다중인증 (MFA)

다중인증 (MFA)

서로 다른 카테고리의 2개 이상 인증 요소를 조합하여 단일 요소의 취약점을 보완하고 인증 보안을 강화하는 방식

특징: 2가지 이상 요소, 보안 강화, 하나 유출되어도 보호

구성요소: 지식+소유, 지식+생체, 소유+생체

기술요소: SMS OTP(취약), TOTP(앱/중간), 푸시 알림, 하드웨어 토큰, FIDO2/Passkey(매우 높음)

TOTP: HMAC-SHA1(Secret, Time/30초), RFC 6238, Google/Microsoft Authenticator

SMS OTP취약점: SIM 스와핑, SS7 취약점, 피싱, NIST 사용 자제 권고

피싱저항 MFA: FIDO2/WebAuthn, PKI 인증서, 출처 바인딩, 암호학적 인증

우회공격: MFA 피로 공격(번호 매칭/횟수 제한), 피싱(FIDO2 사용), 세션 하이재킹(지속적 검증)

인증 요소 조합별 보안 수준 비교표

적용사례: 기업 로그인, 클라우드 서비스, 금융 거래, VPN 접속

비교: SMS OTP(취약/편리) vs TOTP(중간) vs FIDO2(매우 높음/피싱 저항), 2FA(2가지) vs MFA(2가지 이상)

연관: 인증, FIDO2, Zero Trust, 패스워드리스