사용자 인증 수단은 강할수록 보안성이 높아집니다. 달리 보면 보안성이 높을수록 사용자가 자신의 신원을 증명하기 위해 거쳐야 하는 절차가 복잡합니다. 사용자가 편하면 보안이 약하고, 사용자를 불편하게 할수록 보안이 강화됩니다. 그러다 보니 보안 담당자는 사용자 편의와 보안성 사이에 균형점을 찾게 됩니다. 관련해 보안 관리자와 사용자 모두가 만족하는 사용자 인증 방식인 SMS를 이용한 다중 인증을 구글 클라우드에서 사용하는 방법을 소개합니다.
구글 클라우드는 기업 보안 관계자가 클라우드 앱과 이를 이용하는 사용자를 보호할 수 있도록 Identity Platform을 제공합니다. 이 플랫폼을 이용하면 보안 담당자는 직관적으로 클라우드 앱과 사용자 관련 인증 방식을 설정할 수 있습니다.
관련해 최근 구글은 Identity Platform 설정 옵션 중 SMS를 이용한 다중 인증 지원 기능을 베타로 공개했습니다. 이를 적용하면 이메일과 비밀번호 입력, 소셜 로그인, SAML, OIDC 등 1차 인증 단계를 거친 후 사용자를 최종 확인하기 위해 등록된 장치로 6자리 숫자의 SMS 문자를 보냅니다. 사용자는 이 번호를 입력해 로그인하여 서비스나 앱에 접근합니다. 우리가 일상적으로 쇼핑몰이나, 각종 온라인 서비스를 이용할 때 사용자 인증을 하는 방법과 크게 다르지 않습니다. 그러다 보니 사용자가 거부감이나 불편함을 느끼지 않습니다.
보안 강화에 관심이 있다면 Identity Platform의 SMS 인증 기능을 꼭 활용해 보기 바랍니다. 익숙한 다중 인증 방식이지만 이 방식 하나를 더한 것만으로도 계정 관리 취지나 계정 탈취로 인한 보안 사고의 상당수를 방지할 수 있습니다. 관련 근거는 많습니다. 이중 뉴욕 대학과 캘리포니아 대학이 공동으로 수행한 연구 결과를 보면 구글이 왜 Identity Platform에 SMS 기능을 추가했는지 그 이유가 명확히 보입니다. 연구 보고서에 따르면 SMS를 구글 계정의 두 번째 인증 수단으로 사용하면 자동 봇으로 인한 계정 탈취 시도는 100%, 대량 피싱 공격은 96%, 사전에 목표를 정해 들어오는 공격은 76%까지 차단할 수 있다고 합니다.
Identity Platform의 다중 인증 관련 상세 내용은 관련 문서를 참조 바랍니다. Identity Platform을 아직 사용해 보지 않았다면 마켓플레이스에서 찾아 이용해 보기 바랍니다.
