사용자 인증의 중요성

사용자 인증을 위한 방법들은 대부분 안전하다고 알려져 있다. 네트워크, 애플리케이션, 계정 접근 시 보안을 보장하기 위해 인증을 통해 사용자를 검증한다. 사용자 인증은 사이버 범죄자로부터 보호하는 첫 번째 방어선이라고 볼 수 있다.

사용자 인증에는 보통 세 가지 방식이 있다.

첫째는 암호다. 암호 길이, 특수 문자 또는 기타 필수 요소를 포함해 로그인 자격 증명에 대한 매개 변수를 설정한다.

둘째는 카드 또는 USB 연결 장치와 같은 물리적 토큰을 활용하는 방식이다. ID를 증명할 장치가 있는 사용자만 인증을 할 수 있다.

셋째는 생체 인식이다. 이는 지문 스캔, 얼굴 인식, 음성 인식 사용자의 고유한 정보를 포함한다.

생체 인식은 보안성을 한 단계 높여준다. 하지만 사이버 범죄가 그렇게 간단하다면 지금까지 아무런 문제가 발생하지 않았을 것이다.

한 보고에 따르면 회사 네트워크의 93%는 사이버 범죄자로 인한 보안 침해 가능성에 노출돼 있는 것으로 파악됐다. 따라서 기업은 사용자 인증을 강화할 필요가 있다.

보안성과 사용자 자율성의 균형 필요

예전에는 최종 사용자가 실제 회사 사무실에서 회사 네트워크에 연결해 활동을 더 쉽게 모니터링할 수 있었다. 하지만 이제는 원격 또는 하이브리드 작업 방식을 사용해 사용자 요구 사항이 더욱 복잡해지고 있다.

사용자는 네트워크에 액세스할 뿐만 아니라 내부 및 제3자와 파일을 보고, 수정하고, 공유해야 한다. 원격 작업은 위험도가 높기 때문에 기업은 보안성과 사용자의 자율성 사이에서 균형을 유지해야 한다.

암호 강도와 2차 인증의 중요성

기업은 보안성이 높은 어려운 암호를 선호하지만 사용자는 안전한 암호를 필요로 한다. 최종 사용자의 절반 이상이 개인 및 비즈니스 접근을 포함해 여러 계정에 대해 동일한 암호를 사용하고 있다. 보고된 보안 침해의 80%는 허술한 암호로 인해 발생한다.

우리는 해킹이 나에게 일어날 수 없는 일이라고 생각하지만 그렇지 않다. 이에 많은 기업은 최종 사용자에게 암호에 대해 교육하고 사용자가 자격 증명을 선택하는데 도움이 되는 LastPass 또는 KeePass와 같은 보안 암호 관리자 사용을 권장한다.

또한 기업은 추가 보안으로 2FA(2단계 인증) 방법을 요구한다. 하짐나 대부분의 사용자는 자발적으로 2FA를 선택하지 않는다. 

SMS 스푸핑 주의

SMS 스푸핑을 주의해야 한다. 자격 증명을 보호하기 위한 2FA 시도를 인식한 사이버 범죄자들은 접근 권한을 얻기 위해 거짓 SMS 메시지를 보낸다.

이런 SMS 메시지에는 민감한 정보에 대한 요청과 함께 링크가 포함돼 있다. 우연히 링크를 클릭하면 데이터는 모두 해커에게 넘어가고 만다.

따라서 어떤 경우에든 SMS 메시지와 관련 링크를 함부로 클릭해선 안된다. SMS 스푸퍼는 일반적으로 등록되지 않은 번호를 사용한다.

프로비저닝 및 디프로비저닝

사용자 인증과 관련한 또 다른 위협은 오랫동안 사용하지 않은 계정에서 발생한다. 만약 직원이 퇴사할 때 기업은 해당 직원의 모든 프로비저닝을 해제해야 한다. 최종 사용자가 제대로 관리하지 않을 경우 악용될 가능성이 높기 때문이다.

보안 위협의 진화

사이버 범죄자들은 사용자 인증에 대한 새로운 공격을 계속 개발하고 있다.

인증 메커니즘은 노출된 경우 더욱 쉬운 표적이 될 수 있다. 인증을 표적으로 하는 지능형 공격에 대응하려면 대량의 API 트래픽을 모니터링하고 분석할 수 있는 API 보안 솔루션을 고려하는 것도 좋은 방법이다.