Thales banner

이중 인증(2FA) 솔루션

개요

이중 인증 방식은 다양한 기술에 기초하며 그 중에서도 가장 많이 이용되는 기술은 일회용 비밀번호(OTP)와 공개 키 기반 구조(PKI)입니다. 기술별로 어떤 차이가 있고 조직에 적합한 기술은 무엇일까요?

일회용 비밀번호

일회용 비밀번호(OTP)는 '대칭' 인증의 한 형태로 일회용 비밀번호가 두 위치, 즉 인증 서버와 사용자 소유의 하드웨어 토큰(또는 소프트웨어 토큰)에서 동시에 생성됩니다. 토큰에서 생성한 OTP가 인증 서버에서 생성한 OTP와 일치하면 인증이 완료되어 액세스 권한이 부여됩니다.

PKI 인증

'비대칭' 인증의 한 형태인 PKI 인증은 서로 다른 암호키 쌍, 즉 개인 암호키와 공개 암호키를 이용합니다. 스마트카드, USB 토큰과 같은 하드웨어 PKI 인증서 기반 토큰은 개인 비밀 암호키를 안전하게 저장하도록 설계되었습니다. 예를 들어, 기업 네트워크 서버에 인증할 때 서버는 숫자 형태의 '보안 질문'을 생성합니다. 이 보안 질문은 개인 암호키를 사용하여 서명됩니다. 서명된 보안 질문과 (네트워크 서버에 알려진) 공개 암호키 간에 수학적 상관관계가 있거나 '일치'하는 경우 인증이 완료되어 네트워크 액세스 권한이 부여됩니다. (매우 단순하게 설명한 내용입니다. 자세한 내용은 Simon Singh의 Science of Secrecy 동영상을 참조하시기 바랍니다.)

싱글 사인온

SSO(싱글 사인온) + MFA(다중 인증) + 액세스 관리

단일 플랫폼을 통해 통합 서비스 제공

이용할 수 있는 가장 강력한 인증 방법은 무엇인가

인증과 관련해서는 한 가지 방식으로 모든 필요를 충족할 수 없습니다. 다음은 조직에 가장 적합한 방식을 선택할 때 염두에 두어야 할 몇 가지 고려 사항입니다.

적합한 보안 수준

OTP 인증(예: OTP 앱 이용)은 대부분의 기업 사용 사례를 충분히 보호할 수 있지만, 전자 정부나 전자 보건과 같이 더 높은 수준의 보증이 필요한 부문에서는 PKI 보안을 사용하도록 법적으로 의무화될 수 있습니다.

업계 표준 및 준수 의무

PKI 인증에서는 개인 암호키가 사용되며 하드웨어 토큰에 저장하면 양도할 수 없습니다. PKI의 비대칭 특성 때문에 세계 각국에서는 이를 더 높은 보증 수준이 필요한 사용 사례에 적용하고 있습니다. 그러나 미국의 의료부문 등 많은 부문에서 OTP 보안에 대한 인식이 점점 향상되고 있으며 FIPS 준수 OTP 앱을 사용하는 경우에는 미 마약단속국(DEA)이 규정하는 EPCS(Electronic Prescriptions for Controlled Substances) 요건을 충족합니다.

해당 업계에 관련된 규정에 따라 배포하는 하드웨어 또는 소프트웨어 토큰은 북미에서는 FIPS 140-2를 준수하거나 전 세계 다른 지역에서는 Cc(공통 평가 기준) 인증을 준수해야 할 수 있습니다.

물리적/논리적 액세스

물리적 액세스와 논리적 액세스가 모두 필요하다면 RFID 기반 물리적 액세스 제어를 지원하는 하드웨어 토큰이 바람직할 수 있습니다. 물리적/논리적 액세스 제어 솔루션 페이지에서 자세히 알아보실 수 있습니다.

다중 인증

어떤 이중 인증 기술을 사용하느냐와 관계없이 로그인 시도 시에 컨텍스트 속성(다양한 장치, 행동 기반 변수 등)을 추가로 평가하면 보안 수준이 향상될 수 있습니다. 컨텍스트 기반 인증 페이지에서 자세히 알아보실 수 있습니다.

다양한 위협 벡터 완화

서로 다른 인증 기술은 서로 다른 위협에 대응하는 데 효과적입니다. 인증 방법, 인증 방법이 대응하는 위협에 관한 설문조사는 ‘인증 기술 설문조사’ 백서를 다운로드해 확인하실 수 있습니다.

비용

배포 및 관리 비용

OTP 인증은 원래 가격 부담이 크지 않고 더 쉽고 빠르게 배포할 수 있는데, 이는 사용자별로 인증 기관(CA)에서 PKI 디지털 인증서를 구매하는 작업이 필요한 PKI 인프라를 구성할 필요가 없기 때문입니다. OTP 앱을 활용하는 OTP 인증 기능은 사용자의 휴대기기나 데스크톱에 설치할 수 있는 것과 달리, PKI 인증은 사용자별 하드웨어 토큰을 조달해야 개인 암호키를 안전하게 유지 관리할 수 있습니다. 이러한 이유로 OTP 인증에는 일반적으로 배포 비용, IT 직원의 시간과 노력 투자가 비교적 적게 듭니다.

소프트웨어 토큰을 사용하면 PKI 기반이든 OTP 기반이든 상관없이 무선상에서 토큰을 교체할 수 있으므로 교체할 하드웨어 토큰을 우편으로 배송하는 비용을 제거할 수 있습니다.

현재의 토큰 투자 가치 보존

PKI 기반이든 OTP 기반이든 이미 이중 인증 솔루션을 배포한 조직은 기존 투자를 활용할 방법을 모색할 수 있습니다.
PKI 토큰을 이미 배포한 조직은 기존 배포 솔루션을 확장, 발전하여 이동성을 제공할 수 있습니다. SafeNet IDPrime VirtualFIDO 장치와 같은 모바일 첨단 기술을 활용하면 기존에 투자한 토큰 솔루션을 낭비하는 것 없이 기존 PKI 인프라를 활용해 이러한 목적을 달성할 수 있습니다.
OTP 토큰을 이미 배포한 조직은 타사 토큰이나 타사 RADIUS 서버를 지원하는 솔루션을 찾거나, 기존 표준 기반 토큰을 새 솔루션(예: OATH 기반 토큰)으로 가져올 수 있는 솔루션을 찾으면 기존에 투자한 솔루션을 계속 활용할 수 있습니다.

사용 편리성

인력에 더 큰 유동성을 제공하거나, 파트너와 컨설턴트까지 강력한 인증을 확장 적용하고자 하는 조직은 점차 더 투명한 인증 방법을 모색할 수 있습니다. 소프트웨어, 모바일 기반 토큰과 토큰리스 솔루션은 더욱 편리한 인증 절차를 제공하며 안전한 유동성 구현 계획을 지원합니다.

SafeNet Trusted Access

SafeNet Trusted Access

SSO를 활용한 클라우드 앱 보안이 얼마나 간단한지 확인해보세요

일반적인 액세스 정책을 쉽게 세분화할 수 있습니다.

한발 앞서가 보세요!

이중 인증 제품

SafeNet OTP 인증기기: 탈레스가 제공하는 가장 광범위한 하드웨어, 소프트웨어, 모바일 기반 OTP 인증기기를 통해 기업은 온프레미스, 클라우드 기반, 원격, 가상 환경 등 어떤 엔터프라이즈 솔루션을 보호하든지 다양한 보증 요구를 충족할 수 있습니다.
더 알아보기

탈레스 SafeNet OOB 인증기기: 푸시 알림, SMS, 이메일로 대역 외 인증을 제공하는 탈레스의 대역 외 인증기는 액세스되는 채널이 아닌, 다른 통신 채널을 통해 일회용 비밀번호를 전달함으로써 보안과 사용자 편의성을 모두 향상합니다.
더 알아보기

물리적·논리적 액세스 제어: 물리적 액세스 제어와 논리적 액세스를 접목해 이용하면 사무실, 산업·제조 현장에 대한 물리적 액세스를 보호하는 동시에, 민감한 네트워크와 애플리케이션에 대한 액세스를 보호할 수 있습니다.
더 알아보기

PKI 인증기기: 탈레스의 SafeNet 인증서 기반 PKI 토큰 제품은 디지털 서명, 이메일 암호화, 이중 인증을 포함한 기타 고급 보안 애플리케이션은 물론, 광범위한 리소스에 대한 보안 액세스를 지원합니다.
더 알아보기

이중 인증 관련 자주 묻는 질문

이중 인증(2FA)은 사용자 본인이 맞는지 확인합니다. 개인의 신원을 확인하는 데 사용하는 요소가 많을수록 진위의 신뢰도가 더 높아집니다.

이중 인증은 어디에 사용되는가

거래 은행에서 쉬운 비밀번호만을 이용해 내가 보유한 당좌 예금 계좌에 액세스하지 않기를 바라는 것처럼, 직원에게도 추가 인증 요소를 제시하도록 요청하여 리소스를 보호하는 것이 좋습니다. 직원 신원을 보장하고 로그인 자격 증명이 쉽게 해킹되거나 도난당하지 않도록 보호하기 때문입니다. VPN이나 Citrix, Outlook Web Access, 클라우드 애플리케이션과 같은 소중한 리소스에 한 가지 요소(보통은 알기 쉬운 비밀번호)만으로 액세스하도록 허용하는 것은 좋지 않습니다.

이중 인증을 이용하면 ID 도난, 피싱, 온라인 사기 등을 포함한 다양한 보안 공격 기회를 대폭 줄임으로써 필수 리소스에 대한 보안을 강화할 수 있습니다.

그리고 어떻게 작동할까요?

개인 신원을 확인하는 데 사용할 수 있는 인증 방법은 다양합니다. SafeNet은 가장 광범위한 인증 방법과 제품 형태를 제공하여 고객이 다양한 사용 사례, 보증 수준, 위협 벡터에 대응할 수 있도록 지원합니다.

  • 하드웨어 기반 인증 - 사용자가 물리적으로 소유하는 추가 하드웨어로, 이 하드웨어 없이는 인증이 불가능합니다.
  • 대역 외 인증 - 이미 사용자가 소유하고 있고, SMS나 이메일을 통해 안전하게 정보를 수신하는 데 사용할 수 있는 하드웨어입니다.
  • 소프트웨어 기반 인증 - 이 유형의 인증 방법은 사용자의 컴퓨터, 스마트폰 또는 휴대 기기에 소프트웨어 애플리케이션을 배포합니다.
  • 일회용 비밀번호(OTP) - 토큰, 휴대 기기 또는 그리드 기반 인증 등 어느 위치에서든 중요 애플리케이션과 데이터를 대상으로 사용자를 올바로 인증하기 위해 동적 일회용 비밀번호(OTP)를 생성합니다.
  • 인증서 기반 인증기기(CBA) USB 토큰 - 디지털 서명, 비밀번호 관리, 네트워크 로그온, 통합 물리적/논리적 액세스를 포함하여 보안 원격 액세스를 비롯한 그 밖의 고급 애플리케이션을 제공합니다.
  • 인증서 기반 인증기기(CBA) 스마트카드 토큰 - 기존 신용카드 형태의 제품으로, 조직이 PKI 보안과 액세스 제어 필요를 충족할 수 있도록 지원합니다.
  • 하이브리드 인증기기 - 동일한 강력한 인증 장치에 일회용 비밀번호, 암호화된 플래시 메모리 또는 인증서 기반 기술을 결합한 인증기기입니다.

컨텍스트 기반 인증이란

컨텍스트 기반 인증은 상황별 정보를 이용하여 사용자의 신원 정보가 사실인지를 확인합니다. 이 방법은 다른 강력한 인증 기술을 보완하는 수단으로 권장됩니다.

SafeNet의 차세대 인증 솔루션은 액세스 제어를 다계층 차원에서 접근하는 방법을 IT 관리자에게 제공합니다. 관리자가 미리 설정하고 사전 정의한 정책 규칙을 충족하는 한, 직원들이 쉽고 안전하게 엔터프라이즈와 SaaS 애플리케이션에 액세스할 수 있습니다. 적용 중인 액세스 규칙을 준수하지 않는 사용자에게는 액세스 권한을 부여하기 전에 추가 인증 요소를 제시하도록 요청할 수 있습니다. 이는 SMS나 전화 토큰으로 생성된 일회용 비밀번호나 하드웨어 토큰이 될 수 있으며 조직 정책에 따라 다릅니다. 컨텍스트 기반 인증 인포그래픽을 보려면 여기를 클릭하세요.

클라우드 애플리케이션에 대한 액세스가 보호됩니까?

클라우드로의 전환은 기존의 네트워크 보안 경계를 모호하게 만들기 때문에 조직은 분산된 기업 자료에 대한 일관된 통합 액세스 정책을 제공, 구현 및 관리하는 데 있어 어려움을 겪고 있습니다. SaaS 도입률이 증가함에 따라 기업 앱에 액세스하는 단일 지점은 이제 존재하지 않습니다.

SafeNet 인증 솔루션은 조직이 ID 연계 기능을 통해 클라우드에 대한 액세스 보안 역량을 원활하게 확장하도록 지원하여 위와 같은 문제를 극복합니다.  SafeNet 인증 플랫폼은 조직의 기존 인증 인프라를 활용하여 사용자의 온프레미스 ID를 클라우드로 확장 적용하고 클라우드 및 네트워크 애플리케이션 모두에 액세스 제어 정책을 통합 구현할 수 있도록 지원합니다. 클라우드 기반 SaaS 애플리케이션 및 서비스를 위한 강력한 인증 솔루션 상세 정보

이중 인증은 유동적인 직원, 위험 수준이 다른 직원도 보호하는가

모든 가상, 클라우드 및 사내 리소스에 대한 액세스 제어를 정의 및 시행하는 데 있어 단일 관리 지점을 제공함으로써 SafeNet은 이중 인증을 모바일 직원을 포함하여 전체 위험 수준에서 모든 사용자를 대상으로 확대 적용할 수 있도록 지원합니다.

서로 다른 인증 방법과 제품 형태로 사용자의 다양한 위험 수준을 처리합니다. 따라서 엔터프라이즈 포털에만 액세스하는 권한을 가진 직원은 기업 IT 관리자와는 다른 인증 방법/제품 형태를 이용하게 됩니다.

2FA와 BYOD 솔루션을 조합하는 방법

SafeNet은 휴대 기기부터 네트워크 리소스, 이메일, VDI 등에 대한 안전한 액세스를 보장하기 위해 다양한 방법을 제공합니다.

  • 사용자 인증 - VPN, 무선, 액세스 지점, VDI를 통해 기업 리소스에 액세스하는 사용자를 명확히 식별합니다.
  • iOS 장치의 인증서 자격 증명 - 인증서를 함께 제공한 사용자의 장치만 기업 리소스에 액세스할 수 있습니다.
  • 컨텍스트 기반 인증을 사용한 장치 인식 - 모바일 브라우저에서 웹 기반 애플리케이션에 로그인한 등록된 사용자를 인식합니다.

SafeNet 인증 솔루션은 사용자가 장치를 등록하도록 요구함으로써 BYOD 시나리오에서 보안 액세스가 이루어지도록 지원합니다. 이러한 방식으로 기업에서는 사전 등록된 장치만 네트워크에 액세스할 수 있도록 선택하거나 미등록 장치의 경우 사용자가 일회용 비밀번호와 같이 추가적인 인증 방법을 제공하도록 설정할 수 있습니다.

이처럼 다양한 필요와 솔루션을 어떻게 관리해야 하는가

오늘날과 같이 이동성에 크게 좌우되는 현재 조직 환경에서 보안 액세스를 설정, 유지 관리하기 위해서는 SaaS 애플리케이션, 클라우드 기반 솔루션 및 사내 환경에 통합 액세스 정책을 구현하는 것은 필수적입니다.

IT 관리 직원들은 비용을 절감하고 가치를 입증해야 한다는 부담 아래, TCO(총 소유 비용)을 절감하기 위해 끊임없이 노력하고 있습니다. 관리 작업 간소화에는 사용자 관리, 프로비저닝, 싱글 사인온, 강력한 인증, 권한 부여, 보고, 감사, LDAP/Active Directory와 통합된 정책 경고 기능이 포함됩니다.

SafeNet의 중앙 관리식 인증 솔루션은 다음을 지원하는 단일 관리 플랫폼을 토대로 합니다.

  • 직원이 이용하는 기업 발급 휴대 기기 및 개인 휴대 기기 모두의 이동성 보안
  • 기업 네트워크에 대한 보안 원격(VPN) 액세스
  • 클라우드 애플리케이션에 대한 보안 액세스
  • 가상 데스크톱 인프라(VDI)에 대한 보안 액세스
  • 보안 네트워크 로그온
  • 웹 포털에 대한 보안 액세스
  • 고급 보안 애플리케이션(예: 부팅 전 인증 및 디지털 서명)

분열된 기업 IT 생태계에 이중 인증을 어떻게 적용할 수 있는가

IT 생태계가 분열되면 보안과 규정을 준수하기 어렵습니다. 이처럼 분열된 환경에서 기업 리소스에 대한 직원의 액세스를 보호하는 것은 실제로 매우 어려운 일입니다. SafeNet 인증 솔루션은 전체 IT 생태계에 일관된 액세스 제어를 적용하는 단일 관리 플랫폼을 제공합니다. 완전한 사용 사례까지 포함하는 솔루션으로 클라우드, VPN, VDI, 웹 포털, LAN에 적합하며 원활한 통합 규격 서비스를 100가지 이상 제공합니다.

SafeNet은 다음을 제공함으로써 IT 관리자를 위한 매끄러운 관리 기능을 지원합니다.

  • 완전 자동 작업 흐름
  • 예외별 솔루션 관리
  • 모든 액세스 이벤트에 대한 단일 감사 추적
  • 셀프서비스 포털 사용
  • 어떤 장치에서든 보안 액세스 구현
  • 무선 소프트웨어 토큰 전달

최종 사용자에게 부담을 주지 않는 동시에, 만족할 만한 액세스 보안 수준을 유지하려는 요구와 여러 장치를 지원해야 하는 필요성에 따라 조직들은 사용자 경험에 주는 영향을 최소화한 솔루션을 도입하고 있습니다. SafeNet은 광범위한 2FA 토큰과 토큰리스 인증 방법, 클라우드의 SSO 연계 기능을 통해 원활한 사용자 인증을 지원합니다.

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP - Product Brief

End users and IT teams are experiencing waves of high stress due to the pandemic and escalating cyberattacks. Thales offers a simple and highly secure authenticator app that makes login fast and secure throughout each login session, lowering risk and ensuring secure remote...

MobilePASS+를 이용하여 모바일 장치에서 인증 푸시