한 유형의 요소 2가지를 사용하는 것보다 더 안전한 것으로 간주되는데, 그 이유는 해커가 요소를 해독하기 위해 각각 다른 방법을 사용해야 하기 때문입니다.
예를 들어, 해커가 컴퓨터에 스파이웨어를 심어 사용자의 비밀번호를 훔칠 수 있다고 가정해 봅시다. 하지만 이 스파이웨어로는 사용자의 휴대전화로 전송되는 일회용 암호를 알아낼 수 없습니다. 일회용 암호가 담긴 메시지를 가로챌 수 있는 다른 방법을 찾아야만 합니다.
지식 요소는 대부분의 2FA에서 첫 번째 인증 요소로 사용됩니다. 지식 요소는 이론상으로 사용자만 알고 있는 정보 조각입니다. 가장 일반적으로 사용되는 지식 요소는 비밀번호이며, 개인 식별 번호(PIN)와 보안 질문에 대한 답변도 보편적으로 사용됩니다.
지식 요소는 널리 사용되지만 가장 취약한 유형의 인증 요소입니다. 그중에서도 비밀번호는 특히 취약합니다. 해커는 피싱 공격을 감행하거나, 사용자 디바이스에 멀웨어를 설치하거나, 계정의 비밀번호를 맞출 때까지 봇을 사용해 잠재적 비밀번호를 생성해 테스트하는 무차별 대입 공격을 통해 비밀번호와 다른 지식 요소를 확보할 수 있습니다.
다른 유형의 지식 요소도 별반 다르지 않습니다. "어머니의 결혼 전 성은 무엇입니까?" 등의 일반적인 보안 질문에 대한 답변은 기본적인 연구나 사용자를 속여 개인 정보를 유출하는 소셜 엔지니어링 공격을 통해 손쉽게 해독할 수 있습니다.
비밀번호와 보안 질문을 요구하는 보편적 방식은 동일한 유형의 2가지 요소(이 경우 2가지 지식 요소)를 사용하기 때문에 진정한 2FA가 아니라는 점에 유의할 필요가 있습니다. 오히려 이 방식은 '2단계 인증' 프로세스의 한 예로 볼 수 있습니다.
2요소 인증에는 2가지 요소가 필요하므로 비밀번호만 사용하는 것보다 더 안전할 수 있습니다. 하지만 이 두 요소는 같은 유형의 요소이기 때문에 진정한 2FA보다 정보를 훔치기가 더 쉽습니다.
소유 요소는 개인이 본인의 신원을 인증하는 데 사용할 수 있는 소유물을 말합니다. 가장 일반적인 유형의 소유 요소로는 소프트웨어 토큰과 하드웨어 토큰 2가지를 꼽을 수 있습니다.
소프트웨어 토큰은 일회용 비밀번호(OTP)의 형식을 취하는 경우가 많습니다. OTP는 일정 시간이 지나면 만료되고 4~8자리로 구성되는 일회용 비밀번호입니다. 소프트웨어 토큰은 문자 메시지(또는 이메일이나 음성 메시지)를 통해 사용자의 휴대전화로 전송할 수도 있고, 장치에 설치된 인증 앱에서 생성할 수도 있습니다.
두 경우 모두 본질적으로 사용자가 소유한 디바이스가 소유 요소의 역할을 합니다. 2FA 시스템은 합법적인 사용자만 디바이스로 공유되거나 디바이스를 사용해 생성한 모든 정보에 액세스할 수 있다고 가정합니다.
SMS 기반 OTP는 가장 사용자 친화적인 소유 요소 중 하나이지만, 보안 수준은 가장 낮습니다. 사용자가 코드를 받으려면 인터넷이나 휴대전화 연결이 필요하고, 해커가 정교한 피싱이나 중간자 공격을 통해 코드를 탈취할 수 있기 때문입니다. OTP는 범죄자들이 피해자 스마트폰 SIM 카드의 기능을 복제하고 이 복제본을 사용해 문자 메시지를 가로채는 SIM 복제에도 취약합니다.
인증 앱은 네트워크 연결 없이도 토큰을 생성할 수 있습니다. 사용자가 앱을 본인 계정과 연결하면 앱이 알고리즘을 사용해 시간 기반 일회용 비밀번호(TOTP)를 지속적으로 생성합니다. 각 TOTP는 30~60초 내로 만료되므로 훔치기가 어렵습니다. 일부 인증 앱은 TOTP 대신 푸시 알림을 사용합니다. 사용자가 계정에 로그인을 시도하면 앱이 휴대전화로 푸시 알림을 보내고, 사용자는 이 알림을 눌러 로그인 시도가 합법적이라는 것을 인증해야 합니다.
가장 보편적으로 사용되는 인증 앱으로는 Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator, Duo가 있습니다. 이러한 앱은 문자 메시지보다 해독하기가 어렵지만, 그렇다고 해서 완벽하지는 않습니다. 해커는 특수한 멀웨어를 사용해 인증자로부터 직접 TOTP를 훔치거나1, 피해자가 실수로 푸시 알림을 인증하기를 바라며 디바이스에 사기성 푸시 알림을 대량으로 전송하는 MFA 피로 공격을 수행할 수 있습니다.
하드웨어 토큰은 보안 키 역할을 하는 전용 장치(전자 열쇠, ID 카드, 동글)를 말합니다. 하드웨어 토큰에는 컴퓨터 USB 포트에 꽂으면 로그인 페이지로 인증 정보를 전송하는 유형도 있고, 사용자가 수동으로 입력할 수 있는 인증 코드를 생성하는 유형도 있습니다.
하드웨어 토큰은 해킹하기가 매우 어렵지만, 소프트웨어 토큰이 포함된 사용자의 모바일 장치와 마찬가지로 도난당할 위험이 있습니다. 실제로 IBM의 데이터 유출 비용 보고서에 따르면 장치 분실과 도난은 데이터 유출 사고에서 최대 6%를 차지하는 요인으로 꼽힙니다.
'생체 인식'이라고도 부르는 고유 요소는 지문, 얼굴 특징, 망막 패턴과 같이 사용자에게 고유한 신체적 특징이나 특성을 말합니다. 오늘날 생산되는 많은 스마트폰과 노트북에는 얼굴 판독기와 지문 판독기가 내장되어 있으며, 많은 앱과 웹사이트에서 이 생체 인식 데이터를 인증 요소로 사용할 수 있습니다.
고유 요소는 가장 깨기 어렵지만, 깨질 경우 재앙이 될 수 있습니다. 2019년, 사용자 100만 명의 지문이 포함된 생체 인식 데이터베이스가 유출되는 사고가 있었습니다.2 이론적으로 해커는 이러한 지문을 훔치거나 본인의 지문을 데이터베이스에 있는 다른 사용자 프로필에 연결할 수 있습니다.
또한, AI 이미지 생성 기술이 진화하며 사이버 보안 전문가들은 해커가 이러한 도구를 사용해 얼굴 인식 소프트웨어를 속일 수 있다고 우려하고 있습니다.
생체 인식 데이터가 유출되면 금방 쉽게 변경할 수 없기 때문에 진행 중인 공격을 막기가 어렵습니다.
행동 요소는 행동 패턴을 기반으로 사용자의 신원을 인증하는 디지털 아티팩트를 말합니다. 그 예로는 사용자의 IP 주소 범위, 일반적인 위치, 평균 입력 속도 등을 들 수 있습니다.
행동 인증 시스템은 인공 지능을 사용해 사용자의 정상적 패턴에 대한 기준을 정하고, 새로운 디바이스나 전화번호, 위치에서 로그인하는 것과 같은 비정상적인 활동을 감지해 표시합니다. 일부 2FA 시스템은 사용자가 신뢰하는 디바이스를 인증 요소로 등록할 수 있도록 해 행동 요소를 활용합니다. 처음으로 로그인할 때는 사용자가 2가지 요소를 제공해야 할 수도 있지만, 이후 신뢰하는 디바이스를 사용할 경우 자동으로 두 번째 요소로 작동합니다.
행동 요소는 위험 수준에 따라 인증 요구 사항을 변경하는 적응형 인증 시스템에서도 사용됩니다. 예를 들어, 사용자가 회사 네트워크에 있는 신뢰하는 디바이스로 앱에 로그인할 때는 비밀번호만 있으면 되지만, 새 디바이스나 알 수 없는 네트워크에서 로그인하려면 두 번째 요소를 인증해야 할 수 있습니다.
행동 요소는 최종 사용자를 인증하는 정교한 방법을 제공하지만, 배포하려면 상당한 리소스와 전문 지식이 필요합니다. 또한, 신뢰하는 디바이스에 해커가 액세스할 경우 사용자로 가장할 수 있습니다.
지식 요소는 유출되기 쉽기 때문에 많은 조직에서 소유, 고유, 행동 요소만 허용하는 페스워드리스 인증 시스템을 모색하고 있습니다. 예를 들어, 사용자에게 지문과 물리적 토큰을 요청하는 것도 패스워드리스 2FA 구성이 될 수 있습니다.
현재 대부분의 2FA 방법은 비밀번호를 사용하지만, 업계 전문가들은 비밀번호의 필요성이 점점 줄어드는 패스워드리스 미래가 될 것으로 예상합니다. Google, Apple, IBM, Microsoft 등의 주요 기술 공급업체는 이미 패스워드리스 인증 옵션을 출시하기 시작했습니다.3
IBM의 데이터 유출 비용 보고서에 따르면 피싱과 인증 정보 유출은 흔한 사이버 공격 벡터입니다. 이 둘을 모두 합하면 데이터 유출의 31%를 차지합니다. 2가지 벡터 모두 비밀번호를 훔치는 방식으로 실행되며, 해커는 훔친 비밀번호로 합법적인 계정과 장치를 탈취해 큰 피해를 야기할 수 있습니다.
해커는 보통 비밀번호를 표적으로 삼습니다. 왜냐하면 비밀번호는 무차별 대입이나 속임수를 통해 해독하기가 매우 쉽기 때문입니다. 게다가 사람들이 다양한 계정에 똑같은 비밀번호를 사용하기 때문에 해커가 훔친 비밀번호를 하나만 사용해도 여러 계정에 침입할 수 있는 경우가 많습니다. 비밀번호 유출은 사용자와 조직에 심각한 결과를 초래할 수 있으며, 신원 도용, 금전적 도난, 시스템 방해 등으로 이어질 수 있습니다.
2FA는 보안 계층을 추가해 무단 액세스를 차단하도록 도와줍니다. 해커가 비밀번호를 훔칠 수 있다고 해도 계정에 침입하려면 두 번째 요소가 필요합니다. 더욱이 이러한 두 번째 요소는 해커가 생체 인식을 위조하거나, 행동을 모방하거나, 물리적 장치를 훔쳐야 하기 때문에 일반적으로 지식 요소보다 훔치기가 더 어렵습니다.
조직에서는 2요소 인증을 사용해 컴플라이언스 요구 사항을 충족할 수도 있습니다. 예를 들어, 결제 카드 산업 데이터 보안 표준(PCI-DSS)은 결제 카드 데이터를 처리하는 시스템의 경우 MFA를 사용하도록 명시적으로 요구합니다.4 사베인스-옥슬리법(SOX), 유럽연합 일반 데이터 보호 규정(GDPR) 등의 다른 규정에서는 2FA 사용을 명시적으로 요구하지 않습니다. 하지만 2FA는 조직이 이러한 법률이 정한 엄격한 보안 기준을 충족하는 데 도움이 될 수 있습니다.
데이터 유출로 인해 다요소 인증을 채택해야만 했던 조직들도 있습니다. 한 예로, 2023년 미국 연방거래위원회는 250만 명의 고객에게 영향을 미친 데이터 유출 사고 이후 온라인 주류 판매업체 Drizly에 MFA를 도입하라고 명령했습니다.5
온프레미스나 클라우드에서 조직의 데이터와 애플리케이션에 액세스할 수 있는 사용자를 결정할 때 심층적인 컨텍스트, 인텔리전스, 보안을 추가하세요.
위험 기반 인증에 필요한 심층적인 컨텍스트를 클라우드 IAM에 도입하세요. IBM Security Verify 클라우드 IAM 솔루션을 사용하면 소비자와 직원들이 원활하고 안전하게 액세스할 수 있도록 지원할 수 있습니다.
패스워드리스 인증 또는 다요소 인증 옵션을 활용해 기본 인증을 뛰어넘는 보안을 구현하세요.
ID 및 액세스 관리(IAM)는 컴퓨터 네트워크에서 사용자 ID 및 액세스 권한을 관리하는 데 중점을 둔 사이버 보안 분야입니다.
다요소 인증(MFA)은 사용자가 본인의 신원을 증명할 때 2가지 이상의 증거를 제공하도록 요구하는 신원 인증 방법입니다.
유출의 원인과 비용을 증가시키거나 줄이는 요인을 파악해 유출에 더 잘 대비하세요.
각주
모든 링크는 ibm.com 외부에 있습니다.
1 Android malware can steal Google Authenticator 2FA code, ZDNET, 2020년 2월 26일
2 '1m fingerprint' data leak raises doubts over biometric security, ScienceDirect, 2019년 9월
3 You no longer need a password to sign in to your Google account, The Verge, 2023년 5월 3일
4 PCI DSS: v4.0, Security Standards Council, 2022년 3월
5 In the Matter of Drizly, LLC, Federal Trade Commission, 2023년 1월 10일