암호는 W0r$T입니다!—암호 없는 인증을 채택할 때입니다.

암호가 본질적으로 사이버 보안 위협에 취약하다는 것은 누구나 알고 있습니다. 이것이 바로 최근까지 암호에 보호 계층을 추가하는 것을 의미하는 다단계 인증(MFA)을 사용하도록 지속적으로 촉구받는 이유입니다. 그러나 최근 몇 년 동안 대체 인증 방법의 다양성과 가용성이 높아짐에 따라 비즈니스 리더로서 암호 없이 MFA 구현을 시작할 수 있습니다.

최근 2022년 암호 없는 인증 설문 조사에 따르면 비즈니스 리더의 82%가 암호 없는 방법을 채택할 준비가 되어 있습니다. 이제 암호의 일부일지라도 비즈니스에서 암호를 버리고 보안을 강화할 수 있는 방법에 대해 이야기해 보겠습니다.

암호는 사용자에게 마찰을 일으켜 보안을 더욱 약화시킵니다.

암호가 무엇이든 가치가 있으려면 강력해야 합니다. 2022년에는 숫자, 특수 문자, 대소문자를 모두 포함하여 최소 12자를 의미합니다. 그리고 각 계정마다 고유한 비밀번호를 사용해야 합니다. 아, 그리고 정기적으로 교체해야 합니다. 비밀번호를 잊어버린 경우 복잡한 절차를 거쳐 새 비밀번호를 만들거나 헬프 데스크에 대기하세요.

즉, 암호는 열악한 사용자 경험을 제공하므로 대부분의 사용자는 기본 암호 프로토콜을 따르지 않습니다.

놀랍게도 응답자의 77%는 적어도 일정 시간 동안 여러 계정에 대해 동일한 비밀번호를 사용합니다. 이 비율의 거의 절반(46%)이 비밀번호를 자주 재사용한다고 답했습니다. 비밀번호 재사용이 계정 탈취 공격 및 데이터 침해의 주요 동인이기 때문에 이는 심각한 문제입니다. 암호를 기억하는 방법을 묻는 질문에 26%는 종이에 기록하고 25%는 온라인 문서에 저장하고 21%는 개인적으로 의미 있는 정보를 사용합니다.

암호는 최상의 상황에서 상대적으로 약한 보안을 제공하지만, 우리의 연구에 따르면 많은 사용자가 자신과 회사를 거의 무방비 상태로 둡니다. 이로 인해 회사는 피싱 계획, 키로거, 무차별 대입 공격 및 사이버 범죄자가 암호를 해독하기 위해 사용하는 기타 여러 전술에 취약해집니다.

그렇다면 비밀번호 없는 인증이란 정확히 무엇입니까?

암호를 사용하지 않는 인증과 같은 소리입니다. 하지만 그렇게 간단하지 않습니다. 누군가에게 전화를 걸어 "암호 없는 인증을 주문하고 싶습니다."라고 말할 수 없습니다. 암호 없는 것을 목적지로 생각하지 마십시오. 목표로 생각하십시오. 암호 제거라는 목표를 향한 진전은 회사를 더욱 안전하게 만듭니다.

더 진행하기 전에 대안과 이에 대한 사람들의 생각을 분석해 보겠습니다. 인증에는 세 가지 기본 유형이 있습니다.

오늘날에도 5명 중 2명 이상(43%)이 자신이 알고 있는 것을 사용하는 것을 선호합니다. 암호, PIN 및 보안 질문이 수십 년 동안 가장 일반적인 인증 방법이었기 때문에 이는 놀라운 일이 아닙니다. 놀라운 사실은 3명 중 1명 이상(38%)이 생체 인증이라고도 하는 자신의 것을 사용하는 것을 선호한다는 것입니다. 결과를 정리하면 약 5명 중 1명(19%)이 가지고 있는 것을 사용하는 것을 선호합니다.

회사 직원에게 가장 적합한 암호 대안과 옵션을 조사할 때 이러한 기본 설정을 고려하십시오.

비밀번호 없는 인증으로 보안 강화

암호 없는 인증이 보안을 향상시킬 수 있다면 전환할 의향이 있습니까? 우리는 389명의 비즈니스 리더에게 이 질문을 던졌고 82%가 그렇다고 대답했습니다. 암호 없는 인증은 단일 요소(예: 지문을 사용하여 전화기 잠금 해제)로 수행 할 수 있지만 기업은 MFA를 사용하여 중요한 시스템 및 민감한 데이터에 대한 액세스를 보호해야 합니다.

다행히 거의 모든 비즈니스 리더(95%)가 회사에서 최소한 일부 비즈니스 응용 프로그램에 MFA를 사용한다고 답했으며 55%는 모든 응용 프로그램에 MFA를 사용한다고 말했습니다. 그 숫자는 우리가 그 질문을 던진 몇 년 동안 꾸준히 증가해 왔습니다. 한 가지 이유는 MFA가 단순한 모범 사례가 아니라 점점 더 요구되고 있기 때문입니다. 우리가 조사한 비즈니스 리더의 절반 이상(56%)은 회사가 규정(예: HIPAA, PCI DSS, SOX)에 따라 MFA를 사용해야 하고, 17%는 사이버 보험 정책에 따라 MFA를 사용해야 한다고 말했습니다.

이 모든 것을 염두에 두고 암호 없는 MFA가 작동하는 방식을 살펴보겠습니다.

인증 토큰으로 암호 없는 MFA 활성화

인증 토큰은 디지털 자산에 액세스할 수 있도록 개인의 ID와 연결되는 하드웨어 장치(또는 데이터 개체)입니다. 토큰(일반적으로 스마트폰 또는 USB 하드웨어 키)은 바인딩된 ID를 개인적으로 소유하고 있다고 가정합니다.

토큰으로서의 전화는 OOB(대역 외), OTP(일회성 암호) 및 점점 더 많은 QR 코드 인증으로 구성되어 있습니다. 최근 공개 키 토큰이 기반을 확보하고 있으며 토큰 기반 인증의 미래가 될 수 있습니다. 이러한 다양한 유형의 토큰이 어떻게 사용되는지 살펴보겠습니다.

대역 외(OOB) 인증

일부 OOB 방법은 이메일로 코드를 보내거나 단순히 서비스에 즉시 액세스하기 위해 클릭할 수 있는 "매직 링크"를 보냅니다. 대부분의 사람들이 일회용 비밀번호나 링크를 수신하는 이메일 계정에 액세스하기 위해 비밀번호를 사용하기 때문에 비밀번호 없는 체계 내에서 이메일 및 매직 링크 사용이 의심스럽다는 점은 주목할 가치가 있습니다.

OOB 인증은 인증을 위해 인터넷 연결 및 무선 네트워크와 같은 두 가지 다른 채널을 사용하도록 설계되었습니다. OOB 인증의 일반적인 예는 SMS 메시지나 코드가 포함된 자동 음성 통화를 전화기로 받은 다음 웹사이트에 입력하는 경우입니다. 다른 방법으로는 SMS 메시지보다 더 안전한 푸시 알림이 있습니다.

일회용 비밀번호(OTP) 인증

OTP 인증은 일반적으로 휴대폰의 인증 앱(하드웨어 OTP 장치가 존재하지만)을 사용하여 수행되어 임시 코드를 생성한 다음 입력하여 디지털 자산에 액세스합니다.

빠른 응답(QR) 코드

QR 코드는 레스토랑에서 슈퍼볼 광고에 이르기까지 도처에 있으며 보안 목적으로 점점 더 많이 사용되고 있습니다. 스마트폰을 이용하여 웹사이트의 로그인 창에 표시된 QR 코드를 스캔하여 인증할 수 있습니다. 물론 단점은 QR 코드를 사용하여 전화 자체에서 사이트에 액세스할 수 없다는 것입니다.

공개 키 토큰

공개 키 토큰은 비대칭 암호화(즉, 공개 및 개인 키 쌍)를 사용하여 인증하고 종종 X.509 인증서를 사용합니다. 공개 키 토큰은 USB 하드웨어 키, 스마트 카드, 블루투스 또는 NFC 지원 스마트폰 및 웨어러블을 포함하여 소프트웨어 기반 또는 하드웨어 기반일 수 있습니다.

아마도 암호 없는 인증의 미래인 FIDO(Fast Identity Online)는 공개 키 토큰을 통합하고 암호에 대한 의존도를 줄이도록 특별히 설계된 일련의 프로토콜입니다. FIDO 인증은 인증자의 잠금을 해제하는 단계와 온라인 서비스 인증에 필요한 암호화 키를 생성하는 단계의 두 단계를 사용합니다.

로컬 장치에서 잠금을 해제하기 위해 첫 번째 단계에서 사용되는 요소는 지문, PIN 입력 또는 전용 하드웨어 장치(예: YubiKey) 삽입과 같은 사용 가능한 옵션 중에서 선택할 수 있습니다. FIDO 인증자의 잠금을 해제한 후 장치는 서비스 공급자의 공개 키에 해당하는 올바른 개인 키를 제공합니다. 첫 번째 단계에서 제공한 정보는 비공개로 유지되며 사용자의 기기를 떠나지 않습니다.

당신이 알고 있는 것(비밀번호가 아닌!), 당신 자신, 그리고 다른 모든 것으로 인증하기

암호 없는 인증은 암호가 아닌 한 사용자가 알고 있는 것을 사용할 수 있습니다. 가장 일반적인 대안은 PIN입니다. 그리고 PIN은 비밀번호와 비슷해 보이지만 상당히 다릅니다. PIN은 일반적으로 직불 카드와 같은 로컬 장치의 잠금을 해제하는 데 사용됩니다. PIN이 없으면 은행 카드는 쓸모가 없습니다. 반대로 암호는 중앙 데이터베이스에 저장된 정보와 일치하며 그 자체로 취약합니다.

이 영역의 다른 일반적인 방법에는 그림 및 패턴 인식이 있습니다. 등록하는 동안 일부 서비스에서 사진을 선택하라는 메시지가 표시됩니다. 그런 다음 인증할 때 여러 옵션에서 사진을 선택합니다. 마찬가지로 패턴 인식 인증을 사용하려면 그림이나 격자에서 미리 선택된 지점을 기억해야 합니다.

생체 인증이 더 많이 수용됩니다.

생체 인증은 얼굴이나 지문과 같은 고유한 물리적 특성을 사용하여 신원을 인증합니다. 생체 인식 기술은 특히 보안 목적으로 사용될 때 주류가 되고 있습니다. 설문 조사에 따르면 소비자의 76%가 얼굴 인식을 사용하여 컴퓨터나 휴대전화에 액세스하는 데 편안함을 느끼는 것으로 나타났습니다. 더 놀랍게도 64%는 온라인 계정에 로그인하는 데 사용하는 데 익숙합니다.

생체 인식 인증은 토큰으로서의 전화(phone-as-a-token) 방식과 빠르게 통합되고 있습니다. 스마트폰에는 마이크, 카메라 및 지문 스캐너가 있으며, 모두 장치 소유를 동시에 확인하는 다양한 생체 인증 모드를 지원하는 데 사용할 수 있습니다.

상황별 인증은 암호가 없는 사용자에게 유연성을 제공합니다.

상황에 맞는 인증 방법은 능동적으로 신원을 확인하는 것 외에도 위치, 활동 및 장치 식별자와 같은 요소를 사용하여 위험을 수동적으로 감지합니다. 신호 기반 인증이라고도 하는 이 프로세스는 위험 신호가 없는 경우 사용자에게 액세스 권한을 부여하는 0FA(제로 요소 인증)로 알려진 궁극적인 암호 없는 시나리오를 허용할 수 있습니다. 시스템이 확실하지 않은 경우 사용자는 PIN 또는 생체 특성과 같은 인증 수단을 묻는 메시지가 표시됩니다.

CAT(Continuous Adaptive Trust)와 같은 고급 모델은 기계 학습을 사용하여 사용자에 대한 훨씬 더 풍부한 변수 집합을 분석하여 키 입력 압력을 측정하거나 장치를 들고 걸을 때 사용자의 특정 움직임을 인식하는 등 위험을 결정합니다.

비밀번호 없는 인증을 구현하기 위해 취할 수 있는 3단계

언급한 바와 같이, 비밀번호 없는 것은 (적어도 현재로서는) 열망적이며 이를 향한 모든 단계는 전반적인 보안 태세를 강화합니다. 그런 의미에서 회사에서 암호 수를 줄이기 위해 취할 수 있는 세 가지 단계를 살펴보겠습니다.

암호를 사용하지 않는 것이 팀에 어떤 이점이 있고 작업이 더 쉬워지는지 정확히 설명하여 주요 이해 관계자의 동의를 얻으십시오. 보안 개선을 위한 우선 순위를 결정하고, 워크플로가 어떻게 영향을 받을 수 있는지 알아보고, 새로운 인증 방법에 대한 기본 설정을 식별합니다.

이미 사용할 수 있는 암호 없는 옵션을 살펴보고 활용하십시오. 예를 들어 비즈니스에서 이미 Windows 10을 사용하는 경우 생체 인식 또는 장치 기반 인증과 같은 로컬 인증 방법을 결합한 비즈니스용 Windows Hello를 사용할 수 있습니다.

다음 질문을 하십시오.

• 이미 사용할 수 있는 암호 없는 옵션은 무엇입니까?
• 암호를 피하기 위해 현재 인증 흐름을 수정할 수 있습니까?
• 이러한 변경이 궁극적으로 사용자의 마찰을 줄여줄까요?

암호 없는 인증의 보편적인 채택을 위해 회사를 준비하려면 가능한 경우 현재 및 미래 투자를 이동하여 시간이 지남에 따라 마이그레이션 경로를 단순화하는 것이 중요합니다. 새 소프트웨어를 조달할 때 생체 인식, 토큰으로서의 전화 및 FIDO2와 같은 새로운 프로토콜을 활용하는 인증 옵션의 가용성을 고려하십시오.

암호에 대한 의존도는 곧 사라질 것입니다.

우리는 결국 암호를 기억할 필요가 없고 서버가 암호를 저장할 필요가 없으며 해커가 암호를 악용할 수 없는 미래에 도달할 것입니다. 그것은 오늘날 우리가 살고 있는 세상보다 훨씬 더 안전한 디지털 세상입니다. 그러나 그것은 조금씩 일어날 것이며 영지식 증명 및 영신뢰 보안 모델(두 가지 모두 향후 연구 보고서에서 자세히 다룰 예정임)과 같은 보안에 대한 새로운 사고 방식을 요구할 것입니다.

추세는 암호에서 벗어나 보다 개인적이고 상황에 맞는 마찰 없는 인증 형식으로 이동하는 것입니다.

방법론

Capterra는 2022년 1월 974명의 소비자를 대상으로 관리 책임 이상을 보고한 389명의 비즈니스 리더를 대상으로 2022년 암호 없는 인증 설문조사를 실시하여 다양한 인증 방법과 미국 기업의 사용에 대한 태도를 알아보았습니다.