2018.07.16

블로그 | "최선의 사기 방지법"··· 지속적 사용자 인증이란?

Roger A. Grimes | CSO
필자는 2주 전, 샌디에이고 CISO 커넥트(CISO Connect)에서 애트나(Aetna) CSO 짐 로스의 기조 연설에서 "지속적 사용자 인증(continuous user authentication)"이라는 말을 처음 들었다.

CISO 커넥트는 초대받은 사람만 갈 수 있는 CISO 및 기타 주요 보안 인사들의 모임이다. 기조 연설에서 로스는 오늘날 대부분의 인증이 로그온 시점에 이진법적으로 이뤄진다고 말했다. 즉, 사용자는 로그온 시 인증을 해야 하며 인증에 성공하면 이전에 시스템에서 권한이 부여된 모든 일을 할 수 있다.



로스는 머지 않은 미래에는 일상적인 행동 특성이 지속적으로 평가되고 정립된 패턴과 비교될 것이라고 말했다. 정립된 패턴에서 이탈하는 경우, 더 높은 위험의 애플리케이션 기능에 대해 강화된 인증이 발동될 수 있다. 로그온한 사용자가 하는 모든 작업은 지속적으로 재평가되고, 승격된 위험 시나리오에 해당하는 행동을 하는 경우 재인증이 진행되어 추가 신원 증명을 해야 하거나 행동이 거부될 수도 있다.

이진법적 인증에서는 인증이 안 되어 아무것도 못하거나, 인증 성공 후 이전에 허용된 모든 것을 할 수 있는 둘 중 하나다. 이 형태의 인증에서 가장 큰 문제는 악당이 사용자 인증 정보를 획득하는 경우 계정 삭제를 포함한 모든 작업을 할 수 있다는 점이다. 정상 시스템에서도 새 위조 계정을 만들면 이를 기반으로 온갖 종류의 악행을 저지를 수 있다.

그러나 지속적 사용자 인증에서는 일상적인 행동 특성이 지속적으로 평가되고 정립된 패턴과 비교된다. 정립된 패턴에서 이탈하는 경우 더 높은 위험의 애플리케이션 기능에 대해 강화된 인증이 발동될 수 있다. 이 개념을 듣고 나니 로그온 시에만 사용자 행동을 평가하는 방법이 이젠 구시대의 유물처럼 느껴진다. 이런 낡은 보안 모델로 어떻게 지금까지 버텨왔는지 의문이 든다.

첫 번째 단계, 적응형 인증
필자는 오래 전 마이크로소프트에서 일할 당시 적응형 인증(Adaptive authentication)에 대해 알게 된 이후부터 이 인증을 선호해왔다. 회의에서 핫메일 이메일 보안 관리자들이 여러 가지 사용자 "속성(attributes)"을 관찰해 사용자의 로그온이 정상적인지 의심스러운지 여부를 평가하는 새로운 기능의 베타 테스트에 대해 이야기하고 있었다. 이들은 사용자가 일반적으로 로그온을 하는 장소, 로그온할 때 일반적으로 사용하는 브라우저와 운영체제 속성, 시간 등을 관찰할 계획을 논의했다.

수개월 후, 필자가 적응형 인증에 대한 기사를 쓸 무렵 마이크로소프트의 적응형 인증 팀은 사용자 로그온 시 평가할 100개 이상의 사용자 속성을 정했다. 새로운 로그온 속성에는 사용자가 ID와 비밀번호를 입력하는 데 소요되는 시간까지 포함됐다. 당시로서는 상당히 좋은 생각이었다.

구글을 비롯한 다른 대형 이메일 제공업체들도 같은 기능을 적용했다. 다른 업체가 사용자 로그온의 합법성을 평가하기 위해 어떤 방법을 사용하는지 공개할 리는 없었으므로 필자는 각 웹 서비스 제공업체가 적응형 로그온 평가에서 무엇을 하는지 직접 테스트했다. 어떤 속성을 얼마나 오래 추적하는지 알아보고 싶었다.

지메일 콘솔에 로그인하면 지난 번에 로그인한 장소와 함께 현재의 로그온 시도가 정상적인 시도임을 입증하라는 메시지가 표시되는데, 여행을 자주 하는 필자는 이 기능이 아주 마음에 들었다. 지메일은 처음에는 보조 계정으로 이메일 메시지를 보냈다. 이후 SMS 메시지로 바뀌어 정상 로그온 인증 정보 외에 부가적으로 입력해야 하는 코드를 발송했다. 지금 많은 웹 사이트가 적응형 인증 로그온을 시행하며, 선택 가능한 몇 가지 방법을 제공해 사용자가 현재 로그온 시도의 합법성을 입증할 수 있도록 한다.

일부 시스템에서는 같은 호텔에서 같은 컴퓨터를 사용하는 경우, 그 간격이 1년 이상이라 해도 추가 인증이 필요없다. 또한 같은 호텔에서 다른 컴퓨터를 사용하더라도 추가 로그온 인증이 불필요한 경우도 있다. 필자가 선택한 기기를 수년 동안 기억하는 시스템이 있는가 하면, 수개월이 지나면 새 기기 등록이 삭제되는 듯한 시스템도 있다. 필자는 여러 서비스에서 몇 시간 동안 브라우저의 사용자 에이전트 문자열을 바꿔가면서 적응형 인증 요건을 촉발하는 요소와 그렇지 않은 요소를 확인하곤 했다.

지속적 사용자 인증, 이미 사용 중
적응형 인증은 좋지만 대부분은 여전히 로그온 시의 이진법적 결정에 머물러 있다. 로그온하기 위해 몇 가지 인증 요소를 거쳐야 할 수 있지만, 일단 로그온하면 이전에 권한이 부여된 모든 작업을 할 수 있다. 괜찮지만 뛰어나다고는 할 수 없다.

지속적 사용자 인증은 커다란 진전이다. 개인적으로는 닐 암스트롱이 달에 첫 발을 내딛은 정도와 맞먹는다고 생각한다. 지속적 사용자 인증에서는 사용자가 이미 로그온한 상태에서 하는 일도 인증 방정식의 일부다.

시스템은 사용자의 행동이 이전 인증에서의 행동과 다르다고 판단되면 적색 플래그를 발동하고 사용자가 정상적인지 또는 서비스나 계정을 높은 위험에 노출시키는 행동을 하는지 여부를 결정하는 점수를 높이거나 낮춘다. 이 점수가 충분히 높다면 현재 인증된 세션이 일시 정지되거나 추가 심사를 위해 제출될 수 있으며, 사용자가 동일한 또는 부가적인 인증 요소를 제공해야 할 수도 있다.

새로운 개념은 아니다. 신용카드 업계에서는 수십년 전부터 지속적 사용자 인증에 완벽을 기하기 위해 애쓰고 있다. 직접 겪을 수 있는 사례는 물건을 구매하려고 하는데 신용카드(또는 직불카드) 업체에서 카드 거래를 유예하는 경우다. 과거에는 이 경우 카드 업체에 전화를 걸어 신원을 증명하면 거래를 승인해줬다. 요즘은 보통 현재 금융 거래를 승인하라는 SMS 메시지가 전송된다.

이 방법도 완벽하지는 않다. 필자가 바로 몇 분 전에 물건을 구입한 월마트에서 필자의 아내가 물건을 구입하려고 하자 거래가 차단된 적이 있다(아마도 구매 간격이 경고를 촉발한 수상한 요소로 작용한 듯 하다). 1분 정도 후 신용카드 회사로부터 거래 확인 SMS 메시지가 왔지만 그때는 이미 아내가 다른 결제 방법으로 계산을 한 뒤였다. 물론 아내는 거래 지연의 불편함, 그리고 잘못된 거래 거부로 인해 줄을 서 기다리던 다른 사람들 앞에서 약간의 수치심을 느꼈다. 그러나 완벽하지는 않다 해도 거래 중인 신용카드 회사가 내 계정을 감시하고 있다는 사실이 필자는 반가웠다.

오탐지가 고객 불편과 부정적인 감정을 유발한다는 사실을 잘 아는 모든 신용카드 업체는 오탐지를 최소화하기 위해 노력 중이다. 오탐지가 지나치게 많이 발생하면 고객은 다른 업체를 택할 것이다. 어느 업체도 원하지 않는 상황이다.

예전과 바뀐 부분은 지속적 사용자 인증이 점점 더 디지털 세계로 옮겨가고 있다는 점이다. 실제 세계에서 순수 온라인으로, 디지털 작업으로 이동 중이다. 속성과 특성의 작용은 신용카드를 사용하는 오프라인 상점에 비해 훨씬 더 흥미롭다.

지난 수년 동안 다양한 지속적 인증 방법이 제안되고 테스트되고 다듬어졌다. 예를 들어 기기 포지셔닝(사용자가 일반적으로 모바일 디바이스를 쥐는 방법), 손가락 압력, 터치스크린 제스처, 확장된 생체 관찰 등이 있다.

단절 없는 사용자 인증
지속적 사용자 인증은 전통적인 이진법적 인증 로그온이 아예 없는 단절 없는(seamless) 사용자 인증 개념으로도 이어진다. 앱을 시작하면 사용자가 인지하지 못하는 방법, 예를 들어 얼굴 인식이나 기기 소유권 또는 입력 특성과 같은 인증 방법을 사용해 단절 없이, 물 흐르듯 인증된다. 이후 사용자가 중요한 영향을 미치는 행동 또는 과거 트랜잭션에 비추어 일반적이지 않은 행동을 할 때만 추가 인증이 요청된다.

이 방법은 일부 플랫폼 또는 앱에서 제한적으로 이미 실행 중이다. 예를 들어 휴대 전화나 컴퓨터를 쳐다보면 자동 인식을 거쳐 로그인되는 경우가 여기에 해당된다. 지속적 사용자 인증과 단절 없는 사용자 인증에 관한 연구는 빠른 속도로 발전 중이다. 아이디어와 테스트도 기하급수적으로 증가하고 있다. 상당수 솔루션이 카메라와 생체정보 속성을 사용한다. 필자가 가장 선호하는 현재 연구 단계의 제안은 사용자가 마우스를 사용하는 동안 지속적으로 지문을 판독하는 방법이다.

아주 기발하고 멋진 아이디어, 지속적 사용자 인증
지금은 컴퓨터 보안의 인증 측면에서 흥미로운 시점이다. 인증은 하루가 다르게 강화되고 있다. 사용자에게는 더 많은 이중 인증 선택안을 포함한 더 많은 인증 옵션이 제공되고 있다. 수년 동안의 헛된 기대 끝에 마침내 FIDO와 같은 오픈소스 인증 표준이 개발, 배포되는 중이다. 인증을 확인하는 데 사용되는 시스템 주변의 인증 보호가 강화되고 있으며 과거보다 더욱 똑똑해진 적응형 인증은 모든 곳에 도입되고 있다.

업계가 더욱 정확한 속성 측정을 위한 연구를 추진함에 따라 전통적인 인증 개념은 앞으로 사라질 것이다. 인증의 미래는 사용자가 의식하지 못하는 사이에 인증되는 것이다. 방해되는 요소는 아무것도 없이 그냥 자연스럽게 인증된다. 앞으로는 앱에 로그인하거나 서비스를 사용하기 전에 ID와 인증 정보를 직접 제공한다는 원시적인 개념은 잊혀진다. 아마 우리의 손자손녀들은 "비밀번호"라는 말의 의미도 모르게 될 것이다. editor@itworld.co.kr  



2018.07.16

블로그 | "최선의 사기 방지법"··· 지속적 사용자 인증이란?

Roger A. Grimes | CSO
필자는 2주 전, 샌디에이고 CISO 커넥트(CISO Connect)에서 애트나(Aetna) CSO 짐 로스의 기조 연설에서 "지속적 사용자 인증(continuous user authentication)"이라는 말을 처음 들었다.

CISO 커넥트는 초대받은 사람만 갈 수 있는 CISO 및 기타 주요 보안 인사들의 모임이다. 기조 연설에서 로스는 오늘날 대부분의 인증이 로그온 시점에 이진법적으로 이뤄진다고 말했다. 즉, 사용자는 로그온 시 인증을 해야 하며 인증에 성공하면 이전에 시스템에서 권한이 부여된 모든 일을 할 수 있다.



로스는 머지 않은 미래에는 일상적인 행동 특성이 지속적으로 평가되고 정립된 패턴과 비교될 것이라고 말했다. 정립된 패턴에서 이탈하는 경우, 더 높은 위험의 애플리케이션 기능에 대해 강화된 인증이 발동될 수 있다. 로그온한 사용자가 하는 모든 작업은 지속적으로 재평가되고, 승격된 위험 시나리오에 해당하는 행동을 하는 경우 재인증이 진행되어 추가 신원 증명을 해야 하거나 행동이 거부될 수도 있다.

이진법적 인증에서는 인증이 안 되어 아무것도 못하거나, 인증 성공 후 이전에 허용된 모든 것을 할 수 있는 둘 중 하나다. 이 형태의 인증에서 가장 큰 문제는 악당이 사용자 인증 정보를 획득하는 경우 계정 삭제를 포함한 모든 작업을 할 수 있다는 점이다. 정상 시스템에서도 새 위조 계정을 만들면 이를 기반으로 온갖 종류의 악행을 저지를 수 있다.

그러나 지속적 사용자 인증에서는 일상적인 행동 특성이 지속적으로 평가되고 정립된 패턴과 비교된다. 정립된 패턴에서 이탈하는 경우 더 높은 위험의 애플리케이션 기능에 대해 강화된 인증이 발동될 수 있다. 이 개념을 듣고 나니 로그온 시에만 사용자 행동을 평가하는 방법이 이젠 구시대의 유물처럼 느껴진다. 이런 낡은 보안 모델로 어떻게 지금까지 버텨왔는지 의문이 든다.

첫 번째 단계, 적응형 인증
필자는 오래 전 마이크로소프트에서 일할 당시 적응형 인증(Adaptive authentication)에 대해 알게 된 이후부터 이 인증을 선호해왔다. 회의에서 핫메일 이메일 보안 관리자들이 여러 가지 사용자 "속성(attributes)"을 관찰해 사용자의 로그온이 정상적인지 의심스러운지 여부를 평가하는 새로운 기능의 베타 테스트에 대해 이야기하고 있었다. 이들은 사용자가 일반적으로 로그온을 하는 장소, 로그온할 때 일반적으로 사용하는 브라우저와 운영체제 속성, 시간 등을 관찰할 계획을 논의했다.

수개월 후, 필자가 적응형 인증에 대한 기사를 쓸 무렵 마이크로소프트의 적응형 인증 팀은 사용자 로그온 시 평가할 100개 이상의 사용자 속성을 정했다. 새로운 로그온 속성에는 사용자가 ID와 비밀번호를 입력하는 데 소요되는 시간까지 포함됐다. 당시로서는 상당히 좋은 생각이었다.

구글을 비롯한 다른 대형 이메일 제공업체들도 같은 기능을 적용했다. 다른 업체가 사용자 로그온의 합법성을 평가하기 위해 어떤 방법을 사용하는지 공개할 리는 없었으므로 필자는 각 웹 서비스 제공업체가 적응형 로그온 평가에서 무엇을 하는지 직접 테스트했다. 어떤 속성을 얼마나 오래 추적하는지 알아보고 싶었다.

지메일 콘솔에 로그인하면 지난 번에 로그인한 장소와 함께 현재의 로그온 시도가 정상적인 시도임을 입증하라는 메시지가 표시되는데, 여행을 자주 하는 필자는 이 기능이 아주 마음에 들었다. 지메일은 처음에는 보조 계정으로 이메일 메시지를 보냈다. 이후 SMS 메시지로 바뀌어 정상 로그온 인증 정보 외에 부가적으로 입력해야 하는 코드를 발송했다. 지금 많은 웹 사이트가 적응형 인증 로그온을 시행하며, 선택 가능한 몇 가지 방법을 제공해 사용자가 현재 로그온 시도의 합법성을 입증할 수 있도록 한다.

일부 시스템에서는 같은 호텔에서 같은 컴퓨터를 사용하는 경우, 그 간격이 1년 이상이라 해도 추가 인증이 필요없다. 또한 같은 호텔에서 다른 컴퓨터를 사용하더라도 추가 로그온 인증이 불필요한 경우도 있다. 필자가 선택한 기기를 수년 동안 기억하는 시스템이 있는가 하면, 수개월이 지나면 새 기기 등록이 삭제되는 듯한 시스템도 있다. 필자는 여러 서비스에서 몇 시간 동안 브라우저의 사용자 에이전트 문자열을 바꿔가면서 적응형 인증 요건을 촉발하는 요소와 그렇지 않은 요소를 확인하곤 했다.

지속적 사용자 인증, 이미 사용 중
적응형 인증은 좋지만 대부분은 여전히 로그온 시의 이진법적 결정에 머물러 있다. 로그온하기 위해 몇 가지 인증 요소를 거쳐야 할 수 있지만, 일단 로그온하면 이전에 권한이 부여된 모든 작업을 할 수 있다. 괜찮지만 뛰어나다고는 할 수 없다.

지속적 사용자 인증은 커다란 진전이다. 개인적으로는 닐 암스트롱이 달에 첫 발을 내딛은 정도와 맞먹는다고 생각한다. 지속적 사용자 인증에서는 사용자가 이미 로그온한 상태에서 하는 일도 인증 방정식의 일부다.

시스템은 사용자의 행동이 이전 인증에서의 행동과 다르다고 판단되면 적색 플래그를 발동하고 사용자가 정상적인지 또는 서비스나 계정을 높은 위험에 노출시키는 행동을 하는지 여부를 결정하는 점수를 높이거나 낮춘다. 이 점수가 충분히 높다면 현재 인증된 세션이 일시 정지되거나 추가 심사를 위해 제출될 수 있으며, 사용자가 동일한 또는 부가적인 인증 요소를 제공해야 할 수도 있다.

새로운 개념은 아니다. 신용카드 업계에서는 수십년 전부터 지속적 사용자 인증에 완벽을 기하기 위해 애쓰고 있다. 직접 겪을 수 있는 사례는 물건을 구매하려고 하는데 신용카드(또는 직불카드) 업체에서 카드 거래를 유예하는 경우다. 과거에는 이 경우 카드 업체에 전화를 걸어 신원을 증명하면 거래를 승인해줬다. 요즘은 보통 현재 금융 거래를 승인하라는 SMS 메시지가 전송된다.

이 방법도 완벽하지는 않다. 필자가 바로 몇 분 전에 물건을 구입한 월마트에서 필자의 아내가 물건을 구입하려고 하자 거래가 차단된 적이 있다(아마도 구매 간격이 경고를 촉발한 수상한 요소로 작용한 듯 하다). 1분 정도 후 신용카드 회사로부터 거래 확인 SMS 메시지가 왔지만 그때는 이미 아내가 다른 결제 방법으로 계산을 한 뒤였다. 물론 아내는 거래 지연의 불편함, 그리고 잘못된 거래 거부로 인해 줄을 서 기다리던 다른 사람들 앞에서 약간의 수치심을 느꼈다. 그러나 완벽하지는 않다 해도 거래 중인 신용카드 회사가 내 계정을 감시하고 있다는 사실이 필자는 반가웠다.

오탐지가 고객 불편과 부정적인 감정을 유발한다는 사실을 잘 아는 모든 신용카드 업체는 오탐지를 최소화하기 위해 노력 중이다. 오탐지가 지나치게 많이 발생하면 고객은 다른 업체를 택할 것이다. 어느 업체도 원하지 않는 상황이다.

예전과 바뀐 부분은 지속적 사용자 인증이 점점 더 디지털 세계로 옮겨가고 있다는 점이다. 실제 세계에서 순수 온라인으로, 디지털 작업으로 이동 중이다. 속성과 특성의 작용은 신용카드를 사용하는 오프라인 상점에 비해 훨씬 더 흥미롭다.

지난 수년 동안 다양한 지속적 인증 방법이 제안되고 테스트되고 다듬어졌다. 예를 들어 기기 포지셔닝(사용자가 일반적으로 모바일 디바이스를 쥐는 방법), 손가락 압력, 터치스크린 제스처, 확장된 생체 관찰 등이 있다.

단절 없는 사용자 인증
지속적 사용자 인증은 전통적인 이진법적 인증 로그온이 아예 없는 단절 없는(seamless) 사용자 인증 개념으로도 이어진다. 앱을 시작하면 사용자가 인지하지 못하는 방법, 예를 들어 얼굴 인식이나 기기 소유권 또는 입력 특성과 같은 인증 방법을 사용해 단절 없이, 물 흐르듯 인증된다. 이후 사용자가 중요한 영향을 미치는 행동 또는 과거 트랜잭션에 비추어 일반적이지 않은 행동을 할 때만 추가 인증이 요청된다.

이 방법은 일부 플랫폼 또는 앱에서 제한적으로 이미 실행 중이다. 예를 들어 휴대 전화나 컴퓨터를 쳐다보면 자동 인식을 거쳐 로그인되는 경우가 여기에 해당된다. 지속적 사용자 인증과 단절 없는 사용자 인증에 관한 연구는 빠른 속도로 발전 중이다. 아이디어와 테스트도 기하급수적으로 증가하고 있다. 상당수 솔루션이 카메라와 생체정보 속성을 사용한다. 필자가 가장 선호하는 현재 연구 단계의 제안은 사용자가 마우스를 사용하는 동안 지속적으로 지문을 판독하는 방법이다.

아주 기발하고 멋진 아이디어, 지속적 사용자 인증
지금은 컴퓨터 보안의 인증 측면에서 흥미로운 시점이다. 인증은 하루가 다르게 강화되고 있다. 사용자에게는 더 많은 이중 인증 선택안을 포함한 더 많은 인증 옵션이 제공되고 있다. 수년 동안의 헛된 기대 끝에 마침내 FIDO와 같은 오픈소스 인증 표준이 개발, 배포되는 중이다. 인증을 확인하는 데 사용되는 시스템 주변의 인증 보호가 강화되고 있으며 과거보다 더욱 똑똑해진 적응형 인증은 모든 곳에 도입되고 있다.

업계가 더욱 정확한 속성 측정을 위한 연구를 추진함에 따라 전통적인 인증 개념은 앞으로 사라질 것이다. 인증의 미래는 사용자가 의식하지 못하는 사이에 인증되는 것이다. 방해되는 요소는 아무것도 없이 그냥 자연스럽게 인증된다. 앞으로는 앱에 로그인하거나 서비스를 사용하기 전에 ID와 인증 정보를 직접 제공한다는 원시적인 개념은 잊혀진다. 아마 우리의 손자손녀들은 "비밀번호"라는 말의 의미도 모르게 될 것이다. editor@itworld.co.kr  

X