Skip to main content
Dark background with blue code overlay

블로그

What's Driving Multi-Factor Authentication Adoption?

Jim Black

Written by

Jim Black

March 24, 2022

짐 블랙(Jim Black)은 Akamai 엔터프라이즈 보안 사업부의 시니어 제품 마케팅 매니저입니다. 그는 통신, 모바일 및 보안 분야에서 기술 경력을 쌓으며 제조, 고객 지원, 비즈니스 개발, 제품 관리, PR 및 마케팅 분야에서 일해왔습니다.

Akamai의 멀티팩터 인증

Akamai가 혁신적인 멀티팩터 인증(MFA) 서비스, Akamai MFA를 출시한 지 거의 1년이 되었습니다. 이 서비스를 도입한 이후로, 무엇을 계기로 MFA를 처음으로, 또는 기존의 MFA 솔루션을 개선하기 위해 MFA를 배포하게 되었는지에 대해 수많은 고객들과 이야기를 나누었습니다. 물론 MFA를 배포하는 주된 이유는 대개 직원 로그인의 보안을 개선하기 위해서이지만, 그 외에 또 다른 도입 요인이 무엇인지 알아내는 것도 흥미로운 일이었습니다. 

MFA는 향상된 비즈니스 및 직원 보안을 제공합니다.

기업이 MFA를 배포하여 직원 계정을 보호해야 할 필요성이 그 어느 때보다 커졌습니다. Verizon의 최신 데이터 유출 보고서에 따르면데이터 유출 사고의 거의 80%는 훔쳤거나 훼손된 직원 자격 증명의 사용이나 무차별 암호 대입과 연관되어 있다고 합니다. 

기업 기밀 데이터의 유출과 그로 인한 재정적 손실, 그리고 평판 훼손에 대한 우려를 떠나서, 램섬웨어와 멀웨어를 전달할 초기 네트워크 거점을 만들기 위해 직원 로그인을 목표로 삼는 경우도 점점 더 늘고 있습니다. 예를 들어, Colonial Pipeline 공격은 공격자들이 훔친 로그인 자격 증명을 사용하여 Colonial의 가상 프라이빗 네트워크에 액세스하는 것에서 시작되었습니다. 

증가하는 사이버 공격 해결

MFA의 도입과 관련하여 최근 들어 훨씬 더 많이 들리는 도입 요인은 규정 준수입니다. 사이버 공격이 끊임없이 증가함에 따라 많은 기업은 사이버 보험에 투자하고 있습니다. 그리고 보험 적용 조건을 충족하기 위해서는 모든 로컬 및 원격 로그인에 MFA를 배치해야 한다는 조항을 보험 약관에 명시하는 보험 회사들이 점점 늘어나고 있습니다. 

이는 지난 몇 년간의 보험금 청구 건수를 살펴봤을 때 해당 기업에 MFA가 있었다면 사고를 방지할 수 있었다는 분석 결과를 직접적으로 반영한 것입니다. 이것은 또한 직원 로그인이 공격자들의 주요 표적이 되고 있다는 증거입니다.

미국의 사이버 안정성을 개선해주는 MFA

미국 정부 역시 MFA를 배치하는 것이 국가의 사이버 안정성을 향상시키는데 중요하다는 것을 깨달았습니다. 2021년 5월 바이든 대통령은 모든 연방 기구에 MFA 사용을 의무화하는 행정 명령 을 내렸습니다. 

2022년 1월 미국관리예산국(OMB)은 실무 부서와 기관들의 수장에게 회보 를 보냈는데, 여기서는 훨씬 더 구체적으로 MFA가 모든 연방 기관에 필요하다는 것뿐 아니라 배포되는 MFA 서비스가 피싱 차단 이 되어 있어야 하고 FIDO2 표준에 따라야 한다는 것을 재차 언급하였습니다. SMS나 기타 전화 통신 방식 또는 표준 푸시 알림을 두 번째 인증 요소로 사용하는 MFA 솔루션의 잘 알려진 보안 취약점을 고려했을 때 이는 매우 적절한 조치로 보입니다. 

그리고 이제 미국 정부는 MFA 배포에 대한 권고를 확대하여 민영 기업과 중요 인프라 민간 사업자에게도 배포하라고 하였습니다. 사이버 공격의 배후에 국가가 있을 가능성이 높다는 의혹에 대한 대응 차원에서 2022년 3월 21일에 발행된 조사 보고서 에서, 미국 정부는 이들 기업에게 여러 가지 단계의 조치를 긴급하게 실행할 것을 촉구했습니다. 그 중 가장 긴급한 조치 중 하나가 MFA를 이용하여 공격자들이 시스템에 액세스하는 것을 더 어렵게 만드는 것이었습니다. 

전락적 혁신 프로젝트 일환의 MFA

또한 제로 트러스트나 보안 액세스 서비스 엣지 이니셔티브 같은 전략적 혁신 프로젝트에 MFA가 포함되어 있다는 얘기도 자주 듣습니다. 예를 들어, 한 회사가 애플리케이션에 대한 액세스 보안을 위해 제로 트러스트 네트워크 접속 솔루션을 배포했다면 사용자 인증을 강화하기 위해 MFA를 사용하는 것이 딱 맞습니다. 

지금 당장은 그 자체로 보안 효과가 있고 감염이 되지 않는 MFA 서비스를 배포하는 데에 중점을 두고 있습니다. 하지만 많은 기업들은 MFA가 적응형 인증 접근 방식에 있어서 어떤 식으로 뚜렷한 역량이 될 수 있는지에 주목하기 시작하고 있습니다. 

FIDO2 기반 MFA는 암호 없는 환경에 보안을 제공합니다. 

공격자들이 공격을 위해 직원 계정을 이용하는 데 집중하고 있는 상황에서, 기업들이 어떻게 하면 인증 스택에서 암호를 제거하여 공격면을 줄일 수 있을지에 주목하기 시작하고 있다는 것은 그리 놀라운 일이 아닙니다 

이것은 많은 레거시 시스템들이 암호를 필요로 하고 있기 때문에 간단하고 쉬운 일이 아닐 것입니다. 그리고 인증 요소인 암호를 제거할 경우에는 암호를 강력하고 보안성이 강한 요소로 대체할 필요가 있습니다. 

FIDO2 기반 MFA는 암호 없는 환경으로 전환하는 데 필요한 수준의 보안을 제공하며, 생체 요소와 결합하여 계속해서 2단계 인증을 제공할 수 있습니다.

자세히 보기

물리 보안 키가 필요 없는 FIDO2에 기반한 혁신적인 피싱 차단 MFA 서비스를 통해 고객의 MFA 배포 프로젝트를 가속화하도록 지원해주는 Akamai의 서비스에 대해 알아보려면 다음 사이트를 방문해보세요. www.akamai.com/mfa.



Jim Black

Written by

Jim Black

March 24, 2022

짐 블랙(Jim Black)은 Akamai 엔터프라이즈 보안 사업부의 시니어 제품 마케팅 매니저입니다. 그는 통신, 모바일 및 보안 분야에서 기술 경력을 쌓으며 제조, 고객 지원, 비즈니스 개발, 제품 관리, PR 및 마케팅 분야에서 일해왔습니다.