2022년에는 신원 확인과 인증의 교차점이 매우 바쁠 것으로 예상됩니다.
1월 24일부터 25일까지 이틀에 걸쳐서 더 나은 신원 확인 연합, FIDO 얼라이언스, 그리고 ID 도용 리소스 센터 (ITRC)는 정부 및 업계 대표들과 함께 신원, 인증, 그리고 앞으로의 사이버 보안 정책 포럼을 공동 주최하여 2022년 이후의 신원 및 인증에 대한 정책, 과제 및 기회에 대한 인사이트를 제공했습니다.
신원 확인은 항상 중요했지만, 팬데믹 기간 동안 여러 가지 방식으로 신원 확인 기능의 격차가 극적으로 드러났습니다. 미국 팬데믹 대응 책임 위원회(PRAC) 신원 사기 감소 및 구제 워킹그룹 의장인 수잔 깁슨과 Better Identity Coalition의 코디네이터인 제레미 그랜트가 참여한 기조 대담에서 팬데믹 상황에서 신원 확인의 어려움에 대해 자세히 설명했습니다. 깁슨은 미국 정부가 총 5조 달러에 달하는 연방 정부의 팬데믹 대응에 대한 투명성을 높이고 조율된 감독을 촉진하기 위해 PRAC를 설립했다고 설명했습니다.
깁슨은 팬데믹 원조 사기 사례가 많이 발생했는데, 이는 상당 부분 신원 확인 및 조율의 취약성 때문이라고 지적했습니다. 예를 들어, 그녀는 하나의 사회보장번호가 29개 주에서 실업보험 청구에 사용되었다고 지적했습니다.
깁슨은 주민등록번호 등을 이용한 신원 사기는 흔한 일이지만, 이미 공개된 개인 식별 정보의 양이 방대하기 때문에 신원 도용을 막는 것만이 문제의 해답은 아니라고 강조합니다.
깁슨은 “신원 도용을 막아서 문제를 해결하려는 노력보다는 신원 도용이 이미 발생했다는 사실을 인지하고 어떻게 하면 강력한 인증에 도달할 수 있을지에 더 집중해야 합니다.”라고 말합니다.
데이터 유출은 계속 발생합니다.
신원 정보는 데이터 유출의 근본 원인일 뿐만 아니라 그 결과인 경우도 많습니다.
오전 세션에서는 ID 도난 리소스 센터(ITRC)의 최고 운영 책임자인 제임스 리가 조직의 2021년 연말 데이터 유출 보고서의 주요 데이터 포인트 몇 가지를 설명했습니다. 그중에서도 주목할 만한 사실은 2021년은 데이터 유출 사고가 사상 최악의 해로, 1,862건의 사고가 발생하여 2억 9,400만 명의 피해자에게 영향을 미쳤다는 사실입니다.
리는 데이터 유출 사고로 가장 많이 도난당하는 데이터 속성은 사용자 이름이며, 그다음으로 주민등록번호라고 말했습니다. 그는 사기 포럼에서 도난당한 사회보장번호가 개당 2달러에 판매되고 있다고 지적했습니다. 반면 이메일 계정, 특히 Gmail 계정과 관련된 로그인 및 비밀번호는 각각 80달러의 가치가 있습니다.
행사 첫날은 신원 및 인증의 다양한 측면에 대한 두 패널의 토론으로 마무리되었습니다. 정부가 정체성을 조율하고 개선하기 위해 어떤 노력을 기울이고 있는지에 대한 패널 토론에서, 제이슨 림, 미국 교통안전국 심사 기술 통합 프로그램(STIP) 지점 관리자, 필 램 미국 연방서비스국 신원확인 담당 전무이사, 팀 웨일러 경제 정책 고문 겸 입법 고문, 미국 하원의원 Bill Foster, 그리고 케이트 웨슬러, 소비자 우선 연합의 전무이사는 각 기관의 역할에 대한 각자의 견해를 자세히 설명했습니다.
정체성은 또한 모든 사회 구성원에게 동일하지 않은 접근성에 관한 것입니다. 이는 Eva Velasquez , ITRC(Identity Theft Resource Center) 사장 겸 CEO가 Synchrony의 중앙 집중식 공유 서비스 담당 수석 부사장인 Birdell Lewis와 함께 주최한 이날의 마지막 패널의 핵심 주제였습니다. 벤 로버츠(Ben Roberts) 목사, 파운드리 연합감리교회(Foundry United Methodist Church); Chris Peterson, Penny Forward 및 커뮤니티 회원.
둘째 날: 강력한 인증의 미래
행사 둘째 날 오프닝 기조연설에서 백악관 관리예산처(OMB)의 에릭 밀 선임 고문은 정부의 강력한 인증 방향을 설명하는 기조연설을 했습니다.
Mill은 2021년 가을에 OMB가 피싱 방어를 핵심 우선순위로 정의하는 연방 제로 트러스트 전략의 초안을 발표했다고 언급했습니다. 밀스는 피싱은 공격자가 기업에 침투하는 가장 일반적인 방법 중 하나이며, 정부는 이러한 공격에 대한 방어력을 대폭 강화하는 데 집중하고 싶다고 말했습니다.
“우리는 피싱에 저항하지 않는 다단계 인증 방법을 사용하지 않는 것에 대해 민간 연방 기관을 위한 명확한 기준을 만들려고 노력하고 있습니다.”라고 밀스는 말합니다.
밀스는 개인 신원 확인 카드(PIV)가 정부에서 일반적으로 사용되며 피싱을 효과적으로 억제할 수 있다고 언급했습니다. 그는 FIDO WebAuthn 플랫폼 인증자에 대해서도 더 폭넓은 접근 방식이 필요하다고 덧붙였습니다.
밀스는 “연방 정부 전체에서 PIV, FIDO 및 웹 기반 인증자가 혼용되고 피싱과 관련하여 다른 취약한 방법이 중단될 것으로 예상합니다.”라고 말했습니다.
제로 트러스트 전략은 컨퍼런스 다음 날 공식적으로 발표되었으며, FIDO 인증과 같은 피싱 방지 MFA를 사용하도록 요구합니다.
강력한 인증 및 신원 확인을 위한 FIDO 얼라이언스의 노력
기조연설에서 FIDO 얼라이언스의 전무이사인 앤드류 시키아르는 강력한 인증 상태를 개선하기 위해 조직이 진행 중인 진행 상황과 이니셔티브에 대해 설명했습니다.
시키는 FIDO가 해결하고자 하는 과제는 단순히 다단계 인증(MFA)을 위한 체크박스 항목이 아니라 오늘날의 네트워크 사회에 필수적인 커넥티드 서비스를 보호하는 진정한 기반이 되는 것이라고 강조했습니다.
시키는 2022년은 MFA 공격이 대세가 되는 해가 될 것이라고 예측했습니다. FIDO가 제공하는 피싱 방지 접근 방식은 매우 중요합니다. 피싱 방지 MFA와 강력한 인증의 필요성은 여러 정부에서 모범 사례로 언급되고 있습니다.
“비밀번호는 어디에나 있고 웹의 DNA에 포함되어 있기 때문에 우리 생활의 일부입니다.”라고 시키는어는 말합니다. “간단히 말해, 우리는 그들을 대체하고, 그들이 그 역할에서 벗어나 그 자리를 차지해야 합니다.”
MFA의 장벽과 개선된 신원 증명의 필요성
정부와 업계가 인증에 대해 어떻게 재고하고 있는지에 대한 패널 토론에서 패널들은 인증 도입을 가로막는 요인과 앞으로 해야 할 일에 대한 인사이트를 제공했습니다.
Microsoft의 ID 표준 디렉터인 팸 딘글은 강력한 인증과 MFA의 필요성에 대한 인식은 있지만 항상 구현되지 않는 데에는 몇 가지 이유가 있다고 말합니다. 배포하지 않는 조직 유형 중 하나는 MFA에 대한 일종의 조직적 장벽이 있는 곳입니다.
“고객들은 제대로 해야 한다는 것을 알지만 레거시 기술을 보유하고 있거나 도입할 수 없는 다른 이유가 있다고 말합니다.”라고 Dingle은 말합니다. “다른 모든 사람들에게도 이 기능은 사람들의 목록에 있다고 생각합니다.”
Guidehouse의 고급 솔루션, 사이버 보안 부문 디렉터인 크리스틴 오웬은 MFA 배포에서 직면한 어려움은 서비스 계정이라고 말합니다. 오웬은 이러한 유형의 계정에 MFA를 추가하는 것이 생각만큼 쉬운 일은 아니라고 언급했습니다. CISA의 그랜트 대셔는 조직의 관점에서 볼 때 ID는 제로 트러스트 아키텍처의 토대임이 분명하다고 언급했습니다. Dasher는 대통령의 행정명령은 민간 및 국가 안보 측면에서 정부가 이 방향으로 나아갈 것을 약속한 것이라고 덧붙였습니다. 실제로 CISA는 최근 지침에서 인증의 황금 표준으로 FIDO를 언급했습니다.
주어진 신원이 실제로 진짜인지 확인하는 것은 신원 증명의 영역이며, 이는 신원 문서 및 속성의 초기 검증에도 도움이 됩니다. 오후에 진행된 패널에서는 FIDO 얼라이언스의 인증 프로그램 디렉터인 레이 리베라(Rae Rivera)가 신원 증명을 위한 인증 프로그램을 만들기 위한 지속적인 노력에 대해 설명했습니다.
미국 하원 금융 서비스 위원회의 브라이튼 해슬렛 변호사는 신원 증명 분야의 새로운 규정은 실제 정보를 기반으로 해야 한다는 점이 중요하다고 지적했습니다.
해슬렛은 “이 분야에서 가장 큰 위협은 오해와 두려움에서 비롯된 모든 종류의 법안이나 규제라고 생각합니다.”라고 말합니다. “새로운 기술을 서둘러 규제하려는 시도는 대개 실제 여부와 상관없이 나쁜 결과를 완화하려는 시도라고 생각합니다.”
강력한 인증, 신원 확인 및 뱅킹 시스템
신원 보호를 위한 강력한 인증의 필요성은 금융 부문과 정부 규제 기관에게 매우 중요합니다.
FDIC의 최고 혁신 책임자인 술탄 메그지(Sultan Meghji)는 “미국 금융 부문에 위험을 초래하는 많은 요소들을 살펴보면 모두 신원 확인에 기반을 두고 있습니다.”라고 말합니다.
메그지의 의견은 핀센의 디지털 신원, 포용성, 디지털 결제 인프라 담당 수석 고문인 케이 터너도 공감했습니다. 그녀는 은행비밀보호법의 주무부처이자 미국 금융정보기관으로서 금융 부문에서 FinCEN의 역할은 불법 금융, 자금 세탁 및 테러 자금 조달 방지와 같은 관련 범죄를 예방하는 것이라고 언급했습니다.
“신원 확인은 모든 금융 서비스의 핵심이며 신뢰의 핵심입니다.”라고 터너는 말합니다. “따라서 위험을 평가하는 능력은 누구와 관계를 맺고 있는지 파악하는 능력만큼만 가능하다는 것을 잘 알고 있습니다.”
미국 재무부의 엘리자베스 로젠버그 테러자금조달 및 금융범죄 담당 차관보의 기조연설에서도 터너의 의견에 많은 부분이 반영되었습니다.
로젠버그는 금융 시스템을 괴롭히는 많은 중요한 문제는 누가 누구와 거래하고 있는지 쉽고 안정적으로 파악할 수 없기 때문에 발생한다고 말했습니다.
로젠버그는 “정책적으로 디지털 ID는 국가 안보와 금융 보안을 보호하는 방법을 즉각적이고 극적으로 개선할 수 있는 잠재력을 가지고 있습니다.”라고 말합니다.
로젠버그는 신원 확인을 위한 강력한 인증의 중요성을 인식하는 것을 넘어, 미국 재무부가 2022년을 디지털 ID를 위한 행동의 해로 삼고 있다고 말했습니다.
“내년 아이덴티티 포럼이 열릴 때 같은 문제를 다루고 싶지 않습니다.”라고 로젠버그는 말합니다. “적어도 지금과 같은 문제가 지금과 같은 정도로 자주 발생하는 것을 보고 싶지 않으며 재무부는 그렇게 하기 위해 최선을 다하고 있습니다.”
마지막 기조연설에서 캐롤 하우스 백악관 국가안보회의(NSC) 사이버보안 및 보안 디지털 혁신 담당 국장도 신원 확인이 국가 안보에 매우 중요하다고 언급했습니다.
“우리가 목격한 많은 사이버 사고에는 다단계 인증 솔루션 구현 등 더 강력한 ID 및 액세스 관리 솔루션을 통해 막을 수 있었던 침해 경로가 포함되어 있습니다.”라고 하우스는 말합니다.
