[기고] 불편하고 복잡한 패스워드는 이제 그만!

[글=이진현 | 시스코코리아 보안 솔루션 아키텍트]

작년 전 세계를 강타한 코로나19 여파가 아직까지 해소되지 못하면서 기업들은 생존을 위해 전례 없는 속도와 규모로 업무 환경을 변화시켜 가고 있다. 전통적인 업무 환경 및 협업 방식에서 원격 근무 환경을 적극적으로 도입하기 시작했다. 이러한 대응은 사업 성장이 아닌 생존을 위해 필수적이며, 특히 포스트 코로나 시대를 준비하는 과정에서 비즈니스 연속성과 회복 탄력성을 높이기 위해 조직의 분산된 인력과 업무 공간에 대한 새로운 접근이 요구되고 있다.

시스코의 ‘안전한 원격근무의 미래 보고서(Future of Secure Remote Work Report)’에 따르면 최근 코로나19로 인해 한국 등 아시아 태평양 지역 기업들이 대대적인 원격 근무 체제로 전환하면서 사이버 보안 문제가 대폭 증가한 것으로 나타났다. 특히 한국 기업의 74%는 코로나19 이후 사이버 위협 또는 경고가 25% 이상 증가했다고 답했다. 이는 다른 아태지역 평균인 69%와 글로벌 평균인 61%보다 월등히 높은 수치로, 국내 기업 보안 문제의 심각성을 나타내 각별한 보안 주의가 요구되고 있다.

믿었던 패스워드의 배신

과거부터 지금까지 모든 IT 보안의 시작이자 중심 역할을 담당해 온 것은 패스워드 인증이다. 하지만 오늘날 다양한 업무 애플리케이션 사용과 더욱 복잡해진 기업의 IT 환경에서 패스워드는 그 역할을 제대로 수행하지 못하고 사용자와 관리자 모두에게 골칫거리로 여겨지고 있다. 이로 인해 일상에서 경험하는 불편함도 많아지고 있다.

이처럼 사용자는 기업에서 사용하는 여러 애플리케이션의 패스워드를 매번 새롭게 변경하고 또 기억해야 하는 부담을 가지고 있으며, 기업은 사용자들의 패스워드 분실, 발급 및 갱신을 위한 헬프 데스크 운영에 많은 리소스와 비용을 지출하고 있다. 또한 패스워드 분실은 심각한 보안 사고를 발생시킬 수 있어 다양한 패스워드 보안 규정, 추가적인 다중 인증 솔루션의 도입 등 기업의 보안 관리자는 끝없이 패스워드와 전쟁 중이다.

가트너(Gartner)에 따르면 기업의 IT/보안 헬프 데스크 업무 중 패스워드 문제에 대한 비중이 많게는 50%까지 차지하는 것으로 나타났다. 2018년 버라이즌 데이터 유출 조사 보고서(Verizon Data Breach Report 2018)에서도 보안 침해 사고 중 패스워드 유출로 인한 사고 비율이 무려 81%를 차지했다.

G00dby3 Pa$$word - 이제는 Passwordless 인증의 시대

‘사용자 신원 확인 = 패스워드’라는 고정 관념을 벗어나 사용자 신원 확인의 다른 방법은 없을까? 이러한 인증 방식의 접근을 최근 업계에서는 ‘패스워드리스(Passwordless) 인증’이라고 부른다. 패스워드리스 인증이란 사용자가 애플리케이션이나 시스템에 접속할 때 패스워드에 의존하지 않고 다른 방법을 통해 사용자의 신원을 확인하는 것으로, 사용자가 이미 가지고 있거나 다른 사람은 도용할 수 없는 수단들을 활용하는 방법이다. 대표적인 방법 중 하나는 생체 인증을 적용한 방식이다.

기술의 발달에 따라 사용자 디바이스는 많은 발전을 거듭해 왔다. 오늘날의 노트북, 태블릿 및 스마트폰은 안면인식이나 지문인식 기능을 지원한다. 또한 다양한 표준 연구와 논의를 통해 FIDO2(Fast Identity Online), WebAuthn(Web Authentication) 등 생체 인증에 대한 표준도 이미 마련되어 있다. 다른 사람은 도용할 수 없는 수단을 사용하면서, 추가적인 사용자 신원 확인을 위해 해당 사용자에게 지급되어 등록된 노트북이나 스마트폰을 통해서 인증을 시도하는지 여부를 확인할 수도 있다. 사용자가 이미 가지고 있는 수단을 통해 사용자 신원 확인을 더 강화시키는 것이 패스워드리스 인증 방법이다.

패스워드리스 인증 방법은 다음과 같은 과정을 거쳐 진행된다. 첫 번째, 최초 애플리케이션 접속 시 사용자 ID와 패스워드를 사용해 1차 인증을 진행한다. 두 번째, 모바일 앱 푸시, SMS, 전화, OTP 등 수단을 사용해 추가로 2차 인증을 완료한다. 세 번째, 사용자 인증 과정 후, 패스워드리스 등록 과정을 진행한다. 네 번째, 생체 인증(예: 터치 ID, 페이스 ID, Windows Hello)을 통한 패스워드리스 인증 등록을 완료한다. 패스워드리스 인증 등록이 완료된 이후부터 사용자는 애플리케이션 접속 시 생체 인증만으로 신원 확인이 가능하며, 애플리케이션에 접속할 수 있게 된다.

 우리는 이미 패스워드리스 인증 방법을 다양한 환경에서 사용하고 있다. 가장 대표적인 예시로 최근 모바일 뱅킹 환경은 사용자 계정이나 공인인증서의 패스워드 입력 없이 스마트폰에서 제공하는 생체 인증 기능을 사용해 인증 및 뱅킹 업무를 할 수 있도록 사용자에게 편의성을 제공하고 있다. 기업의 경우, 애플리케이션에도 패스워드리스 인증 적용을 고려할 수 있다. 이를 통해 사용자는 패스워드 관리의 부담에서 벗어나 보다 편리한 애플리케이션 접속 환경을 제공받을 수 있으며, 기업과 관리자는 사용자 인증 경험의 개선과 패스워드 관리와 보호를 위해 사용되었던 리소스 및 비용을 절약하면서도 보다 강화된 사용자 인증 환경을 구현할 수 있다.

패스워드리스로의 여정 - 시스코 듀오와 함께

최근 기업들의 디지털 전환이 가속화되며 시간과 장소에 구애받지 않고 개인 기기를 통해 애플리케이션 혹은 중앙 네트워크에 접속하는 사례가 급증하고 있다. 하지만 이와 함께 보안 위협 역시 고도화되며 사용자 계정 유출, 애플리케이션 취약점 악용, IoT 디바이스를 타깃으로 하는 변종 멀웨어 출현 등 사용자 인증과 애플리케이션 위협 요소가 다양해지고 있다. 이를 해결하기 위해 새로운 보안 접근 방법인 제로 트러스트가 주목받고 있다. 특히 멀티 팩터 인증과 같이 사용자 신뢰성 확인을 통한 보안 강화 필요성이 증가하고 있다.

지난 2018년 시스코는 23억 5000만 달러에 듀오 시큐리티(Duo Security)를 인수했다. 이를 통해 보안 사업 역량 강화에 집중하고, 고객에게 애플리케이션 접속 권한을 부여하기 전에 사용자 신원과 기기 상태를 확인하는 기술을 제공할 수 있게 됐다. 또, 최근 진행된 ‘시스코 라이브 2021’ 행사를 통해 시스코 듀오의 패스워드리스 인증 전략을 공식적으로 발표했다.

듀오 패스워드리스 인증 방식은 시스코 제로 트러스트 플랫폼의 핵심으로, 현재 듀오를 사용하고 있는 전 세계 2만 5000개 이상의 고객사들이 패스워드 입력 방식을 대신해 애플리케이션에 안전하게 로그인할 수 있도록 지원될 예정이다. 이는 현재 기업이 사용하고 있는 다양한 디바이스와 인프라 및 애플리케이션 환경에서 제약 없이 적용되어 사용자의 인증 편의성을 개선시키며, 기존 다른 여러 인증 솔루션을 대체해 보다 강화된 보안 정책을 제공한다.

시스코 듀오의 패스워드리스 인증 차별화 전략

시스코 듀오는 다양한 인증 수단을 활용한 패스워드리스 인증, 가장 쉽고 편한 패스워드리스 등록 및 인증, 디바이스 관리뿐만 아니라 다양한 보안 기능을 추가로 제공해 보다 안전한 애플리케이션 접속 환경을 제공한다.

대표적인 보안 기능인 싱글사인온(Single Sign-On, SSO)은 패스워드리스 인증을 제공함과 동시에, 듀오와 연동된 애플리케이션들 간 싱글사인온 기능을 제공해 보다 편리한 사용자 애플리케이션 인증과 접속 환경을 제공한다. 또한 디바이스 신뢰성 확보(Device Trust)를 통해 패스워드리스 인증 시 접속하는 디바이스의 상태를 체크해 안전한 디바이스만 기업의 애플리케이션에 접속할 수 있도록 한다.

애플리케이션에 접속하는 디바이스의 OS나 브라우저의 종류와 버전, 디바이스의 잠금 설정 여부, 임의로 변조된 모바일 디바이스 여부(루팅 혹은 탈옥), OS의 방화벽이나 안티바이러스, 엔드포인트 보안 에이전트 동작 여부 등을 확인해 보다 안전한 디바이스만 인증 및 애플리케이션 접속을 허용한다.

이 밖에도 지속적인 위협 탐지(Trust Monitor)를 통해 평상시와 다르게 다른 국가에서 애플리케이션에 접속하거나, 사용하지 않던 브라우저나 인증 수단을 사용하는 경우 등 다양한 사용자의 인증과 애플리케이션 접속 패턴을 지속적으로 학습하고 인증 정책에 반영한다. 엔드포인트 보안 제품과의 연동을 통해 디바이스가 멀웨어에 감염 시 애플리케이션 인증과 권한을 즉각 취소하여 애플리케이션을 보호한다.

인증의 미래 - 패스워드리스

더욱 다양하고 복잡해지는 애플리케이션 환경과 하이브리드 업무 방식 등으로 기업 네트워크 보안은 그 어느 때보다도 중요해졌다. 특히 기업의 업무 환경과 중요한 데이터는 회사 내부뿐만 아니라 클라우드 환경으로 이미 빠르게 확장되고 있다. 이러한 상황에서 사용자 계정 보호 및 인증 경험을 개선하고 안전한 인증 환경을 제공하기 위해 패스워드리스는 선택이 아닌 필수로 자리 잡고 있다.

시스코 듀오는 패스워드리스 인증을 지원하는 차별화된 전략과 솔루션을 바탕으로 사용자 인증의 편의성과 더욱 강력한 보안을 요구로 하는 기업의 보안 인증 환경을 이어줄 다리가 될 것으로 기대하고 있다.