[아이티데일리] 사이버 위협 환경이 빠르게 진화하고 있다. 완벽하다고 믿는 보안도, 내일은 무용지물이 될 수 있는 시대다. 공격자들은 고도의 피싱, 크리덴셜 스터핑, 딥페이크 기반의 사회 공학 공격 등 다양한 수단으로 기업을 위협한다.

이러한 정교한 공격은 기존 인증 체계를 무력화 한다. 전통적인 방법으로는 내부 환경을 충분히 보호할 수 없음을 보여준다. 기업은 공격자보다 한발 앞서 신규 인증 체계와 방어 전략을 마련해야한다.

사이버 보안 사고는 지속적으로 증가하고 있으며, 기업 침해 사고의 80% 이상이 신원 취약점에서 비롯되는 것으로 나타났다. 비밀번호, 문자메시지(SMS), 음성 인증과 같은 기존 인증 방식은 사회 공학 공격과 피싱 공격에 본질적으로 취약하다. 현재의 보안 과제를 해결하고 다가올 위협에 대비하려면 기업은 기존 인증 관행에서 벗어나야 한다.

가트너는 2029년까지 피싱 방지 다중 인증(MFA)을 도입한 기업이 기존 인증 방식에 의존하는 기업보다 자격 증명 기반 침해를 최대 80%까지 줄일 수 있을 것으로 전망한다.

인증 전략 현대화 및 미래 리스크 대비해야

공격자는 유출된 아이디와 비밀번호를 조합해 여러 웹사이트에 무차별 대입하거나, 멀웨어를 통해 비밀번호와 일회용 비밀번호(OTP)를 가로채는 등 고도의 수법을 시도한다. 푸시 폭탄과 MFA 피로 공격은 모바일 푸시 인증 요청을 반복적으로 전송해 사용자가 실수로 승인을 누르도록 유도한다.

기존 인증 방식을 유지하는 것은 더 이상 유용하지 않다. 신규 인증 체계를 도입하지 않는 기업은 보안 침해로 인한 재정적 손실, 이미지 실추, 운영 차질의 리스크에 놓인다.

최신 피싱 방지 MFA 솔루션은 FIDO2 프로토콜을 기반으로 패스키와 생체 인증을 활용한 강력한 보호 기능을 제공한다. 공개키 암호화는 피싱뿐만 아니라 SIM 스왑과 같은 최신 공격에도 대응할 수 있어, 단순한 피싱 공격을 넘어 광범위한 위협을 방어할 수 있다.

기업은 인증 전략 현대화와 동시에 미래 리스크에도 대비해야 한다. 피싱 방지 MFA는 현재 위협에는 효과적이지만, 공개키 암호화를 기반으로 해, 향후 5년 내 이뤄질 양자 컴퓨팅의 발전으로 취약해질 수 있다.

가트너는 ID 및 액세스 관리(IAM) 리더들이 2027년까지 양자내성인증(PQA) 계획을 수립할 것을 권장한다. PQA, 또는 양자안전인증(QSA)은 양자내성암호화(PQC)를 통합해 양자 컴퓨팅 공격을 완화한다. 이를 위해 기업은 공급업체의 PQA 도입 계획을 파악하고, 하이브리드 전환을 지원하는 솔루션을 우선 적용하며, 명확한 PQA 로드맵을 보유한 공급업체를 선정해야 한다.

이와 함께 생활, 업무 스타일 등의 사용자 페르소나를 바탕으로 직원의 요구와 워크플로우에 맞춰, 보안 시스템을 조정하는 인간 중심 접근법을 채택해야 한다. 이는 비 IT 인력을 정책의 수동적 수혜자나 잠재적 취약점으로 보지 않고, 기업 사이버 보안 태세의 필수 요소로 인식한다. 보안, 사용자 경험, 디지털 접근성, 개인정보 보호의 균형을 고려해 설계된 인증 시스템은 직원 지원을 강화하고 위험을 줄일 수 있다. 반대로 직원의 일상적 요구와 우선순위를 고려하지 않은 보안 통제는 비밀번호 공유, 보안 기능 비활성화 등 보안 우회 시도를 유발해, 강력한 보안 전략이라도 무의미하게 만든다.

피싱 방지 MFA로 전환해야 양자 시대 대비 가능

보안 설계와 조치 전반에서 인간 중심 접근법을 적용하면, 보안 역량과 사용자 경험을 동시에 강화할 수 있다. 특히 사용자 경험은 비밀번호 없는 인증, 적응형 액세스와 같은 신규 인증 방식 도입에서 핵심 동인으로 작용한다.

IAM 리더는 모든 사용자의 다양한 요구와 상황을 충족하는 인증 방식을 선택해야 한다. 인증 방식을 선택할 때 디지털 접근성, 기술 접근성 수준의 차이, 인증 수단의 수용성 및 가용성에 영향을 미칠 수 있는 사회경제적 요인을 고려해야 한다. 형평성과 포용성을 우선한 기업은 특정 사용자에 대한 의도치 않은 배제나 불이익을 방지하고, 모두에게 효과적이고 접근성 높은 보안 조치를 마련할 수 있다.

인간 중심 보안 시스템을 구축하기 위해 IAM 리더는 △다양한 직원 페르소나를 파악하기 위한 사용자 조사 △기존 인증 방식과 흐름의 주요 문제점 식별 △모든 사용자에게 인증 방법에 대한 접근성 보장 △여러 사용자 그룹의 마찰 지점에 대한 모니터링 △투명성 강화를 위한 인증 조치, 변경 사항 사유 전달 △워크플로우 전반에서 다양한 사용자 커뮤니티를 지원하는 인증 프로세스를 설계해야 한다.

보안 위험을 효과적으로 완화하기 위해 기업은 취약한 구식 인증 방식에서 탈피하고 피싱 방지 MFA로 전환해야 한다. 이를 통해 양자 시대에 대비하면서 기업은 침해 위험을 최소화하고, 사용자 경험을 개선하며, 장기적인 보안과 회복탄력성을 확보할 수 있다. 또한 인간 중심 보안 설계(HCSD)를 채택하면 위험에 적합한 통제를 유연하게 제공할 수 있어, 직원들이 비즈니스 목표를 타협하지 않으면서 안전하게 성과를 달성하는 대안을 제시할 수 있다.

사이버 보안 사고는 눈 깜짝할 순간에 발생하며, 기존 인증 체계를 고집하는 것은 공격자에 문을 열어주는 것과 같다.

인증 체계를 혁신해 위협에 대응할지, 기존 인증에 머물며 위험을 감수할지 답은 명확하다. 현재의 위협을 효과적으로 방어하고 미래에 대비하는 기술적 측면과 더불어, 모두가 편리하게 활용할 수 있는 실용적 측면까지 함께 갖춰야 한다. 기업을 지키기 위해서는 지금 바로 실행에 나서야 한다.