[정보보안] 2. 2FA ( Two-Factor Authentication )

[정보보안] 2. 2FA ( Two-Factor Authentication )

 시작하기에 앞서, 해당 포스트는 추후 이야기할 OTP 에 앞서 OTP를 알아보다가 찾아 본 바를 바탕으로 작성되었음을 알린다.

2FA는 흔히 우리나라에서는 2단계인증, 이중 인증 이라고 불리우는데,

Two-Factor Authentication은 엄연히 말하자면 "이중 인증"이라고 부르는 것이 맞다.

2FA는 Multi-Factor Authentication의 가장 기초적인 것으로, 2번의 인증을 진행하는 방면에서는 2단계인증이라고 불리울 만 하지만,

단순히 두 가지 인증 방법을 쓰는 것만을 2FA라고 부르지는 않는다.

이는 두 가지의 "인증 요소"를 사용하기 때문에 이중 인증이라고 불리우는데, 이를 자세하 일기 위해서는 우선 인증 요소들을 살펴볼 필요가 있다.

책별로, 사람별로 이야기하는 용어는 다르지만, 인증의 요소는 크게 세 가지로 나뉜다

1. Something You Know

2. Something You Have
3. Something You Are

하나씩 살펴보도록 하자.

첫 번째인 Something You Know는 "당신이 알고 있는 것" 이란 뜻 그대로 우리가 기억하고 알고있는 것을 바탕으로 인증을 진행하는 방법이다. 우리가 흔히 사용하는 비밀번호나 핸드폰의 PIN번호등이 이에 해당한다.

두 번째인 Something You Have는 "당신이 가지고 있는 것" 이란 뜻이다. 이는 우리가 가진 것, 즉 금고의 열쇠부터 금융 거래시 사용하는 신용카드, 혹은 USB 등 과 같은것을 이용하여 인증을 진행하는 방법이다.

마지막으로 Something You Are은 "당신인 것" 으로, 우리 그 자체가 인증의 요소가 되는 것이다. 우리의 홍채, 지문과 같은 생체 인식이 대표적인 방식으로 이 방법은 세 방법중 가장 안전하다고 여겨지고 있으나, 사용하는 데의 비용이 커 도입이 어렵다는 단점이 있다.

위의 세 인증 요소중 두 가지를 사용하여 사용자 인증을 진행하는 것이 바로 "2FA"의 개념인 것이다.

OTP의 경우 2번 인증요소이며, 비밀번호의 경우 1번 인증요소이기에, 사용자 로그인 이후 OTP를 이용하여 금융 거래를 진행한다면, 해당 거래는 "2FA"를 이용하여 인증을 진행한 거래인 것이다.

여기서 이 OTP! 이 OTP에 대해 궁금한 점이 생겨 찾아보다가 이렇게 잠깐 딴길로 새게 되었다.

2FA는 비교적 어려운 개념은 아니지만 이러한 인증방식으로 인해 보안성이 증가함에서 따라오게 되는 "사용자의 불편의"가 하나의 논란거리이다. 많은 기업들이 이를 해결하기 위한 절충안들을 내고 있고, 요즘은 두번 째 인증은 사용자의 선택에 따라 사용하는 것이 주된 방식으로 사용되는 듯 보인다.