Javelin Research의 “2019년 강력한 인증 현황 보고서” 에 따르면 2017년 이후 암호화 기반의 강력한 인증 사용이 3배 증가했습니다.
캘리포니아주 마운틴뷰, 2019년 1월 22일 — 데이터 유출과 점점 더 정교해지는 피싱 공격으로 인해 온라인 계정 손상과 재정적 손실이 계속 발생함에 따라, 기업들은 마침내 더 강력하고 피싱에 강한 형태의 인증에 투자하고 있다고 Javelin Strategy & Research의 새로운 보고서 “The State of Strong Authentication 2019“에서 밝혔다.
FIDO Alliance의 후원을 받아 작성된 이 보고서는 미국 기업들의 고객 및 기업(직원) 인증 현황을 분석하고, 강력한 인증이 계정을 보호하고 중요한 데이터 및 중요 시스템에 대한 액세스를 보호하는 데 어떤 역할을 하는지에 대한 결론을 도출합니다.
30페이지 분량의 이 보고서는 https://fidoalliance.org/2019-strong-authentication-report/ 에서 무료로 다운로드할 수 있습니다.
보고서에서 Javelin의 주요 결과 및 권장 사항은 다음과 같습니다.
- 강력한 인증 구현은 2017년 이후 급격히 증가했습니다. 여러 인증 요소 중 하나가 공개 키 암호화를 사용하는 암호화 기반 강력한 인증을 사용하는 조직의 수는 소비자 인증의 경우 2017년 이후 3배 증가했으며 같은 기간 엔터프라이즈 인증의 경우 거의 50% 증가했습니다. 이러한 형태의 인증은 피싱, 메시지 가로채기(man-in-the-middle) 및/또는 자격 증명을 대상으로 하는 기타 공격(암호 및 일회용 암호(OTP)의 알려진 취약성)에 취약하지 않습니다.
- 규제는 강력한 인증 채택을 가속화하고 있습니다. 거의 70%의 기업이 고객에게 강력한 인증을 제공해야 하는 강력한 규제 압력에 직면해 있다는 데 동의합니다. 이는 EU 및 캘리포니아와 같은 미국 주의 데이터 보호 규정과 함께 PSD2의 도입에 기인합니다.
- 강력한 인증 홀드아웃은 비즈니스와 고객에 대한 위험을 과소평가하고 있습니다. 직원을 인증하기 위해 암호만 사용하는 기업의 2/3는 사이버 범죄자들이 계속해서 다양한 소비자 및 비즈니스 정보를 표적으로 삼고 있음에도 불구하고 암호가 보호하는 정보 유형에 대해 “충분하다”고 믿기 때문에 그렇게 합니다.
- 모든 강력한 인증이 동일하게 생성되는 것은 아닙니다. Javelin에 따르면 표준을 기반으로 하고 암호화 보안(예: FIDO 인증)을 사용하는 강력한 인증 솔루션을 채택하면 조직이 규제, 고객 기대치 및 점점 더 정교해지는 사기 수법에 부응하는 비용을 절감하는 데 도움이 될 수 있습니다.
- 이제 OTP를 종료할 때입니다. 사이버 범죄자들이 소셜 엔지니어링, 휴대폰 포팅 및 멀웨어를 사용하여 OTP 인증자를 손상시키는 상황에서 Javelin은 이러한 범죄자에서 벗어나 암호화 기반의 강력한 인증을 채택할 것을 권장합니다.
이 보고서에는 Google, Tradelink 및 Visa의 사례 연구가 포함되어 있으며, 이들 모두 FIDO 인증을 활용하여 고객 및 직원 계정에 대한 보호를 강화하고 있습니다.
Javelin Strategy & Research의 수석 부사장 겸 리서치 디렉터인 Al Pascual은 “데이터 침해, 피싱 위협 및 규제 압력이 증가한 반면 강력한 인증 구현과 관련된 재무 및 사용자 경험 비용은 감소했다는 점을 감안할 때 강력한 인증 채택의 증가는 의미가 있습니다. “덜 고무적인 것은 홀드아웃이 암호만으로도 충분한 보안이라고 믿고 있다는 것입니다. 이러한 기업은 위험도가 낮다고 생각하는 데이터조차도 사기꾼에게 상당한 가치를 제공하고 규제 조사에 노출될 수 있음을 깨달아야 합니다. 따라서 지금 강력한 인증으로 전환할 계획을 세워야 하며, 그렇지 않으면 사이버 범죄자들의 매력적인 표적이 될 수 있다”고 말했다.
FIDO Alliance의 전무 이사인 Brett McDowell은 “조직들이 비밀번호, 심지어 일회용 비밀번호조차도 오늘날의 위협에 대한 충분한 보호를 제공하지 못한다는 사실을 인식하고 있다는 것을 알게 되어 기쁩니다. “이 연구가 FIDO Alliance 및 W3C의 업계 표준을 준수하는 새로운 암호화 지원 인증 기능에 대한 인식을 높이는 데 도움이 되기를 바라며, 현재 주요 웹 및 모바일 앱 플랫폼에서 널리 사용할 수 있습니다. 이러한 기능을 통해 애플리케이션은 계정 자격 증명을 사용자의 물리적 장치에 바인딩할 수 있으므로 원격 공격자가 피싱할 수 없습니다. 플랫폼은 이러한 보안 기능을 사용자에게 보다 편리한 경험으로 패키징하고 있으며, 이를 통해 사용자는 손가락, 얼굴 또는 보안 키를 사용하여 즐겨 사용하는 모든 웹사이트와 애플리케이션에 로그인할 수 있습니다.”
“2019년 강력한 인증 현황 보고서”에 대해 자세히 알아보고자 하는 분들은 2019년 2월 7일 오전 10:00에 열리는 무료 웨비나에 참석하시기 바랍니다. 태평양 표준시/오후 1:00 동부 표준시.
FIDO Alliance 소개
FIDO(Fast IDentity Online) Alliance(www.fidoalliance.org)는 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 사용자 이름과 암호를 만들고 기억할 때 직면하는 문제를 해결하기 위해 2012년 7월에 결성되었습니다. FIDO Alliance는 암호에 대한 의존도를 줄이는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 집합을 정의하는 더 간단하고 강력한 인증을 위한 표준으로 인증의 특성을 바꾸고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고 비공개적이며 사용하기 쉽습니다.
FIDO Alliance PR 연락처
메건 샤마스
몬트너 테크 PR
203-226-9290
press@fidoalliance.org
