“비밀번호 없는 인증, 전 세계 19조원 규모 달해”
상태바
“비밀번호 없는 인증, 전 세계 19조원 규모 달해”
  • 김선애 기자
  • 승인 2022.10.23 11:24
  • 댓글 0
이 기사를 공유합니다

FMI “재택·원격근무 확산으로 보안성·편의성 높은 인증 수요 증가”
쿠핑어콜 “모든 환경에 일관된 로그인 경험 지원해야”

[데이터넷] 전 세계 비밀번호 없는(Passwordless) 인증 시장이 올해 134억5040만달러(약 19조원), 2032년까지 연평균 15.3% 성장해 2032년 556억7940만달러(약 80조원) 규모를 이를 것으로 보인다.

시장조사기관 FMI(Future Market Insights)의 ‘비밀번호 없는 인증 시장(Passwordless Authentication Market)’ 보고서에 따르면 재택·원격근무가 확산되면서 전 세계적으로 조직과 고객을 겨냥한 사이버 범죄가 증가하고 있는데, 사용자들은 어디서나 데이터에 액세스 할 수 있는 편리한 방법을 찾고 있다. 그래서 보안성과 편의성을 제고할 수 있도록 사용자가 직접 비밀번호를 입력하지 않는 새로운 인증 방식이 집중 조명되고 있으며, 비밀번호 없는 인증 기술 시장이 급격한 성장을 이룰 것으로 예상된다.

“취약한 비밀번호 이용 해킹 80%”

시장조사기관 쿠핑어콜의 ‘비밀번호 없는 인증 대한 리더십 컴패스(Leadership Compass on Passwordless Authentication)’에서도 “원격·하이브리드 업무로 전환되면서 직원과 고객 모두에게 비밀번호 없는 인증 솔루션·서비스 채택이 늘어날 것”이라고 소개했다.

이 보고서에서는 비밀번호는 초기 인터넷 시대, 해킹과 자격 증명 기반 공격이 널리 퍼지기 전에 사용되던 것으로, 쉽게 도난당하고 오용될 수 있다고 지적했다. 비밀번호는 비용과 시간이 많이 들고 관리가 어려우며, 사용자를 불편하게 하지만 공격을 어렵게 하지는 않는다.

코로나19와 글로벌 공급망 위기, 러시아의 우크라이나 침공 등 사회 혼란을 이용해 사이버 위협이 가속화되고 있는데, 사이버 범죄자들은 계정과 비밀번호를 훔쳐 보안을 우회해 중요 시스템에 접근하거나 계좌를 탈취하는 등 공격 목표를 더 쉽게 달성할 수 있다고 설명했다.

FMI는 취약하고 재사용된 비밀번호로 인한 해킹이 80%에 달하는데, 90% 이상 사용자가 회사와 개인 계정에서 암호를 재사용한다는 조사 결과를 언급하며 “클라우드 서비스 증가는 취약한 비밀번호, 도난당한 계정정보로 인한 사고가 증가하고 있다. 이 문제는 IT 팀에서 해결할 수 없다. 특히 금융사는 고객을 보호하기 위해 추가적인 보안 계층으로 비밀번호 인증을 도입하고 있다”고 설명했다.

▲비밀번호 없는 인증 형태(자료: 엔트러스트)
▲비밀번호 없는 인증 형태(자료: 엔트러스트)

제로 트러스트로 비밀번호 없는 인증 ‘주목’

비밀번호 없는 인증은 오래 전부터 논의되어 왔으며, 이메일 인증, 모바일 및 SMS 인증, 음성통화, 푸시알림, OTP 등이 사용되어왔다. 그러나 비용이 많이 들고 쉽게 우회할 수 있으며, 사용자 경험을 개선하지 못해 확산되지 못했다. 기존 애플리케이션 및 인증 시스템에 통합되지 못한다는 점도 한계였다.

사용자가 인증매체를 잃어버렸거나 장치를 변경할 경우, IoT와 같이 사람의 개입 없이 기기간 연결이 필요한 경우 적용할 수 있는 인증 방법도 필요했는데, 이러한 요구를 만족할 수 있는 기술도 부족했다.

최근 몇 년간 스마트폰과 태블릿PC, 다양한 웨어러블 기기와 IoT 기기의 보안 수준이 향상되면서 이러한 기기를 이용한 간편인증이 본격적으로 활성화됐다. 생체인증과 FIDO2, WebAuthn과 같은 개방형 표준의 개발로 비밀번호 없는 인증 기술의 발전 속도가 빨라지기 시작했으며, 미국 정부가 제로 트러스트 모델 채택을 의무화하면서 피싱에 강한 다중요소인증(MFA) 도입도 적극 논의되기 시작했다.

쿠핑어콜은 비밀번호 없는 인증 솔루션은 모든 기기에 일관된 로그인 환경을 제공하고, 마찰 없는 사용자 경험을 도입해야 하며, 통합 인증 접근 방식을 포함하고, 더 이상 비밀번호나 비밀번호 해시가 네트워크를 통해 이동하지 않도록 해야 한다고 조언했다. 더불어 사용자가 비밀번호 입력이나 PIN 입력을 선택할 수 있어야 하고, 정상 사용자가 기존 인증 방식의 인증에 실패했을 때 인증 방법을 재설정할 수 있는 방법도 마련해야 한다고 덧붙였다.

쿠핑어콜은 피밀번호 없는 인증 솔루션이 다음의 조건을 갖춰야 한다고 설명했다.

  • 광범위한 인증자 지원
  • 강력한 인증(예: 2FA, MFA)
  • 리스크·컨텍스트 기반 및 지속적인 인증
  • 적응형 및 단계적 인증
  • 레거시 애플리케이션과 서비스 지원
  • 개인·공개키 및 제로지식 암호화 등 강력한 암호화 접근 방식
  • 타사 인증자 통합
  • MDM·UEM 솔루션 통합
  • 애저 AD 등 기존 플랫폼 통합
  • 마찰 없는 사용자 경험
  • 여러 장치에 대한 신뢰
  • SAML 및 OAuth를 포함한 모든 주요 아이덴티티 페더레이션(Identity Federation) 표준 지원
  • 포괄적인 API 세트
  • 유연하고 현대적인 소프트웨어 아키텍처
  • BYOD 지원
  • 확장성 및 성능
  • 위임 관리

광범위한 글로벌 에코 시스템 지원

쿠핑어콜 보고서에서는 패스워드 없는 인증 솔루션 리더로 포지락, 핑아이덴티티, IBM, HID 글로벌, 엔트러스트, 사이버아크, 마이크로소프트, 비욘드아이덴티티, 탈레스 등을 꼽았다. FMI에서는 후지쯔, NEC 등을 주요 업체로 선정했다.

HID 글로벌은 스마트카드, 보안키, 하드웨어 토큰, 생체인식, 모바일 인증 등을 이용해 직원, 고객, 파트너를 대상으로 사내·클라우드 기반 솔루션을 지원, 안전한 ID와 액세스 관리를 단순화한다. 신분증 발급, 강력한 규제를 받는 조직의 출입카드를 제공하는 솔루션 기업으로 유명한 HID는 광범위한 글로벌 파트너 에코시스템을 갖고 있으며, 다양한 MFA 유형을 지원하고, 안전한 모바일 SDK를 통해 사용 환경에 유연하게 적용된다.

엔트러스트는 PKI, MFA, FDS 등을 위한 ID 기반 보안 소프트웨어와 서비스를 제공하는 기업으로, 클라우드 기반 IAM 플랫폼 ‘엔트러스트 아이덴티티’를 제공한다. 이 플랫폼에는 직원과 소비자, 일반 시민을 위한 세 가지 제품군이 포함되며, 유연한 클라우드와 하이브리드·사내 구축 모델을 제공한다.

글로벌 파트너 에코 시스템을 통해 다양한 시스템과 환경에 용이하게 적용할 수 있으며, 관리가 편리하다. 위험기반 인증으로 사용 편의성과 보안성을 만족시킨다. 마이크로서비스 아키텍처로 애플리케이션에 쉽게 적용될 수 있다.

직원·파트너·고객·IoT 기기 모두 적용

사이버아크는 아이덴티티 보안 기업의 선두주자로, 직원, 고객, 벤더, 파트너, 머신 인증을 포함한 모든 유형의 ID에 대해 비밀번호 없는 인증을 지원한다. 완전한 클라우드 호스팅 SaaS이면서 온프레미스와 통합할 수 있는 여러 방법을 지원한다. PAM·IAM과 통합돼 플랫폼을 쉽게 확장할 수 있게 하며, 원격 액세스와 BYOD를 지원해 다양한 서비스 환경에서 사용 가능하다.

마이크로소프트 애저 AD는 윈도우 헬로, 인증전화 로그인, FIDO2 보안 키 등의 인증을 지원한다. 높은 확장성과 유연한 구축, 강력한 장치 기능, 글로벌 파트너 에코시스템과 전 세계에서 편리하게 사용할 수 있는 지리적 장점이 경쟁력이다.

탈레스는 SaaS로 제공되는 ‘STA(SafeNet Trusted Access)’를 비밀번호 없는 인증 솔루션으로 소개한다. STA는 다국적 기업에서 하이브리드 배포를 위해 많이 사용되고 있으며, 사내에서 모든 국가별 규제 준수 요구를 만족할 수 있도록 지원한다. 정책관리, 애플리케이션 관리, 인증, 로그, 대시보드 등 다양한 모듈을 제공해 사용과 관리 편의성을 높일 수 있다. 뛰어난 변조방지 보안 메커니즘을 제공하고, 강력한 신원증명 기능 역시 높은 평가를 받고 있다.

멀티·하이브리드 환경 위한 인증 필수

쿠핑어콜 조사에서 챌린저 그룹에 속한 RSA는 OTP 솔루션 ‘시큐어ID(SecurID)’와 MFA ‘ID 플러스(ID Plus)’를 제공한다. 이 솔루션은 하이브리드·멀티 클라우드를 원활하게 지원하며, 머신러닝을 이용한 향상된 위험 분석, 하드웨어·소프트웨어 토큰 지원의 강점을 갖는다.

애플 페이스ID, 삼성 핑거프린트 등 다양한 모바일 기기의 생체인증을 지원하며, 원격 액세스에 적합한 옵션을 제공한다. 다양한 PAM 통합 선택이 가능하며, 전체 RAS 제품군에 유연하게 통합될 수 있다. 쿠핑어콜은 RSA가 사용자와 사용 권한, 정책이 많은 대기업에 적합하다고 평가했다.

시스코의 ‘듀오 시큐리티(Duo Security)’도 챌린저 그룹으로 평가됐다. 듀오는 직원을 위한 제로 트러스트 액세스를 지원하며, 사용자가 어디있는 상관없이 모든 장치에서 애플리케이션과 데이터에 안전하게 액세스 할 수 있도록 지원한다. 동적위험기반 인증으로 모든 사용자와 모든 애플리케이션에 대해 액세스 정책을 일관되게 적용하며, 비즈니스 크리티컬한 보안 요구를 충족할 수 있도록 한다.

FMI에서 주목할 벤더로 꼽힌 옥타의 SSO와 MFA 솔루션은 IT·보안팀, 일반 사용자 모두에게 편리하고 안전한 인증 서비스를 클라우드로 제공하며, 사용자가 신속하게 새로운 앱에 적응할 수 있게 한다.

옥타 SSO는 7000개 이상 사전 구축된 통합 네트워크를 갖추고 있으며, 1400개 이상 SAML, 오픈ID 커넥트 통합, 암호 볼트 서비스, 타사의 기존 SSO·MFA 솔루션에 통합할 수 있다. MFA는 컨텍스트 기반 액세스 정책을 생성해 적용하며, 사용자가 계정에 대한 MFA 인증요소를 직접등록하거나 리셋 할 수 있어 사용자와 팀의 시간과 비용을 절약할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.