Open in app

Sign in

Write

Sign in

인증방식에서 데이터보호 전략까지-1

Liam
StealthSolution
Published in
5 min readFeb 23, 2022

안녕하세요. 리암입니다.

오늘은 옛날(?) 이야기로 시작해보겠습니다.(참고로 저는 아직 젊습니다.)

비밀번호는 언제 사라져?

2005년, 마이크로소프트 설립자 빌게이츠(Bill Gatews)는 RSA 컨퍼런스*에서 비밀번호 종말 예언을 했습니다. 그는 10년 뒤에 비밀번호를 사용하는 이들이 없을 것이라고 자신있게 말했고 지문, 얼굴인식, 손바닥 인증, 홍채인식, 토큰 등이 비밀번호의 자리를 대체할 것이라고 전망했습니다.

  • RSA Conference : 세계 최대 규모의 사이버 보안 컨퍼런스

하지만 2022년 현재, 아직도 여전히 비밀번호는 대중들이 가장 많이 사용하는 인증방식 중 하나입니다.(물론, 참고로 이 약속을 지키려고 한건지 MS 계정에는 ‘패스워드 없는 로그인’ 서비스를 제공합니다.) 오히려 코로나19 기간 동안 빠르게 이뤄진 디지털 전환은 우리 사회가 온라인을 기반으로 하는 비대면 소통에 익숙하도록 만들었습니다. 이 과정에서 개인과 기업이 관리해야 할 ID와 비밀번호가 늘어났으며, 이러한 추세는 결과적으로 사용자가 자신의 계정보호에 대한 인식을 안일하게 만들 수 있습니다.

인증방식에서의 ‘팩터(Factor)’

우리가 회원가입을 통해 지정한 아이디와 비밀번호를 사용하는 이유는 나의 신원을 확인하는 데 있습니다. 이 신원을 확인하는 절차를 ‘인증(Authentication)’이라고 하며 인증에 사용하는 방식을 ‘팩터(Factor)’라고 합니다.

사용자의 신원을 확인하는 방법에 따라 지식기반 인증(What I Know), 소유기반 인증(What I Have), 속성기반 인증(What I Am), 행위기반 인증(What I Do), 장소기반 인증(Where You Are)이라는 ‘인증 팩터(Authentication Factor)’가 존재합니다. 고전적인 인증팩터는 지식기반, 소유기반, 속성기반이 존재했으나 최근에는 행위기반, 장소기반의 인증 방식도 활발하게 개발 및 적용되고 있습니다.

인증 팩터의 구분

이러한 인증팩터 중에 한 가지만 사용하여(ex. ID와 비밀번호만) 인증하는 방식을 싱글팩터 인증(Single Factor Authentication, SFA), 보통 아직까지는 2가지 인증을 사용하는 경우가 많은데 이것은 투팩터 인증(2 Factor Authentication, 2FA), 두 개 이상의 다양한 조합으로 인증하는 방식을 멀티팩터인증(Multi Factor Authentication, MFA)라고 합니다. 실제로 투팩터 인증과, 멀티팩터 인증은 혼용해서 사용하기도 합니다.

멀티팩터 인증을 쓰면 다 해결해주나요?

2017년 미국 라스베이거스에서 열린 블랙햇 컨퍼런스에서 자신을 해커라고 밝힌 250명을 대상으로 한 설문 조사에서 ‘해킹하기 가장 힘든 것’으로 응답자의 38%가 다중 요소 인증(Multi Factor Authentication, MFA)를 꼽았습니다. 이 설문에서는 해커가 기업의 민감한 데이터에 접근하는 방법도 조사했는데, ‘높은 권한을 가진 계정을 빼낸다(31%)’, ‘이메일 계정 탈취(27%)’, ‘사용자 엔드포인트 해킹(21%)’로 결과가 나왔습니다. 이 결과만 놓고보면은 민감한 데이터에 접근하는 방법들은 계정 탈취에 초점이 맞춰져 있고 그 계정을 해킹하기 어렵게 만드는 방법은 멀티 팩터 인증이라는 것을 확인할 수 있네요. 확실히 MFA는 복잡한 비밀번호 설정이라는 부담을 줄이면서도 유출로 인한 보안사고를 예방할 수 있는 수단은 맞습니다.

“2021년 계정 보호 방안 및 MFA 인식 설문조사”, 보안뉴스(2021)에 따르면 설문 응답자가 MFA를 통해 계쩡을 보호한다고 응답한 기업은 22.1%라고 합니다. 그렇다면 MFA를 적용하지 않는 기업의 경우 그 이유가 무엇일까요? 역시 그 내용이 설문조사에 나와있습니다. 많은 기업이 도입 비용에 대한 부담(44%)을 들었으며, 로그인 시 사용이 번거롭다(39.1%)고 응답한 기업도 다수입니다. 그 뒤로 비밀번호 변경만으로 충분하다(10.7%), 필요성을 느끼지 못한다(3.7%)가 있습니다.

비용에 대한 부담은 제쳐두고 사용이 번고롭다는 점은 어떻게 개선할 수 있을까요?(보안 업계에 종사하는 나 조차도 MFA를 적용한 서비스를 사용하다보면 종종 귀찮을 때가 있다..)

간단히 몇 가지 방안을 생각해보자면,

  1. 최초 인증 이후에는 바이오정보만을 이용해 인증한다.
    - 이 방법은 이미 많은 서비스들에서 사용하고 가장 보편적인 방법이다.(극단적으로 내 손목이 댕겅 날아가거나,,, 홍채가 도용될 수 있다면? 혼란하다 혼란해..)
  2. 최초 인증 이후에는 팩터(Factor)들의 속성(Attribution)들이 변하지 않으면 인증된 상태를 유지한다.
    - 이 방법은 행위, 장소, 특성 등 어떤 속성(ex. IP, 위치정보, 기기정보, 시간, 접속 형태 등)을 적용하느냐에 따라서 개발 방식과 방법론이 매우 달라질 수 있고 공수가 많이 필요할 수도 있습니다. 하지만 인증을 개인화라는 측면에서 볼 때 가장 효율적인 방법이 될 수 있지 않을까?라는 생각은 해 볼 수 있을 것 같네요.(내가 쓰고 욕먹는거 아닌가랑 걱정이 조금은 있다.)

오늘은 인증방식에 대해 간단히 알아보는 시간을 가졌습니다. 바로이어서 데이터 보호 전략의 변화에 대해 알아보러 가시죠!!

Authentication
Passwords
Authentication Factor
Multifactorauthentication
Access Management

--

--

Liam
StealthSolution

Written by Liam

1 Follower
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams