로그인 보안의 정의
로그인 보안은 권한 있는 진짜 사용자만 온라인 계정에 액세스하도록 보장하는 동시에 악의적인 공격자를 막아냅니다. 범죄자들은 온라인에서 수십억 개의 사용자 계정에 해킹함으로써 많은 돈을 벌고 있습니다. 한때는 사용자와 암호의 조합을 사용하는 것이 온라인 계정에서 중요한 개인, 금융 및 비즈니스 정보를 보호하는 유일한 방법이었습니다. 그러나 암호를 알아낼 새로운 방법을 끊임없이 모색하는 범죄자들에 맞서기 위해 로그인 보안 모범 사례가 계속해서 발전했습니다.
현대적인 로그인 보안 도구는 단순한 로그인과 암호 조합을 넘어섭니다. MFA(다단계 인증)와 같은 인증 방법을 사용하면 진짜 사용자들의 신원을 높은 수준의 확실성으로 확인하고 악의적인 공격자들의 시도를 막아낼 수 있습니다.
로그인 보안이 중요한 이유
로그인 보안 모범 사례는 금전적 손실과 신원 도용으로부터 개인과 비즈니스를 방어할 수 있도록 고안되어 있습니다. 온라인 개인 디지털 프로필은 개인 식별이 가능한 정보, 건강 데이터 및 금융 계좌 번호의 보고가 되며, 해커들은 이를 사용하거나 다크웹에서 판매하여 수익을 올립니다.
로그인 보안에 대한 안일한 접근 방식을 가진 비즈니스는 훨씬 더 심각한 상황을 맞이하게 됩니다. 비즈니스에는 대규모 금전 손실, 지적 재산 도용, 운영 중단, 법적 문제, 나아가 고객이 보는 기업 이미지가 영구적으로 훼손되는 등의 위협이 가질 수 있습니다.
정교한 로그인 보안은 이러한 모든 위험을 크게 줄여 주므로 시간과 리소스를 들여서 구현할 가치가 충분합니다. 이러한 추가적인 보호 레이어를 적용하지 않은 비즈니스는 해커들의 손쉬운 표적이 되며, 장기적으로 봤을 때 부작위라는 과실이 값비싼 비용으로 이어집니다.
로그인 보안 위협 및 취약성
약한 암호
사람들은 누구나 쉽게 기억할 수 있는 암호를 좋아하죠. 하지만 자주 쓰는 단어, 문구 또는 숫자 조합을 암호로 사용하는 사용자는 자동화를 사용하여 빠르게 계정을 해킹하는 해커들의 손쉬운 표적이 됩니다. 사전에 등재된 단어로 만든 암호는 단 몇 초 만에 알아낼 수 있습니다.
무차별 암호 대입 공격
무차별 암호 대입 공격은 자동화로 속도가 엄청나게 빨라진 시행착오 방식을 통해 계정에 대한 무단 액세스 권한을 갈취합니다. 무차별 암호 대입 공격은 로그인 자격 증명, 암호화 키 및 암호를 갈취하기 위한 간편한 해킹 방법입니다.
소셜 엔지니어링 공격
소셜 엔지니어링 공격은 가짜 정보를 사용하여 사용자가 자신의 로그인 정보를 자발적으로 알려 주도록 유도합니다. 일례로 피싱 사기란 신임 있는 기업에서 발송한 것처럼 보이는 전자 메일로, 사용자가 가짜 사이트에 접속하여 로그인하도록 유도하여 사용자의 로그인 보안 자격 증명을 가로챕니다. 비슷한 수법인 낚시성 사기도 무언가를 무상으로 제공함으로써 사용자에게서 로그인 정보를 알아냅니다.
맬웨어
악성 소프트웨어라고도 하는 맬웨어는 바이러스, 스파이웨어, 랜섬웨어 등을 가리킵니다. 해커들이 사용자의 디바이스에 맬웨어를 설치하여 중요한 데이터를 갈취하는 수법입니다. 맬웨어는 네트워크와 시스템에 손상을 가하도록 설계되기도 합니다.
스파이웨어
악성 소프트웨어의 한 종류인 스파이웨어는 로그인 자격 증명, 브라우저 활동과 같은 정보를 비밀리에 기록하고 복사합니다. 이렇게 갈취된 정보는 신원 도용에 사용되거나 제3자에게 판매됩니다.
사용자 열거
디렉터리 하베스팅이라고도 하는 사용자 열거는 해커가 무차별 암호 대입 공격 기법을 사용하여 특정 사용자 이름이 유효한지 테스트하는 방식입니다. 해커들은 로그인 페이지에 자주 쓰는 단어, 실존 인물의 이름 또는 사전에 등재된 단어를 무차별적으로 입력하여 “사용자 이름이 유효하지 않음” 결과를 반환하지 않는 조합을 찾아냅니다. 실제로 사용되는 사용자 이름이 발견되면 그때부터 암호 해킹을 시작합니다.
로그인 보안 및 인증 방법의 유형
진짜 사용자만 비즈니스의 시스템에 액세스할 수 있도록 하려면 공격자들보다 한발 앞서 준비하는 것이 중요합니다. 다음은 비즈니스가 보안 방어를 강화하는 데 사용할 수 있는 고급 로그인 보안 수단의 몇 가지 유형입니다.
MFA(다단계 인증)
사용자가 본인 확인을 진행하려면 추가적인 정보가 요구되는 경우 로그인 보안이 한층 더 강력해집니다. MFA(다단계 인증) 또는 2FA(2단계 인증)는 사용자에게 본인 확인을 위해 둘 이상의 정보를 제공할 것을 요구합니다. MFA는 사용자에게 자신이 알고 있는 것, 자신이 갖고 있는 것과 자신의 정체성을 조합하여 확인하도록 요구합니다. 사용자는 암호 또는 PIN을 알고 있고, 스마트폰 또는 고유한 보안 USB 키를 갖고 있을 수 있습니다.
사용자가 생체 인증 동작을 통해 본인 확인을 지원하는 디바이스와 앱을 사용할 수 있는 경우도 늘고 있습니다. 얼굴 인식, 음성 인식 및 지문 스캔 기능은 사용자가 생체적으로 고유한 특징을 사용하여 계정에 안전하고 편리하게 액세스할 수 있도록 합니다.
SSO(Single Sign-On)
Single Sign-On은 사용자가 매번 새로 로그인하는 대신 하나의 플랫폼에서 하나의 로그인 자격 증명만을 사용하여 모든 앱에 액세스할 수 있도록 지원합니다. Single Sign-On은 빠르면서도 암호 재사용을 최소화하여 보안 유출의 위험을 줄여 줍니다.
암호 없는 인증
미래의 로그인 보안은 어떤 모습일까요? 암호 없는 인증이 될 것입니다. 암호 없는 인증은 2FA 또는 MFA의 확실성에 더해 뛰어난 사용자 편의성을 제공함으로써 ID 및 액세스 관리를 위한 새로운 기준을 정립합니다. 암호 없는 플랫폼에서는 로그인 자격 증명이 고정되어 있지 않기 때문이 해커들이 갈취할 수 없습니다. 그 대신 사용자는 보안 키나 휴대폰의 인증 앱, 또는 생체 스캔과 같이 자신이 갖고 있는 무언가를 사용하여 빠르게 본인 확인을 진행합니다.
로그인 보안 모범 사례
강력한 암호 보호 정책은 범죄 활동으로부터 비즈니스를 강력하게 보호해 줍니다. 수천 명의 직원과 고객 계정을 보유한 대규모 조직이 아니더라도 몇 가지 방법으로 조직의 로그인 보안을 강화할 수 있습니다.
로그인 시도 횟수 제한하기
무차별 암호 대입 공격은 로그인 페이지에 대한 액세스 횟수에 제한이 없는 경우에 가장 효과적입니다. 로그인 시도가 정해진 횟수를 넘어갈 경우 계정이 잠기도록 설정하면 다음과 같은 수법을 차단할 수 있습니다.
- 자격 증명 스터핑—데이터 보안 유출을 통해 얻은 자격 증명을 사용하여 여러 웹 사이트에서 로그인을 시도하는 행위.
- 암호 스프레이—흔히 사용하는 암호를 사용하여 여러 계정에 대한 해킹을 시도하는 행위.
- 사전 공격—자동화를 사용하여 사전을 통째로 암호로 적용하는 행위.
둘 이상의 인증 수단 요구하기
다단계 인증을 통해 추가적인 ID 관리 레이어를 적용하면 단지 사이버 공격을 막아낼 확률이 두 배 또는 세 배로 늘어나는 것이 아니라 위험 자체가 크게 줄어듭니다. 사이버 공격으로 인한 손실이 매년 수조 달러에 이르고 있는 오늘날, MFA는 비즈니스를 위한 비용 효율적인 옵션으로 부상하고 있습니다.
암호 없는 인증 도입하기
해커들은 암호를 좋아합니다. 암호는 쉽게 추측할 수 있기 때문이죠. 그렇다면 애초에 암호를 없애는 것은 어떨까요? 암호 없는 인증 시나리오에서는 사용자가 생체 인증 수단, 인증 앱, 또는 USB 토큰이나 배지와 같은 도구의 조합을 사용하여 고도로 높은 수준의 확실성으로 본인 확인을 진행합니다.
로그인 보안 솔루션
ID 및 액세스 관리 사안에 있어서는 약간의 보안만 강화해도 만족할 만한 성과를 얻을 수 있습니다. 로그인 프로세스에 인증 레이어를 하나씩 추가할 때마다 보안 유출 위험이 크게 줄어듭니다. 더불어 진짜 사용자들이 항상 자신의 계정에 액세스할 안전한 경로를 갖게 됩니다.
로그인 보안 모범 사례에 복잡성을 더한다고 해서 반드시 사용자들에게 시간이 오래 걸리거나 짜증을 유발하는 경험을 제공하게 되는 것은 아닙니다. Microsoft는 원활하고 안전한 암호 보호 도구를 사용하여 비즈니스가 기본적인 인증에 추가적인 보안 레이어를 적용할 수 있도록 지원합니다. 이러한 도구는 강력한 암호 정책을 적용하고, 약한 암호를 감지하여 차단하고, 사용자를 위한 셀프 서비스 암호 재설정 기능을 지원함으로써 비즈니스를 보호합니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
보안 로그인은 둘 이상의 방법을 사용하여 사용자의 신원을 확인하는 계정 액세스 프로세스입니다. 높은 수준의 확실성으로 사용자 신원을 확인하면 신원 도용 위험이 줄어듭니다.
-
강력한 암호를 만들고, 가능한 경우 암호 없는 기술을 사용하고, 다단계 인증 및 생체 인증 방법을 사용하면 로그인 정보를 보호할 수 있습니다.
-
쉽게 추측할 수 있는 자주 쓰는 단어와 숫자 패턴을 피하여 강력한 암호를 만드세요. 대문자와 소문자, 특수 문자를 조합한 암호는 해커들이 알아내기 훨씬 더 어렵습니다. 여러 계정에서 동일한 암호를 사용하지 마세요.
-
인증 방법은 앱 또는 시스템이 본인 확인을 위해 사용자에게 보내는 요청입니다. 암호 없는 기술일 수도 있고, 사용자가 암호를 입력하면 요구되는 추가적인 확인 단계일 수도 있습니다.
-
암호는 사용자의 중요한 개인 및 비즈니스 정보를 악의적인 목적으로 사용하려는 범죄자로부터 안전하게 보호하기 위해 사용됩니다. 강력한 암호 보안을 적용하면 사이버 공격으로 인해 발생하는 신원 도용과 비즈니스 손실을 방지할 수 있습니다.
