리스크 기반 멀티팩터 인증, 다양한 액세스 리스크에 동적으로 대응

리스크 기반 인증이란 무엇인가요?

인증(Authentication)은 자신이 누구라고 주장하는 사람을 확인하는 절차입니다.

Username/Password가 가장 널리 사용되어 왔습니다. 하지만, 이 방식은 보안에 매우 취약하다는 인식 때문에 한 개 이상의 인증 요소를 추가로 요구하는 투팩터 인증 / 멀티팩터 인증이 널리 보급되고 있습니다. 하드웨어 토큰,  SMS, 스마트폰앱, 보이스, 지문을 포함한 생체 인식등이 대표적인 추가 인증 수단입니다.

투팩터 또는 멀티팩터 인증은 기존의 Username/Password 인증에 비해 훨씬 강력한 인증방식입니다. 하지만, 사용자의 로그인 환경이 달라져도 항상 동일한 인증 팩터와 방식을 요구하기 때문에 사용자의 다양한 액세스 위험에 동적(Dynamic)인 대응이 어렵다는 것이 단점으로 제기되고 있습니다.

리스크 기반 인증(Risk-based Authentication)

리스크 기반 인증이란 로그인 하려는 사용자의 액세스 위험도에 따라 가장 적합한 인증 수단을 동적으로 적용하는 방식입니다. 사용자가 로그인을 시도하는 장소, 시간, 사용하는 디바이스 그리고 애플리케이션 종류 등은 매우 다양하고, 이에 따라 인증 강도와 방식 또한 상황에 대응하여 달라진다는 점에서 어댑티브 인증(Adaptive Authentication)이라고도 합니다. 또는 두 가지를 합쳐서 리스크 기반 어댑티브 인증(Risk-based Adaptive Authentication)이라고도 합니다.

여기서는 설명의 편의를 위해 리스크기반 인증이라고 하겠습니다.

리스크 기반 인증에서는 인증 요소를 고정하지 않고 다양한 인증 요소중에서 상황에 가장 적합한 인증 요소를 동적으로 요구할 수 있습니다. 솔루션 벤더별로 구현 방법과 특징은 다소 상이할 수 있습니다만, 대개 정책 엔진을 통해 매개 변수를 지정하고 각 매개변수와 인증 수단에 포인트를 부여합니다. 이 포인트 시스템을 기반으로 사용자, 장치 및 사용하는 애플리케이션에 따라 적절한 수준의 인증을 요구합니다.

(이 글에서는 이해를 돕기 위해 Swivel Secure사의 AuthControl Sentry를 예로 들어 설명하겠습니다.)

리스크 기반 인증은 어떻게 구성되나요?

포인트 시스템에 기반한 정책 엔진을 사용하며 관리자가 애플리케이션별, 사용자별 매개변수에 포인트와 규칙을 설정할 수 있습니다.

정책 엔진에서 주로 활용하는 매개 변수는 어떤 것들이 있습니까?

• ●User가 속한 Group은 어디인가?                        : 예) sales group, marketing group등

• ●Access 대상은 어디인가?                                  : 예) SSL VPN, ERP, CRM, Office365등

• ●User가 사용하는 디바이스와 운영체제는 무엇인가? : 예) 회사에서 지급한 디바이스 & Win10

• ●User 디바이스의 IP Address는?                         : 예) 이 IP에서 로그인에 성공한 적이 있는가?

• ●로그인을 시도하는 날짜, 요일, 시간은?

• ●지리적 IP(GEoIP) 위치는?                                 : 예) 미국, 유럽, 중국, 동남아 등

• ●가장 최근에 인증에 성공한 시간은?                      : 예) 현재 위치로 이동이 가능한 시간인가?

정책 엔진을 사용하면 새로운 규칙을 만들고 기존 규칙들을 결합할 수 있을 뿐만 아니라, 다양한 시나리오를 지원하는 메커니즘을 제공할 수 있습니다.

어떤 인증 요소 (or 팩터)를 활용할 수 있습니까?

리스크 기반 인증은 사용자 마다 각기 상이한 로그인 환경에서 각기 다른 애플리케이션에 액세스 하기 때문에 관리자가 다양한 인증 요소를 선택적으로 할당할 수 있어야 합니다.

활용 가능한 인증 요소는 다음과 같습니다. 

• ●Username & Password

• ●PINpad / TURing

• ●Mobile App

• ●SMS

• ●OATH Token

• ●Voice

• ●지문

실제로 작동하는 예를 보여 주십시오.

리스크 기반 인증 : 예-1

미국에 본사를 둔 XYZ사의 구매 담당자가 관리자와 함께 공급업체 방문을 위해 동남아시아 국가를 순방 중입니다. 그는 방금 레스토랑에서 식사를 마쳤는데, 다음 날 회의에 필요한 일부 제품의 재고 정보가 필요하다는 것을 깨달았습니다. 그는 회사에서 발행 한 모바일 디바이스를 이용하여 회사 ERP 시스템에 로그인하여 필요한 정보를 준비할 계획입니다.

하지만 그는 로그인에 실패하였습니다.

​​

왜 그런지 알아볼까요?

설정된 보안 정책에 의하면 ERP에 액세스하기 위해서는 120포인트가 필요합니다. 회사에서 지급한 모바일 장치를 이용하기 있기 때문에 +50 포인트를 획득하게 되었지만, 그가 사용한 인증 방식의 포인트를 합하면 총 140포인트 입니다. 하지만 그가 위치한 지리적 위치 때문에 100포인트가 차감되어 ERP 액세스에 필요한 포인트 120에는 부족하여 결국 로그인에 실패하였습니다.

만약, 관리자가 username/password에 20 포인트, 지문인식에 100포인트를 할당했다면 로그인에 성공할 수 있었을 것입니다. 또는 회사에서 지급한 디바이스를 사용하고 있는 경우에 높은 포인트를 제공하도록 설정되어 있었다면, 원하는 포인트에 도달할 수도 있습니다.

리스크 기반 인증 : 예-2

​​

본사에 있는 영업 관리자는 사무실에서 일하고 있으며, CRM 시스템에 액세스하려고 합니다. 

그는 인증에 성공하였고, SSO을 통해 ERP 시스템에 액세스 하여 구매 담당자가 부탁한 재고 정보도 제공할 수 있었습니다.

그는 어떻게 인증에 성공했을까요?

그는 회사에서 지급한 노트북을 사용 중입니다.(+50), 그는 회사 사무실에 근무 중입니다(+50), 그는 해당 IP에서 이전에도 로그인에 성공한 적이 있습니다(+50) 또한 그는 본사가 있는 미국에서 액세스 하고 있습니다(+50). 여기에 username/password, Mobile App, Fingerprint를 인증 요소로 사용하기 때문에 CRM 시스템 액세스에 필요한 포인트를 충분히 초과하여 인증에 성공하였습니다.

이처럼 리스크 기반 인증은 사용자의 환경의 위험도, 액세스 대상 애플리케이션의 중요도 그리고 인증 요소별 보안성을 조합하여 다이내믹하고 안전한 인증 시스템을 구축할 수 있습니다.