‘다중인증(Multi-Factor Authentication, MFA)’은 비밀번호 외에 추가적인 확인 단계를 요구해 보안을 강화하는 로그인 방식이다. MFA는 사용자 이름과 비밀번호를 입력하고, 휴대폰 애플리케이션에서 PIN을 입력한다. 마지막으로 지문 인증을 통해서 완료한다.

다중인증이 중요한 이유를 세 가지로 요약하면 △MFA로 보안을 한층 강화한다 △비밀번호는 취약할 수 있다 △지문, 하드웨어 키 등으로 안전을 확보한다 등이 있다. 먼저 ‘MFA로 보안을 한층 강화한다’. 사용자 이름과 비밀번호만으로는 보안이 충분하지 않다. MFA는 추가적인 인증 절차를 통해 해킹 시도를 더 효과적으로 방어할 수 있도록 돕는다.

두 번째로 ‘비밀번호는 취약할 수 있다’. 비밀번호는 무차별 대입 공격이나 도용에 취약해 쉽게 노출될 수 있다. MFA는 이러한 위험을 줄이는 필수적인 보안 수단이다.

세 번째는 ‘지문, 하드웨어 키 등으로 안전을 확보한다’. 지문, 물리적 하드웨어 키와 같은 MFA 요소를 사용하면, 사이버 범죄로부터 조직을 더욱 안전하게 보호할 수 있다. 이러한 추가 인증 단계는 접근을 더욱 어렵게 만들어 보안 수준을 높인다.

다중인증에는 다양한 옵션이 있다. 대표적인 다중인증 옵션은 OTP(일회용 비밀번호), 생체인증(지문, 얼굴인식), 물리적 보안 키, 푸시 알림 인증 등이다. 먼저 ‘OTP(일회용 비밀번호)’는 SMS나 이메일로 전송된 임시 비밀번호로 추가 인증이 가능해 간편하면서도 기본적인 보안으로 사용되고 있다. 두 번째로 ‘생체인증’은 지문이나 얼굴 인식을 통한 신체 기반 인증으로 높은 보안성과 함께 편리함도 빼놓을 수 없다. 세 번째는 ‘물리적 보안 키’는 USB 보안 키를 연결해 인증하는 것으로 간편하면서도 기본적인 보안이다. 네 번째는 ‘푸시 알림 인증’이다. 스마트폰 애플리케이션을 통해 푸시 알림으로 인증을 요청하는 것으로 빠르고 직관적인 인증 방식으로 사용되고 있다.

보안을 강화하는 두 가지 방법으로는 ‘2단계 인증(2FA)’과 ‘다중인증(MFA)’으로 설명할 수 있다. 먼저, ‘MFA’는 두 개 이상의 인증 요소를 사용하는 방식이다. 중요한 시스템이나 위험이 큰 작업에서는 3개 이상의 인증 요소를 포함할 수 있다. MFA는 민감한 데이터가 포함된 기업 시스템이나 금융 서비스에서 사용되고 있다.

‘2FA’는 정확히 두 개의 인증 요소를 사용하는 방식이다. 일반적으로 비밀번호를 입력한 다음에는 SMS 코드 등 추가 인증 요소를 요구한다. 2FA는 이메일이나 소셜 미디어 계정 보호에 주로 사용되고 있다.

올해 초 클라우드 기업 스노우플레이크(Snowflake) 사태는 대규모 데이터 유출 사고로 큰 폭풍이 있었다. 스노우플레이크 클라우드 고객사에서 대규모 데이터 유출 사고가 발생해 티켓마스터, 산탄데르 은행 등 여러 대기업이 피해를 입었다. 보안 업체 맨디언트의 조사에 따르면, 많은 사용자가 MFA를 활성화하지 않고 오래된 비밀번호를 그대로 유지하는 등 기본 보안 설정을 소홀히 한 점이 이번 사고의 주요 원인으로 밝혀졌다. 이번 사건은 클라우드 보안에서 MFA의 필수성을 다시 한번 확인시켜 주는 계기가 됐다.

MFA 솔루션을 도입할 때 고려할 사항은 무엇이 있을까? 크게 세 가지를 생각할 수 있다. 첫 번째는 다양한 인증 수단을 지원하는 것이다. 사용자 환경에 맞는 다양한 인증 수단(FIDO 등 표준 준수)을 고려한다.

두 번째는 필수 구성 요소를 확인한다. 정책 서버, 인증 서버, 관리도구 등의 구성 요소가 필요하며, 이들 간의 원활한 연동을 보장한다.

세 번째는 유지관리 편의성과 환경을 갖춘다. 유지관리가 용이하고 비용보다 편의성이 높은 환경을 조성해 MFA를 도입할 때 안정적인 운영과 관리가 가능하도록 한다.

MFA는 온라인 보안을 강화하는 중요한 수단이지만, 완벽한 방어책은 아니다. 최근 MFA를 우회하는 사례가 늘어나면서 안전한 온라인 환경을 위해 다층적인 보안 관리가 필수가 되고 있다.
[제작=서울여자대학교 정보보호학과 제21대 학생회 플래그]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>