다중 인증(MFA)의 주요 규정 및 표준

 

다중 인증(Multi-Factor Authentication, MFA)은 다계층 인증 체계(Multi-layer authentication system)의 한 요소로 단순히 보안 강화를 넘어, 다양한 규제 및 표준을 준수하기 위한 필수적인 요소로 자리 잡았다. 

주요 규정 및 표준은 다음과 같다.

1. 일반적인 규정 및 표준

1) 제로 트러스트(Zero Trust) 아키텍처

제로 트러스트는 "절대 믿지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙을 따르며, 모든 접근 시도에 대해 강력한 인증을 요구한다. 

MFA는 제로 트러스트의 핵심 구성 요소다.

2) NIST(National Institute of Standards and Technology) 사이버보안 프레임워크

NIST는 사이버 보안 모범 사례를 제시하며, MFA를 중요한 보안 통제 수단으로 권장한다.

3) ISO/IEC 27001 (정보보안경영시스템)

이 국제 표준은 정보 보안 관리에 대한 요구 사항을 명시하며, MFA는 정보 자산에 대한 접근 통제를 강화하는 데 기여한다.

4) GDPR (General Data Protection Regulation) 

유럽 연합의 개인 정보 보호 규정으로, 민감한 개인 정보를 보호하기 위해 강력한 보안 조치를 요구하며, MFA는 데이터 유출 위험을 줄이는 데 도움이 된다.

5) CCPA (California Consumer Privacy Act)

캘리포니아주의 개인 정보 보호 법률로, GDPR과 유사하게 개인 정보 보호를 위한 강력한 보안 조치를 강조한다.

2. 특정 산업별 규정

1) PCI DSS (Payment Card Industry Data Security Standard)

신용 카드 정보를 처리하는 모든 기업에 적용되는 보안 표준이다. 

PCI DSS는 민감한 정보에 접근하는 모든 계정에 대해 MFA 구현을 의무화한다.

2) HIPAA (Health Insurance Portability and Accountability Act)

미국의 건강 정보 보호 법률로, 보호된 건강 정보(PHI)를 무단 접근으로부터 보호하기 위한 강력한 접근 통제(MFA 포함)를 요구한다.

3) GLBA (Gramm-Leach-Bliley Act)

금융 기관에 적용되는 법률로, 사용자 정보 보호를 위한 보안 조치로 MFA를 권장한다.

4) FFIEC (Federal Financial Institutions Examination Council)

금융 기관의 정보 보안 위험 관리에 대한 가이드라인을 제공하며, MFA는 중요한 구성 요소다.

5) SOC 2 (Service Organization Control 2)

서비스 조직이 고객 데이터를 관리하는 방식을 규정하는 준수 표준이다. 

SOC 2 요구 사항을 충족하려면 민감한 데이터를 무단 접근으로부터 보호하고 강력한 암호화 조치를 취해야 하며, MFA는 이러한 요구 사항을 충족하는 데 도움이 된다.

6) SOX (Sarbanes-Oxley Act)

기업의 재무 기록 및 보고를 규율하는 표준이다. 

SOX는 암호 및 기타 접근 자격 증명이 충분히 보호되어야 한다고 명시하며, MFA는 SOX 접근 보호 요구 사항을 준수하는 데 도움이 된다.

3. 국내 규정 및 표준

1) 국가용 보안요구사항 우선 적용 원칙

 

정보보호시스템 및 네트워크 장비에 대한 '국가용 보안요구사항 우선 적용' 원칙에 따라 '적용하지 않는다'고 명시한 경우를 제외하고 제품 단위로는 국가용 보안요구사항에 정의된 동일 기능을 우선 식별하여 적용해야 합니다.

1.1.2 제품은 사용자 식별 및 인증을 위해 1.1.1과 병행하여 추가적인 식별 및 인증 기능을 자체 또는 외부 IT실체와 연동하여 제공해야 한다.

① 추가적인 식별 및 인증 기능 제공을 위해 △FIDO 표준을 준수한 2FA 지원 기기 △인증서 △일회용 비밀번호 생성기(OTP) 등을 활용할 수 있다.

인증실패 대응은 1.2.1 제품에서 사용자 인증이 설정된 횟수만큼 연속적으로 실패하면, 식별 및 인증 기능이 비활성화 되어야 한다.

 

2) 제로 트러스트(Zero Trust) 가이드

제로 트러스트는 "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 핵심 철학을 바탕으로 하는 보안 모델이다. 

국내 과학기술정보통신부의 제로트러스트 가이드라인을 포함한 주요 제로 트러스트 아키텍처는 이 철학을 실현하기 위한 세 가지 핵심 원칙을 제시하고 있다.

제로 트러스트의 3가지 핵심 원칙 중 첫 번째로 인증 체계 강화(Enhanced Identity Governance / Stronger Authentication)는 모든 사용자, 디바이스, 애플리케이션 및 워크로드에 대해 접근을 허용하기 전에 강력한 신원 확인 및 인증 절차를 거쳐야 핝다.

이는 다중 인증(MFA)을 기본으로 하며, 사용자 행태 분석, 디바이스 상태 평가 등 다양한 컨텍스트 정보를 기반으로 지속적으로 신뢰도를 평가하고 인증을 요구한다.

3) 전자금융거래법 및 관련 감독 규정

금융기관 및 전자금융업자에게 보안성 강화를 위한 다양한 기술적, 관리적 조치를 요구하며, 이는 다단계 인증 도입의 필요성을 간접적으로 명시하고 있다. (예: 계정 관리, 비상대책 수립 등)

 

2013년 12월에 공지된 금융감독원의 전자금융감독규정을 보면, 제14조 9항 신설

"9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것."

 

2020년 11월에 공지된 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안(<별표 7> 망분리 대체 정보보호 통제)

원격접속에 대한 인증은 이중 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단
인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합

4) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)

정보통신서비스 제공자에게 이용자의 개인정보 보호를 위한 기술적, 관리적 보호조치를 요구하며, MFA는 개인정보 유출 방지를 위한 중요한 수단으로 활용되고 있다.

5) 개인정보보호법

개인정보처리자에게 개인정보의 안전성 확보 조치를 요구하며, 접근 통제 및 인증 강화 측면에서 MFA가 중요하게 고려되고 있다.

결론적으로, 다계층 인증은 오늘날의 정교한 사이버 위협으로부터 중요한 데이터와 시스템을 보호하는 데 필수적이며, 동시에 다양한 국내외 규제 및 산업 표준을 준수하는 데 중요한 역할을 한다.