우리는 때때로 비밀번호를 재설정하라는 두려운 메시지에 익숙해져 있다. 우리 중 대부분은 설정된 매개변수를 충족하는 새로운 고유한 비밀번호 생성을 짜증나고 지루한 일로 느끼는데, 그 이유는 순차적인 문자나 사전적 단어를 피하면서 적어도 1개의 특수문자를 포함한 최소 8개의 문자로 만들어야 하기 때문이다.
최종 사용자 경험에 대한 이 같은 부담은 우리의 목을 조르지만, 기업은 이를 따를 수밖에 없다. 비밀번호는 민감한 정보를 포함해 누가 무엇에 액세스할 수 있는지 결정하기 위해 오랫동안 설정돼 왔다. 실제로 공격자는 단순히 유효한 로그인 자격을 획득함으로써, 방어망을 뚫고 특권을 확대해 큰 피해를 입힐 수 있을 만큼 충분히 오랫동안 탐지를 피할 수 있다. 그러나 역설적으로 최종 사용자에게 많은 고통을 안겨줬음에도 불구하고 비밀번호와 이를 보호하기 위한 수단은 특별하게 안전하지 않다.
이를 대응하기 위해 확인되지 않은 로그인 시도를 막는 보호 레이어로 MFA(Multi-factor Authentication)가 등장했다. 예를 들어, MFA는 사용자에게 보조 이메일 계정, 전화번호 또는 인증 앱으로 전송된 코드를 통해 자신을 확인하도록 요청할 수 있다. 그러나 다른 건 몰라도, 사이버 범죄자들이 성공했을 때 보상에 대한 수익성이 매우 높기 때문에 이는 완전 무장된 교활한 무리일 뿐이다.
오늘날, 많은 위협 행위자들은 너무 지능적으로 발전해 쿠키 탈취부터 사회 공학 또는 MFA 피로-기반(fatigue-based) 공격까지 MFA 보호 우회를 위해 필요한 능력들을 갖추고 있다. 이것은 보안 체인의 약한 링크인 비밀번호로의 대화로 다시 되돌아 가게 합니다.
비밀번호 없는 인증이 미래다
정확히 새로운 것은 아니지만, 비밀번호 없는 인증은 최근에서야 주목을 받기 시작했다. 이는 사용자 검증을 위해 다양한 수단을 활용할 수 있다. 로그인 페이지에 표시되는 QR 코드, SMS를 통한 일회용 코드, 또는 심지어 USB 같은 물리적인 검증 키가 될 수도 있는 것이다.
비밀번호 없는 인증에 대해 생각해 볼 수 있는 좋은 방법은 기본적으로 퍼블릭 키와 프라이빗 키를 사용하는 디지털 인증서와 동일한 원리를 사용한다는 점이다. 프라이빗 키는 장치에 있지만, 퍼블릭 키는 사용자가 로그인하려는 애플리케이션의 자물쇠와 같다.
이것을 더 안전하게 만드는 것은 퍼블릭 키가 프라이빗 키의 디지털 서명으로 잠금을 해제할 수 있지만 확인할 수 있고, 실제로 짝을 이루는 프라이빗 키를 보거나 복사할 수 없다는 점이다. 로그인을 시도하는 사용자 조차 퍼블릭 키를 해제하는 '코드'가 무엇인지 알 수 없다.
따라서 이러한 정보가 악의를 갖고 있는 사람의 손에 들어갈 위험은 크게 줄어든다. 또한 비밀번호 없는 인증은 최종 사용자의 계정 잠금 해제 및 비밀번호 재설정을 지원하는 리소스를 확보해 IT 오버헤드를 줄여준다.
기초 다지기
하지만, 비밀번호 없는 기술은 모든 경우에 적용되는 해결책이 아니다. 조직은 비밀번호 없는 인증 여정을 위해 고유한 요구 사항을 확인해야 한다. 더욱이, 비밀번호 없는 전환은 스위치를 켜는 것 같이 쉽게 할 수 있는 일이 아니다. 이유는 레거시 시스템이 전 세계에서 계속해서 많이 사용되고 있기 때문이다. 이러한 시스템은 IT 인프라에 깊이 자리잡고 있어 사용자를 확인하려면 비밀번호가 필요하다. 이를 위해, IAM(Identity and Access Management)이 다음을 가능케 한다면 비밀번호 없는 세상으로의 전환을 용이하게 할 것이다:
◆제로 사인온(Zero Sign-On, ZSO) - 비밀번호 없는 솔루션의 핵심 구성 요소인 ZSO는 디바이스 정보 같은 상황별 정보를 사용해 사용자 ID를 인증하는 강력한 암호화 표준을 활용한다. ZSO는 다른 맞춤형 비밀번호 없는 인증 요소와 결합해 사용성과 보안을 향상시킨다. 예를 들어, 장치가 확인되고 보안 상태 요구 사항을 충족하면 사용자가 추가 인증에서 벗어나 로그인이 더욱 원활진다.
◆안전한 원격 VPN 엑세스(Secure remote VPN access) - 회사들은 원격 업무가 더욱 자리매김함에 따라 직원들이 VPN을 사용해 적응형 MFA로 사내 네트워크에 액세스할 수 있도록 권장하고 있다. 이를 통해 기업 네트워크에 대한 원활하고 안전한 원격 액세스가 가능해졌으며, 상황별 및 위험 분석을 통해 지속적인 평가도 구현될 수 있게 됐다.
◆비밀번호 없는 인증자 대체 셀프 서비스(Self-service passwordless authenticator replacement) - 진정한 비밀번호 없는 환경에서는 사용자가 자체적으로 등록할 수 있을 뿐만 아니라 공격 표면을 줄이고, 자격 증명 도용을 최소화하는 암호 키를 사용해 비밀번호 없이 인증자를 교체 및 삭제할 수 있다. 사용자는 선택 가능한 다양한 대체 비밀번호 없는 인증자와 함께 적절한 보안 제어 기능을 갖춰야만 한다. 예를 들어, 사용자가 디바이스를 분실할 경우 비밀번호 없는 인증 요소를 적절한 보안 제어 기능으로 대체할 수 있기 때문에 이는 유용할 것이다.
비밀번호 없는 인증은 특히 구글, 애플, MS 같은 주요 기술 회사에서 그들의 시스템에 비밀번호 기술을 통합하면서 추진력을 얻고 있다. 올해는 비밀번호 없는 프로젝트를 계획하거나 준비하는 조직들이 보다 안전한 인증 방법 채택을 위해 파일럿 및 프로젝트를 시작할 가능성이 높다. 비밀번호 없는 인증은 기존 비밀번호와 관련된 취약점을 제거한다.
올바른 전략적 사용
사이버 공격과 사기가 증가함에 따라 사용자는 MFA(Multi-factor Authentication) 관련 피로에 직면해 있다. 이는 사용자가 자격 증명 인증을 시도하는 동안 환멸을 느끼게 되는 것을 의미한다. 또한 사회 공학 및 일회성 비밀번호(OTP)의 멀웨어 도용 같은 MFA 우회 기술의 증가에 따라 비밀번호를 제거해야 할 필요성이 강조되고 있다.
하지만, 특히 수천 명의 사용자, 셀 수 없이 많은 애플리케이션, 하이브리드 및 멀티 클라우드 환경은 물론 복잡한 로그인 과정을 처리할 때 비밀번호를 사용하지 않는 것은 결코 쉬운 일이 아니다. 완전히 비밀번호 없는 환경을 구축하려면 기술 발전과 사용자 채택 증가에 따른 단계적 접근 방식이 필요하다. 모든 보안 관련 업무와 마찬가지로 이를 위해서는 전략적 계획이 필요하며, 리더십은 다음과 같은 내용을 파악하는 데 주도적인 역할을 해야 한다.
△비밀번호 없는 인증에 가장 적합한 사용 사례
△조직 내에서 가장 위험한 사용자
△보안과 편리성을 연결하는 비밀번호 없는 요소
△운영 중단이나 추가 위험 발생 없이 비밀번호 제거를 파일럿 및 확장하는 단계
비즈니스 리더는 지속적인 교육을 포함해 체계적이고, 조직 전반에 걸쳐 도입을 보장하는 공급업체의 전문 지식을 통해 이러한 고려 사항을 탐색할 수 있다. 조직은 IAM 공급업체가 보유한 기술 혁신 및 지적 재산 보호 기능을 포함해 비밀번호 없는 인증에 대한 비전을 면밀히 검토해 IAM 공급업체의 자격 증명에 집중해야 한다.
즉, 비밀번호 없는 인증은 엔터프라이즈 보안 퍼블의 한 부분에 불과하다. 위협을 차단하는 일은 공격자가 더욱 정교해짐에 따라 조직이 안전한 상태를 유지할 수 있도록 인간 및 머신의 아이덴티티를 원활하게 보호하는 데 달려 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
