2024년의 신원 및 인증 상태는 어떤가요?
이는 통찰력 있는 연사 세션과 패널로 가득한 연례 행사에서 다루어진 주요 주제였습니다. 신원, 인증 및 앞으로의 정책 포럼 이 행사는 1월 25일 워싱턴 D.C.에서 개최되었습니다. 더 나은 신원 확인 연합, FIDO Alliance, 그리고 ID 도용 리소스 센터 (ITRC).
신원 도용에 관한 최신 데이터, 유출된 신원을 이용한 금융 범죄, 신원 및 인증과 관련된 전반적인 문제 등 다양한 주제를 다뤘습니다. 피싱 방지 인증 표준과 패스키에 대한 기회도 행사 내내 큰 반향을 불러일으켰습니다. 더 나은 신원 연합의 제레미 그랜트는 개회사에서 신원을 보안 문제의 원인인 동시에 잠재적인 해결책으로 제시했습니다.
백악관, 강력한 인증 의제 추진
오프닝 기조연설에서 백악관 국가안보회의의 수석 디렉터인 케이틀린 클라크는 디지털 신원을 개선하고 증가하는 사이버 범죄에 대처하기 위해 바이든-해리스 행정부가 취하고 있는 몇 가지 조치에 대해 자세히 설명했습니다.
클라크는 “돈이 범죄 생태계를 부추기고 있지만, 우리가 매일 목격하는 사이버 사건의 표적이 되거나 범인이 되는 경우도 종종 있습니다.”라고 말합니다.
신원 및 인증 상태를 개선하기 위해 행정부는 모든 연방 정부 시스템에 대해 다단계 인증(MFA)을 시행하고 있습니다. 클라크는 또한 정부가 피싱 방지 MFA를 구현하는 것을 강력하게 믿고 있다고 강조했습니다.
“사용자 이름과 비밀번호를 넘어 본인임을 확인하고 요구함으로써 위협 행위자가 시스템에 접근하는 것을 더 어렵게 만들어야 합니다.”라고 그녀는 말합니다. “그렇기 때문에 인증은 우리 모두가 의존하고 있는 중요 인프라의 사이버 보안을 개선하기 위한 작업의 핵심이기도 합니다.”
생체 인식의 역할
전문가 패널에 따르면 생체 인식은 인증 및 신원 확인 환경에서 중요한 역할을 담당하고 있습니다.
패널로는 생체인식 전문가이자 ITRC 자문위원인 아룬 베머리(Arun Vemury), 신원 도용 리소스 센터의 COO인 제임스 리, 클락슨 대학교의 식별 기술 연구 센터(CITeR) 책임자인 스테파니 슈커스 박사, 미국 소비자 연맹의 공공 정책, 통신 및 사기 담당 부사장 존 브레야트(John Breyault)가 참여했습니다.
패널들은 대체로 생체인식을 다른 보안 관행과 결합하여 적절하게 구현하면 도난당한 신원 데이터의 가치를 떨어뜨리고 전반적인 보안을 강화하는 데 도움이 될 수 있다는 데 동의했습니다.
“생체 인식은 사기 건수에 영향을 미칠 수 있는 잠재력이 있습니다.”라고 Breyault는 말합니다. “이것은 만병통치약도 아니고 모든 사람을 막을 수 있는 것도 아니며, 모든 상황에서 유용하지는 않겠지만 지금 우리가 하고 있는 것과는 다른 방식입니다.”
5년 후 더 나은 신원 확인
5년 전, 더 나은 신원 연합은 ‘ 미국의 더 나은 신원 ‘을 발간했습니다: 정책 입안자를 위한 청사진은 미국이 원격 신원 증명과 신원 및 인증에 영향을 미치는 기타 주요 문제를 어떻게 해결해야 하는지에 대한 정부와 업계 모두의 중요한 질문에 대한 답변으로 작성되었습니다.
더 나은 신원 연합의 코디네이터인 제레미 그랜트는 지난 5년간의 진전 사항과 2024년에 대한 새로운 지침에 대해 자세히 설명했습니다.
이 보고서는 강력한 인증 추진과 같은 특정 분야에서는 일부 진전이 있었지만, 전반적으로 정부는 최신 원격 신원 증명 시스템 개발이나 국가 디지털 신원 전략 수립에 우선순위를 두지 않아 낮은 점수를 받았다고 평가했습니다.
수정된 청사진은 미국의 디지털 신원 인프라의 격차를 해소하고 합성 신원 사기 및 딥페이크와 같은 문제로 인해 증가하는 보안 및 개인정보 보호 문제를 해결하는 데 도움이 되는 21가지 새로운 권장 사항과 정책 입안자를 위한 조치 항목을 개괄적으로 설명합니다.
“오늘 우리의 메시지는 2018년과 동일합니다. 이 정책 청사진이 제정되고 정부가 자금을 지원한다면 디지털 신원의 매우 중요한 문제를 해결하고 우리 연합의 이름에서 알 수 있듯이 상황을 개선할 수 있을 것입니다.”라고 그랜트는 말했습니다.
패스키의 해
신원 및 인증 상태에 대해 한탄할 일이 많지만 낙관할 만한 이유도 있습니다.
FIDO Alliance 전무 이사 앤드류 시키아(Andrew Shikiar)는 지난 한 해 동안 패스키 배포 및 채택과 관련하여 이루어진 진전 사항을 자세히 설명했습니다.
Passkeys 더 간단하고 강력한 인증으로, 비밀번호를 대체할 수 있습니다.”라고 그는 말합니다.
시키는 현재 수백 개의 기업이 소비자가 패스키를 사용할 수 있도록 지원하고 있으며, 이는 전반적인 인증 환경을 획기적으로 개선하는 데 도움이 되고 있다고 언급했습니다. 그는 패스키가 기존의 비밀번호나 MFA 방식보다 더 안전할 뿐만 아니라 조직에서 사용하기 쉽다는 점도 강조했습니다.
“물건을 판매하거나 콘텐츠를 제공하는 등 사람들이 가능한 한 빨리 사이트에 접속하기를 원하는 비즈니스를 하는 경우, 패스키가 그 역할을 합니다.”라고 그는 말합니다.
시키는 사용자 인증은 ID 가치 사슬의 한 부분일 뿐이라는 점을 FIDO Alliance 잘 알고 있다고 언급했습니다. 이를 위해 FIDO Alliance 패스키 외에도 생체인식 인증 프로그램, 문서 진위 인증 프로그램 등 다양한 노력을 기울이고 있습니다.
보안 침해를 당하고 싶지 않으신가요? 강력한 피싱 방지 인증 사용
미국 관리예산처(OMB)의 연방 최고 정보 보안 책임자인 크리스 드루샤는 최근 사이버 안전 검토위원회에서 발표한 랩서스 사이버 보안 조직에 대한 보고서를 통해 강력한 인증의 중요성을 강조했습니다.
드루샤는 랩서스 해커들이 소셜 엔지니어링을 포함한 다양한 기술을 사용하여 MFA 프롬프트를 무력화할 수 있었으며, 심지어 직원들에게 대량 스팸을 보내 행동을 취하도록 유도하는 방법도 사용했다고 언급했습니다.
이 보고서의 주요 권장 사항은 SMS를 포함한 피싱 가능한 형태의 MFA에서 벗어나 패스키를 사용하는 FIDO 기반 인증을 채택하라는 것입니다.
FinCEN의 관점
미국 재무부의 금융범죄단속네트워크는 FinCEN이라는 약어로 더 잘 알려져 있으며, 미국 금융 시스템의 핵심 요소입니다.
이 행사에서 안드레아 개키 FinCEN 국장은 수익적 소유권 보고와 FinCEN 신원 프로젝트에 대한 기관의 최근 진행 상황에 대해 연설했습니다. FinCEN 신원 프로젝트는 범죄자들이 금융 범죄를 지속하기 위해 신원 관련 프로세스를 어떻게 악용하는지를 분석하는 FinCEN의 지속적인 작업을 의미합니다. 그 일환으로 FinCEN은 이달 초 2021년 은행비밀보호법 데이터를 분석한 금융 동향 분석을 발표하여 악의적 행위자가 계좌 개설, 액세스 및 거래 과정에서 신원 확인 절차를 어떻게 이용하는지 정량화했습니다.
“강력한 고객 신원 확인 프로세스는 안전하고 신뢰할 수 있는 미국 금융 시스템의 토대이며 모든 금융 기관의 효율성에 기본이 됩니다.”라고 Gacki는 말합니다.
핀센의 수석 사이버 분석가인 션 에반스는 최근 보고서에서 2021년에 접수된 380만 건 이상의 의심스러운 활동 보고서를 조사한 결과 약 160만 건, 2,120억 달러에 달하는 활동이 어떤 형태로든 신원 도용과 관련이 있다는 사실을 발견했다고 말했습니다. 에반스는 사이버 범죄자들이 신원 확인, 검증 및 인증 프로세스의 약점을 우회하거나 악용하여 사기와 같은 불법 활동을 수행하는 방법을 찾고 있다고 설명했습니다.
핀센의 수석 디지털 신원 자문관인 케이 터너는 신원 확인을 강화하는 것이 보안에 매우 중요하다고 강조했습니다.
“우리는 정체성을 바로 잡아야 하며, 이는 시스템에 대한 신뢰를 구축하는 데 필수적입니다.”라고 Turner는 말합니다.
CISA, 패스키에 대한 추진을 칭찬하다
행사를 마무리하는 기조연설은 미국 국토안보부(DHS) 사이버보안 및 인프라 보안국(CISA) 사이버보안 담당 수석 부국장인 에릭 골드스타인의 발표로 진행되었습니다.
골드스타인은 도전과제가 있는 반면에 진전도 있었다는 점에 주목하는 것이 중요하다고 강조했습니다. Passkeys 이제 소비자들이 매일 사용하고 있으며, 점점 더 많은 기업들이 패스워드 없는 배포로 전환하고 있습니다.
골드스타인은 “비밀번호 없는 미래로 나아가는 과정에서 우리가 얼마나 멀리 왔는지 되돌아보는 것부터 시작할 필요가 있습니다.”라며 “점점 더 많은 기업이 기업 권한, 관리자, 직원 인증 솔루션을 비밀번호 없이 전환하는 것을 보고 있으며, 이는 놀라운 변화입니다.”라고 말합니다.
