인증이란 무엇인가요?
개인, 앱 및 서비스가 디지털 시스템 및 리소스에 대한 액세스 권한을 받기 전에 이들의 신원을 확인하는 방법을 알아보세요.
인증 정의
인증은 회사가 적합한 권한을 가진 적합한 개인, 서비스 및 앱만 조직의 리소스에 액세스할 수 있도록 확인하기 위해 사용하는 프로세스입니다. 인증은 사이버 보안에서 중요한 부분입니다. 악의적인 행위자의 최우선 사항은 시스템에 대한 무단 액세스 권한을 얻는 것이기 때문입니다. 악의적인 행위자는 액세스 권한을 얻기 위해 액세스 권한을 가진 사용자의 사용자 이름과 암호를 훔칩니다. 인증 프로세스에는 다음과 같은 3가지 주요 단계가 포함됩니다.
- 식별: 사용자는 일반적으로 사용자 이름을 통해 자신의 신원을 밝힙니다.
- 인증: 사용자는 일반적으로 암호(사용자만 알고 있어야 하는 것)를 입력하여 신원을 입증하지만, 많은 조직에서는 보안 강화를 위해 휴대폰이나 토큰 디바이스 같은 것으로 신원 입증을 요구하거나 지문이나 얼굴 스캔을 통한 신원 입증을 요구합니다.
- 권한 부여: 시스템은 사용자가 액세스하려는 시스템에 대한 사용 권한을 가지고 있는지 확인합니다.
권한 부여가 중요한 이유는 무엇인가요?
권한 부여는 조직이 시스템, 데이터, 네트워크, 웹 사이트 및 애플리케이션을 공격으로부터 보호하는 데 도움이 되기 때문에 중요합니다. 또한 권한 부여를 통해 개인은 개인 정보를 기밀로 유지하고 은행 업무나 투자와 같은 비즈니스를 위험 부담 없이 온라인으로 수행할 수 있는 권한을 얻을 수 있습니다. 인증 프로세스가 약하면 공격자는 사람들의 암호를 추측하거나 사람들에게 자격 증명을 넘겨주도록 속여서 계정을 위험하게 만들기 쉽습니다. 그러면 다음과 같은 위험이 발생할 수 있습니다.
인증 작동 방식
사람들에게 인증은 사용자 이름 및 암호 설정, 얼굴 스캔, 지문 또는 PIN 같은 다른 인증 방법 설정과 관련이 있습니다. ID를 보호하기 위해 이러한 인증 방법은 서비스의 데이터베이스에 저장되지 않습니다. 암호가 해시되고(암호화되지 않음), 해당 해시는 데이터베이스에 저장됩니다. 사용자가 암호를 입력하면 입력된 암호도 해시되고, 그런 다음 두 해시가 비교됩니다. 두 해시가 일치하면 액세스 권한이 부여됩니다. 지문과 얼굴 스캔의 경우 암호가 인코딩되고 암호화되어 디바이스에 저장됩니다.
인증 방법 유형
각 시스템이 ID 자체를 확인하는 기존 인증과 달리, 최신 인증에서 인증 프로세스는 신뢰할 수 있는 독립된 ID 시스템에 위임됩니다. 사용하는 인증 방법 유형도 바뀌었습니다. 대부분의 애플리케이션은 사용자 이름과 암호를 요구하지만, 악의적인 행위자가 암호 탈취에 능수능란해지면서 보안 커뮤니티에서는 ID를 보호하는 여러 가지 새로운 방법을 개발했습니다.
암호 기반 인증
암호 기반 인증은 가장 일반적인 인증 형식입니다. 악의적인 행위자가 암호를 추측하는 위험을 줄이기 위해 많은 앱과 서비스에서는 숫자, 문자, 기호의 조합을 사용하는 암호를 만들도록 요구합니다. 그러나 암호가 보안 및 유용성 문제를 유발하기도 합니다. 사람들은 각 온라인 계정마다 고유한 암호를 기억하고 생각해 내는 것이 힘들기 때문에 암호를 재사용하곤 합니다. 공격자는 암호를 추측하거나 탈취하거나 사람들이 본의 아니게 암호를 공유하도록 유인하는 여러 가지 전략을 사용합니다. 이러한 이유로, 조직에서는 암호에서 보다 안전한 인증 형식으로 바꾸고 있습니다.
인증서 기반 인증
인증서 기반 인증은 디바이스와 사람들이 다른 디바이스와 시스템에 대해 자신을 식별할 수 있도록 하는 암호화된 방법입니다. 일반적인 두 가지 예로는 스마트 카드 또는 직원 디바이스에서 네트워크 또는 서버로 디지털 인증서를 보내는 경우입니다.
생체 인식 인증
생체 인식 인증에서는 사람들이 생체 인식 기능을 사용하여 신원을 확인합니다. 예를 들어, 많은 사람들이 손가락이나 엄지손가락을 사용하여 휴대폰에 로그인하고, 얼굴이나 망막을 스캔하여 신원을 확인하는 컴퓨터도 있습니다. 생체 인식 데이터를 특정 디바이스에 연결할 수도 있습니다. 그래서 공격자는 디바이스에 대한 액세스 권한을 얻지 않고는 해당 디바이스를 사용할 수 없습니다. 암호를 기억할 필요가 없기 때문에 사람들에게는 쉽고, 악의적인 행위자는 암호 탈취가 어렵기 때문에 암호보다 더 안전하므로 이러한 유형의 인증은 점점 더 인기가 높아지고 있습니다.
토큰 기반 인증
토큰 기반 인증에서는 디바이스와 시스템 모두 30초마다 시간 기반 일회성 PIN(TOTP)이라고 하는 고유한 숫자를 새로 생성합니다. 숫자가 일치하면 시스템은 사용자의 디바이스임을 확인합니다.
일회성 암호
일회성 암호(OTP)는 특정 로그인 이벤트에 대해 생성되는 코드로, 발급된 후 곧 만료됩니다. OTP는 SMS 메시지, 전자 메일 또는 하드웨어 토큰을 통해 전달됩니다.
푸시 알림
몇몇 앱과 서비스는 푸시 알림을 사용하여 사용자를 인증합니다. 이러한 경우, 사람들은 액세스 요청을 승인하거나 거부하도록 요청하는 메시지를 휴대폰으로 받습니다. 알림을 보낸 서비스에 로그인하려는 경우 사람들이 뜻하지 않게 푸시 알림을 승인하는 경우가 있기 때문에 이 방법은 OTP 방법과 함께 사용하는 경우가 있습니다. OTP를 통해 시스템은 사용자가 입력해야 하는 고유한 숫자를 생성합니다. 그러면 인증에서 피싱을 더 많이 방지할 수 있습니다.
음성 인증
음성 인증에서는 서비스에 액세스하려는 사람이 전화를 받고 코드를 입력하거나 구두로 신원을 확인받습니다.
다단계 인증
계정 보안 침해를 줄이는 가장 좋은 방법은 두 가지 이상의 인증 방법을 요구하는 것입니다. 여기에는 이전에 설명한 방법이 포함될 수 있습니다. 효과적인 모범 사례는 다음 중 두 가지를 요구하는 것입니다.
- 사용자가 알고 있는 것(일반적으로 암호)
- 쉽게 복제되지 않는 신뢰할 수 있는 디바이스(예: 휴대폰 또는 하드웨어 토큰)와 같이 사용자가 가지고 있는 것
- 지문이나 얼굴 스캔과 같이 사용자의 신체 일부
예를 들어 많은 조직에서는 암호를 요구하고 액세스를 허용하기 전에 SMS나 신뢰할 수 있는 디바이스를 통해 OTP도 전송합니다.
2단계 인증
인증(AuthN)과 권한 부여(AuthZ)를 서로 바꿔 사용하는 경우가 많음에도 불구하고, 이 둘은 비슷하면서도 서로 다릅니다. 인증은 로그인하려는 사용자의 신원을 확인하는 반면, 권한 부여는 사용자가 원하는 정보에 액세스하기 위해 적합한 사용 권한을 가지고 있음을 확인합니다. 예를 들어 인사 관리 부서의 직원은 급여나 직원 파일과 같이 다른 사람들은 볼 수 없는 중요한 시스템에 대한 액세스 권한을 가질 수 있습니다. 생산성을 지원하고 중요한 데이터, 지적 재산, 개인 정보를 보호하기 위해 인증과 권한 부여는 모두 중요합니다.
인증 보안 관련 모범 사례
계정 보안 침해는 공격자가 회사 리소스에 대한 무단 액세스 권한을 얻기 위한 일반적인 방법이므로, 강력한 인증 보안을 도입하는 것이 중요합니다. 다음은 조직을 보호하기 위해 할 수 있는 몇 가지 사항입니다.
-
다단계 인증 구현
계정 보안 침해 위험을 줄이기 위해 할 수 있는 가장 중요한 사항은 다단계 인증을 설정하고 두 가지 이상의 인증 요소를 요구하는 것입니다. 공격자에게는 둘 이상의 인증 방법을 탈취하는 것이 훨씬 더 어렵습니다. 특히 그 중 하나가 생체 인식이거나 디바이스처럼 사용자가 소유하고 있는 것인 경우 그렇습니다. 직원, 고객 및 파트너가 가능한 한 쉽게 이용할 수 있도록 여러 인증 요소 중에서 하나를 선택할 수 있도록 하세요. 그러나 모든 인증 방법이 동일하지는 않습니다. 어떤 방법은 다른 방법보다 더 안전합니다. 예를 들어 SMS 수신은 인증을 하지 않는 것보다는 낫지만 푸시 알림이 더 안전합니다.
-
암호 없는 방식으로 전환하기
다단계 인증을 설정하면 암호 사용을 제한하고 PIN과 생체 인식처럼 두 가지 이상의 다른 인증 방법을 사용하도록 장려할 수 있습니다. 암호 사용을 줄이고 암호 없는 인증으로 전환하면 로그인 프로세스가 간소화되고 계정 보안 침해 위험이 줄어듭니다.
-
암호 보호 적용
직원 교육 외에도, 추측하기 쉬운 암호 사용을 줄이기 위해 사용할 수 있는 도구가 있습니다. 암호 보호 솔루션을 사용하면 Password1처럼 흔하게 사용되는 암호를 금지할 수 있습니다. 그리고 지역 스포츠 팀 이름이나 랜드마크처럼 회사 또는 지역에 해당하는 사용자 지정 목록을 만들 수 있습니다.
-
위험 기반 다단계 인증 사용
어떤 인증 이벤트는 직원이 새 디바이스나 낯선 장소에서 네트워크에 액세스하려고 하는 경우처럼 보안 침해 지표가 됩니다. 인사 관리 전문가가 직원의 개인 식별 가능 정보에 액세스해야 하는 경우처럼 어떤 로그인 이벤트는 이례적이진 않지만 위험도가 높을 수 있습니다. 위험을 줄이기 위해 ID 및 액세스 관리(IAM) 솔루션을 구성하여 이러한 유형의 이벤트가 감지되는 경우 두 개 이상의 인증 요소를 요구하세요.
-
가용성 우선 순위 설정
효과적인 보안은 직원과 다른 관련자들의 승인을 요구합니다. 보안 정책은 사람들이 위험한 온라인 활동에 참여하는 것을 방지할 수 있지만, 정책이 너무 부담되는 경우 사람들은 해결책을 찾을 것입니다. 가장 좋은 솔루션은 현실적인 인간 행동을 수용합니다. 셀프 서비스 암호 재설정 같은 기능을 배포하여 사람들이 암호를 잊은 경우 헬프데스크에 전화를 걸지 않아도 되도록 하세요. 나중에 암호를 잊은 경우 재설정하기가 쉽다는 것을 알게 되므로, 사람들이 강력한 암호를 선택하도록 장려하는 효과도 있습니다. 사람들에게 선호하는 인증 방법을 선택할 수 있도록 하는 것도 로그인을 간편하게 만드는 좋은 방법입니다.
-
Single Sign-On 배포
Single Sign-On(SSO)은 유용성을 높이고 보안을 향상하는 좋은 기능입니다. 앱을 전환할 때마다 암호를 묻는 것을 좋아하는 사람은 없으며, 시간 절약을 위해 여러 계정에서 동일한 암호를 사용하는 것은 권장되지 않습니다. Single Sign-On을 사용하면 직원은 업무에 필요한 대부분 또는 모든 앱에 액세스하기 위해 한 번만 로그인하면 됩니다. Single Sign-On을 사용하면 마찰이 줄어들고 직원들이 사용하는 모든 소프트웨어에 대해 다단계 인증과 같은 범용 또는 조건부 보안 정책을 적용할 수 있습니다.
-
최소 권한 원칙 사용
역할에 따라 권한 있는 계정 수를 제한하고 직원들에게 업무 수행에 필요한 최소한의 권한을 부여하세요. 액세스 제어를 설정하면 소수의 사람들만 가장 중요한 데이터 및 시스템에 액세스할 수 있습니다. 직원이 중요한 작업을 수행해야 하는 경우 기한이 있는 Just-In-Time 활성화와 같은 Privileged Access Management를 사용하여 위험을 줄일 수 있습니다. 직원들이 일상적인 작업에 사용하는 컴퓨터와 분리된 아주 안전한 디바이스에서만 관리 작업을 수행하도록 요구할 수도 있습니다.
-
위반을 가정하고 정기적인 감사 수행하기
많은 조직에서 직원들의 역할과 고용 상태가 정기적으로 변합니다. 직원들은 퇴사하거나 부서를 옮깁니다. 파트너는 프로젝트를 시작하고 끝냅니다. 이런 경우 액세스 규칙과 맞지 않으면 문제가 될 수 있습니다. 직원들이 더 이상 업무에 필요하지 않은 시스템과 파일에 대한 액세스 권한을 보유하지 않도록 하는 것이 중요합니다. 공격자가 중요한 정보를 입수하는 위험을 줄이기 위해 ID 거버넌스 솔루션을 사용하여 계정과 역할을 지속적으로 감사하세요. 또한 이러한 도구는 직원이 필요한 항목에만 액세스하고 조직을 떠난 직원의 계정이 더 이상 활성 상태가 아니도록 하는 데 유용합니다.
-
위협으로부터 ID 보호
ID 및 액세스 관리 솔루션은 계정 보안 침해 위험을 줄이는 데 도움이 되는 많은 도구도 제공하지만 위반을 예측하는 데에도 좋습니다. 교육을 잘 받은 직원들도 피싱 사기에 속는 경우가 있습니다. 계정 보안 침해를 쉽게 파악하기 위해 ID 위협 방지 솔루션에 투자하고 의심스러운 활동을 적발하고 이에 대응할 수 있는 정책을 구현하세요. Microsoft Security Copilot과 같은 많은 최신 솔루션은 AI를 사용하여 위협을 탐지할 뿐만 아니라 자동으로 대응합니다.
클라우드 인증 솔루션
인증은 강력한 사이버 보안 프로그램과 직원 생산성 지원 모두에 중요합니다. Microsoft Entra 같은 포괄적인 클라우드 기반 ID 및 액세스 관리 솔루션은 공격자가 계정 보안을 침해하고 중요한 데이터에 대한 액세스 권한을 얻을 위험을 줄이는 강력한 제어를 적용하면서 직원들이 업무 수행에 필요한 항목에 손쉽게 액세스할 수 있도록 도와 주는 도구를 제공합니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
인증에는 여러 유형이 있습니다. 예:
- 많은 사람들이 얼굴 인식이나 지문을 사용하여 휴대폰에 로그인합니다.
- 은행 및 기타 서비스에서는 암호와 SMS를 통해 자동으로 전송된 코드를 함께 사용하여 로그인하도록 요구하는 경우가 있습니다.
- 많은 조직에서 보안 향상을 위해 다단계 인증으로 전환하고 있음에도 불구하고 어떤 계정은 사용자 이름과 암호만 요구합니다.
- 직원들은 컴퓨터에 로그인하고 여러 앱에 동시에 액세스할 수 있습니다. 이를 Single Sign-On이라고 합니다.
- 사용자가 Facebook 또는 Google 계정을 사용하여 로그인할 수 있는 계정도 있습니다. 이 경우 Facebook, Google 또는 Microsoft는 사용자를 인증하고 사용자가 액세스하려는 서비스에 대해 승인할 책임이 있습니다.
-
클라우드 인증은 적합한 권한을 가진 적합한 사람들과 앱만 클라우드 네트워크 및 리소스에 액세스할 수 있도록 확인하는 서비스입니다. 많은 클라우드 앱에는 클라우드 기반의 인증이 기본 제공되지만, Microsoft Entra ID처럼 여러 클라우드 앱과 서비스에서 인증을 처리하도록 설계된 더 광범위한 솔루션도 있습니다. 이러한 솔루션은 일반적으로 SAML 프로토콜을 사용하여 하나의 인증 서비스가 여러 계정에서 작동하도록 지원합니다.
-
인증과 권한 부여를 서로 바꿔 사용하는 경우가 있지만, 이 둘은 비슷하면서도 서로 다릅니다. 인증은 로그인하려는 사용자의 신원을 확인하는 반면, 권한 부여는 사용자가 원하는 정보에 액세스하기 위해 적합한 사용 권한을 가지고 있음을 확인합니다. 인증과 권한 부여를 함께 사용하면 공격자가 중요한 데이터에 액세스하는 위험을 줄일 수 있습니다.
-
인증은 사람들과 업체에 디지털 리소스 및 네트워크에 대한 액세스 권한을 부여하기 전에 신원을 확인하는 데 사용됩니다. 주목적은 보안이지만, 최신 인증 솔루션은 유용성도 향상하도록 설계되었습니다. 예를 들어 많은 조직에서 Single Sign-On 솔루션을 구현하여 직원들이 업무 수행에 필요한 사항을 쉽게 찾을 수 있도록 만듭니다. 고객 서비스는 Facebook, Google 또는 Microsoft 계정을 사용하여 로그인할 수 있도록 하여 인증 프로세스가 빠르게 진행됩니다.
Microsoft Security 팔로우