다중요소 인증 (Multi-Factor Authentication, MA)
1. 다중요소 인증 (Multi-Factor Authentication, MA) · 6개 통제항목
정의
다중요소 인증은 기관 내부 사용자의 정보시스템 등에 접근 시 사용자 인증을 위해 두 개 이상의 인증 요소를 사용하여 보안성을 강화하기 위한 통제항목이다.
보안통제 항목 (6)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-MA-1 | 관리자 계정 다중요소 인증(MFA, Multi-factor Authentication) | 관리자 권한 인증 수행 시 다중요소 인증을 적용한다. * 다음의 인증요소 중 2가지 이상을 조합하여 활용 | C S O |
| N2SF-MA-2 | 사용자 계정 다중요소 인증(MFA, Multi-factor Authentication) | 지정되지 않은 접속 경로 또는 사전 승인되지 않은 단말을 통한 사용자 계정에 대해 다중요소 인증을 적용한다. | C S |
| N2SF-MA-3 | 다중요소 인증 장치 분리 | 다중요소 인증시에는 인증을 요청한 장치와 물리적으로 분리된 별도의 장치(수단 등)를 활용하여 인증을 수행한다. | C S O |
| N2SF-MA-4 | 다중요소 인증(MFA, Multi-factor Authentication) 경로 분리 | 다중요소 인증시에는 인증을 요청한 장치의 통신 경로와 분리된 별도의 통신 경로를 통해 인증을 수행한다. | C S O |
| N2SF-MA-5 | 특정상황에서의 다중요소 인증 | 특정 상황 또는 조건에서는 다중요소 인증을 적용하여 사용자를 인증한다. | C S |
| N2SF-MA-M1 | 다중인증요소 설정 및 관리 | 보안 정책 또는 조건에 따라 다중요소 인증(MFA)의 적용 대상, 방식, 조합 기준을 정의하고 주기적으로 검토 및 관리하며, MFA 설정 변경은 승인 절차를 거쳐 수행된다. | C S O |
구현 방법 예시
MFA 시스템 도입 및 연계
- 조직 내 계정 및 권한 관리 시스템과 연계되는 MFA 솔루션을 도입한다.
- 인증 요소 조합은 사용자 유형(일반, 관리자), 접속 위치(내부/외부), 단말 종류(사내/비인가)에 따라 다르게 설정될 수 있도록 한다.
- MFA 인증 로그는 보안 로그 관리 시스템과 연동하여 이상행위를 감지할 수 있도록 한다.
인증 요소 조합 설정
- 사용자 인증 시 다음 중 2개 이상 요소 조합을 요구한다:
- 지식 기반 요소: 비밀번호, PIN, 보안 질문 등
- 소유 기반 요소: OTP, 인증 앱, USB 토큰, 모바일 기기, 모바일 공무원증, 기관 지급 인증 장치 등
- 생체 기반 요소: 지문, 얼굴 인식, 홍채, 정맥 등
고위험 접근에 대한 MFA 강제 적용
- 외부 네트워크, 원격 접속, 관리자 접근, 민감정보 처리 시스템 접속 시에는 MFA를 무조건 적용 하도록 한다.
- 접속 경로, 위치, 시간대, 장치 특성을 기반으로 위험을 판단하는 리스크 기반 MFA를 적용한다.
- 지정되지 않은 IP, 단말, 네트워크 위치에서의 접속은 사전 등록 또는 승인 없이 불가하도록 구성하고, 예외 발생 시 무조건 MFA 인증을 요구하도록 한다.
장치 및 인증 경로 분리
- 인증 요청을 처리하는 장치(OTP 생성기, 인증앱) 와 본 단말(PC, 모바일) 을 물리적으로 분리하거나, 인증 통신 경로를 논리적으로 분리하여 보안성을 강화한다.
- 인증 요청 시, 일반 인증 경로(ID/Password) 외에 추가 인증 경로(모바일 앱, 인증 링크 등)를 병행 한다.
- FIDO2 기반 하드웨어 키(보안 토큰), 또는 MFA Proxy 서버를 통해 인증 경로를 분리·중계한다.
인증 실패 대응 및 제한
- 지정 횟수 이상 인증 실패 시 계정을 자동 잠금하며, 관리자는 수동 해제를 통해 검증한다.
- 실패 원인을 기록하여 MFA 우회 시도를 탐지한다.
- MFA 인증 실패가 연속되거나, 로그인 실패와 함께 발생하는 경우 자동 계정 잠금, 관리자 경고, CAPTCHA 적용 등으로 방어한다.
인증 요소 보안 강화
- OTP 기반 인증은 TOTP(Time-based One Time Password) 또는 HOTP를 사용하며, 암호화된 저장 및 서버-클라이언트 동기화 기능을 갖춘 MFA 서버에서 관리한다.
- 생체 정보 기반 인증은 FIDO U2F/FIDO2 기반 생체 인증 모듈을 사용하고, 인증 정보는 서버에 저장하지 않고 로컬 장치에서 인증 처리되도록 한다.
MFA 정책의 중앙 관리
- MFA 설정, 적용 대상, 인증수단 등록 및 해지 등의 정책은 중앙 통제 시스템에서 관리하며 변경 이력은 모두 감사에 기록한다.
- MFA 설정 변경 이력(예: 인증 요소 추가/제거, 적용 대상 변경 등)을 모두 감사 로그에 남기고, 주기적으로 검토할 수 있도록 한다.
- 관리자 계정은 사전 승인된 MFA 등록 장치만 허용되며, 등록/삭제는 이중 승인 절차(승인자검토자)를 거쳐야 한다.
예외 처리 절차 마련
- 장비 고장, 생체 인식 오류, 휴대기기 미소지 등의 상황에서 비상 인증 절차(1회용 임시코드 발급 등)를 마련한다.
- 모든 예외는 사유 기록 및 일시적 권한 제한 상태에서만 처리되도록 한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 인증 요소 구성 | 지식(PIN), 소유(OTP, Token), 생체(지문, 얼굴) |
| 인증 분리 | 인증 경로 분리, 인증 장치 물리 분리, MFA Proxy |
| MFA 정책 관리 | 중앙 정책 서버, MFA 정책 변경 이력 관리 |
| 위험 기반 대응 | Risk-Based Authentication, UEBA 연계 |
| 인증 장치 | OTP Generator, 보안 USB 키(FIDO2), 생체 인증 장치 |
| 보안 강화 | TOTP/HOTP 기반 OTP, FIDO2, 암호화 저장 |
| 통합 관리 | IAM, SSO+MFA 통합 솔루션, 감사 로깅 시스템 |