일본산업뉴스요약

Nikkei X-TECH_2021.1.6

다중 인증 (MFA)
복수 요소를 사용한 유저 인증 방식

다중 인증(Multi Factor Authentication, MFA)이라는 것은 복수의 인증 요소를 사용해 정규 이용자인지 여부를 확인하는 인증 방식을 말한다.

여기서 말하는 인증 요소는 시스템이나 서비스가 유저 인증에 사용하는 정보를 가리킨다. 인증 요소는 크게 ‘지식’ ‘소지(所持)’ ‘생체’의 3종류로 분류된다.

‘지식’ 인증 요소는 정규 이용자 본인만이 알고 있는 정보를 말한다. 가장 많이 사용되고 있는 인증 요소인 패스워드가 이에 해당한다. 숫자로 구성된 패스워드인 비밀번호나 특정 질문에 대해 이용자가 대답을 설정하는 비밀 질문도 지식 인증 요소다.

패스워드를 비롯한 지식을 사용하는 유저 인증 방식의 이점은 저비용이라는 점이다. 이용자의 기억에 의존하기 때문에 인증을 위한 기기 등이 필요 없다. 그러나 문제도 있다. 패스워드 등은 정규 이용자만이 알고 있다는 것을 전제로 하기 때문에 제3자에게 노출되면 부정 이용당할 위험성이 있다.

보안의 강도(안전성)를 이용자에게 맡겨 두는 것도 문제다. 패스워드 등은 이용자만 알고 있어야 하기 때문에 당연히 이용자 본인이 설정한다. 복잡한 문자를 패스워드로서 설정하면 추측하기 어렵다. 그러나 보인 의식이 낮은 이용자나 기억에 자신이 없는 이용자는 ‘123456’이나 ‘qwerty’라는 단순한 문자열을 설정하게 된다. 이러한 패스워드는 간단하게 뚫린다.

패스워드를 돌려쓰는 것도 문제가 된다. 여러 시스템이나 서비스를 이용할 경우에는 각각에 서로 다른 패스워드를 설정해야 한다. 그러나 같은 패스워드를 사용하는 이용자가 많다. 이 경우, 이용 중인 하나의 서비스에서 패스워드가 유출되면 그 패스워드를 설정한 다른 서비스까지 부정 액세스에 사용될 우려가 있다.

한 서비스에서 유출된 패스워드 리스트를 사용해 다른 서비스에 부정 액세스하는 사이버 공격을 ‘리스트형 공격’이라고 하는데 큰 피해를 초래한다. 패스워드 인증은 오랫동안 사용돼 왔지만 이제는 보안 면에서 충분하지 않다.

-- 특정 요소에 의존하지 않는다 --
그래서 점점 도입이 확산되고 있는 것이 지식에만 의지하지 않고 소지나 생체와 같은 다른 인증 요소를 조합하는 다중 인증이다.

‘소지’ 인증 요소는 정규 이용자 본인만이 소지하고 있는 물건에 관한 정보를 말한다. 컴퓨터 USB 포트에 꽂아 사용하는 보안키나 IC카드, 스마트폰, 태블릿 단말 등이 해당된다.

미리 등록한 전화번호로 SMS로 전달되는 1회용 패스워드도 소지 인증 요소다. 1회용 패스워드를 받을 수 있는 것은 등록된 전화번호의 단말을 소지한 사람뿐이기 때문이다.

그러나 소지 인증 요소는 해당 물건이 제3자에게 도난 당했을 때 부정 사용될 위험이 있다. 때문에 지식 인증 요소와 마찬가지로 이것에만 의존하는 것은 안전하지 못하다.

‘생체’ 인증 요소는 이용자의 신체적인 특징이다. 지문이나 눈의 홍채, 손바닥의 정맥, 얼굴 등이 해당된다. 그 외에 필적이나 키스트로크와 같은 이용자 고유의 특징을 인증 요소로 하는 경우도 있다.

예를 들면, ‘패스워드+SMS로 전송한 1회용 패스워드’는 지식과 소지의 다중 인증, ‘보안키와 지문’은 소지와 생체의 다중 인증이 된다.

소지도 생체도 이전부터 존재하는 인증 요소지만 비용 때문에 높은 안전성이 요구되는 경우 이외에는 도입이 어려웠다. 그러나 인증에 필요한 기기의 가격이 떨어지고 생체 인증 기능을 갖춘 스마트폰이 보급되면서 도입 장벽이 크게 낮아졌다. 이 때문에 다중 인증도 도입이 쉬워졌다.

 -- 끝 --

Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.