멀티팩터 인증(MFA)은 기존의 ‘사용자 이름+비밀번호’ 인증에 비해 보안이 크게 개선된 것으로 선전되고 있습니다. 하지만 모든 MFA 프로세스가 동일하게 생성되는 것은 아닙니다. 사이버 범죄자들이 비밀번호 전용 시스템이라는 허점을 노릴 수 있는 기회가 좁아지자, 그들은 취약한 MFA에 집중하고 있습니다.
디지털 시스템의 확장, 더욱 지능적인 피싱 도구, 비밀번호를 인증 요소로 계속 허용하는 추세로 인해 MFA를 도입했음에도 불구하고 보안 침해를 경험하는 조직이 점점 더 많아지고 있습니다. 지난해 마이크로소프트, 우버, 시스코가 MFA ‘프롬프트 폭격’에 의해 침해당한 사례는 조직이 어떤 유형의 MFA를 배포한다고 해서 침해로부터 안전하다고 생각할 수 없음을 보여줍니다.
이러한 이유로 연방 관리 예산국(OMB)과 사이버 및 인프라 보안국 (CISA)은 피싱 방지 MFA, 특히 FIDO 표준을 기반으로 구축된 비밀번호 없는 MFA의 필요성을 강조해 왔습니다. 이전에도 FIDO 표준과 인증에 대한 의미를 살펴본 적이 있지만, 이번 글에서는 프로세스에서 가장 중요한 요소 중 하나를 살펴봅니다: FIDO 인증 인증자입니다.
