다중 인증(MFA)이란 무엇인가요?
다중 인증(MFA)은 사용자에게 암호 이외의 추가 정보를 입력하도록 요구하는 다중 단계 계정 로그인 과정입니다. 예를 들어, 사용자에게 암호와 더불어 이메일로 전송된 코드 입력, 보안 암호 질문에 응답, 지문 스캔 등을 요청할 수 있습니다. 두 번째 인증 양식을 사용하면 시스템 암호 도용 시 무단 계정 액세스를 방지하는 데 도움이 됩니다.
다중 인증이 필요한 이유는 무엇인가요?
비즈니스 및 사용자 모두 민감한 정보를 온라인에 저장하기 때문에 오늘날 디지털 보안은 매우 중요합니다. 모든 사람이 온라인 계정을 사용하여 인터넷에 저장된 애플리케이션, 서비스, 데이터와 상호 작용합니다. 이러한 온라인 정보를 침해하거나 오용하면 금융 도난, 비즈니스 중단, 개인정보 침해 등 현실에서 심각한 결과를 초래할 수 있습니다.
암호는 디지털 자산을 보호하지만, 그것만으로는 충분하지 않습니다. 전문적인 사이버 범죄자는 적극적으로 암호를 알아내려고 시도합니다. 하나의 암호를 알아내면 같은 암호를 사용했을 수 있는 여러 계정에 액세스할 가능성이 있습니다. 다중 인증은 암호를 도난당한 경우에도 권한이 없는 사용자가 이러한 계정에 액세스하는 것을 방지하는 추가 보안 계층 역할을 합니다. 비즈니스는 다중 인증을 사용하여 사용자 자격 증명을 검증하고, 권한이 있는 사용자에게 빠르고 편리한 액세스를 제공합니다.
다중 인증의 이점은 무엇인가요?
보안 위험 감소
다중 인증은 인간의 실수, 암호 및 디바이스 분실로 인한 위험을 최소화합니다.
디지털 이니셔티브 수행 가능
조직은 안심하고 디지털 이니셔티브를 수행할 수 있습니다. 비즈니스는 다중 인증을 사용하여 조직 및 사용자의 데이터를 보호함으로써 온라인 상호 작용과 거래를 안전하게 진행할 수 있습니다.
보안 대응 향상
기업은 다중 인증 시스템을 구성하여 의심스러운 로그인 시도가 감지될 때마다 적극적으로 알림을 전송하도록 할 수 있습니다. 이를 통해 기업 및 개인 모두 사이버 공격에 더욱 신속하게 대응할 수 있어 잠재적 피해를 최소화합니다.
다중 인증은 어떻게 작동하나요?
다중 인증은 계정 등록 시 사용자에게 여러 형태의 ID를 요청하여 작동합니다. 시스템은 이러한 ID 및 사용자 정보를 저장하여 다음 로그인 시 사용자를 인증하는 데 사용합니다. 로그인은 암호와 함께 다른 ID 정보를 인증하는 다단계 프로세스입니다.
아래에서 다중 인증 프로세스의 단계를 설명합니다.
등록
사용자가 사용자 이름 및 암호로 계정을 생성합니다. 그런 다음 휴대전화 디바이스 또는 물리적 하드웨어 키와 같은 기타 항목을 계정에 연결합니다. 이는 이메일 주소, 휴대전화 번호 또는 Authenticator 앱 코드와 같은 가상의 항목일 수 있습니다. 이러한 모든 항목은 사용자를 고유하게 식별하도록 하며 타인과 공유해서는 안 됩니다.
인증
MFA를 사용하는 사용자가 웹 사이트에 로그인하는 경우, 사용자 이름과 암호(첫 번째 요소인 사용자가 아는 것), 그리고 MFA 디바이스의 인증 응답(두 번째 요소인 사용자가 가지고 있는 것)를 입력하라는 메시지가 표시됩니다.
시스템이 암호를 확인하면 기타 항목으로 연결됩니다. 예를 들어, 하드웨어 디바이스에 숫자 코드를 발급하거나 사용자의 모바일 디바이스에 SMS로 코드를 전송할 수 있습니다.
반응
사용자는 기타 항목을 인증하여 인증 프로세스를 완료합니다. 예를 들어, 전송받은 코드를 입력하거나 하드웨어 디바이스의 버튼을 누릅니다. 사용자는 모든 기타 정보가 인증되었을 경우에만 시스템에 액세스할 수 있습니다.
프로세스 구현
다중 인증은 여러 방법으로 구현될 수 있습니다. 다음은 몇 가지 예시입니다.
- 시스템은 암호와 추가 ID 하나를 요구하는데, 이를 이중 인증 또는 2단계 인증이라고 합니다.
- 시스템을 대신하여 Authenticator라는 서드 파티 애플리케이션이 사용자의 자격 증명을 인증합니다. 사용자가 Authenticator에 암호를 입력하면 Authenticator가 시스템에 대한 사용자의 권한을 확인합니다.
- 인증하는 동안 사용자는 지문, 망막 또는 다른 신체 부위를 스캔하여 생체 정보를 입력합니다.
- 사용자가 새로운 디바이스에서 처음 액세스하는 경우에만 시스템이 다중 인증을 요청할 수 있습니다. 이후에는 해당 기기를 기억하고 암호만 요구할 것입니다.
적응형 다중 인증이란 무엇인가요?
적응형 다중 인증 또는 적응형 MFA는 비즈니스 규칙 및 사용자 정보를 사용하여 어떤 인증 요소를 적용해야 하는지 결정합니다. 비즈니스는 적응형 인증을 사용하여 보안 요구 사항과 사용자 경험 사이의 균형을 조정합니다.
예를 들어, 적응형 인증 솔루션은 다음과 같은 상황별 사용자 정보를 사용하여 사용자 인증 단계를 동적으로 증가시키거나 감소시킬 수 있습니다.
- 로그인 시도 실패 횟수
- 사용자의 지리적 위치
- 연속적인 로그인 시도가 일어난 위치 사이의 Geo-velocity 또는 물리적 거리
- 로그인에 사용되는 디바이스
- 로그인 시도 날짜 및 시간
- 운영 체제
- 소스 IP 주소
- 사용자 역할
인공 지능은 어떻게 다중 인증을 개선할 수 있나요?
적응형 인증 솔루션은 인공 지능(AI) 및 기계 학습(ML)을 사용하여 동향을 분석하고 시스템 액세스에서 의심스러운 활동을 식별합니다. 이러한 솔루션은 시간 경과에 따른 사용자 활동을 모니터링하여 패턴을 식별하고, 기준 사용자 프로파일을 설정하고, 다음과 같은 비정상적인 동작을 감지할 수 있습니다.
- 비정상적인 시간에 로그인 시도
- 비정상적인 위치에서 로그인 시도
- 알 수 없는 디바이스에서 로그인 시도
ML 알고리즘은 의심스러운 이벤트에 위험 점수를 할당하고 비즈니스 정책에 따라 다중 인증 요소를 실시간으로 조정합니다. 예를 들어, 해당 행동이 낮은 위험도로 분류된 경우 사용자는 사용자 이름과 암호만으로 로그인할 수 있습니다. 반대로, 중간 위험도의 행동에는 SMS 코드를 입력해야만 하고, 높은 위험도의 행동일 경우 사용자의 액세스가 전면 거부됩니다.
다중 인증의 예시는 무엇인가요?
아래는 비즈니스가 다중 인증을 사용하는 방법의 몇 가지 예시입니다.
직원의 원격 액세스
한 회사가 직원에게 원격 리소스 액세스를 제공하고자 합니다. 직원이 집으로 가져가는 회사 발급 노트북에 로그인, 하드웨어 키, 지문 스캔이 필요한 다중 인증을 설정할 수 있습니다. 직원의 IP 주소를 기반으로 회사는 직원이 재택 근무 시 이중 인증을 사용해야 한다는 규칙을 설정할 수 있습니다. 그러나 직원이 다른 Wi-Fi 네트워크에서 작업 시 회사가 삼중 요소 인증을 요구할 수 있습니다.
현장 직원 전용 시스템 액세스
한 병원이 모든 직원에게 건강 애플리케이션 및 환자 데이터 액세스를 제공하고자 합니다. 병원은 근무 중인 직원이 이러한 애플리케이션에 액세스할 수 있도록 하는 근접식 배지를 제공합니다. 각 교대 근무 시작 시, 직원은 중앙 시스템에 로그인하고 배지를 갖다대야 합니다. 교대 근무 동안에는 추가 로그인 없이도 배지를 한 번 갖다대는 것 만으로 모든 리소스에 액세스할 수 있습니다. 교대 근무가 종료되면 이러한 단일 인증 액세스 권한이 종료됩니다. 이를 통해 배지 분실로 인한 무단 액세스 위험을 최소화합니다.
다중 인증 방법은 무엇인가요?
MFA 인증 방법은 사용자가 아는 것, 사용자가 소유하고 있는 것 및/또는 사용자의 신체적 속성을 바탕으로 합니다. 아래는 몇 가지 일반적인 인증 요소입니다.
지식 요소
지식 요소 기반 방법에서 사용자는 타인이 모르는 정보를 제시하여 자신의 자격 증명을 입증해야 합니다. 이러한 인증 요소 중 전형적인 예시는 사용자만 아는 답을 지닌 비밀 질문으로, 처음으로 키운 반려동물의 이름이나 어머니의 결혼 전 이름과 같은 것입니다. 또한 애플리케이션이 4자리 핀 코드 입력을 요청할 수 있습니다.
이러한 방법은 아무도 그 비밀 정보를 모를 때까지만 안전합니다. 범죄자는 사용자의 개인 이력을 조사하거나 사용자를 속여 해당 정보를 알아낼 수 있습니다. 핀 코드 역시 가능한 모든 4자리 숫자 조합을 추측하는 무차별 대입 방법을 사용하여 알아낼 수 있습니다.
소유 요소
소유 요소 기반 방법에서 사용자는 자신이 고유하게 가진 것으로 스스로를 증명합니다. 다음은 몇 가지 예시입니다.
- 휴대전화, 보안 토큰, 디스플레이 카드, 하드웨어 키, 보안 키와 같은 물리적인 디바이스
- 이메일 계정 및 Authenticator 애플리케이션과 같은 디지털 자산
시스템은 보안 코드를 이러한 디바이스 또는 자산에 전송하고, 사용자는 이를 시스템에 다시 입력합니다. 디바이스를 분실하거나 도난당한 경우 계정이 도용될 수 있습니다. 일부 보안 토큰은 디지털 방식으로 액세스할 수 없도록 시스템에 직접 연결하여 이런 문제를 방지합니다.
신체적 속성 요소
신체적 속성 기반 방법은 사용자가 천부적으로 가진 정보를 사용합니다. 다음은 이러한 인증 요소의 몇 가지 예시입니다.
- 지문 스캔
- 망막 스캔
- 음성 인식
- 얼굴 인식
- 키 입력 패턴 인식(Keystroke dynamics)과 같은 행동 기반 생체 인식
애플리케이션은 등록하는 동안 이러한 정보를 암호와 함께 수집하여 저장해야 합니다. 애플리케이션을 관리하는 비즈니스는 암호와 함께 생체 인식 정보를 보호해야 합니다.
다중 인증 설정의 모범 사례는 무엇인가요?
모든 비즈니스는 액세스 제한 및 디지털 리소스 보호를 위해 전사적인 정책을 수립해야 합니다. 다음은 액세스 관리에서의 몇 가지 모범 사례입니다.
사용자 역할 생성
사용자를 역할로 그룹화하여 액세스 제어 정책을 미세 조정할 수 있습니다. 예를 들어, 권한이 있는 관리자에게는 최종 사용자보다 많은 액세스 권한을 부여할 수 있습니다.
강력한 암호 정책 생성
삼중 혹은 사중 인증을 사용하더라도 강력한 정책을 시행해야 합니다. 대/소문자, 특수 문자, 숫자 조합으로 이루어진 암호를 생성하는 규칙을 구현할 수 있습니다.
보안 인증 정보 교체
사용자에게 암호를 정기적으로 변경하라고 요청하는 것은 훌륭한 모범 사례입니다. 암호가 변경될 때까지 시스템에서 액세스를 거부하도록 하여 이러한 프로세스를 자동화할 수 있습니다.
최소 권한 정책 준수
항상 새로운 사용자는 시스템에서 가장 낮은 수준의 권한 및 액세스 권한에서부터 시작하도록 합니다. 수동으로 권한을 부여하거나 인증된 보안 인증 정보를 통해 신뢰를 쌓을 때 점진적으로 권한을 늘릴 수 있습니다.
AWS Identity란 무엇인가요?
AWS Identity 서비스를 사용하면 ID, 리소스 및 권한을 대규모로 안전하게 관리할 수 있습니다. 예를 들면 다음과 같은 서비스를 제공합니다.
- 직원의 자격 증명 및 보안 인증 정보를 관리할 위치를 선택할 수 있는 권한과, 적절한 시점에 적절한 사용자에게 적절한 액세스 권한을 부여할 수 있는 세분화된 권한을 직원에게 제공합니다.
- 사용자 가입, 로그인, 액세스 제어 기능을 웹 및 모바일 앱에 빠르고 쉽게 추가할 수 있도록 하여 개발자가 고객을 위한 우수한 앱을 구축하는 데 더 많은 시간을 할애할 수 있도록 합니다.
예를 들어 고객 대상 애플리케이션에 Amazon Cognito를 사용하면 애플리케이션에 간단하고 안전하며 확장 가능한 표준 기반 가입 및 로그인 고객 경험을 만들 수 있습니다. Amazon Cognito는 다중 인증과 전송 데이터 및 저장 데이터의 암호화를 지원합니다. Amazon Cognito는 의료 서비스 기업 및 판매업체처럼 엄격한 규제를 받는 조직의 요구 사항을 비롯하여 여러 보안 및 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
게다가 AWS Identity and Access Management(IAM)은 모든 AWS에 대해 세분화된 액세스 제어를 제공합니다. IAM을 사용하면 서비스 및 리소스에 액세스할 수 있는 사용자와 액세스할 수 있는 조건을 지정할 수 있습니다. IAM 정책으로 인력 및 시스템에 대한 권한을 관리하여 최소 권한을 보장할 수 있습니다.
다중 인증(MFA)은 사용자 이름과 암호 외에 한층 더 보안을 강화하는 AWS IAM 기능입니다. MFA를 활성화하면 사용자가 AWS Management Console에 로그인할 때 사용자 이름과 암호(첫 번째 요소-고객이 알고 있는 것) 및 AWS MFA 디바이스의 인증 코드(두 번째 요소-고객이 갖고 있는 것)를 입력하라는 메시지가 표시됩니다. 이러한 다중 요소를 통해 AWS 계정 설정 및 리소스에 대한 보안을 높일 수 있습니다.