2FA & MFA 사용자 인증: 안전한가?

2FA/MFA를 포함한 사용자 인증 기술은 기존 사용자 비밀번호보다 더 안전한 것으로 알려져 있지만 이러한 기술은 여전히 위조 온라인 서비스에 매우 취약하고 이전 몇 년 동안 고전했다. 최근 사용자 인증 기술은 사용자의 인증(예: 비밀번호)만 확인한다. 따라서 사용자가 먼저 가짜 온라인 서비스에 접속하면 가짜 온라인 서비스에 자격 증명을 부여한 다음 본인도 모르는 사이에 SMS 코드, OTP 코드, 모바일 푸시 알림 승인, 지문 또는 홍채 스캔으로 액세스를 인증하게 된다. 따라서 우리가 진짜 온라인 서비스에 연결하고 있다고 가정하기 때문에 우리가 어디에/누구에게 연결하는지 100% 확신하는 것은 굉장히 어렵다.

가짜 온라인 서비스와 싸우기 위해 사용자는 온라인 서비스 인증자와 같은 온라인 서비스의 진위도 확인해야 한다다. 지금까지는 SSL 인증서로만 온라인 서비스의 진위 여부를 확인할 수 있었다. SSL 인증서는 사용자에게 웹 브라우저에 보안 들여쓰기로 녹색 자물쇠 기호를 표시한다.

그러나 이 자물쇠를 진정한 서비스의 지표로 사용하는 것이 항상 쉬운 것은 아니다. 때때로 사용자는 실제 SSL 인증서가 있지만 유사한 도메인을 사용하는 가짜 온라인 서비스를 만날 수 있다. 그렇다면 동일한 디자인, 유사한 도메인 및 정품 SSL 인증서가 있는 경우 해당 서비스가 정품인지 어떻게 알 수 있는가? 또한 SSL 인증서는 온라인 서비스를 인증하기 위한 검증 수단이 아닌 사용자와 웹 서버 간의 안전한 데이터 전송 계층으로 주로 사용된다. 따라서 사용자가 등록된 온라인 서비스의 진위 여부를 확인할 수 있는 솔루션을 제공하지 않고 온라인 서비스에서 계속해서 각 사용자의 진위 여부를 2~3번씩 확인한다면, 보안을 전혀 강화하지 않고 사용자의 부담만 가중시킬 뿐이다.

엄밀히 말하면, 모든 종류의 사용자 인증기는 사용자가 아닌 온라인 서비스의 보안을 위해 설계되었으며, 온라인 서비스의 이익을 위해 사용자 암호를 제시할 뿐만 아니라 매우 불편한 2FA/MFA 방식을 사용하게 된다. 따라서 기존의 사용자 인증은 온라인 서비스를 보호하기에는 적절하지만, 여전히 가짜 온라인 서비스에 취약하고 사용자에게 비밀번호 부담을 계속 주고 있다. 이는 역사상 최악의 개인정보 침해가 발생한 시대에 Gmail 사용자의 10% 미만이 OTP 인증기를 채택한 이유를 설명한다.

우리가 자신을 위해 다양한 온라인 서비스를 선택하는 것을 좋아하는 것처럼, 우리도 올바른 인증 기술을 선택해야 한다. 기술은 사용자의 부담을 줄여줄 뿐만 아니라 온라인 서비스의 보안을 위협하지 않으면서 보안을 강화해야 한다. 이 경우 AutoPassword는 사용자가 불편한 코드를 입력하지 않고 먼저 온라인 서비스의 진위를 확인하고 온라인 서비스에서 내부적으로 사용자의 진위를 동시에 확인하는 최초의 인증 기술이다.

AutoPassword 기술이 온라인 서비스에 적용되는 경우 해당 온라인 서비스는 사용자가 사용자 ID를 입력한 후 암호 필드에 AutoPassword 코드를 자동으로 생성한다. 이를 통해 사용자는 스마트폰으로 온라인 서비스의 진위 여부를 확인할 수 있다.

두 코드가 일치하면 사용자는 스마트폰에서 지문을 터치하기만 하면 되며 요청은 온라인 서비스의 정품 인증으로 승인된다.

사용자가 모바일에 지문을 터치하면 내부적으로 인증 코드를 서버로 전송한다. AutoPassword는 OTP, PKI, FIDO와 같은 기존 사용자 인증 기술에 보안 계층을 추가하여 온라인 서비스에서도 기존 2FA/MFA 기술과 같이 사용자의 진위 여부를 확인할 수 있다.

엄밀히 말하자면 AutoPassword는 상호 인증 기술이지만 사용자에게 인증 권한을 부여하는 서비스 인증 서비스처럼 보인다. 사용자가 온라인 서비스에 접근하기 위해 불편한 코드를 입력할 필요가 없을 뿐만 아니라, 사용자가 가짜 온라인 서비스에 희생되지 않도록 보안을 강화한다.

기존 인증 기술은 사용자가 온라인 서비스를 전혀 인증할 수 없도록 하는 반면, AutoPassword는 Kerberos 및 PKI와 같은 기존의 다른 상호 인증 기술에 비해 사용자가 눈으로 온라인 서비스의 진위 여부를 확인할 수 있도록 하고, 사용자 ID와 암호를 입력하여 클라이언트 시스템과 서버 시스템 사이에서 내부적으로만 실행된다.

기존의 상호 인증 기술을 사용하더라도 사용자가 온라인 서비스의 진위 여부를 먼저 확인하지 못한다면, 사용자는 여전히 가짜 서비스의 희생양이 될 수 있다. 실제로 상호 인증을 사용한다고 주장하는 일부 기술은 그러한 목적으로 개발되지도 않았으며, 사용자가 온라인 서비스의 진위 여부를 확인하기 위한 것이 아니라 도청 및 재생 공격을 방지하기 위해 만들어졌다.

요컨대 2FA, MFA 등 기존 인증 기술은 사용자가 아닌 온라인 서비스 제공자를 보호하기 위한 것이다. 사용자로서 우리는 가짜 온라인 서비스의 희생양이 되는 것을 방지하고 인증의 부담을 없애는 새로운 솔루션이 필요하다.

AutoPassword의 Smart-Two-Way 인증 기술은 “상호 2FA 및 MFA”의 새로운 시대를 열며 보안과 편의성을 모두 갖춘 최고의 솔루션을 제공한다.