Offcanvas

CSO / How To / 랜섬웨어 / 보안 / 악성코드

'비밀번호 하나 없애려니 대체재 술술' MFA 솔루션 제대로 고르기

2022.10.20 Tim Ferrill  |  CSO
다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.  
 
ⓒShutterstock

오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다. 

보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다. 

현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다. 

MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다. 
 

패스워드리스(Passwordless)? 제로 트러스트(Zero Trust)?

MFA에 대해 얘기하는 데 두 가지 관련 키워드, 패스워드리스와 제로 트러스트를 지나칠 수 없다. 패스워드리스는 간단한 개념이다. 더 안전한 방법(생체인식 또는 소프트웨어 토큰)으로 사용자를 인증해 비밀번호의 필요성 자체를 없애는 인증 방식을 말한다. 여기서 설명하는 많은 MFA 플랫폼은 비즈니스 사례가 적합한 경우 패스워드리스 인증을 쉽게 하는 데 사용될 수 있다. 다만 실제 배포하는 데는 시간이 걸릴 수도 있다. 
 
ⓒDepositphotos

또 다른 일반적인 용어인 제로 트러스트는 인프라 보안을 위한 광범위한 모델이다. 전통적으로 네트워크 보안은 보안 경계를 유지하는 것으로 시작했다. 이는 동시에 어떤 사용자나 장치가 기업 네트워크에 연결되기만 한다면 최소한의 접근 권한을 기본적으로 갖게 된다는 치명적 허점이 있었다. 

반대로 제로 트러스트 모델은 네트워크 경계에 대해 아무것도 가정하지 않으며 클라우드 또는 온프레미스 인프라를 모두 망라한다.  
 
ⓒDepositphotos

MFA 솔루션은 다양한 방식으로 제로 트러스트 원칙을 도입한다고 볼 수 있다. 예컨대 사용자에게 접근 권한을 주기 전 해당 장치가 관리하에 승인된 장치인지 확인한다. 또한 MFA 솔루션은 제로 트러스트의 또 다른 핵심 원칙의 하나로서 역동적으로 보안 정책을 바꾼다. 인증 시도의 다양한 구성 요소를 평가하여 기존 위협 데이터와 비교하고, 위험 수준을 채점하고, 신뢰를 강화하기 위해 추가 인증 요구 사항을 적용한다. 

마지막으로, 이러한 동적 정책의 큰 부분은 알고리즘과 기계 학습이 처리하기에 충분한 데이터를 가지고 있다는 것이다. 이는 MFA가 이질적인 모든 인증 프로세스를 중앙 집중식 솔루션으로 흘려보냄으로써 기업을 제로 트러스트 모델로 발전시키는 데 기여하는 또 다른 영역이다. 따라서 기업은 접근 시도를 추적하고 한 눈에 관리할 수 있다. 
 

MFA 솔루션 선택장애 벗어나기

모든 보안 솔루션은 최종 사용자가 쓰기 편해야 하므로 까다롭다. 그게 어렵다면 최소한의 효율성을 유지해야 한다. 
 
ⓒShutterstock

최악의 선택은 사용자가 기업 리소스에 아예 접근할 수 없거나 사실상 접근이 불가능할 정도로 보안 요구 사항을 높이는 것이다. 사용자가 설정한 보안 조치를 무시하고 위태롭게 접근할 방법을 찾을 가능성이 커 이는 매우 위험하다.
 
MFA 솔루션 업체별로 인증 방식은 다양하다. SMS 및 이메일 기반 보안 코드는 기본 중 기본이다. 없는 것보다는 나은 수준이다. 그러나 과연 이런 보안 수준이 충분한지 따져봐야 할 것이다. 전자 메일과 SMS 모두 잠재적으로 손상되기 쉽다. TOTP(Time-Based One-Time Password)와 같은 MFA 표준은 일반적으로 Google Authenticator와 같은 인증 앱에서 지원되지만, 궁극적으로 인증 서비스와 사용자의 인증 장치 모두에 알려진 단일 인증 토큰에 의존한다는 점을 잊어서는 안 된다. 

많은 MFA 제공자들은 독점 프로토콜에 의존하는 모바일 앱을 두 번째 인증 요소로 제공한다. 강력한 보안과 푸시 알림을 포함한 편리한 기능을 누릴 수 있기 때문이다. MFA에는 몇 가지 표준이 있다: FIDO Alliance의 FIDO(Fast Identity Online)와 W3C의 WebAuthn(Web Authentication)이 인기 있는 두 가지 옵션이다. FIDO 2 표준은 WebAuthn과 FIDO의 Client to Authenticator Protocol 2(CTAP2)를 결합한다. 여러 엔터프라이즈 MFA 플랫폼에서 사용할 수 있다. 
 
FIDO 2는 유비코의 유비키와 같은 하드웨어 토큰은 물론 애플 터치ID나 윈도우 헬로 같은 기기 기반 인증 기능을 활용하는 편리성에 덕에 인기가 많다. 

기업용 MFA 공급 업체는 인증 보안을 강화하기 위해 추가 도구와 기능을 제공한다. 이러한 툴이 적절하게 구현되면 기업은 수많은 사내 애플리케이션 및 리소스를 아우르는 단일 보완 관리 체계를 구축하게 된다. 향상된 로깅 및 분석, 인증 정책, 나아가 인공지능(AI)과 위험 기반 조건부 액세스와 같은 효과적인 인증 기능을 구현할 수도 있다. 

그러나 장밋빛 미래만 펼쳐진 것은 아니다. 기업은 플랫폼 전반에 대한 초기 설정 프로세스를 고려해야 한다. 특히, 기업은 직원들이 MFA 솔루션에 등록하는 데 들여야 할 난이도를 고려해야 한다.

MFA 솔루션을 선택할 때 고려해야 할 또 다른 측면은 보안하고자 하는 기업 리소스의 종류를 포함한다. 오피스 365, Google Workspaces 또는 세일즈포스와 같은 클라우드 앱이 대표적이다. MFA를 도입하기 매우 쉽다. 

기업 VPN은 MFA의 또 다른 일반적인 사용 사례이다. 따지고 보면 VPN 또한 회사의 네트워크로 향하는 통로이지 않은가? 물리적 기업 시설만큼 VPN도 최소한의 보호 장치를 갖춰야 한다. 마찬가지로 VDI(Virtual Desktop Infrastructure) 구현도 사용자가 인증한 후 기업 리소스에 대한 접근 권한을 쉽게 열어주므로 MFA 인증이 적용돼야 한다.

내부 또는 맞춤형 비즈니스 앱에 MFA를 활용하는 것은 좀 더 어려운 전환이다. 보호하고자 하는 앱의 성숙도에 크게 의존한다. 마지막으로, 특히 점점 더 많은 사용자가 원격으로 작업하는 시대에 기업 데스크톱과 서버에 대한 인증에도 MFA를 구현해야 할 것이다. 

기존 자격 증명 저장소와 새 MFA 솔루션을 통합하는 것도 빠트릴 수 없는 고려사항이다. 이는 종종 사내 LDAP(Lightweight Directory Access Protocol) 디렉터리와 통합하는 것을 수반한다. 많은 MFA 공급자는 로컬 네트워크에 설치된 소프트웨어 에이전트를 사용하거나 LDAPS(LDAP over SSL)를 통해 이 작업을 수행한다. 
 
ⓒShutterstock

엔터프라이즈 확장으로 여러 디렉터리가 확보되면 상황이 조금 더 복잡해진다. 회사는 특정 속성에 대한 마스터 데이터를 포함하는 저장소와 다른 저장소 간의 속성을 호환시킬 방법을 찾아야 하기 때문이다. MFA 솔루션이 이러한 복잡성을 처리할 수 있을 만큼 충분히 고도화됐는지 확인해야 한다.

활용 사례별 인프라 측면에서 클라우드 앱은 종종 쉬운 선택이 될 것이다. 많은 것들이 보안 어설션 마크업 언어(Security Assertion Markup Language)와 같은 표준을 사용해 원활하게 통합된다. 대부분의 VPN 솔루션은 RADIUS(Remote Authentication Dial-In User Service)와의 통합을 지원한다. RADIUS를 사용하여 인증을 기존 RADIUS 서버와 회사의 MFA 공급자에게 전달하거나 표준 RADIUS 프로토콜을 사용하여 MFA 공급자와 직접 통신할 수 있다. 

사용자 지정 또는 내부적으로 호스팅된 비즈니스 앱은 API를 통해 MFA 제공자와의 상호 작용을 요구하거나 잠재적으로 SAML을 활용할 수 있다. 데스크톱 및 서버용 MFA는 인증 워크플로우에 통합되기 위해 각 엔드포인트에 설치된 소프트웨어가 필요하다. 
 

대표 MFA 솔루션 8선 

MFA 시장에는 훌륭한 선택지가 여럿 있으며, 각각 포괄적인 기능 세트와 상당한 유연성을 갖추고 있다. 아래 8가지 대표적 서비스다. 

- 듀모(Duo)의 시스코 시큐어 액세스(Cisco Secure Access)
- IBM 보안 버리파이(IBM Security Verify)
- LastPass MFA
- 마이크로소프트 애저 ADMFA
- 옥타(Okta) 적응형 MFA
- 핑원(PingOne) MFA
- RSA 시큐어아이디(SecureID)
- 유비코(Yubico) 유비키(Yubikey) 하드웨어 토큰 

1. 듀오(Duo)의 시스코 시큐어 액세스(Cisco Secure Access)
듀오는 가장 대표적인 MFA 서비스다. 다양한 애플리케이션, 서비스, 심지어 서버에 도입하기 쉽다는 점이 큰 셀링 포인트다. 많은 앱이 즉시 통합된다. 또한 듀오의 MFA 앱은 간편하고 안전한 등록 프로세스와 푸시 인증을 모두 지원한다.

2. IBM 보안 버리파이(IBM Security Verify)
IBM이 ID 관리 및 MFA 시장에 진출해 내놓은 제품이다. IBM 보안 버리파이는 클라우드 또는 온프레미스 애플리케이션, VPN 및 데스크톱에 대한 MFA 옵션을 제공한다. 버리파이 서비스의 주요 기능은 다른 ID 제공자와의 통합하기 쉽다는 점이다. 즉, MFA 인증 방식 간의 상호호환성이다. 아마도 가장 중요한 것은 버리파이가 적응형 액세스 및 위험 기반 인증의 광범위한 기능을 제공한다는 것이다. 결론적으로 IBM 보안 버리파이는 기업 리소스에 대한 액세스를 보호하는 데 필요한 모든 기능을 제공한다.

3. 라스트패스 MFA
라스트패스는 암호 관리자로 가장 잘 알려졌지만, MFA 오퍼링은 여기서 언급할 만큼 매우 쓸만하다. 라스트패스 MFA는 LastPass Business의 추가 기능이지만 비즈니스 사용자는 기본적인 MFA 기능을 사용할 수 있다. MFA 추가 기능에는 컨텍스트 인증 정책, 워크스테이션 및 VPN 모두에 대한 지원, 이 목록의 다른 많은 솔루션과 마찬가지로 다른 IDP(IDP)와 통합하는 옵션 등이 있다. 

4. 마이크로소프트 ADMFA
대부분 사람들은 이 시점에서 애저 AD에 익숙하며, Microsoft가 MFA와 조건부 액세스를 위한 견고한 기준을 제공한다는 것은 잘 알려져 있다. 일부 기능(특히 조건부 액세스 및 위험 기반 인증)은 프리미엄 계정이 필요하지만 기본 MFA 기능은 무료 애저 AD 인스턴스에 포함되어 있다. 또한 일부 오피스 365 계정에는 애저 AD Premium이 포함되어 있으니 쓰지 않을 이유가 없다. 

5. Okta 적응형 MFA
현대 아이덴티티 관리 및 적응형 MFA 정책 측면에서 옥타는 시장 최고의 솔루션 중 하나이다. 옥타는 ID와 인증을 둘러싼 다양한 도구와 서비스를 제공하여 기업 IT가 자신의 요구에 가장 적합한 요소를 선택하고 선택할 수 있도록 한다.

6. 핑원(PingOne) MFA
Ping Identity는 오랫동안 ID 보안을 위한 솔루션을 제공해 왔으며 기업 ID를 관리하고 보호하기 위한 강력한 서비스 세트를 갖추고 있다. 핑원 MFA는 푸시 기반 MFA, 일회용 암호, 생체 인식 및 고객 대면 인증 프로세스의 기타 주요 구성 요소 등 MFA의 다양한 측면에 초점을 맞추고 있다.

또한 핑원은 사용자의 인증 프로세스를 최적화하는 동적 정책을 제공하며 사용자 지정 브랜딩을 적용하거나 자체 비즈니스 애플리케이션에 서비스를 통합할 수 있다.

7. RSA 시큐어아이디(SecureID)
RSA는 클라우드 기반 MFA 서비스가 본격적으로 출시되기 이전부터 MFA 시장에 진출했다. 여러 가지 이유로 인해 선두 업체로 남아 있다. RSA의 MFA 모바일 앱은 기능 면에서 다른 솔루션과 동등하며, RSA는 여전히 VPN, 웹 애플리케이션 또는 기타 기업 리소스와 함께 사용할 수 있는 OTP(회전 원타임 암호)를 생성하는 하드웨어 토큰을 제공한다.

8 유비코(Yubico) 유비키(Yubikey) 하드웨어 토큰 
MFA에 대해 조금이라도 안다면, 나열된 많은 MFA 서비스(및 기타 많은 서비스)를 얘기할 때 항상 빠짐 없이 등장하는 작은 하드웨어 토큰인 유비키를 모를리 없다.

비즈니스 시나리오를 위해 유비코는 직원들에게 토큰을 발행하는 공급망 측면을 관리하는 데 주로 중점을 둔 몇 가지 서비스를 제공한다. 유비 엔터프라이즈(YubiEnterprise) 구독 서비스는 버퍼 재고 또는 YubiKeys를 유지하고 정기적인 업그레이드를 처리할 수 있는 비용 효율적인 방법을 제공한다.

유비 엔터프라이즈 딜리버리도 이와 유사하게 유비키 발급 관리를 돕지만, 재고를 관리하는 IT샵이 아닌 직접 배송을 통해 가능하다. 유비코의 또 다른 서비스인 유비 클라우드(YubiCloud)는 비즈니스 애플리케이션에서 유비키 인증을 활용하는 데 사용할 수 있는 API 집합이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.