미국 최대 통신기업인 Verizon의 ‘2021 데이터 침해 조사 보고서’에 따르면, 전 세계 해킹의 89%가 취약한 비밀번호로 인해 발생했다고 합니다. 요즘 대부분의 웹 사이트들이 특수문자와 대소문자가 포함된 복잡한 비밀번호를 요구하는 이유도 이 때문이죠.
하지만 전문가들은 길고 어려운 비밀번호도 해커의 공격을 막을 수 없다고 말합니다. 대신 ‘다중 인증(Multi Factor Authentication)’을 사용할 것을 권장하고 있습니다. 최근 다중 인증(MFA)은 비밀번호 중심의 인증 수단을 보완할 기법으로 각광받고 있는데요. 이번 글에서는 다중 인증(MFA)이 등장한 배경과 개념 그리고 앞으로의 전망에 대해 살펴보겠습니다.
‘다중 인증(MFA)’이 등장한 배경은?
전문가들은 비밀번호가 더 이상 안전한 보안 수단이 아니라고 입을 모읍니다. 실제로 오늘날의 해커들은 인터넷 검색만으로 수천수만 개인의 계정 정보를 손쉽게 얻을 수 있습니다. 보안 전문 회사인 Digital Shadows은 246억 개의 아이디와 비밀번호 조합이 다크웹에서 불법 유통되고 있다고 2022년 보고서에서 발표하기도 했습니다.
무엇보다 대부분의 사람들은 여러 사이트에 동일한 아이디와 비밀번호를 씁니다. 그래서 한 번 계정 정보가 노출되면, 타 사이트의 계정도 도용되었을 확률이 높습니다. 물론 복잡한 비밀번호를 만들거나, 비밀번호를 주기적으로 바꿈으로써, 공격을 피할 수 있다고 생각할 수 있습니다.
하지만 아무리 어려운 비밀번호를 설정해도, 해커가 이를 해독하는 데는 하루도 걸리지 않는다고 전문가들은 지적합니다. 해커들은 고성능 컴퓨터 프로그램으로 아이디와 비밀번호를 무작위 대입하는 등의 자동화된 수법을 씁니다. 날로 지능화, 첨단화되는 해커들의 공격 앞에서 비밀번호는 너무나 취약한 방어막입니다. 이에 따라 비밀번호의 대체재로 ‘다중 인증(MFA)’이 부상한 것이죠.
‘다중 인증(MFA)’의 개념
‘다중 인증(Multi Factor Authentication)‘은 최소 두 가지 이상의 인증을 거친 사용자에게만 접근을 허용하는 보안 기법입니다. 일반적으로 계정 로그인 시, 아이디와 비밀번호를 입력하는 1차 인증 외에 지문 인식 등 추가적인 본인 인증을 요구하는 방식을 뜻하죠. 국내에서는 ‘다요소 인증’, ‘2단계 인증’, ‘다단계 인증’ 등 다양한 명칭으로 통용되고 있습니다.
여기서 말하는 인증의 종류는 크게 ‘지식’, ‘소유’, ‘속성’, ‘행위’, ‘장소’가 있습니다. 먼저 지식에 기반한 인증은 계정 사용자만이 알고 있는 지식을 묻는 방식입니다. 비밀번호가 가장 대표적인 예죠. ‘어릴 때 키우던 강아지 이름은?’ 등 웹 사이트에서 ‘내 비밀번호 찾기’를 눌렀을 때 나오는 주관식 질문도 지식 기반 인증에 해당합니다.
소유 기반 인증은 스마트폰, 일회용 비밀번호 생성기(OTP) 등 사용자의 소유물로 신원 증명을 하도록 하는 방식입니다. 사용자가 새로운 기기에서 웹사이트에 로그인을 시도했을 때, 스마트폰으로 전송된 인증번호까지 추가로 입력해야 접근할 수 있도록 한 것처럼 말입니다.
지문, 홍채 등 사람의 고유한 생체 정보로 신원을 식별하는 속성 기반 인증도 있습니다. 대표적인 예로 최신형 스마트폰의 지문 또는 얼굴 인식 기능을 들 수 있습니다. 또한 수기 서명 등 사용자의 반복된 행동이나 기기 사용 방식을 요구하는 행위 기반 인증도 가능합니다.
장소 기반 인증은 사용자가 보유한 기기가 특정 네트워크에 연결되었을 때, 해당 사용자의 신원을 인증하는 방식입니다. 일례로 사용자가 귀가하면, 스마트폰의 화면 잠금 기능이 자동으로 해지되도록 설정할 수 있는데요. 사용자의 스마트폰이 집에 있는 공유기의 네트워크를 감지하는 순간 잠금 기능을 풀도록 한 것이죠.
앞서 언급했듯이, 다중 인증(MFA)은 사용자가 어떤 정보에 대한 접근 권한을 받기 위해, 최소 2가지 이상의 인증 요소를 제공하는 방법입니다. 가령, 지식 기반 인증과 소유 기반 인증을 동시에 사용한다고 가정해 봅시다. 사이버 공격자가 내 아이디와 비밀번호를 우연히 입수하면, 1단계 인증은 무사히 통과할 수 있을 것입니다. 하지만 해당 계정에서 사용자의 스마트폰에 전송된 인증번호까지 입력하라고 요구한다면, 공격자의 침입 시도는 2단계에서 무산됩니다. 비밀번호가 유출되어도, 내 계정은 안전하게 보호할 수 있는 것입니다.
실제로 해외 사이버 보안 교육 기관인 SANS Software Security Institute의 2019년 보고서에 따르면, 다중 인증(MFA)을 통해 사이버 보안 사고의 99.9%를 예방할 수 있다고 합니다.
‘다중 인증(MFA)’의 미래는?
앞으로는 전 세계 더 많은 사람들이 ‘다중 인증(MFA)’을 사용할 전망입니다. 사람들은 언제, 어디서나 다양한 기기로, 개인 계정에 접근할 수 있기를 바랍니다. 동시에 내 계정이 안전하기를 바라죠. 기업들도 ‘다중 인증(MFA)’ 사용을 견인하고 있습니다. 최근 많은 기업이 사무실 근무와 재택근무를 병행하고 있습니다. 원격지에서 일하는 직원들이 기업의 내부망으로 안전하게 접속할 수 있도록 ‘다중 인증(MFA)’을 도입하는 기업도 늘어나고 있는 것이죠.
실제로 시장 조사 기업인 Global Market Insights는 2020년 80억 달러 이상이었던 ‘다중 인증(MFA)’ 시장 규모가 2027년에 250억 달러 이상이 될 것으로 추정했습니다. 이러한 흐름에 발맞춰 구글, 네이버 등 유명 검색 포털은 사용자들에게 ‘다중 인증(MFA)’을 지원하고 있습니다.
오랫동안 많은 사람들은 비밀번호 인증 만으로 개인정보를 보호할 수 있다고 생각했습니다. 하지만 해커들의 공격 수법은 나날이 정교해지고 있습니다. 이제는 모두가 ‘비밀번호 없는 미래’를 준비할 필요가 있습니다.
가비아도 고객이 ‘다중 인증(MFA)’을 적용할 수 있도록 지원하고 있습니다. 가비아의 g클라우드나 하이웍스를 사용하는 고객이라면 지금 바로 내 계정에 ‘다중 인증(MFA)’을 설정해 보는 건 어떨까요?