“미시간주의 MiLogin을 위한 강력한 인증 결과를 이끌어낸 FIDO”
미시간주의 기술, 관리 및 예산부(DTMB)는 다른 주 정부 기관에 광범위한 지원 기능을 제공하는 주 정부의 주요 부서입니다.
기술 서비스, 노동 시장 정보, 시설 관리, 금융 서비스, 조달, 퇴직 서비스, 부동산 관리, 미시간 공공 안전 통신 시스템, 차량 및 기록 관리 등 다양한 업무를 담당하고 있습니다.
또한 DTMB는 사이버 위협으로부터 보호하고 주정부의 IT 인프라를 관리하기 위한 리소스와 도구를 제공하여 주정부의 사이버 보안에 중요한 역할을 담당하고 있습니다. 1,000만 명 이상의 사용자가 안전하고 편리하게 주 정부 서비스에 액세스할 수 있도록 지원하는 디지털 신원 확인 솔루션인 MiLogin은 DTMB의 노력 중 하나입니다.
DTMB는 사용자가 하나의 사용자 ID로 여러 주 애플리케이션과 서비스에 액세스할 수 있는 미시간주의 애플리케이션인 MiLogin을 사용자 경험을 개선하는 강력한 인증으로 보호하고자 했고 FIDO 인증에 기반한 패스키를 사용하기로 결정했습니다.
Passkeys는 사용자의 모든 디바이스에서 웹사이트와 앱에 더 빠르고 간편하며 안전하게 로그인할 수 있는 비밀번호 대체 수단입니다. 비밀번호와 달리 패스키는 피싱에 강하고 항상 강력하며 비밀이 공유되지 않도록 설계되어 있습니다.
주요 목표
미시간주는 Passkeys 통합을 통해 몇 가지 주요 목표를 달성하고자 했습니다:
디지털 사용자 경험을 향상하세요.
목표는 디지털 사용자 경험을 간소화하는 것이었으며, 특히 사용자에게 중요한 주 정부 서비스에 대한 원활한 액세스를 제공하는 것이었습니다. DTMB는 로그인 프로세스를 간소화하여 보다 사용자 친화적이고 효율적으로 만드는 것을 목표로 했습니다.
헬프 데스크 지원 의존도를 줄이세요.
로그인 액세스 문제로 인해 헬프 데스크 리소스에 대한 부담을 인식한 DTMB는 사용자가 헬프 데스크 지원에 액세스해야 하는 필요성을 줄이기 위해 노력했습니다. 로그인 프로세스를 개선하기 위한 변경 사항을 구현함으로써 사용자의 탐색 능력을 강화하는 것이 목표였습니다.
보안 복원력을 강화하세요.
기존의 사용자 이름 및 비밀번호 인증과 관련된 위험과 취약점은 적지 않습니다. 주요 목표는 보안 위협과 피싱 사고에 대비하여 시스템을 강화하는 것이었으며, 고급 FIDO 강력한 인증을 채택하여 무단 액세스를 노리는 악의적인 공격자들이 흔히 악용하는 위험을 완화하는 것이었습니다.
개방형 표준과 상호 운용성의 중요성
Passkeys를 구현하기로 결정하기 전에 DTMB는 클라우드 기반 IDaaS(솔루션형 ID) 제공업체가 제공하는 독점적인 비밀번호 없는 로그인 솔루션을 검토했습니다. 하지만 이 솔루션은 필요한 상호 운용성이 부족했습니다.
DTMB는 프로세스 초기에 개방형 표준과 상호 운용성이 중요하며 강력한 인증 전략의 필수 요소라고 판단했습니다.
표준 기반 접근 방식은 널리 사용되는 디바이스 유형과 웹 브라우저에서 상호 운용성을 제공하고, 공급업체 중립성을 유지하며, 커뮤니티 채택을 통해 비용을 절감하고, FIDO 에코시스템의 미래 혁신을 채택할 수 있는 경로를 제공합니다.
솔루션: FIDO를 통한 성과 창출
Passkeys는 개방형 표준과 상호 운용 가능한 인증 접근 방식을 활용하여 DTMB의 모든 항목을 충족했습니다.
DTMB는 Passkeys가 다음과 같은 이점을 제공한다는 사실을 발견했습니다:
- Passkeys는 개방형 표준을 기반으로 하므로 사용자가 추가 소프트웨어를 다운로드할 필요 없이 상호 운용성을 보장합니다.
- 여러 공급업체의 FIDO 표준 지원과 기술의 빠른 채택은 서비스형 FIDO 인증의 장기적인 연속성을 촉진합니다.
- FIDO 표준은 데스크톱 및 모바일 장치에서 다양한 인증자 유형(예: 생체 인식 센서, 하드웨어 키 등)을 수용하여 DTMB 사용자 기반의 다양한 인증 요구 사항을 충족합니다.
- 사용자 및 에코시스템 파트너의 보안을 우선시하는 Passkeys는 강력한 피싱 방지 기능을 제공합니다.
MiLogin의 Passkeys 경로
DTMB의 Passkey 출시에는 원활하고 안전한 전환을 보장하기 위한 세심한 프로세스가 포함되었습니다.
비밀번호 없는 인증 솔루션에 대한 광범위한 연구가 진행되었으며, 평가 과정에 DTMB의 사이버 보안 검토 위원회가 참여했습니다. 추가 탐색을 위해 Passkeys를 선택한 후 DTMB는 다양한 FIDO 옵션을 분석하고 미국 국립표준기술연구소(NIST)의 피드백을 구했습니다.
주정부의 엔터프라이즈 디지털 신원 솔루션에 대해 신뢰할 수 있는 시스템 통합업체인 딜로이트와 협력하여 설계, 개발 및 구현 단계에 대한 포괄적인 전략을 계획했습니다.
디자인 단계에서는 FIDO Alliance의 사용성 연구 결과에서 얻은 인사이트를 화면 및 워크플로 디자인에 적용했습니다. 또한, 다양한 페르소나의 다양한 요구 사항을 충족하는 맞춤형 사용자 환경을 만들기 위해 DTMB의 MiLogin 인간 중심 디자인 사용성 연구 결과를 활용했습니다.
개발 단계에서는 사용자 채택률을 높이기 위해 애니메이션 사용자 도움말 가이드와 튜토리얼 동영상을 제작하여 MiLogin을 FIDO 인증 방법과 통합하는 데 중점을 두었습니다.
구현 후 DTMB는 프로덕션 지표를 모니터링하고 최종 사용자의 피드백을 수집하여 구현의 성공을 보장하고 향후 릴리스에서 기능을 개선할 영역을 파악했습니다.
MiLogin의 인상적인 비밀번호 없는 결과
출시 후 6개월 만에 MiLogin은 미시간 주에서 인상적인 성과를 거두었습니다:
- 100,000개 이상의 고객 디바이스가 Passkeys에 등록되어 있습니다.
- 매월 ~18,000건의 신규 Passkey 등록 건수
- 보고된 문제 없이 FIDO 기반 로그인 증가
- 한 달 동안 비밀번호 재설정과 관련된 헬프 데스크 문의 전화가 1,300건 감소하여 헬프 데스크에서 시작한 비밀번호 재설정이 감소했습니다.
“MiLogin 팀이 공개 디지털 ID에 비밀번호 없는 인증을 도입한 것이 자랑스럽습니다. 비밀번호 없는 인증은 공용 디지털 ID를 더욱 안전하게 보호하고 무차별 암호 대입 및 비밀번호 스프레이 공격과 같은 계정 탈취 시도로부터 시스템을 보호하는 데 도움이 됩니다.”
– Jayson Cavendish, Chief Security Officer, State of Michigan, DTMB
미시간 주에서 비밀번호 없는 환경을 위해 나아갈 길
미시간 주에서는 1,000만 명 이상의 일반 사용자를 대상으로 Passkey 채택이 크게 증가할 것으로 예상하고 있습니다. 또한 주 디렉터리 서비스 솔루션과 통합하여 직원들을 위한 비밀번호 없는 인증을 구현할 계획입니다.
FIDO 인증은 미시간주의 제로 트러스트 신원 전략의 일환으로, 시민과 주 서비스 간의 상호 작용에서 안전한 신원을 확립하기 위한 것입니다. 또한 사용자 경험을 개선하고 주정부를 위한 비용 절감 효과를 창출하며 다양한 주정부 기관 파트너의 디지털 신원 솔루션 채택을 늘릴 수 있습니다.
그렇다면 DTMB는 다른 조직에 어떤 조언을 해줄 수 있을까요? 미시간주는 다양한 사용자 기반과 사용 사례를 이해하고, 사용자 경험에 우선순위를 두고, 사용성 연구, 명확한 최종 사용자 메시지, 잘 설계된 커뮤니케이션 계획을 통합하여 성공적인 FIDO 인증을 구현할 것을 권장합니다.