“비밀번호만으론 부족”… MFA 확산 [보안TMI] 작성일 04-12 40 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">‘OTP에서 생체인증·패스키까지’ 인증 방식 진화</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QRISKm2uuF"> <p contents-hash="5e612c6bd21f5371771cd81811bd756063ce90f045bf26e0eb9a1f06a30984f2" dmcf-pid="xeCv9sV7zt" dmcf-ptype="general">IT조선은 독자들이 이해하기 어려웠던 보안 용어와 개념을 보다 쉽게 풀어 설명하는 '보안TMI(Too Much Information)' 코너를 새롭게 마련했습니다. 매주 주제를 선정해 개념은 물론 기사에 담지 못했던 배경과 맥락까지 짚어드립니다. 독자들이 보안 관련 뉴스를 보다 명확하게 이해할 수 있도록 돕겠습니다. [편집자 주]</p> <p contents-hash="a1b42b7a4e7862af6f753b113c2802b1b31fdbb11f855b20c8520a0e15e447d6" dmcf-pid="yGfPs9Ik71" dmcf-ptype="general">"비밀번호를 입력했는데도 왜 또 인증을 해야 할까."</p> <p contents-hash="5601ec1927de8c583b8855712273c905e3f8460c77c6dfd2b39f4229a96e8fb2" dmcf-pid="WH4QO2CEp5" dmcf-ptype="general">최근 웹 서비스나 기업 시스템에 로그인할 때 한 번 더 인증을 요구받는 경우가 많다. 번거롭게 느껴질 수 있지만, 이 추가 단계는 이제 선택이 아니라 필수가 되고 있다. 사이버 공격의 상당수가 '계정 탈취'에서 시작되면서, 비밀번호만으로는 사용자를 신뢰하기 어려운 환경이 됐기 때문이다.</p> <div contents-hash="30cf49416de1513c0d16f30b5f4565c7360151bae52044f87cc7d90d0057b6d5" dmcf-pid="YX8xIVhDzZ" dmcf-ptype="general"> 이때 핵심 대책으로 언급되는 것이 '다중요소인증(MFA, Multi-Factor Authentication)'이다. MFA는 말 그대로 두 가지 이상의 인증 수단을 조합해 사용자를 확인하는 방식을 말한다. 비밀번호처럼 '내가 알고 있는 것'뿐 아니라 휴대폰이나 보안 토큰 같은 '내가 갖고 있는 것', 지문·얼굴 같은 '나 자신'까지 함께 검증하는 구조라 할 수 있다. 하나의 인증 수단이 뚫리더라도 추가 장벽을 통해 계정에 대한 접근을 막는 것이 목적이다. 비밀번호 유출이 일상화된 환경에서 MFA는 '뚫릴 수 있다'는 전제를 기반으로 설계된, '제로 트러스트(Zero Trust)'에 부합하는 보안 방식이라고 볼 수 있다. </div> <figure class="figure_frm origin_fig" contents-hash="95e918457e5324e1854fd6a1285f8de6513f868de3b8378c34f5a64b049538cd" data-idxno="440736" data-type="photo" dmcf-pid="GZ6MCflw7X" dmcf-ptype="figure"> <p class="link_figure"><img alt="네이버 2단계 인증 관리화면. 스마트폰을 추가 인증 기기로 등록할 수 있고, 해당 기기에서 지문이나 비밀번호를 입력함으로써 사용자임을 증명할 수 있다. / 네이버 웹사이트 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/12/552810-SDi8XcZ/20260412060005464krbn.jpg" data-org-width="753" dmcf-mid="P9RiTQWIp3" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/12/552810-SDi8XcZ/20260412060005464krbn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 네이버 2단계 인증 관리화면. 스마트폰을 추가 인증 기기로 등록할 수 있고, 해당 기기에서 지문이나 비밀번호를 입력함으로써 사용자임을 증명할 수 있다. / 네이버 웹사이트 갈무리 </figcaption> </figure> <p contents-hash="20d569c4c42558fe4657551d2a99c614ca372e6b129c40d3832187d6d17c5f40" dmcf-pid="HZ6MCflwuH" dmcf-ptype="general">MFA는 1990년대 기업·금융 시스템에서 시작돼 인터넷 서비스 확산과 함께 적용 범위를 넓혀왔기에 우리에게 이미 익숙한 개념이다. 최근 계정 탈취 공격 증가를 계기로 금융이 아닌 인터넷 서비스와 모바일 애플리케이션 등 일반 사용자 환경에서까지 기본 보안 수단으로 확산하고 있다는 점이 변화다.</p> <p contents-hash="eab8dc68318c720f2af815b012eeabc62d04a61557f5c207380a69200049ec56" dmcf-pid="X5PRh4SrpG" dmcf-ptype="general">과거 MFA가 금융권에 확산되는 과정에서 가장 널리 사용된 수단은 '일회용 비밀번호(OTP, One Time Password)'다. 국내 사용자에게는 은행에서 발급받는 'OTP 카드'나 숫자 생성기 형태의 보안 토큰이 익숙하다. 일정 시간마다 바뀌는 숫자를 입력하는 방식으로, 단순 비밀번호보다 한 단계 강화된 인증을 제공한다.</p> <p contents-hash="e822c422dbbd60f88ec379e3f82360c2af77d24e4ddf11cc827ca40ae5f62b99" dmcf-pid="Z1Qel8vmFY" dmcf-ptype="general">OTP가 빠르게 표준으로 자리 잡은 이유는 비교적 단순하다. 구현이 쉽고 도입 장벽이 낮았기 때문이다. 초기에는 OTP 카드나 토큰만으로 적용이 가능했고, 이후 문자(SMS)와 앱 방식으로 확장되면서 적용 범위가 더욱 넓어졌다. 비용 대비 효과도 컸다. 비밀번호만 사용하는 환경에 비해 계정 탈취 난이도를 크게 높일 수 있었고, 금융권과 공공기관을 중심으로 빠르게 확산됐다. 사용자 입장에서도 숫자를 확인해 입력하는 방식은 직관적이고 별도의 학습이 필요 없었다. 결국 OTP는 가장 완벽한 수단이어서가 아니라, 가장 현실적으로 도입하기 쉬운 MFA 방식으로 자리잡았다.</p> <p contents-hash="5f71c1e059c820694829f884b69ab07b5f05d11e26832890e41c6ddd727bea77" dmcf-pid="5txdS6TsuW" dmcf-ptype="general">하지만 OTP 역시 시간이 지나면서 한계를 드러냈다. 가장 큰 문제는 '코드 기반 인증'이라는 구조 자체에 있다. 사용자가 직접 입력하는 방식인 만큼, 공격자가 이를 가로챌 수 있는 여지가 존재한다. 피싱 사이트를 통해 사용자가 입력한 OTP를 실시간으로 탈취해 로그인에 활용하는 공격이 등장했고, 통신사를 속여 번호를 탈취하는 '심 스와핑(SIM swapping)' 공격도 OTP를 무력화하는 대표적인 사례로 꼽힌다.</p> <p contents-hash="83eb447f5c37a665eb8fa803326fd2736a7392afd88847f0d9fa56cd0f860d3d" dmcf-pid="1FMJvPyO0y" dmcf-ptype="general">사용자 경험 측면에서도 부담이 커졌다. 로그인할 때마다 코드를 입력해야 하는 번거로움이 반복되면서, 인증 요청을 무심코 승인하도록 유도하는 'MFA 피로(MFA fatigue)' 공격까지 나타났다. 보안을 강화하기 위해 도입한 절차가 오히려 새로운 취약점으로 이어지는 상황이다.</p> <p contents-hash="ceb6f86a10bccc8c21a60c34d470ffddb46313d8e44b37eca79ab62e4eae8650" dmcf-pid="t3RiTQWI3T" dmcf-ptype="general">이 같은 한계를 보완하기 위해 최근에는 생체인증 기반 방식으로 빠르게 전환이 이뤄지고 있다. 지문이나 얼굴 인식을 활용한 인증은 별도의 코드 입력 없이 즉시 본인 확인이 가능해 사용자 경험을 크게 개선한다.</p> <p contents-hash="b6b59344ac00a355c40a3f67c512da37eb4e3905459d92b6e4ec087a1703457c" dmcf-pid="FGfPs9Ikuv" dmcf-ptype="general">이러한 흐름은 '패스워드리스(passwordless)' 인증으로 이어지고 있다. 대표적인 방식인 '패스키(passkey)'는 비밀번호 없이 지문이나 얼굴 인식 등으로 로그인하는 기술로, 사용자 편의성과 보안을 동시에 강화하는 방향으로 확산되고 있다.</p> <p contents-hash="0e88545dfad0bfb853c5700881aa16abc87be8c9749ef6078d49fe97a7f40314" dmcf-pid="3H4QO2CEpS" dmcf-ptype="general">MFA는 사용자에게 일정한 불편을 요구하지만, 보안 환경 변화에 따라 진화하고 있다. 과거에는 OTP처럼 코드를 입력하는 방식이 중심이었다면, 최근에는 사용자를 직접 확인하는 방식으로 전환되고 있다. 인증은 유지되면서도 입력은 줄어드는 방향이다. MFA는 이러한 변화 속에서 보안의 기본 조건으로 자리잡고 있다.</p> <p contents-hash="03b751f4741d34336cca6f3a06c629fd19079623a361ee545d1d38f9d3b43b8a" dmcf-pid="0X8xIVhD7l" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘밀당’으로 빚은 ‘나쁜 남자’ 정지훈 [쿠키인터뷰] 04-12 다음 AI 검색 ‘올인’ 네이버, 구글 모델 따라가나 04-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
