디지털 세상의 철저한 신원 확인, 다요소 인증(MFA)
ID와 비밀번호는 디지털 중심의 세상에서 자신의 신원을 타인에게 확인시키고, 자격과 권한을 증명할 수 있는 수단이다. 특히 코로나19로 인해 비대면 온라인 서비스가 확대되면서 우리는 이전보다 더 많은 계정을 생성하고 ID와 비밀번호를 관리하게 됐으며, 자연스럽게 이를 노리는 사이버 공격 역시 늘어나고 있다.
실제로 지난해 말 개인정보호위원회와 과학기술정보통신부는 해킹 등으로 유출된 개인정보를 공유하는 해외 웹 사이트에서 불법 개인정보 DB를 확보해 분석했으며, 국내 1,362개 웹 사이트의 계정정보(이메일 주소, 패스워드) 2,346만 여건이 포함돼 있음을 확인했다. 이러한 계정 정보를 입수한 사이버 공격자는 실제 서비스에 접근해 정보를 유출하는 것은 물론, 지인을 사칭해 악성 파일이 담긴 이메일을 발송하는 등의 공격을 시도할 수 있다. 뿐만 아니라 여러 온라인 서비스에 입수한 ID와 비밀번호 조합을 입력해보는 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 기업 업무 시스템의 접근 권한을 획득하는 등 추가적인 피해를 일으킬 수도 있다. 특히 유출된 ID와 비밀번호를 온라인 쇼핑몰에 사용하고 있다면, 여기에 등록된 간편결제 수단을 통해 부정사용이 발생하는 등 금전적인 피해까지 우려할 수 있다. 이러한 계정을 보호하기 위해서는 주기적으로 비밀번호를 변경하고, 복잡한 비밀번호를 사용해야 하며, 이용하는 온라인 서비스마다 서로 다른 ID와 비밀번호를 사용하는 것이 좋다. 하지만, 사용하는 서비스가 많아지면 기억해야 할 비밀번호도 늘어난다. 특히 대소문자, 숫자, 특수문자 등의 조합을 요구하는 정책 때문에 기존에 사용하는 비밀번호에 숫자 1이나 !를 추가하는 정도로 단순한 비밀번호를 만드는 사용자도 많다.
예상하기 쉬운 비밀번호는 대표적인 보안 위협 요소다. 가령, 미국 트럼프 전 대통령의 트위터 계정이 해킹된 사고의 경우 비밀번호를 단순히 maga2020!로 설정했기 때문에 발생한 것으로 보고 있으며, 사상 최악의 공급망 공격이라 일컫는 솔라윈즈 사태에 대해 외신에서는 공격자가 최초 솔라윈즈 침투 시 비밀번호를 solarwinds123으로 추측해 침입했다고 보도하기도 했다.
복잡한 비밀번호를 설정하고 이를 주기적으로 변경하더라도 계정이 안전하다고 보장할 수는 없다. 예를 들어, 개인의 부주의로 비밀번호를 그대로 노출할 수도 있고, SQL 인젝션 등 웹 서버의 데이터를 탈취하기 위한 공격, 키로거같은 악성 프로그램 등 ID와 비밀번호가 유출될 수 있는 사례는 다양하다. 때문에 계정을 보호할 수 있는 근본적인 수단이 필요하다.
2단계 인증 혹은 다요소 인증(MFA, Multi Factor Authentication)은 유출된 계정을 안전하게 보호할 수 있는 방안이다. 사용자를 인증하는 방식은 크게 '지식 기반', '소유 기반', '특징 기반' 방식 등으로 나눌 수 있다. 지식 기반 인증이란 ID와 비밀번호가 대표적으로, 사용자의 기억이나 기록에 의존하는 방식이다. 소유 기반 인증이란 특정 사용자가 소유하고 있는 물건 등을 통해 인증하는 방식으로, USB 형태의 보안 토큰 등을 들 수 있다. 특징 기반 인증은 사용자의 생체적 특징을 이용하는 것으로, 지문이나 얼굴 인식이 대표적이다. 여기에 최근에는 사람의 습관이나 행동을 통해 인증 하는 행위 기반 인증 방식까지 도입되고 있다.
다요소 인증이란 앞서 언급한 여러가지 인증 방식 중 최소 두 가지 이상의 요소를 조합하는 방식을 말한다. 가령, ID와 비밀번호(지식 기반 인증)로 로그인한 뒤 자신의 스마트폰에 설치된 앱을 통해 지문을 인식하는 방식을 예로 들 수 있다. ID와 비밀번호가 유출되더라도 사용자가 설정한 추가 인증 수단 없이는 외부인이 계정에 접근할 수 없기 때문에 상대적으로 안전하다.
다요소 인증 구성 시에는 단계가 아니라 인증에 쓰이는 요소를 늘리는 것이 중요하다. 가령, 미국의 한 게임 개발사는 관리자 계정 보호를 위해 문자 메시지로 일회용 비밀번호(OTP)를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 관리자인 것처럼 IT 부서에 연락을 하고, 전화기를 잃어버렸으니 다른 번호로 OTP를 보내달라고 요청해 2차 인증을 뚫었다. 이 사례에서 게임 개발사는 비밀번호 + OTP의 2단계 인증을 적용했지만, 두 단계 모두 지식 기반 인증을 사용했기 때문에 공격에 쉽게 노출됐다. 만약 추가적인 요소로 지문(특징)이나 물리 보안 키(소유)를 사용했다면, 보안을 더 촘촘히 구성할 수 있었을 것이다.
인증보안 전문기업 센스톤은 swIDch Auth SDK를 통해 FIDO 인증, 모바일 OTP, OTAC 로그인 인증 등 다요소 인증을 구현할 수 있도록 지원한다. FIDO(Fast IDentity Online) 인증은 지문, 얼굴, 홍채 등 사용자 생체정보 인증, 패턴 인증, 4~6자리 간편 PIN 인증, QR코드 인증 등 총 7가지 세부 FIDO 기능을 그대로 제공하는 방식이다. 모바일 OTP는 사용자 스마트폰 앱에서 1회용 인증 비밀번호를 생성하는 방식이다. 물리적인 보안 카드나 OTP 단말기 없이도 평소 사용하는 스마트폰을 이용해 편의성을 높일 수 있다.
OTAC 로그인 인증은 센스톤이 개발한 단방향 무작위 고유식별 인증 기술(OTAC)을 기반으로 사용자를 인증하는 방식이다. 재사용이 불가능한 일회성 코드 생성, 다른 사용자와 중복되지 않는 인증, 실시간으로 변경되는 인증 기능을 서버와 통신 없이 생성하기 때문에, 내부망을 사용하거나 네트워크 연결이 어려운 곳에서도 인증보안 환경을 구축할 수 있다. 특히 센스톤의 OTAC 기술을 이용해 QR코드 등의 로그인 방식을 구현한다면, 사용자는 비밀번호를 일일이 기억할 필요가 없으며, 1회용 코드기 때문에 유출되더라도 악용될 가능성도 없다.
다요소 인증은 ID와 비밀번호 외에 추가적인 인증 수단을 사용하기 때문에 사용자가 번거로움을 느낄 수 있으며, 잘못 구성한 다요소 인증은 오히려 보안 공백을 만들 수도 있다. 때문에 기업은 인증을 강화하면서도 사용자의 불편함을 줄일 수 있도록 보안을 구성해야 한다.
