“2027년 직원 인증 75%, 패스워드리스 채택” - 데이터넷
배경 및 문제점
- ID/PW 기반 인증은 보안에 취약하며, MFA를 사용하더라도 비밀번호를 완전히 없애는 패스워드리스 방식이 더 안전
- OTP(일회용 비밀번호) 와 같은 추가 인증 수단도 중간자 공격, SIM 스와핑 등의 취약점이 존재
패스워드리스의 필요성
- 가트너는 패스워드리스를 선택하는 것이 보안성과 사용자 경험(UX) 을 동시에 개선한다고 강조
- 2027년까지 직원 인증의 75%, 고객 인증의 40% 이상이 패스워드리스로 전환될 것으로 예측
- 패스워드리스는 입력하는 비밀번호를 없애는 것이 핵심이 아닌, 안전한 인증 방식으로 전환하는 것
패스워드리스의 구현 방식
- 스마트폰 생체인식을 대표적 방법으로 사용
- 얼굴인식을 통해 로그인하는 방식으로 편리성과 보안성을 강화
- 사용자 소유의 기기에서 직접 인증을 수행해 보안 강화
- 스마트폰 생체인식을 대표적 방법으로 사용
단계별 패스워드리스 전환 전략
- 빅뱅 방식의 전환은 실패할 가능성이 크므로, 단계적 전환 로드맵 필요
- 현재 사용 중인 비밀번호 기반 업무와 숨겨진 로그인 흐름을 면밀히 파악
- 레거시 시스템과 앱에서 패스워드리스 지원 여부 확인 및 대안 마련
- 패스워드리스 지원 솔루션
- FIDO2 보안키, 윈도우 헬로우 포 비즈니스 등이 주로 사용되며, 점점 더 많은 앱이 패스워드리스를 지원
- 빅뱅 방식의 전환은 실패할 가능성이 크므로, 단계적 전환 로드맵 필요
레거시 시스템과의 통합
- 운영기술(OT) 환경에서는 패스워드리스 지원이 어려울 수 있으므로, 비밀번호 관리 도구를 사용해 비밀번호 관리의 어려움을 해결
- SSO를 통해 패스워드리스 지원 앱과 연결하면, 전반적인 보안 위협을 낮출 수 있음
시사점
- 패스워드리스 인증은 보안 강화와 사용자 경험 개선을 동시에 제공하는 방식
- 기업은 단계적인 전환을 통해 패스워드리스를 도입해야 함.
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 달라지는 개인정보 동의 제도 (0) | 2024.09.24 |
|---|---|
| AI 시대의 보안 패러다임 변화와 신뢰의 중요성 (0) | 2024.09.24 |
| PCI DSS v4.0 준수 관리 및 혁신적 스크립트 승인 메커니즘 (0) | 2024.09.24 |
| 이란 배후 'UNC1860', 중동 통신·정부기관에 백도어 설치 (0) | 2024.09.24 |
| Supershell Malware를 이용한 Linux SSH 서버 공격 요약 (1) | 2024.09.24 |