회사 소유의 리소스에 균일한 MFA 적용

비즈니스 문제

비밀번호 노출은 데이터 유출의 주요 원인입니다. 비밀번호가 노출되면 해커는 직원과 동일한 권한으로 회사 데이터에 액세스할 수 있습니다.

다단계 인증(MFA)은 회사 리소스를 보호하는 데 중요한 도구입니다. 2단계 인증(2SV)이라고도 하는 MFA는 사용자에게 자신이 아는 것(예: 비밀번호)과 가진 것(예: 물리적 키 또는 액세스 코드)을 통해 본인을 인증하도록 요구합니다.

귀사에서 사용자 계정과 데이터를 보호하기 위해 회사 리소스에 액세스하는 모든 사용자에게 2SV를 통한 본인 인증을 요구하기로 결정했다고 가정해 보겠습니다.

솔루션

ID 공급업체가(IdP) Cloud ID일 경우 여러 가지 방법으로 2SV를 구현할 수 있습니다. 타사 IdP를 사용하는 경우 해당 업체의 2SV 솔루션을 확인해 보세요.

몇 가지 2SV 적용 수준에서 선택할 수 있습니다.

  • 선택 - 직원이 2SV 사용 여부를 결정합니다.
  • 필수 - 직원이 2SV 방법을 선택합니다.
  • 필수 보안 키 - 직원이 보안 키를 사용해야 합니다.

보안 키

보안 키는 가장 강력한 2SV 방법입니다.

보안 키를 사용하면 2SV 방법 중 가장 강력한 보안을 구현할 수 있습니다. 일반적으로 사용자는 이 물리적인 키를 컴퓨터의 USB 포트에 넣고, 메시지가 표시되면 키를 터치하고 암호화 서명을 생성합니다.

일부 스캐머는 Google로 가장한 피싱 사이트를 설정해 2SV 코드를 요청합니다. Google 보안 키는 암호화를 사용하고 사용자가 방문하는 사이트의 적법성을 확인하기 때문에 피싱 공격에 대한 취약성이 낮습니다.

Android 휴대기기에서 보안 키를 사용하려는 사용자는 근거리 무선통신(NFC) 기기에서 보안 키를 탭합니다. 또한 사용자에게는 Android 기기에는 USB 및 Bluetooth® Low Energy(BLE) 옵션도 있습니다. Apple 휴대기기의 경우 블루투스를 지원하는 보안 키가 필요합니다.

Google 메시지

Google 메시지는 대안적인 2SV 방법입니다.

사용자가 2SV 코드를 생성해 입력하지 않고, 대신 로그인 메시지를 수신하도록 Android 또는 Apple 휴대기기를 설정할 수 있습니다. 컴퓨터에서 Google 계정에 로그인하면 휴대기기에 '로그인을 시도하고 계신가요?'라는 메시지가 표시됩니다. 간단히 휴대기기를 탭하여 확인합니다.

Google OTP 앱

Google OTP는 대안적인 2SV 방법입니다.

Google OTP는 Android 또는 Apple 휴대기기에서 일회용 2SV 코드를 생성합니다. 사용자는 컴퓨터에 메시지가 표시되면 휴대기기에서 인증 코드를 생성하여 입력합니다. 데스크톱이나 노트북 또는 휴대기기에 로그인할 때도 이러한 인증 코드를 입력할 수 있습니다.

백업 코드

백업 코드는 대안적인 2SV 방법입니다.

사용자가 휴대기기와 멀리 떨어져 있거나 휴대기기를 휴대할 수 없는 보안이 엄격한 구역에서 근무하는 경우, 2SV용 백업 코드를 사용할 수 있습니다. 사용자는 사전에 백업 인증코드를 생성하고 인쇄할 수 있습니다.

문자 메시지 또는 전화 통화

문자 메시지나 전화 통화는 대안적인 2SV 방법입니다.

Google은 문자 메시지 또는 음성 통화로 휴대기기에 2SV 코드를 보냅니다.

권장사항

회사에 가장 적합한 2SV 옵션을 결정할 때는 보안, 비용, 편의성 사이에 균형을 맞춰야 합니다. 어떤 옵션을 선택하든 2SV 적용을 활성화하는 것이 좋습니다. 즉 2SV를 필수로 사용하는 것입니다.

보안 키 사용

최고 수준의 보안이 필요한 데이터를 생성하고 액세스하는 직원에게는 보안 키를 요구하는 것이 좋습니다. 다른 모든 직원에게는 2SV를 요구하고 보안 키 사용을 권장해야 합니다.

보안 키는 가장 안전한 2단계 인증 방법을 제공합니다. Fast Identity Online(FIDO) 협회에 가입한 Google에서 개발한 개방형 표준에 기반을 두고 있습니다. 보안 키를 사용하려면 사용자 기기에 호환되는 브라우저가 필요합니다.

기타 옵션

비용과 배포가 결정에 중요한 요소라면 Google 메시지나 Google OTP 앱이 좋은 대안입니다. Google 메시지를 사용하면 메시지가 표시될 때 인증 코드를 입력하는 번거로움 없이 기기를 탭하여 간편하게 인증할 수 있으므로 사용자 경험이 향상됩니다.

사용자가 휴대기기를 휴대할 수 없을 경우 인쇄용 백업 코드를 생성하여 보안이 엄격한 구역에 가져갈 수 있습니다.

문자 메시지를 사용하는 것은 권장되지 않습니다. 미국 국립 표준 기술 연구소(National Institute of Standard and Technology, NIST)는 주정부가 후원하는 단체의 계정 도용 위험으로 인해 SMS 기반 2SV를 더 이상 권장하지 않습니다.

회사 A는 안정된 대기업으로 온프레미스 앱과 인증을 사용합니다. 이 회사는 향상된 보안을 구현하고 지원 비용을 줄이며 확장성을 높이기 위해 Cloud ID를 기본 IdP로 전환하고자 합니다.

이 회사는 클라우드 접속 상태를 관리하기 위해 IDaaS 솔루션을 배포하겠다는 방침을 정했습니다. 이를 위해 2SV를 배포하고 특정일까지 준수해야 합니다. Infosec팀은 모든 사용자에게 2SV를 요구하고 있습니다.

회사 A는 Cloud ID를 사용하여 2SV를 구현하기로 합니다. 가장 민감하고 비즈니스에 중요한 회사 이니셔티브를 수행하는 사용자와 직원 정보에 액세스하는 사용자에게 보안 키를 필수로 적용할 계획입니다. 모든 조직의 임원과 엔지니어링, 재무, 인사 조직의 직원이 여기에 포함됩니다. 다른 모든 직원은 2SV를 사용해야 합니다. 가장 적합한 2SV 방법을 선택할 수 있으며 보안 키 사용이 권장됩니다.

Security Key Enforcement는 조직마다 다릅니다.

IT 부서는 특정 그룹에게만 보안 키를 요구하기 위해 상위 조직 내에 예외 그룹이라 불리는 사용자 하위 집합을 만듭니다. 예를 들어 전체 마케팅 조직은 2SV를 사용하지만 임원에 한해서는 보안 키를 사용하도록 하는 것입니다. IT 부서는 마케팅, 영업, 지원 등과 같은 각 조직 내부에 임원 그룹을 만들고 해당 임원 그룹에 보안 키를 적용합니다.