브렛 맥도웰(Brett McDowell), FIDO 얼라이언스 전무이사
많은 민간 및 공공 부문 조직은 NIST의 중요 인프라 사이버 보안 개선을 위한 프레임워크를 찾습니다 는 2014년 2월에 견고한 사이버 보안 전략을 구축하기 위한 가이드로 처음 출판되었습니다. 그러나 최신 사이버 보안 전략의 한 가지 중요한 부분은 원래 프레임워크에서 누락되었습니다 – 다단계 인증(MFA, 강력한 인증이라고도 함)에 대한 권장 사항입니다. 이 제외, NIST에 따르면 2013-2014년 인증과 관련된 문제, 보안 및 상호 운용성을 촉진하기 위한 표준 부족, 사용 가능한 솔루션에 내재된 사용성 문제 등이 원인이었습니다.
오늘로 빠르게 넘어가서 NIST는 프레임워크에 대한 초안 업데이트를 내놓았습니다. FIDO Alliance는 제안된 업데이트를 검토하고 의견을 제시할 수 있는 기회를 환영했습니다. 에 제출한 전체 의견을 볼 수 있습니다. FIDO 얼라이언스 웹사이트 .
FIDO Alliance는 NIST가 프레임워크에 대한 다음 업데이트에서 언어를 명확히 하고 MFA를 명시적으로 요구할 것을 권장합니다. 우리는 NIST가 프레임워크 코어에 새로운 “인증” 하위 범주를 추가할 것을 촉구하고 있으며, “권한 있는 사용자의 인증은 여러 요소에 의해 보호된다”는 권고를 하고 있습니다. 정부와 업계가 취약한 인증으로 인해 증가하는 위험에 대처하기 위해서는 이 언어로 MFA를 명시적으로 언급하는 것이 필요하며, 프레임워크의 적절한 업데이트에 포함되어야 합니다.
FIDO Alliance가 강력히 지원하는 프레임워크에 대해 제안된 업데이트에는 몇 가지 긍정적인 ID 중심 변경 사항이 있지만 MFA를 명시적으로 권장해야 합니다. 프레임워크가 처음 발표된 이후 두 가지 일(하나는 긍정적이고 다른 하나는 그다지 긍정적이지 않음)이 발생했으며, 이로 인해 강력한 인증은 오늘날 사이버 보안을 개선하기 위한 모든 프레임워크의 필수 요구 사항이 되었습니다.
첫째, 좋은 소식입니다. 2014년에 프레임워크에서 MFA를 제외하게 된 강력한 인증 구현과 관련된 문제는 NIST 및 기타 표준 기구 및 전 세계 정책 입안자와의 공공-민간, 다중 이해 관계자 협업을 통해 업계에서 해결되었습니다. 특히, FIDO Alliance는 보다 간단하고 강력한 인증을 위한 포괄적인 개방형 산업 표준 프레임워크를 제공하여 환경을 근본적으로 변화시키고 Framework의 저자가 원래 관찰한 격차를 해소했습니다. 신뢰할 수 있는 업체에서 광범위하게 채택한 이러한 개방형 산업 표준 브랜드 및 기술 제공업체 는 더 강력한 보안 및 개인 정보 보호를 위해 입증된 공개 키 암호화를 활용하여 온라인 인증을 개선하고, 더 나은 사용성을 위해 장치 내 사용자 확인을 유지합니다.
FIDO 에코시스템은 현재 전 세계적으로 수억 개의 FIDO 호환 장치와 수십억 개의 규정 준수 계정을 포함합니다. 그러나 2014년 이후 강력한 인증의 발전은 이뿐만이 아니라 업계 주도의 대규모 다중 이해 관계자 이니셔티브가 시장 과제에 대응하고 NIST가 프레임워크를 업데이트할 때 인식해야 하는 근본적인 방식으로 환경을 변화시킨 방법을 보여주는 중요한 예입니다.
이제 나쁜 소식이 있습니다. 단일 요소 암호 인증으로 인한 문제는 업계가 사용자 개인 정보를 보장하고 단일 제스처 사용성 혁신을 가능하게 하는 강력한 인증 표준의 필요성을 해결하는 데 상당한 진전을 이루었음에도 불구하고 더욱 악화되었습니다. 바로 지난주, Verizon의 데이터 침해 조사 보고서는 다음과 같습니다. 지난해 해킹 관련 침해의 81%는 도난 또는 추측 가능/해독 가능한 비밀번호로 인해 발생했습니다 전년도의 63%에서 증가한 수치입니다. 이 이로 인해 사이버 보안 사고 리더들 사이에서 “암호는 오늘날 사이버 보안에서 가장 약한 고리”라는 공감대가 형성 되었습니다.
다단계 인증이 중요한 인프라 사이버 보안을 개선하기 위한 중요한 요구 사항이며 NIST가 프레임워크에 대한 다음 업데이트에 이를 요구 사항으로 포함해야 한다는 데는 의심의 여지가 없습니다.