도전:
Authenticate 2021 행사에서 캠브리지 주택청의 CIO인 제이 레슬리는 자신의 조직이 스피어 피싱 공격의 피해자가 되어 사용자 계정 인증에 대한 보다 안전한 접근 방식을 제공할 수 있는 방법을 찾고 있었다고 회상했습니다.
보안 태세를 개선하기 위해 처음에는 기관의 정보 리소스에 대한 액세스를 보다 안전하게 보호할 수 있는 다단계 인증(MFA) 방법을 찾고 있었습니다.
차병원에는 MFA 도입을 위한 몇 가지 주요 요구 사항이 있었습니다. 요구 사항 중 하나는 CHA가 회사 휴대폰을 광범위하게 발급하지 않기 때문에 MFA 방식에 휴대폰 인증 앱이 필요하지 않아야 한다는 것이었습니다. 또한 차병원 직원들은 업무에 개인 기기를 사용하는 것에 대한 거부감도 있었습니다.
또 다른 주요 요구 사항은 하드웨어 인증 키와 같이 사용자와 IT 부서가 추적해야 하는 추가 개체를 MFA에 요구하지 않아야 한다는 것이었습니다.
FIDO로 가는 길: 더 나은 사용자 경험 지원
차 대표는 FIDO 인증을 결정하기 전에 여러 가지 접근 방식을 고려했습니다.
차의 사용자들은 차 사무실에 물리적으로 액세스하기 위해 HID를 사용하고 있으며, 초기 아이디어는 스마트 카드를 MFA에 사용하는 것이었습니다. 그러나 CHA가 사용하는 특정 HID 카드는 오래되어 컴퓨터 리소스에 액세스하는 데 재사용할 수 없었습니다.
멀티팩터 인증 옵션을 조사하던 중 차는 FIDO 얼라이언스 웹사이트를 발견했습니다. 차이나는 조직의 기존 프로세스 및 인프라를 통해 기존 환경 내에서 FIDO 인증을 지원할 수 있다는 사실을 깨달았습니다.
추가 조사를 통해 차는 단순히 편리한 멀티팩터 인증은 너무 협소한 목표라는 것을 깨달았고, FIDO 도입이 훨씬 더 큰 기회를 제공한다는 것을 알게 되었습니다.
FIDO는 차병원에 직원들의 사용자 경험을 혁신할 수 있는 기회를 제공했습니다. FIDO를 사용하면 안전한 Windows 인증을 달성할 수 있을 뿐만 아니라 WebAuthn 및 SAML 싱글 사인온을 활용하여 기관에서 사용하는 모든 주요 시스템과 애플리케이션에 대해 안전하고 원활한 비밀번호 없는 인증을 지원할 수 있습니다.
개요
매사추세츠주 케임브리지 주택국(CHA)은 매사추세츠주 케임브리지의 저소득층 주민에게 임대료 지원과 저렴한 장기 임대 주택을 제공하는 데 도움을 줍니다. CHA는 조직 전체에서 IT를 활용하여 거주자의 공공주택 입주를 돕고 있으며, IT 담당자가 한정되어 있습니다.
편리성, 효율성, 보안 강화
“주기적으로 변경할 필요가 없는 6자리 PIN은 긴 비밀번호보다 기억하고 입력하기가 훨씬 더 편리합니다. 사용하기 매우 쉽고 효율적입니다. IT 부서에서도 더 안전하다는 확신을 가지고 있습니다.” — 존 필립, 캠브리지 주택 당국, CFO
FIDO 표준이 중요한 이유
CHA의 경우, 표준 기반 접근 방식을 선택하는 것이 멀티팩터 인증에 있어 중요한 요소였습니다.
IT 인력이 적고 리소스가 제한되어 있기 때문에 시간이 지나도 변하지 않는 기술 접근 방식을 선택하는 것이 중요한 요소입니다.
강력한 인증에 대한 표준 기반 접근 방식을 통해 CHA는 광범위하고 점점 더 많은 지원을 받는 솔루션을 활용하려는 업계의 노력으로부터 혜택을 받을 수 있습니다. FIDO를 통한 표준 기반 접근 방식은 향후 몇 년 동안 지원될 수 있으며, 현재로서는 충분하지만 1~2년 후에는 뒤처질 수 있는 엉성함을 조합하기 위해 CHA가 혼자서 노력하는 것보다 더 나은 선택입니다.
차가 윈도우 헬로에서 FIDO를 사용하는 방법
차바이오텍은 이미 시스템에서 Microsoft Windows를 실행하고 있었기 때문에 FIDO의 세계로 쉽게 진입할 수 있었습니다.
이 조직은 키 기반 방법을 사용하여 FIDO 호환 비즈니스용 Windows Hello를 구현했습니다. 차의 IT 팀은 최대한 많은 사용자를 지원하기 위해 초기 배포 시 디바이스 PIN 사용을 권장했습니다.
비즈니스용 Windows Hello의 초기 배포는 소규모 파일럿 그룹을 대상으로 이루어졌습니다. 파일럿을 더 많은 사용자 그룹으로 확대했을 때, CHA는 솔루션을 지원하는 데 필요한 인프라를 완전히 이해하지 못해 문제가 발생했습니다. 요구 사항을 완전히 이해하기 위해 잠시 멈춘 후, 차는 소규모 기술 팀이 본격적인 구현을 효과적으로 수행하기에는 경험과 시간이 부족하다는 사실을 깨달았습니다. 그런 다음 차는 도움이 될 수 있는 리소스를 파악했습니다.
MFA에서 조직 전체의 비밀번호 없는 시스템으로
차가 MFA를 위해 FIDO를 선택한 것은 아닙니다.
차바이오텍의 FIDO 배포는 조직 전체에 걸쳐 더 광범위한 비밀번호 없는 모델을 수용하기 위한 대규모 노력입니다. FIDO를 준수하는 비즈니스용 Windows Hello를 구현하기 위한 차의 암호 없는 프로젝트에는 가능한 모든 시스템과 애플리케이션을 암호 없이 만들기 위한 SAML SSO 구성 요소도 포함되어 있습니다.
현재 차는 250명 이상의 계정 소유자를 보유하고 있으며, 이들 대부분은 정기적으로 비밀번호 대신 FIDO 디바이스 기반 PIN을 인증에 사용합니다.
차(CHA)에서의 FIDO의 미래
FIDO 인증은 차이나타운의 인증 전략에서 여전히 중요한 위치를 차지할 것입니다. 앞으로 조직은 생체 인식의 수용과 지문 판독기 및 NFC 지원 엔드포인트의 보편화에 따라 디바이스 기반 PIN 인증에서 지문 또는 HID 카드 및 PIN 인증으로 전환할 가능성이 높습니다.
FIDO 인증 도입을고려 중인 조직을 위해 CHA의 CIO인 제이 레슬리가 몇 가지 노련한 조언을 해줍니다. 레슬리는 IT 팀이 다음과 같이 하지 말아야 한다고 제안합니다. 외부의 도움을 구하는 것을 두려워하지 말고 파일럿을 연장하는 것을 실패로 간주해서는 안 됩니다. 제대로 구현하려면 타사의 전문 지식과 시간이 필요할 수 있지만, 그만한 가치가 있다고 그는 생각합니다.
여기에서 캠브리지 주택청(CHA) 사례 연구 PDF 문서를 확인하세요.