일본산업뉴스요약

복수의 요소들로 안전성을 높인 ‘다요소 인증’, 그럼에도 뚫릴 위험 존재
기대가 높아지고 있는 패스키(Passkey)

다요소 인증(Multi-Factor Authentication: MFA)이란 두 가지 이상의 성격이 다른 요소를 조합해 정규 이용자인지 여부를 확인하는 인증 방식이다.

인증은 시스템이나 서비스를 이용할 때 정규 자격을 갖춘 이용자임을 증명하는 행위를 가리킨다. 패스워드만으로 인증할 경우, 정규 이용자인지 여부를 확인하는 수단으로는 약해 부정한 이용자에 의한 ‘해킹’이 발생하기 쉽다. 보다 확실하게 증명하는 수단으로 최근 다요소 인증이 보급되고 있다.

예를 들면, 콘서트장에서는 입장 시 티켓과 함께 본인 확인 서류 제시를 요구하는 경우가 있다. 암표 방지를 위해 당첨된 본인이라고 확인할 수 있는 것이 자격으로서 요구되기 때문이다. 이른바 티켓을 소유하고 있는 상태는 올바른 비밀번호를 알고 있는 것과 같은 상황이다. 그러나 이것만으로는 정당한 자격을 가지고 있는지는 알 수 없다.

-- 지식·소지(所持)·생체를 이용 --
인증에 이용되는 요소는 크게 3종류가 있다. ‘지식 정보’, ‘소지 정보’ ‘생체 정보’이다.

지식 정보란 정규 이용자만이 알고 있는 정보에 기반한 요소이다. 이용자 본인이 설정한 비밀번호나 패스워드 등이 대표적이다. 이용자 외에는 모르는 정보이기 때문에 이를 알고 있다면 본인이라고 판단할 수 있다. 반대로 말하면, 정보가 유출되면 본인이 아니어도 인증이 가능하다.

두 번째인 소지 정보란 정규 이용자가 소유한 '사물'에 연결된 정보이다. 보안카드나 사전에 등록된 휴대전화 번호로 전송되는 인증 토큰 등을 들 수 있다. 이용자 본인 외에는 가지고 있지 않기 때문에 그 물건을 사용하고 있는 것은 본인이라고 생각해도 좋다는 것이다.

마지막 생체 정보는 정규 이용자의 신체적 특징을 요소로 한다. 얼굴이나 지문, 눈의 홍채, 손바닥 정맥 등이 식별에 사용된다. 이용자 본인이 아니면 제시할 수 없는 정보이다.

-- 기대가 높아지고 있는 패스워드리스 인증 --
하지만, ‘다요소 인증이기 때문에 안전하다’라고 단정할 수는 없다. 다요소 인증의 형태로 패스워드와 원타임 패스워드를 조합한 패턴이 있지만, 중간자(Man In The Middle, MITM) 공격에 의해 뚫리는 경우가 있다.

중간자 공격이란 이용자와 서비스 제공자의 통신 경로 사이에 피싱 사이트 등을 통해 끼어들어 비밀번호뿐 아니라 원타임 비밀번호도 알아내 부정으로 로그인하는 공격이다. 실시간으로 부정 로그인을 하기 때문에 '실시간 피싱'이라고도 불린다.

이러한 공격이 성립하는 것은 인증 정보가 네트워크상에 흐르기 때문이다. 그래서 인증 정보를 네트워크에서 주고 받지 않고, 더 나아가 패스워드를 사용하지 않는 ‘패스워드리스(Passwordless) 인증’에 대한 관심이 높아지고 있다. 그 대표적인 예가 인증 방식의 국제표준화 단체인 FIDO Alliance가 제창하는 ‘패스키’이다. 패스키에서는 소지 정보와 생체 정보 또는 디바이스 고유의 PIN(Personal Identification Number)과의 조합을 통해 이용자 본인임을 인증한다. 이용자가 소유한 단말기에 개인키를 저장하고 인증은 단말기에서 실행한다.

패스키는 공개키 암호방식을 사용하고 있으며, 이용자가 서비스 측으로부터 인증 요구를 받으면 단말기에서 인증한 후, 단말기 내 비밀키로 서명한 응답 데이터를 서비스 측에 보낸다. 서비스 측은 공개키를 사용해 그 데이터를 검증하고, 맞으면 인증되었다고 판단한다. 비밀키 자체와 인증 정보가 네트워크상에 흐르지 않기 때문에 인증 정보의 유출 위험이 줄어 중간자 공격 방지 대책도 된다.

 -- 끝 –

Copyright © 2025 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.