이 글은 정보보호 업무를 진행하면서 내/외부 고객으로부터 질의 받은 내용에 대해 정리한 내용입니다. |
질문) 2-factor 인증은 반드시 해야하는 강제사항인가?
일반적으로 2-factor 인증이라고 불리는 내용이긴 하지만 사실상 multi-factor 인증의 일부라고 보는게 맞을 것 같습니다.
그렇다면 2-factor 인증은 무엇인가?
우리가 일반적으로 사용하는 포털 등등은 아이디와 패스워드로 로그인을 하고 있습니다. 로그인 절차는 식별 및 인증의 두 단계가 동시에 이루어지는 과정인데요 인증 단계에서 사용되는 아이디와 패스워드가 인증의 한 종류인 'something you know'에 해당하는 부분입니다.
2-factor 인증은 이러한 인증요소가 두가지 이상 결합된 인증을 말하는데요 먼저 인증요소에는 어떠한 것이 있는지 알아보겠습니다.
1. Something you know : 인증구분에서 TYPE I으로 불리며 지식기반 인증방식이라고 합니다. 대표적으로 위에서 말한 아이디와 패스워드를 이용한 인증방식이 있습니다.
2. Something you have : 인증구분에서 TYPE II로 불리며 소유기반 인증방식이라고 합니다. 대표적으로 IPIN이나 스마트카드 등이 있습니다.
3. Something you are : 인증구분에서 TYPE III로 불리며 존재기반 인증방식이라고 합니다. 일반적으로 생체인증이 이에 속합니다. 출퇴근시 지문인식으로 사무실 출입하는 경우도 상당히 많으실텐데요 이러한 내용이 Something you are에 속합니다.
4. Something you do : 인증구분에서 TYPE VI로 불리며 행동기반 인증방식이라고 합니다. 쉽게 볼수는 없는 내용이지만 그나마 쉽게 볼 수 있는것은 서명이라고 할 수 있겠네요. 하지만 서명만으로 인증을 하는 경우는 쉽지 않죠.. 인증보다는 식별을 위해 사용하는 방법이긴 합니다만 행동기반으로 범죄수사에서 걸음걸이를 사용한다는 소리도 들은 적이 있습니다.(이건 확실하지 않은 내용이라서..;;)
이 때, multi-factor 인증에 속하려면 두가지 이상의 요소가 사용되어야 합니다. 예를들어 아이디, 패스워드를 확인한 후 특정 질문에 대한 답을 받는다면 두번의 인증을 거치지만 TYPE I만을 두번 거친 인증방식이기 때문에 Two-factor 인증이라고 볼 수는 없습니다.
그럼 질문의 핵심인 2 factor 인증은 반드시 해야하는 사항인가?
답부터 말씀드리자면 'ISMS인증대상이면서 대량의 개인정보를 처리할 수 있는 시스템의 경우 의무사항에 가깝다'입니다.
ISMS 인증기준 10.3.1 사용자인증 항목에서 '중요 정보시스템 접근 시 강화된 인증을 적용'하도록 하고 있으며 KISA 에서 발간된 ISMS 인증제도 안내서(정보보호관리체계(ISMS) 인증제도 안내서 일부개정 139페이지 - ISMS 안내사이트 ISMS 자료실 41번 게시물)에서 '공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP, 공인인증서 등) 적용을 고려하여야 한다.'라고 명시되어 있습니다.
문구만 보자면 권고사항으로 볼 수 있지만 ISMS 인증 심사를 받다보니 의무사항에 가깝다고 여겨집니다만 제가 겪은 경험에 의한 것이기 때문에 무조건 의무사항이라고는 못하겠습니다.
다만, 주요 정보시스템이라면 아무래도 인증방식을 강화하는 것이 필요하지 않을까 싶습니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙_151223.pdf
