작성자: 작성자: FIDO 직원
Authenticate 2022 컨퍼런스의 마지막 날에는 사용자 사례, 사고 리더십, 패널 토론을 통해 현재와 미래의 FIDO 강력한 인증에 대한 도전과 기회에 대해 논의했습니다.
이날의 첫 번째 사용자 사례는 글로벌 과학 기술 기업인 EMD 그룹/머크(Merck KGaA)의 사례로, 현재 자체 인증 시스템을 개선하기 위해 FIDO를 사용하고 있습니다. 이 회사의 ID 및 액세스 관리 도메인 아키텍처 담당자인 데니스 크닙은 자신의 팀의 임무가 회사의 보안을 지원하는 것이라고 설명하며 FIDO가 중요한 역할을 할 것으로 보고 있습니다.
EMD 그룹/머크 KGaA가 FIDO를 구현하면서 직면한 문제는 최신 웹 표준을 지원하지 않는 레거시 애플리케이션과 서비스가 많다는 것이었습니다.
“저희는 분리 인증 메커니즘을 개발했습니다.”라고 Kniep은 설명합니다. “이 메커니즘을 사용하면 사용자가 레거시 백엔드가 있는 앱에 액세스해야 하는 경우에도 피싱 방지 방식으로 FIDO로 인증할 수 있으므로 FIDO를 적용할 수 있습니다.”
형평성과 포용성의 중요성
Authenticate 2022 컨퍼런스에서 반복되는 주제는 형평성과 포용성의 필요성입니다.
이 주제의 한 패널에서는 인증 및 신원 시스템의 포용성 문제를 구체적으로 살펴봅니다. Venable LLP의 사이버 보안 서비스 수석 디렉터인 제이미 댕커는 문제를 해결할 때 주어진 문제를 해결하려는 사람들의 구성이 솔루션에 영향을 미친다고 말합니다.
댕커는 미국 정부의 연방서비스국(GSA)이 최근 완료한 형평성 및 포용성 연구에서 원격 신원 증명 솔루션이 실제로 어떻게 작동할지에 대한 실제 실증 데이터를 제공한다고 언급했습니다.
또한 현재 개정 4판으로 업데이트 중인 NIST 디지털 신원 가이드라인에 대해서도 언급했습니다. 그녀는 NIST가 형평성 고려가 그 일부가 될 것이라는 점을 매우 명확히 해왔다고 언급했습니다.
보안은 웹 인터페이스 그 이상입니다.
FIDO 강력한 인증은 다양한 유형의 시스템에 인증을 제공하는 데 도움이 되지만 모든 유형의 액세스를 위한 유비쿼터스 옵션은 아닙니다.
“모두가 웹과 모바일에 대해 이야기하지만 아무도 컨택 센터에 대해 이야기하지 않습니다.”라고 CVS Health의 수석 디렉터인 John Poirier는 말합니다.
푸아리는 비밀번호가 작동하지 않거나 사용자가 액세스할 수 없는 경우 고객 센터에 전화를 걸어 도움을 요청한다고 설명합니다. 그는 컨택 센터에 보안 정책, 절차, 기술을 도입하여 너무 많은 마찰을 일으키지 않으면서도 액세스를 보호할 필요가 있다고 강조했습니다.
강력한 인증을 모든 유형의 디바이스로 확장하는 아이디어는 올티센티케이트의 CEO인 채드 스펜스키와 공동 창립자이자 COO인 리타 무니르가 함께 논의한 바 있습니다.
스펜스키는 “현재 FIDO 프로토콜은 웹사이트와 컴퓨터와만 통신합니다.”라고 말합니다.
스펜스키는 자동차부터 사무실 출입문까지 모든 유형의 디바이스와 액세스에 강력한 인증을 도입하는 데 도움을 주고자 합니다.
인증 환경 탐색하기
주제 발표에서 Microsoft의 ID 표준 책임자인 파멜라 딩글은 해적처럼 말하며 배에서 떨어지는 승객에 대해 경고했습니다.
배를 승객이 목적지까지 안전하게 도착할 수 있도록 돕는 것에 비유할 수 있는데, 이는 항상 쉬운 일이 아닙니다. Dingle은 Microsoft가 매초 1,000건 이상의 암호 공격을 차단하고 있다며 암호가 취약한 여러 가지 이유를 설명했습니다. 그녀는 사용자가 구명조끼를 착용해야 한다고 강조했는데, 이는 현실에서 사용자 다단계 인증(MFA)으로 이어집니다.
딩글은 MFA에는 위험 요소가 있지만, 많은 사람들이 피싱에 강한 FIDO 인증으로 전환할 수 있을 때까지는 MFA가 올바른 첫 단계라고 말합니다.
“침해된 10,000개의 계정 중 단 하나만이 MFA 인증정보 공격일 것입니다.”라고 그녀는 말합니다. “비밀번호 공격에 취약한 것과 MFA 우회 공격에 취약한 것의 위험 차이를 이해하는 것이 정말 중요합니다.”
하지만 피싱 방지 인증정보의 장점은 MFA를 취약하게 만드는 예측 가능한 행동에 정확히 똑같이 취약하지 않다는 점입니다. 딩글은 또한 패스키의 잠재력에 대해 매우 낙관적이라고 언급했습니다.
“우리가 제대로만 한다면 패스키는 승객을 위한 부양 장치가 되는 좌석 쿠션이 될 수 있습니다.”라고 그녀는 말합니다.
규모에 맞는 ID 신뢰 확보
현존하는 가장 큰 이커머스 및 클라우드 플랫폼 중 하나인 Amazon은 강력한 인증에 대한 실질적인 니즈를 가지고 있으며, 이러한 니즈를 충족하기 위해 점점 더 FIDO에 의존하고 있습니다.
Amazon Cognito의 제품 책임자인 사라 세체티는 신원 확인은 Amazon Web Services 내의 플랫폼 팀에서 처리한다고 설명합니다. 그녀는 AWS의 모든 서비스에 대해 일관된 보안 및 사용성 기준을 적용해야 한다고 언급했습니다. 이를 위해 AWS는 FIDO를 사용하는 모듈식이지만 중앙 집중식 접근 방식을 구축했습니다.
AWS의 사용자 인증 제품 수석 매니저인 Arynn Crow는 회사가 FIDO2에 많은 투자를 하고 있다고 말했습니다.
“근본적으로 FIDO가 더 큰 유연성을 지원한다고 믿기 때문에 계속 투자하고 있습니다.”라고 Crow는 말합니다. “사용자 경험과 보안 간의 절충점이 줄어듭니다.”
사용 편의성은 강력한 인증 도입의 핵심입니다.
사용성에 대한 패널 세션에서 등장한 핵심 주제는 FIDO 채택이 성장하기 위해서는 우수한 사용성이 기본적으로 필요하다는 것이었습니다.
JP 모건 체이스의 디지털 인증 제품 관리자 부사장인 주디 클레어는 강력한 인증 메시지와 워크플로우를 적절한 어조로 전달하는 것이 중요하다고 말합니다.
클레어는 “모든 전문 용어를 사용함으로써 누군가를 배척하지 않도록 올바른 표현을 사용하고 일반 사용자가 명확하고 간단하며 이해할 수 있도록 하는 것이 매우 중요합니다.”라고 말합니다.
듀오 시큐리티의 수석 제품 디자이너인 시에르 울프코스틴은 명확한 언어의 필요성에 대해 공감했습니다. 울프코스틴은 이해할 수 없는 것을 받아들이는 것은 어렵다고 말했습니다.
울프코스틴은 “단순한 인간 언어를 사용하는 것이 정말 중요합니다.”라고 말합니다.
사용성은 또한 크고 작은 기업이 실제로 FIDO 강력한 인증을 구현하는 데 도움을 줄 수 있는 공급업체 및 기술의 활발한 에코시스템이 있는지 확인하는 것입니다.
행사의 마지막 패널에서 Google의 제품 매니저인 크리스티안 브랜드는 인력이 충분한 조직은 자체적으로 강력한 인증 및 패스키 옵션을 구현할 수 있지만, 그렇지 않은 많은 조직은 도움이 필요하다고 말했습니다. 이는 조직이 컨설턴트와 서비스 제공업체를 활용하여 복잡한 기술을 구현하는 다른 엔터프라이즈 기술과 매우 유사한 상황입니다.
CISA의 수석 기술 고문인 밥 로드는 가장 좋은 방법은 FIDO로 시작하는 것이라고 주장했습니다. 그는 조직이 할 수 없는 것이 아니라 할 수 있는 것에 집중해야 한다고 강조했습니다.
“시작을 망설이는 사람들이 많을 것 같습니다.”라고 Lord는 말합니다. “사람들이 여행을 시작하기만 하면 자신의 오해가 틀렸다는 것을 깨닫고 많은 오해가 사라질 것이라고 생각합니다.”
내년 샌디에이고에서
폐회 세션에서는 FIDO 얼라이언스의 전무 이사 앤드류 시키아르가 이번 행사의 주요 주제를 강조했습니다.
이러한 주제는 배포가 실제로 이루어지고 있으며 조직은 지금 바로 시작할 수 있고 시작해야 한다는 것입니다. 사용성은 채택을 보장하는 데 도움이 되는 또 다른 강력한 반복 주제였습니다. 이번 컨퍼런스에서는 커뮤니티별 보안에 대한 개념도 논의되었으며, 사용자들은 서로에게 배운 교훈을 공유하며 공감대를 형성했습니다.
최종 분석 결과, Authenticate 2022는 3개의 트랙과 3일간의 콘텐츠에 걸쳐 90개의 세션이 진행되며 성황리에 마무리되었습니다.
내년 행사에서는 인증 2023이 샌디에이고에서 개최될 예정입니다.
