기사

다단계 인증(MFA, Multi-Factor Authentication)이란 무엇인가요?

Security
소요 시간: 6 분

다단계 인증(MFA)은 사용자의 아이덴티티를 검증하고 리소스(예: 애플리케이션, 서버, VPN)에 대한 액세스 권한을 부여하고자 최소 두 가지 독립적인 검증 형식을 요구하는 고급 계층 인증 프레임워크입니다. 다단계 인증의 목표는 액세스를 어렵게 만들어 무단 사용자가 대상(예: 물리적 위치, 컴퓨팅 디바이스, 네트워크, 데이터베이스)에 액세스하지 못하도록 계층형 방어를 제공하는 데 있습니다. 다단계 인증을 사용하면 한 가지 요소가 손상되더라도 액세스에 대한 추가 장벽이 하나 이상 존재합니다.

아이덴티티 및 액세스 관리(IAM) 프레임워크의 핵심 구성 요소인 다단계 인증은 리소스에 대한 액세스의 임계값을 높입니다. 2단계 인증은 사실상 다단계 인증의 한 형태이지만 일반적으로 3개 이상의 요소가 사용됩니다.

다단계 인증(MFA, Multi-Factor Authentication)이 필요한 이유

다단계 인증이 필요한 주된 이유는 기업의 전반적인 보안 태세를 강화하기 때문입니다. 사용자 이름/비밀번호 자격 증명을 새로운 차원으로 끌어올려 액세스 보호 효율성을 극적으로 높입니다. 비밀번호 이외에 부가 요소를 추가하면 비밀번호 침해를 막아, 해커가 도난당한 자격 증명을 사용하여 계정에 침입하는 사고를 방지할 수 있습니다.

또한 다단계 인증을 사용하면 안전하지 않은 행동을 제어할 수 있습니다. 사용자가 자연스럽게 할 수 있는 행동이어도 이로 인해 자격 증명이 무차별 대입 공격에 취약해질 수 있습니다. 다음은 그러한 행동의 예입니다.

  • 비밀번호 재사용
  • 포스트잇이나 디지털 장소(예: 문서, 스프레드시트, 연락처)에 비밀번호 정보 저장
  • 예측 가능한 비밀번호 사용

다단계 인증(MFA, Multi-Factor Authentication)의 이점

  • 다양한 사용 사례에 맞춰 적응
  • 하드웨어, 소프트웨어, 개인 식별 수준에서 보안 계층 추가
  • 관리자가 특정 시간 또는 위치의 액세스를 제한하는 정책 시행 가능
  • 사용자 손쉽게 설정 가능
  • 관리자가 모든 활동을 모니터링하지 않고, 의심스러운 것으로 표시된 동작 위주로 검토하여 관리 비용 절감
  • 사용자가 여러 계정의 서로 다른 비밀번호를 저장, 기억, 관리할 필요성 제거
  • 승인되지 않은 사용자 또는 사이버 범죄자가 리소스(예: 계정, 디바이스, 네트워크, 데이터베이스)에 액세스하지 못하게 막는 다층 방어 시스템 사용
  • 실시간으로 무작위로 생성되어 문자나 이메일로 전송되는 일회용 비밀번호(OTP) 사용 가능
  • 기업 거버넌스, 정부, 산업 표준에서 제시한 규칙 준수 보장
  • 개인 정보를 보호하여 사용자 신뢰도 향상
  • 인터넷 연결이 없는 사용자를 위한 오프라인 액세스 옵션 포함
  • 전반적인 보안을 손상시키지 않고 사용자가 모든 디바이스나 위치에서 리소스에 손쉽게 액세스할 수 있도록 하여 생산성 증대
  • 고가 거래의 처리, 알 수 없는 네트워크 및 디바이스에서 민감한 정보에 액세스 등 이상 징후를 식별하기 위해 사용자 활동 모니터링
  • 모든 규모의 예산에 맞는 확장 가능한 비용 구조 제공
  • 사용자 본인이 맞는지 확인하여 사기 방지
  • 비밀번호만 사용하는 경우보다 보안 침해를 현저히 줄임
  • 사용자를 위한 간편한 프로세스를 만들어 도입 장벽 제거
  • 지리적 위치, 인터넷 프로토콜(IP) 주소, 마지막 로그인 이후 경과 시간 등 다양한 위험 요소에 따라 사용량 추적

다단계 인증(MFA, Multi-Factor Authentication)의 작동 방식

다단계 인증이 작동하면 사용자가 리소스에 액세스하려고 할 때 표준 사용자 이름 및 비밀번호 자격 증명에 대해 추가 검증 정보, 즉 인증 요소를 요구합니다. 인증이 이루어지면 사용자는 리소스에 연결됩니다.

다단계 인증은 디바이스 및 애플리케이션에 따라 분류됩니다.

  • 디바이스의 MFA는 사용자가 로그인할 때 사용자를 확인합니다.
  • 애플리케이션의 MFA는 사용자에게 하나 이상의 애플리케이션에 대한 액세스 권한을 부여하고자 사용자를 확인합니다.

적응형 다단계 인증(MFA, Multi-Factor Authentication)

적응형 다단계 인증은 위험 기반 인증이라고도 하며, 컨텍스트와 동작을 고려하여 추가 요소를 분석합니다. 적응형 다단계 인증은 인공 지능(AI)을 통해 컨텍스트 데이터를 수집 및 처리하여 실시간 분석으로 로그인 시도와 관련된 위험 점수를 계산합니다.

위험 점수를 기반으로 최적의 사용자 인증 방법을 결정할 수 있으며, 그 예는 다음과 같습니다.

  • 저위험의 경우 비밀번호만 요구
  • 중간 위험의 경우 다단계 인증 요구
  • 고위험의 경우 추가 인증 프로세스 요구

적응형 다단계 인증은 동적이며 로그인에 정적 규칙 목록을 사용하지 않습니다. AI를 사용하면 사용자의 행동과 특성에 적응한 다음 각 사용자 세션에 가장 적합한 유형의 아이덴티티 검증을 적용할 수 있습니다. 다음은 고려되는 요소입니다.

  • 디바이스
    사용자가 승인되지 않은 디바이스를 사용하여 로그인을 시도하고 있나요?
  • IP 주소
    사용자가 리소스에 로그인할 때 일반적으로 사용하는 IP 주소와 동일한가요?
  • 위치
    사용자가 짧은 시간 내에 서로 다른 두 위치에서 계정에 로그인하려고 했나요? 사용자의 로그인 위치가 이상한가요? 사용자가 회사 네트워크가 아닌 공용 네트워크에서 로그인하려고 하나요?
  • 민감도
    사용자가 민감한 정보에 액세스하려고 하나요?
  • 로그인 시간
    로그인 시간이 사용자의 일반 로그인 시간과 관련이 있나요?

적응형 다단계 인증의 예

적응형 다단계 인증은 밤늦은 시간에 카페에서 로그인을 시도하는 등 이상한 행동을 보이는 사용자를 식별할 수 있습니다. 이러한 사용자에게는 사용자 이름 및 비밀번호와 함께, 휴대전화에 문자 메시지로 전송된 일회용 비밀번호를 입력하라는 프롬프트가 뜹니다.

이는 사용자가 매일 오전 8시에 사무실에서 로그인을 시도하는 경우와 대비됩니다. 이 경우에는 사용자에게 사용자 이름과 비밀번호만 입력하라는 프롬프트가 뜹니다.

인공 지능(AI)과 다단계 인증(MFA, Multi-Factor Authentication)

다단계 인증에 인공 지능(AI)을 추가하면 효과와 효율성 측면에서 이러한 보안 관행의 수준이 한 단계 높아집니다. 사이버 범죄자들은 끊임없이 진화하고 있고, 사용자의 자격 증명을 도용하는 데 능숙해졌습니다. AI를 기존의 여러 보안 조치에 추가하면 범죄자가 다단계 인증 보호 기능을 통과하기가 훨씬 더 어려워집니다.

AI 기반 다단계 인증 시스템은 시간이 지남에 따라 학습하고 적응하여, 최종 사용자에게 영향을 주지 않으면서 사이버 범죄자보다 한발 앞서 대응합니다.

AI 기반 MFA는 사용자의 행동을 기반으로 사용자의 아이덴티티를 검증하는 데 사용할 수 있습니다. 그 예로 행동 생체 인식의 경우, 사용자가 휴대전화를 잡는 방식부터 사용자의 고유한 걸음걸이까지 모든 것을 추적할 수 있습니다.

또한 AI 기반 다단계 인증에는 다음이 포함됩니다.

  • 생체 인식 인증
  • 얼굴 인식
  • 지문 인식
  • 홍채 인식
  • 손바닥 인식
  • 음성 인식

다단계 인증(MFA, Multi-Factor Authentication)의 예

생체 인식 검증

생체 인식 인증 기능을 갖춘 스마트 디바이스나 컴퓨터는 아이덴티티를 확인할 수 있습니다. 생체 인식은 사용자에게 간편한 로그인 단계를 제공하고 스푸핑이 불가능해 보안을 강화할 수 있기 때문에 다단계 인증의 일환으로 사용되는 빈도가 높아지고 있습니다.

이메일 토큰 인증

이메일 토큰 인증을 사용하면 사용자는 일회용 비밀번호(OTP)가 포함된 이메일을 받게 됩니다. 이 OTP와 하나 이상의 인증 방법을 통해 사용자의 아이덴티티를 검증합니다. 이메일 토큰 인증은 휴대전화를 챙기지 못한 사용자를 위해 SMS 토큰 인증의 대안으로 제공되는 경우가 많습니다.

하드웨어 토큰 인증

하드웨어 토큰은 보안 수준을 추가하기 위해 다단계 인증에 사용됩니다. 이메일 또는 텍스트 토큰 인증을 사용하는 것보다 많은 비용이 들지만 가장 안전한 인증 방법으로 여겨지고 있습니다. 하드웨어 토큰은 사용자의 아이덴티티를 확인하고 디바이스에 액세스할 수 있도록 디바이스에 삽입해야 합니다.

소셜 로그인 인증

소셜 로그인 또는 소셜 아이덴티티 검증은 사용자가 이미 소셜 미디어 플랫폼에 로그인한 경우 다단계 인증에 사용할 수 있습니다. 다른 인증 요소보다는 위험한 것으로 여겨지지만, 다른 아이덴티티 검증 방법과 함께 사용하면 효과적일 수 있습니다.

소프트웨어 토큰 인증

스마트 디바이스의 인증 애플리케이션은 다단계 인증에 사용할 수 있습니다. 이 애플리케이션은 스마트 디바이스를 토큰으로 변환하여 다단계 인증을 위한 인증 서비스에 연결할 수 있습니다.

위험 기반 인증

위험 기반 인증(RBA)은 동작 및 활동(예: 위치, 디바이스, 키스트로크)을 모니터링하여 다단계 인증을 지원합니다. 발견 사항을 기반으로 RBA는 다단계 인증 검사 빈도를 알려 보안을 강화하고 위험을 최소화할 수 있습니다.

보안 질문

지식 기반 인증(KBA) 유형, 정적 보안, 동적 질문을 다단계 인증에 사용할 수 있습니다. 정적 질문을 사용하면 사용자가 계정 설정 중에 질문에 대한 답변을 제공합니다. 그런 다음 로그인 프로세스 중에 아이덴티티 확인을 위해 이러한 정적 질문이 무작위로 제시됩니다.

동적 질문은 공개적으로 사용 가능한 정보를 사용하여 실시간으로 생성됩니다. 대체로 질문과 함께 일련의 답변이 사용자에게 제공됩니다(예: 어느 도시에서 태어났나요? 이 주소 중 거주했던 곳이 있나요? 이 중 사용했던 전화번호가 있나요?). 아이덴티티 확인을 위해 사용자는 올바른 답변을 선택해야 합니다.

단문 메시지 서비스(SMS) 인증

SMS 토큰 인증에서는 개인 식별 번호(PIN)가 포함된 문자 메시지를 통해 메시지가 전송됩니다. PIN은 하나 이상의 요소와 함께 OTP로 사용됩니다.

SMS 토큰 인증은 구현이 비교적 간단한 다단계 인증 방법입니다. 일반적으로 이메일 토큰 인증의 대체 전달 방법으로 제공됩니다.

시간 기반 일회용 패스코드 인증

시간 기반 일회용 비밀번호(TOTP)는 사용자가 로그인을 시도할 때 생성되며 설정된 시간이 지나면 만료됩니다. TOTP는 SMS 또는 이메일을 통해 사용자의 스마트폰이나 컴퓨터로 전송됩니다.

다단계 인증(MFA, Multi-Factor Authentication) 방법

다단계 인증은 여러 인증 방법을 결합하여 작동합니다. 주요 MFA 방법은 아이덴티티 검증에 사용되는 세 가지 정보 유형을 기반으로 합니다.

  • 사용자가 알고 있는 것
  • 사용자가 소유한 것
  • 사용자의 고유한 특성
  • 시간 기반 인증

다단계 인증 지식 범주

다단계 인증을 사용하면 지식 기반 아이덴티티 검증을 위해 사용자가 보안 질문에 답해야 합니다. 다음은 다단계 인증에서 사용되는 지식의 예입니다.

  • 보안 질문에 대한 답변(예: 사용자의 출생지, 좋아하는 색, 고등학교 마스코트, 어머니의 결혼 전 성)
  • OTP
  • 비밀번호
  • PIN

다단계 인증 소유물 범주

다단계 인증의 소유물 요소의 경우 로그인하려면 사용자가 소유한 개체가 필요한데, 이러한 개체는 사이버 범죄자가 손에 넣기 어렵습니다. 다음은 MFA 소유물 범주에 포함되는 개체입니다.

  • 배지
  • 전자 열쇠
  • 키체인
  • 휴대전화
  • 물리적 토큰
  • 스마트 카드
  • 소프트 토큰
  • 범용 직렬 버스(USB) 키

다단계 인증 고유한 특징 범주

다단계 인증에서는 아이덴티티 검증을 위해 사용자의 생물학적 특성을 확인할 수 있습니다. 고유한 특징 요소에는 다음과 같은 생체 인증 방법이 포함됩니다.

  • 얼굴 인식
  • 지문 스캔
  • 음성 인증
  • 망막 또는 홍채 스캔
  • 음성 인증
  • 손 모양
  • 디지털 서명 스캐너
  • 귓볼 모양

시간 기반 다단계 인증

시간도 다단계 인증에 사용할 수 있습니다. 시간 기반 인증은 특정 시간에 사람의 존재를 감지하고 특정 시스템이나 위치에 대한 액세스 권한을 부여하여 사람의 아이덴티티를 증명할 수 있습니다. 예를 들어 미국에서 인출이 이루어지고 나서 10분 후에 중국에서 두 번째 인출이 시도되는 경우 ATM 카드는 차단됩니다.

다단계 인증(MFA, Multi-Factor Authentication) 모범 사례

다단계 인증은 구현이 어렵지는 않지만 모범 사례를 고려하면 효율적이고 효과적으로 배포할 수 있습니다. 다음은 MFA 시스템을 구현하고 관리하는 데 일반적으로 인용되는 모범 사례입니다.

사용자에게 다단계 인증의 중요성과 사용 방법에 대해 교육합니다.
사용자는 보안 체인에서 가장 약한 연결 고리로 간주되면서도, 성공적으로 MFA를 배포하는 데 있어 필수적인 역할을 합니다. 사용자에게 시스템 작동 방식과 규칙 준수의 중요성에 대해 교육하면 프로그램을 효과적으로 운영하는 데 큰 도움이 됩니다.

기업 전반에 걸쳐 다단계 인증을 구현합니다.
배포 시 기업 전반의 모든 액세스 포인트를 포함함으로써 다단계 인증을 약화시킬 수 있는 여지를 배제합니다. 모든 시스템에서 분산된 원격 사용자를 고려하려면 MFA 배포에 원격 네트워크 액세스를 반드시 포함해야 합니다.

적응형 다단계 인증을 포함합니다.
컨텍스트를 사용하여 적응형 스텝업 MFA 접근 방식을 만듭니다. 이 접근 방식에서는 추가 요소에 대한 메시지를 사용자에게 표시하는데, 이는 기본 설정이 아니라 위험 점수를 기반으로 합니다.

사용자에게 다양한 인증 요소를 제공합니다.
사용자가 여러 인증 요소 중에서 선택할 수 있도록 하면 사용자 경험이 개선되고 채택률을 높일 수 있습니다. 이와 같은 유연한 방식이 제공되면 일률적인 범용 접근 방식, 즉 사용자들이 대체로 불편해하고 제한적이라고 느끼는 방식을 쓰지 않아도 됩니다. 사용자에게 선택권이 주어지면 시스템 만족도와 전체적인 채택률이 높아집니다.

다단계 인증 배포를 재평가합니다.
정기적으로 평가를 실시하여 다단계 인증 배포가 현재 위협을 처리하고 계속해서 모든 액세스 포인트를 포함하도록 최적화되었는지 확인합니다.

표준 기반 접근 방식을 취합니다.
표준을 준수하여 다단계 인증 시스템이 기존 IT 인프라 내에서 최적으로 작동하도록 보장합니다. 고려해야 할 표준은 원격 인증 다이얼인 사용자 서비스(RADIUS) 및 오픈 인증(OAuth)이며, 이러한 표준으로 모든 네트워크의 모든 디바이스에서 모든 사용자를 인증할 수 있습니다.

다단계 인증을 보완적인 보안 도구와 함께 사용합니다.
다단계 인증을 싱글 사인온(SSO), 최소 권한 액세스 등 다른 액세스 제어 솔루션과 결합하여 사용하면 보안이 강화됩니다.

MFA는 탁월한 1차 방어선을 제공합니다

사이버 공격은 여러 벡터에서 발생하지만 공격의 표적은 최종 사용자인 경우가 많습니다. 다단계 인증으로 최종 사용자 액세스 포인트를 강화하면, 취약점이 악용되고 자격 증명이 도난당하더라도 추가적인 보호 계층이 대비되어 있습니다.

AI 및 기타 신기술을 활용하는 다단계 인증은 최종 사용자 액세스 보안을 위한 가장 효과적인 솔루션으로 꾸준히 사용되고 있습니다. MFA 솔루션은 효과적인 보호를 제공하면서도, 최종 사용자와 업무 부담이 과중한 IT 관리자에게 미치는 영향을 최소화합니다.

관련 자료

싱글 사인온(SSO) 작동 방식

싱글 사인온(SSO) 작동 방식

다양한 배포 옵션을 사용하면 싱글 사인온(SSO)은 거의 모든 사용 사례에 적합하게 됩니다. 싱글 사인온(SSO)이 왜 IT보안 분야에서 널리 사용되는 도구가 되었는지 알아보세요.

더 알아보기
최고의 GRC 도구 및 플랫폼 선택

최고의 GRC 도구 및 플랫폼 선택

다루기 어려운 거버넌스, 위험, 규정 준수 목표를 제어하고 팀 간의 격차를 해소하기 위해 기업의 GRC 도구 의존도가 갈수록 높아지고 있는 이유를 알아보세요.

더 알아보기
디지털 운영 복원력 법(DORA)

디지털 운영 복원력 법(DORA)

디지털 운영 복원력 법(DORA) 이 금융 기관에 있어 보안 및 복원력 태세를 평가하고 강화할 수 있는 계기가 되는 이유에 대해 알아보세요.

더 알아보기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기