[성과로 입증하는 제로트러스트]패스워드리스로 보안·사용자 경험 강화

계정 관리 및 접근 통제기술은 적절한 인증과 인가 절차가 필수이다. 

*인증 : 리소스에 접근하려는 사람이나 사물이 실제로 그 자신이 맞다는 것을 증명하는 것

*인가 : 인가는 인증을 검증해서 적법한 요청인지 확인 후 허가하는 것

 

안전한 비밀번호 관리를 위해 암호화된 저장소, 신뢰할 수 있는 암호관리도구를 이용할 수 있다. 암호 저장소는 사용자 기기의 신뢰 영역 TPM이 대표적이며, 암호 관리 서비스는 IAM, IGA, PAM 도구 혹은 SaaS로 제공되는 전문 서비스가 있다. 

 

비밀번호를 보호하는 가장 안전한 방법은 비밀번호 자체를 없애는 것이다. TPM은 공격자가 접근할 수 없는 가장 안전한 비밀번호 관리 방법이지만, 기기를 분실하거나 교체했을 때 비밀번호 변경이 쉽지 않다는 단점이 있다. 

 

패스워드리스는 생체인증 등 강력한 인증 기술을 이용해 비밀번호 없이 서비스에 로그인 하는 방법이다. 가트너는 모든 조직이 가능한 빨리 패스워드리스로 전환해야한다고 강조한다. 

 

그러나 수많은 계정의 비밀번호를 한 번에 패스워드리스로 전환하는 것은 비현실적이므로 다음과 같은 단계별로 계획을 세우고 진행해야한다. 

 

1. 사용사례식별

2. 인증 대상 분석

3. 인증 주체에 맞는 인증 방법 분류

4. 패스워드리스 전환 로드맵 설정과 이행

 

패스워드리스의 대표적인 방법은 패스키 이다. FIDO 얼라이언스에서 개발한 패스키는 사용자가 계정을 생성할 때 패스워드 대신 패스키를 설정하고, 신뢰를 확인한 후 공개키와 비밀키를 생성 후 비밀키는 사용자 기기에, 공개키는 서버에 저장한다.  이후 사용자가 장치에서 생체인증 등을 이용해 본인을 인증하면 비밀키가 챌리지에 서명하면서 응답 데이터를 생성한다. 

 

생체인증이 가장 강력하고 안전한 인증 기술이지만, 딥페이크가 등장하면서 안면인식 기술에 큰 도전이 생겼다. 딥페이크 공격을 차단하기 위해 안면인식 기술은 얼굴을 돌리거나 눈을 깜빡이는 등의 행동을 하도록 명령해 실제 살아있는 사람의 인증 시도라는 것을 입증하고자 한다. 가트너는 신원인증을 위해 단 하나의 기능에만 의지하지말고 추가 분석에 투자할 것을 권고했다.