인증보호 (Authentication Protection, AU)
4. 인증보호 (Authentication Protection, AU) · 10개 통제항목
정의
인증보호는 계정 인증 보안 강화 및 불법적인 계정 로그인 시도 방지, 생체인증 공격 방지, 대체 보안 수단 강구 등 인증 과정에서의 보안성 강화 및 다양한 위협에 대응하기 위한 통제항목이다.
보안통제 항목 (10)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-AU-1 | 계정 인증 재전송 공격 방지 | 불법적인 계정 인증을 시도하는 재전송 공격 방지 대책을 적용한다. | C S O |
| N2SF-AU-2 | 통합인증(SSO, Single Sign-on) 보호 | 통합인증 기능 적용 시 불법적인 계정 로그인 시도에 대한 기술적 대책을 적용한다. | C S |
| N2SF-AU-3 | 권한 위임 토큰(OAuth) 보호 | 권한 위임 토큰(OAuth) 인증 토큰이 탈취되거나 위조되지 않도록 제한 조건과 보호 조치를 설정한다. | C S |
| N2SF-AU-4 | 생체인증 공격 방지 | 생체 데이터를 암호화하여 저장 및 전송하며, 변조 여부를 탐지할 수 있는 메커니즘을 사용한다. | C S O |
| N2SF-AU-5 | 인증시스템 구성 및 관리 | 인증시스템의 구성 요소를 안전하게 설정하고 변경 시 보안에 영향이 없도록 관리한다. | C S |
| N2SF-AU-5(1) | 비밀번호 보안 수준 점검 | 자동화된 도구를 이용하여 비밀번호 정책에 적합하게 설정・유지되고 있는지 점검한다. | C |
| N2SF-AU-5(2) | 대체 보안 수단 강구 | 보안 기능을 구현 또는 제공하는 주요 수단을 사용할 수 없거나 손상되었을 상황을 대비한 대체 보안 수단을 강구한다. | C |
| N2SF-AU-6 | 공개키 기반 구조(PKI) 인증서 관리 | 신뢰할 수 있는 공개키 인프라(PKI)를 통해 발급된 인증서 사용을 인증서 유효기간 동안 관리하고 보호한다. | C S O |
| N2SF-AU-M1 | 인증정보 접근 권한 통제 및 관리 | 인증정보는 최소한의 인원만 접근할 수 있도록 제한하고 기록을 남긴다. | C S O |
| N2SF-AU-M2 | 인증 위협 및 취약점 관리 | 인증 관련 취약점을 점검하고 위협 대응 방안을 마련해 운영한다. | C S O |
구현 방법 예시
재전송 공격 방지 대책 적용
- 재전송 공격(Replay Attack) 방지를 위해 인증 요청 시 Nonce, Timestamp, Challenge-Response 방식 등을 적용한다.
- 인증 세션마다 세션 토큰에 만료 시간과 고유 식별 값을 포함하고, 중복된 인증 요청은 차단한다.
- 로그인 시도 횟수 제한, 계정 잠금, CAPTCHA 기반 방어도 함께 구성한다.
통합 인증 및 OAuth 보호
- SSO(Single Sign-On) 사용 시 SAML, OAuth 2.0, OpenID Connect 기반 프로토콜을 적용하고, 인가 토큰은 짧은 주기로 발급한다.
- OAuth 보호를 위해 토큰에 대한 scope 제한, 사용 단말/위치/IP 기반 제어 정책을 설정하고, 토큰 탈취 방지용 refresh token rotation 기능을 도입한다.
생체인증 및 인증수단 보호
- 생체인증(Fingerprint, FaceID 등) 정보를 저장하지 않고, FIDO2/WebAuthn 기반 장치 로컬 저장 구조를 활용해 중앙 집중 노출을 차단한다.
- 생체인증 데이터는 해시 및 암호화 후 저장/전송하며, 인증 실패 시 fallback(비밀번호, OTP)으로 전환한다.
계정 정보 보호 대책
- MFA 또는 FIDO 인증을 병행하여, 계정 인증 과정에서 탈취 또는 중간자 공격을 방지한다.
- 세션이 비정상 종료되었을 때 즉시 세션을 무효화하고, 토큰 또는 쿠키 정보를 폐기한다.
대체 보안 메커니즘 구현
- 기본 인증수단이 사용 불가 시 자동 전환되는 OTP, 인증 앱 등 대체 인증수단을 미리 등록하고 사용자에게 사전 안내한다.
- 시스템의 핵심 보안 기능이 손상될 가능성에 대비하여 보안 메커니즘을 정의하고 이를 구현한다.
- 대체 보안 메커니즘을 정기적으로 점검하고 최신 보안 위협에 대응할 수 있도록 업데이트한다.
인증서 기반 인증(PKI) 보호 및 자동화
- 인증서(Cert, Key)는 HSM 또는 클라우드 기반 키 관리 시스템(KMS)에 저장하여 키 탈취를 방지 한다.
- 인증서 수명은 자동 갱신 정책을 적용하고, 만료 전 알림 및 갱신 요청이 자동 처리되도록 구성한다.
- 인증서는 사용자 또는 단말과 연계되며, 접근 시 클라이언트 인증서(Certificate-based Auth) 방식이 사용된다.
인증시스템 구성 강화
- 인증 서버는 이중화 구성으로 장애 대응력을 갖추고, 구성 변경 시 보안 영향도 평가를 병행한다.
인증 위협 탐지 및 대응
- 인증 관련 접근 권한은 RBAC 또는 ABAC 기반으로 최소화하며, 접근 로그는 SIEM에 저장하여 이상 행위 분석에 활용한다.
- 인증시스템의 취약점을 정기적으로 점검하기 위해 취약점 스캐너 또는 API 보안 테스트 도구를 활용한다.
- 인증시스템 설정 변경, 실패 이력, 의심 행위 발생 시 알림 및 차단 정책을 구성한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 재전송 공격 방지 | Nonce, Timestamp, Challenge-Response |
| 통합 인증 | SAML, OAuth 2.0, OpenID Connect |
| OAuth 보호 | 토큰 Scope 제한, Refresh Token Rotation |
| 생체인증 보호 | FIDO2, WebAuthn |
| 비밀번호 보호 | Password Policy, Salt + Hash 저장 |
| 대체 인증수단 | OTP, ARS, 이메일 인증, FIDO Key |
| 인증서 관리 | HSM, KMS, 인증서 수명 자동 갱신 |
| 권한 및 취약점 관리 | IAM, SIEM, 취약점 스캐너, WAF |