위험 기반 동적 인증: 심층 분석

오늘날 디지털 환경에서 비밀번호 및 일회용 코드와 같은 정적인 인증 방식은 정교한 사기에 점점 더 무력해지고 있습니다. 동적 위험 기반 인증(RBA)은 위험을 지속적으로 평가하고 실시간으로 보안 조치를 조정하여 강력한 솔루션을 제공합니다. 이 접근 방식은 강력한 보안과 원활한 사용자 경험 사이의 균형을 유지하여 마찰을 최소화하면서 사기 활동으로부터 최대한 보호합니다.

핵심 내용 1 RBA는 상황별 위험 요소를 기반으로 인증 요구 사항을 동적으로 조정하여 정적 방법보다 오탐을 크게 줄입니다.

핵심 내용 2 효과적인 RBA를 구현하려면 디바이스 인텔리전스, 행동 생체 인식, 지리 위치 정보 등 다양한 데이터 포인트를 결합하여 포괄적인 위험 프로필을 생성해야 합니다.

핵심 내용 3 활성 감지는 RBA에서 중요한 역할을 하며, 사용자가 인증 시점에 실제 사람인지, 스푸핑된 이미지 또는 딥페이크인지 확인합니다.

핵심 내용 4 성공적인 RBA 구현을 위해서는 진화하는 사기 패턴에 적응하기 위해 위험 임계값을 지속적으로 모니터링하고 조정해야 합니다.

동적 위험 기반 인증이란 무엇인가요?

동적 위험 기반 인증은 종종 적응형 인증이라고도 하며, 기존 인증 방식의 '획일적인' 접근 방식에서 벗어납니다. 대신, 다양한 요소를 분석하여 각 로그인 시도와 관련된 위험을 평가합니다. 이러한 요소는 다음과 같습니다.

• 지리 위치 정보: 사용자가 평소와 다른 위치에서 로그인하고 있나요?
• 디바이스 정보: 사용자가 시스템에 접근하는 디바이스가 인식된 디바이스인가요?
• 시간: 로그인이 일반적인 사용자 활동 시간에 발생하고 있나요?
• 행동 생체 인식: 사용자가 시스템과 상호 작용하는 방식은 어떠한가요 (타이핑 속도, 마우스 움직임)?
• 네트워크 정보: 로그인이 알려진 악성 IP 주소에서 시작되었나요?
• 거래 금액 (금융 거래의 경우): 요청된 거래 금액이 평소보다 큰가요?

집계된 위험 점수를 기반으로 시스템은 인증 프로세스를 조정할 수 있습니다. 위험이 낮은 로그인은 비밀번호만 요구할 수 있는 반면, 위험이 높은 로그인은 다단계 인증(MFA), 활성 감지 또는 추가 정보를 요청할 수 있습니다.

작동 방식: 내부 구조

동적 위험 기반 인증의 핵심은 위험 엔진입니다. 이 엔진은 다음과 같은 기술 조합을 사용합니다.

• 규칙 기반 시스템: 특정 조건 (예: 새로운 국가에서의 로그인 = 높은 위험)에 따라 위험 점수를 할당하는 사전 정의된 규칙입니다.
• 머신 러닝 (ML): 과거 데이터를 기반으로 학습하여 사기 활동과 관련된 패턴을 식별하는 알고리즘입니다. ML 모델은 규칙 기반 시스템으로는 감지하기 어려운 미묘한 이상 징후를 감지할 수 있습니다. 예를 들어, ML 모델은 사용자의 일반적인 타이핑 속도를 학습하고 벗어나는 경우 잠재적인 사기로 표시할 수 있습니다.
• 행동 생체 인식: 키스트로크 다이내믹스, 마우스 움직임, 스크롤 패턴과 같은 사용자 행동을 지속적으로 모니터링하여 기준 프로필을 설정합니다. 이 프로필에서 벗어나는 것은 계정 손상으로 이어질 수 있습니다.
• 디바이스 지문 인식: 하드웨어 및 소프트웨어 구성에 기반하여 각 디바이스에 대한 고유 식별자를 만듭니다. 이는 사용자가 익숙하지 않은 디바이스에서 로그인하려는 시도를 감지하는 데 도움이 됩니다.

위험 엔진은 이러한 데이터 포인트를 결합하여 전체 위험 점수를 계산합니다. 이 점수는 필요한 인증 수준을 결정합니다. 일반적인 구현은 계층화된 접근 방식을 사용합니다.

• 낮은 위험 (점수 0-30): 비밀번호만.
• 중간 위험 (점수 31-70): 비밀번호 + SMS OTP.
• 높은 위험 (점수 71-100): 비밀번호 + SMS OTP + 활성 감지.

RBA에서 활성 감지의 역할

활성 감지는 현대 적응형 인증의 중요한 구성 요소입니다. 딥페이크 및 프레젠테이션 공격 (스푸핑된 이미지 또는 비디오)의 증가로 인해 단순히 사용자의 신원을 확인하는 것만으로는 충분하지 않습니다. 사용자가 인증 시점에 실제 생존한 사람인지 확인해야 합니다.

활성 감지에는 여러 유형이 있습니다.

• 수동적 활성 감지: AI를 사용하여 미묘한 얼굴 움직임과 피부 질감을 분석하여 사용자가 실제 사람인지 확인합니다. 이것은 가장 침습적이지 않은 방법이지만 정확도가 떨어질 수 있습니다.
• 능동적 활성 감지: 사용자가 살아 있음을 증명하기 위해 특정 동작 (예: 깜박임, 미소, 머리 돌리기)을 수행하도록 요구합니다. 이 방법은 더 정확하지만 사용자 경험을 더 방해할 수 있습니다.
• 3D 활성 감지: 깊이 센서와 같은 특수 하드웨어를 사용하여 사용자의 얼굴의 3D 맵을 만들고 스푸핑을 매우 어렵게 만듭니다.

활성 감지를 RBA 시스템에 통합하면 보안이 크게 강화되고 사기성 접근 위험이 줄어듭니다.

동적 위험 기반 인증 구현의 이점

동적 위험 기반 인증을 구현하면 다음과 같은 주요 이점이 있습니다.

• 보안 강화: 특정 위협 수준에 맞춰 보안 조치를 조정하여 사기성 접근 위험을 줄입니다.
• 향상된 사용자 경험: 필요한 경우에만 추가 인증을 요구하여 합법적인 사용자를 위한 마찰을 최소화합니다.
• 오탐 감소: 더 정확한 위험 평가를 통해 사기로 잘못 표시되는 합법적인 사용자가 줄어듭니다.
• 사기 방지: 사기 활동을 사전에 식별하고 차단합니다.
• 규정 준수: 조직이 강력한 인증에 대한 규제 요구 사항을 충족하는 데 도움이 됩니다.

Didit의 도움

Didit은 다음과 같은 포괄적인 동적 위험 기반 인증 플랫폼을 제공합니다.

• 모듈식 아키텍처: ID 검증, 활성 감지, 디바이스 지문 인식 및 AML 스크리닝을 결합하여 사용자 지정 위험 프로필을 구축합니다.
• 워크플로우 오케스트레이션: 조건부 논리 및 자동화된 의사 결정을 통해 인증 흐름을 시각적으로 설계합니다.
• 머신 러닝 기반 위험 엔진: 사전 훈련된 ML 모델의 혜택을 받거나 사용자 지정 모델을 구축합니다.
• 실시간 분석: 위험 점수 및 인증 패턴을 모니터링하여 보안 자세를 최적화합니다.
• 원활한 통합: Web SDK, Mobile SDK 또는 RESTful API를 통해 통합합니다.

시작할 준비가 되셨나요?

동적 위험 기반 인증으로 비즈니스와 사용자를 보호하세요.

• 가격 보기
• 데모 요청
• 문서 살펴보기