클라우드 트랜스포메이션 지원하는 인증 플랫폼 도입해야
[데이터넷] 계정관리 시스템(IM)은 계정 생성부터 변경, 폐기에 이르는 라이프사이클을 관리하는 기술로, 이 계정이 올바르게 사용되는지 통제하는 접근제어(AM) 기술과 함께 사용돼야 한다. AM 구축을 위해서는 시스템이나 애플리케이션에 접근 할 수 있는 권한을 정확하게 규정하고, 해당 권한이 있는 계정만 접근할 수 있게 해야 한다. 계정탈취로 불법 사용자가 접근할 수 없도록 상황인지 기술이 접목되어야 하며, 접속 후 이상행위를 하지 않는지 살펴보는 행 위분석 기술이 추가되는 것도 중요하다.
AM을 보다 강력하게 하는 방법 중 하나로 MFA가 제안된다. ID/PW 등 초기 인증 팩터를 갖고 인증한 후 중요도가 높은 업무에 접속하거나 불법 사용자의 접속으로 의심됐을 때 추가 인증을 요구함으로써 권한을 가진 본인의 접근을 확인하는 방법이다. 금융거래 시, 단순조회는 비밀번호 입력만으로 가능하지만, 이체 시에는 OTP 혹은 보안카드번호를 확인하고 전자서명까지 요구하는 것이 MFA라고 볼 수 있다.
SSO 구축 시 MFA는 필수다. SSO는 한 번 인증 후 연동된 다른 시스템·애플리케이션에 별도의 인증 절차 없이 접속할 수 있게 하는데 중요 업무와 데이터에 대 한 접근이라면 추가인증을 통해 본인확인을 강화해야 한다.
가장 많이 사용하는 MFA 수단은 OTP이며, 하드웨어 토큰을 사용하거나 모바일·웹을 이용한 소프트웨어 방식도 많이 사용된다. 최근 생체인식이 MFA로 각광 받는데, FIDO 인증을 받은 생체인식 기술은 다양한 분 야에 쉽게 적용할 수 있다는 장점이 있다.
얼굴인식은 무자각 지속인증이 가능해 강력한 추가 인증으로 주목받는다. 애플리케이션·시스템 사용 중 일정 시간 간격으로 사용자를 확인해 본인이 직접 사용하 고 있다는 사실을 확인할 수 있다. 영상회의, 온라인 수 업 등에서 유용하게 사용될 수 있으며, 중요 시스템의 유지보수 등에도 적용 가능하다. 단 사용자의 개인정보 수집과 보호 방안에 대한 철저한 대책 마련과 사용자 동의가 필요하다.
클라우드·비대면 업무환경, OTP 대세
생체인식은 편의성이 높지만, 생체정보 유출 우려와 오인식의 한계를 완전히 뛰어넘을 수 없다. 금융거래에서 지문·얼굴인식을 추가인증 수단으로 활용해 사용자 빠르게 늘려가고 있지만, 그 외 분야에서는 도입이 더딘 상황이다.
MFA로 가장 많이 사용하는 것은 OTP다. 상황인지기술을 접목한 어댑티브 MFA는 사용자의 로그인 요청 장소, 시간, 평소 행위 등을 분석해 평소와 다 른 접근 요청일 때 단계별로 더 강력한 인증 정보를 요 청한다.
김현준 탈레스코리아 이사는 “0.1%의 오인식도 허용하지 못하는 중요 시스템과 애플리케이션에 생체인증 만으로 접속을 허가-차단하는 것은 위험하다. 보다 정확하고 안정성이 검증된 MFA를 통해 접속 통제를 강화하는 것이 바람직하다. 그렇다고해서 사용 편의성을 해쳐서는 안된다는 사실도 잊지 말아야 한다”며 “어댑티브 MFA를 통해 사용 편의성을 높이고 보안성을 높여야 한다”고 말했다.
어댑티브 MFA는 검증된 안전한 조건에서 쉽게 로그인을 허용한다. 사무실 자신의 자리에서, 늘 사용하던 단말을 이용해, 늘 일하던 시간에 로그인 할 경우, 이 전 로그인 정보를 이용해 ID/PW 입력 없이 로그인한다. 중요한 업무에 접근할 경우 패스워드를 한 번 더 묻거나 OTP 번호를 요구한다. 해당 업무에 접속 가능한 일회용 코드를 발생시키기도 한다. 평소와 다른 장소에서, 다른 단말을 이용해, 비 업무 시간에 로그인 할 경우 다른 인증 수단을 요구해 본인확인을 한 번 더 강조한다.
어댑티브 MFA는 클라우드, SSO, VPN 등 다양 한 환경에 사용할 수 있다. 클라우드 서비스 방식의 ‘IDaaS’로도 사용 가능하다. 제로 트러스트 접근제어 정책을 위해 사용자 인증을 강화한 후 시스템·애플리케 이션에 접속하는 방식을 택할 때 사용할 수 있다. 코로나19로 많은 기업들이 재택근무에 돌입하면서 어댑티브 MFA 채택에 관심을 보이고 있다.
탈레스의 ‘STA(SafeNet Trusted Access)’는 온프레미스, 웹, 클라우드 등 다양한 애플리케이션에 접근에 필요한 MFA를 제공한다. 생체인식 기술과 연동해 사용 편의성을 높일 수 있으며, 스마트 SSO를 적용해 업무 중요도에 따라 적절한 수준의 인증을 적용할 수 있 다. 시나리오 기반 접근정책, 애플리케이션별 세분화된 접근통제 정책도 적용할 수 있다.
