다단계 인증(MFA)이란?

다단계 인증은 애플리케이션이나 데이터베이스에 대한 액세스를 허용하기 전에 개인 신원의 한 측면만 확인하는 것이 아니라 여러 측면을 확인합니다. 단일 요소 인증보다 훨씬 안전합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 다단계 인증(MFA)의 정의
  • MFA가 비밀번호만 사용하는 것보다 더 안전한 이유 알아보기
  • 다양한 ID 인증 요소 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

다단계 인증(MFA)이란?

다단계 인증(MFA)은 기존 사용자 이름과 비밀번호의 조합보다 더 안전하게 사용자 신원을 확인하는 방법입니다.MFA에는 일반적으로 비밀번호가 포함되지만, 하나 또는 두 개의 추가 인증 요소도 포함됩니다.2단계 인증(2FA)은 MFA의 한 유형입니다.

MFA는 ID 및 액세스 관리(IAM)의 중요한 부분이며 SSO(Single Sign-On) 솔루션 내에서 구현되는 경우가 많습니다.

인증 요소는 무엇일까요?

사용자에게 소프트웨어 애플리케이션이나 네트워크에 대한 액세스 권한을 부여하기 전에 신원 확인 시스템에서는 사용자라고 주장하는 사람이 본인인지 확인하기 위해 사용자에게 특정한 특성을 평가합니다. 이러한 특성을 "인증 요소"라고도 합니다.

가장 널리 사용되는 3대 인증 요소:

  1. 지식: 사용자가 알고 있는 내용
  2. 소유: 사용자가 가지고 있는 품목
  3. 고유한 특성: 사용자 자체의 특성

MFA는 둘 이상의 인증 요소를 사용하는 것을 지칭합니다. 두 가지 인증 요소만 사용하는 경우 MFA를 2요소 인증 또는 2단계 인증이라고도 합니다. 3단계 인증은 MFA의 또 다른 형태입니다.

세 가지 인증 요소의 실제 예는 무엇일까요?

  • 지식(사용자가 알고 있는 내용): 이 요소는 사용자 이름과 비밀번호의 조합과 같이 한 명의 사용자만 가질 수 있는 지식입니다.다른 유형의 지식 요소에는 보안 질문, ID 번호, 사회 보장 번호가 있습니다."비밀 핸드셰이크"조차도 사용자가 알고 있는 것일 수 있습니다.
  • 소유(사용자가 가지고 있는 품목): 이 요소는 물리적 토큰, 장치, 키의 소유를 지칭합니다. 이 인증 요소의 가장 기본적인 예는 실제 집 열쇠를 사용하여 집에 들어가는 것입니다. 컴퓨팅 컨텍스트에서 물리적 품목은 열쇠 고리, USB 장치, 스마트폰일 수 있습니다. 여러 최신 MFA 시스템에서는 사용자의 전화로 임시 코드를 문자로 보내고 계정에 액세스하기 위해 코드를 입력하도록 요청합니다. 이는 사용자가 다른 사람이 소유하지 않은 전화를 소유하고 있음을 보여주어 신원을 확인하는 데 도움이 됩니다(공격자가 사용자의 SIM 카드를 도용하지 않는 한).
  • 고유한 특성(사용자 자체): 이것은 사용자 신체의 물리적 특성을 지칭합니다. 이 인증 요소의 가장 기본적인 버전은 시각이나 음성으로 누군가를 인식하는 기능입니다. 인간은 일상적인 상호 작용에서 이 능력을 지속해서 사용합니다. 신분증에 있는 사진과 외모를 비교하는 것도 고유한 특성을 확인하는 또 다른 예입니다. 컴퓨팅 컨텍스트에서 이 인증 요소의 한 예는 여러 최신 스마트폰에서 제공하는 기능인 Face ID입니다. 다른 방법에는 지문 스캔, 망막 스캔, 혈액 검사가 포함될 수 있습니다.

MFA가 단일 요소 인증보다 안전한 이유는?

단일 요소 인증은 위의 요소 중 하나만 사용하여 사용자를 식별하는 것입니다. 사용자 이름과 비밀번호의 조합을 요구하는 것은 단일 요소 인증의 가장 일반적인 예입니다.

단일 요소 인증의 문제점은 공격자가 사용자를 가장하기 위해 한 가지 방법으로 사용자를 공격하는 데 성공하기만 하면 된다는 것입니다. 누군가 사용자의 비밀번호를 도용하면 사용자의 계정이 손상됩니다. 이와는 대조적으로, 사용자가 MFA를 구현하는 경우 공격자가 계정에 액세스하려면 비밀번호만 가지고는 충분하지 않습니다. 예를 들어 사용자로부터 물리적 품목도 훔쳐야 하므로 훨씬 더 어렵습니다.

이 문제는 다른 형태의 단일 요소 인증에도 적용됩니다. 은행에서 카드와 PIN을 요구하는 대신 현금을 인출할 때 소유 요소인 직불 카드만 사용하도록 요구했다고 상상해 보세요. 다른 사람의 계좌에서 돈을 훔치려면 도둑이 해야 할 일은 직불카드를 훔치는 것뿐입니다.

MFA를 안전하게 만드는 것은 동일한 요소를 여러 번 사용하는 것이 아니라 다양한 요소를 사용한다는 것임을 유의하는 것이 중요합니다.

한 애플리케이션에서는 사용자에게 비밀번호만 입력하라는 메시지를 표시하는 반면, 다른 애플리케이션에서는 사용자에게 비밀번호와 보안 질문에 대한 답변을 모두 입력하라는 메시지를 표시한다고 가정해보겠습니다. 어떤 애플리케이션이 더 안전할까요?

기술 면에서 보면 답은 둘 다 아닙니다. 두 애플리케이션 모두 하나의 인증 요소인 지식 요소에만 의존하고 있습니다.비밀번호와 물리적 토큰 또는 지문 스캔이 필요한 애플리케이션은 비밀번호와 몇 가지 보안 질문만 요구하는 애플리케이션보다 더 안전합니다.

어떤 형태의 MFA가 가장 효과적일까요?

이것은 아주 맥락에 많이 좌우되는 질문입니다. 일반적으로 모든 형태의 다단계 인증은 단일 인증보다 훨씬 더 안전합니다.

하지만 특정 형태의 MFA는 정교한 공격 방식에 취약한 것으로 나타났습니다. 한 실제 사례에서 공격자는 조직의 싱글 사인온 서비스에 대하여 가짜 로그인 페이지를 가리키는 SMS 피싱 메시지를 직원들에게 보냈습니다. 사용자가 이 가짜 페이지에 사용자 이름과 비밀번호를 입력하면 다음 단계가 진행되었습니다.

  1. 공격자는 훔친 사용자 이름과 비밀번호를 조직의 실제 로그인 페이지에서 사용했습니다.
  2. 실제 로그인 페이지에서는 실제 사용자의 휴대폰으로 임시 코드를 전송하여 또 다른 인증 요소인 휴대폰 소지를 확인하려고 시도했습니다.
  3. 공격자는 사용자를 다른 가짜 페이지로 리디렉션하여 임시 코드를 입력하도록 요청했습니다.
  4. 사용자가 그에 따라 입력한 경우 공격자는 실제 로그인 페이지에서 해당 코드를 사용하여 계정에 액세스했습니다.

반면, 다른 소유 확인 방법인 USB 보안 토큰은 이러한 특정 공격에 취약하지 않습니다. 모든 사용자에게 고유한 보안 토큰을 부여하여 컴퓨터에 연결하고 인증을 위해 해당 토큰을 물리적으로 활성화해야 한다면, 공격자가 누군가의 사용자 이름과 비밀번호를 알고 있는 경우 해당 사용자의 컴퓨터를 훔치지 않는 한 계정에 액세스할 수 없게 됩니다. 사용자의 지문이나 얼굴 스캔과 같은 고유한 특성을 사용하여 신원을 확인하는 것도 마찬가지입니다.

보안 토큰과 지문 스캔이 일회용 비밀번호보다 더 안전하다는 뜻일까요? 피싱 맥락에서는 그렇습니다. 하지만 조직에서는 MFA 방법을 선택하기 전에 특정 보안 위험과 요구 사항을 평가해야 합니다. 다시 한 번 강조하지만, 모든 형태의 MFA는 단일 요소 인증보다 더 안전하며 조직의 보안 여정에서 중요한 단계가 될 것입니다.

다른 인증 요소가 있을까요?

보안 업계의 일부 업체에서는 위에 나열된 세 가지 주요 인증 요소 외에 추가 인증 요소를 제안하거나 구현했습니다. 드물게 구현되지만, 이러한 인증 요소에는 다음이 포함됩니다.

위치: 로그인 시 사용자가 있는 위치입니다.예를 들어 회사가 미국에 있고 모든 직원이 미국에서 근무하는 경우 직원의 GPS 위치를 평가해서 다른 국가에서 로그인하는 것을 거부할 수 있습니다.

시간: 일반적으로 사용자의 다른 로그인 및 위치와 관련하여 사용자가 로그인하는 시간.사용자가 한 국가에서 로그인한 것으로 나타난 다음 몇 분 후에 다른 국가에서 후속 로그인을 시도하면 해당 요청이 합법적이지 않을 수 있습니다.시스템에서는 정상 업무 시간 이외의 로그인 시도를 거부할 수도 있습니다. 하지만 이는 ID 인증 요소라기보다 보안 정책에 가깝습니다.

이 두 가지가 모두 추가 ID 요소로 간주되는 경우(논쟁의 여지는 있음) 4단계 인증과 5단계 인증이 기술적으로 가능합니다. 둘 다 다단계 인증의 산하에 있습니다.

지나치게 엄격한 보안 조치는 종종 사용자가 공식 정책을 우회하도록 부추길 수 있으므로 이러한 강력한 보안 조치를 구현하는 것은 사용자에게 전가되는 비용과 비교해봐야 합니다.

사용자가 계정에서 MFA를 구현하려면 어떻게 해야 할까요?

오늘날 많은 소비자 웹 서비스에서 MFA를 제공합니다. MFA가 있는 대부분의 애플리케이션에서는 사용자가 로그인할 때 스마트폰을 사용해야 하는 2FA 형식을 제공합니다. 각 애플리케이션의 보안 설정을 살펴보고 2FA를 활성화할 수 있는지 확인하세요. 또한 Cloudflare를 사용하면 모든 Cloudflare 사용자가 자신의 계정에서 2FA를 구현할 수 있습니다.

기업에서는 MFA를 어떻게 구현할 수 있을까요?

SSO 솔루션을 사용하는 것은 MFA 구현을 위한 권장 단계입니다. SSO으로는 모든 앱에서 MFA를 구현하기 위한 단일 위치가 제공되지만, 모든 개별 앱에서 MFA가 지원되는 것은 아닙니다.

Cloudflare Zero Trust는 2FA를 지원하는 SSO 벤더와 통합됩니다.Cloudflare는 사용자가 수행할 수 있는 작업을 제어하고 원격으로 작업하든 통제된 사무실 환경 내에서 작업하든 상관없이 직원에 대한 보안 정책을 시행하므로 회사의 웹 사이트 및 클라우드 애플리케이션을 보호하는 데 도움이 됩니다.