피싱 저항 MFA란 무엇인가? 최신 보안

피싱 저항 MFA란 무엇인가?

사용자가 새벽 2시에 15번째 MFA 푸시 알림을 승인했습니다. 알림이 멈추지 않았기 때문입니다. 이제 공격자는 네트워크에 인증된 접근 권한을 갖게 되었습니다. 이 시나리오는 정기적으로 발생합니다. 2025 Verizon Data Breach Investigations Report에서 분석된 보안 사고의 14%에서 MFA 피로 공격이 나타나며, 이는 MFA 우회 방법 중 가장 지배적인 방식입니다. 사회공학은 기존 다중 인증의 주요 취약점이 되었습니다.

피싱 저항 MFA는 자격 증명 탈취를 구조적으로 불가능하게 만드는 암호화 아키텍처를 통해 이 취약점을 제거합니다. 미국 국립표준기술연구소(NIST)에 따르면, 피싱 저항 인증은 "비밀번호 또는 생체정보 + 비대칭 키 암호화 프로세스(PIV, CAC, FIDO2)"를 요구합니다. 사이버보안 및 인프라 보안국(CISA)은 이 방식을 "MFA의 골드 스탠다드"로 지정하며, FIDO/WebAuthn 인증과 PKI 기반 인증 두 가지 구현만을 승인된 방식으로 식별합니다.

기존 MFA 방식은 공격자가 가로채고 재사용할 수 있는 자격 증명을 전송합니다. SMS 코드, 푸시 알림, 일회용 비밀번호는 합법적인 인증 엔드포인트에 암호학적으로 결합되어 있지 않습니다. 공격자는 유효 기간 내에 피해자와 가짜 로그인 페이지 사이에서 이를 중계할 수 있습니다. 피싱 저항 MFA는 비대칭 암호화를 사용하여 개인 키가 인증 장치를 절대 벗어나지 않으며, 인증 챌린지가 특정 도메인에 암호학적으로 결합됩니다. 피싱 사이트에서 인증을 시도하면 도메인이 일치하지 않아 인증 장치가 유효한 서명을 생성할 수 없습니다. 사용자 상호작용이 보안을 위협하기 전에 인증이 실패합니다.

정의를 이해하는 것과 그 중요성을 아는 것은 다릅니다. 오늘날 조직을 겨냥한 자격 증명 기반 공격의 규모를 살펴보면 그 이유를 알 수 있습니다.

피싱 저항 MFA와 사이버보안의 관계

FBI 인터넷 범죄 신고 센터는 2024년에 193,407건의 피싱 신고를 접수했으며, 이는 연방 정부의 주요 신고 메커니즘에 제출된 상당한 사이버 범죄 활동을 나타냅니다. Verizon의 분석에 따르면, 자격 증명 오용은 지난 18개월 동안 90%의 웹 애플리케이션 침해에서 확인되었습니다.

실제 사고는 기존 MFA가 집요한 공격자에게 왜 실패하는지 보여줍니다. 2022년 9월, Uber는 공격자가 한 직원에게 MFA 푸시 알림을 반복적으로 보내 직원이 하나를 승인할 때까지 시도하여 침해를 당했습니다. 공격자는 Slack, Google Workspace, 취약점 보고서를 포함한 내부 시스템에 접근했습니다. 2022년 5월, Cisco는 공격자가 음성 피싱을 사용해 VPN 자격 증명을 탈취한 후 직원이 MFA 푸시 알림을 승인하도록 설득하여 침해를 공개했습니다. 그 결과, 내부 시스템에 무단 접근과 데이터 유출이 발생했습니다.

CISA의 위협 인텔리전스에 따르면 Scattered Spider 그룹을 포함한 공격자들은 자격 증명 가로채기 및 중계 기법을 사용해 네트워크 접근 권한을 얻습니다. 기존 MFA는 이러한 방법에 대해 제한적인 보호만 제공합니다. 피싱 저항 MFA는 각 인증 요청마다 인증 장치의 개인 키 없이는 위조할 수 없는 새로운 암호학적 챌린지를 요구하므로 오프라인 자격 증명 탈취와 실시간 피싱 모두를 차단합니다.

인증 패턴을 모니터링하는 보안 운영팀은 인증 이후의 행동에 대한 가시성도 필요합니다.  Singularity Platform과 같은 플랫폼은 인증 이벤트와 엔드포인트 활동을 연계하여 공격자가 합법적 사용자 인증 후 횡적 이동이나 권한 상승으로 전환하는 시점을 파악합니다. 모니터링을 도입하기 전에, 피싱 저항 인증이 작동하는 기본 요소를 이해해야 합니다.

피싱 저항 MFA의 핵심 구성 요소

피싱 저항 MFA는 기존 인증과 근본적으로 다른 자격 증명 모델에 의존합니다. 양측이 모두 아는 공유 비밀 대신, 인증 장치만이 개인 키를 보유하는 비대칭 키 쌍을 사용합니다.

FIDO2를 지원하는 서비스에 등록할 때, 클라이언트 장치는 해당 애플리케이션에만 작동하는 키 쌍을 생성합니다. 개인 키는 장치를 절대 벗어나지 않습니다. 서비스는 공개 키만 등록하며, 비밀 자격 증명 정보는 보유하지 않습니다. 각 서비스는 고유한 키 쌍을 받아 사이트 간 자격 증명 상관관계를 방지합니다. 생체 정보와 개인 키는 보안 하드웨어에 저장되어 장치 침해로부터 보호됩니다.

피싱 저항 인증은 세 가지 주요 인증 장치 유형에 의존합니다:

• 하드웨어 보안 키는 변조 방지 하드웨어에 저장된 장치 결합, 내보낼 수 없는 키를 제공합니다. USB, NFC, Bluetooth를 통해 연결합니다. 이는 특권 접근 관리, 공유 워크스테이션 환경, 하드웨어 인증이 필요한 고보안 시나리오에 가장 적합합니다.
• 플랫폼 인증 장치는 Windows Hello, Apple Touch ID, Face ID와 같이 장치에 직접 내장되어 있습니다. Microsoft의 FIDO2 문서에 따르면, 이 인증 장치는 하드웨어 보안 모듈을 사용합니다: Windows의 TPM, Apple 기기의 Secure Enclave, Android의 하드웨어 기반 키 저장소 등입니다. 생체 인증 및 암호화 키는 이러한 하드웨어 보안 모듈 내에 저장됩니다.
• 패스키는 설계상 피싱 저항성을 갖춘 검색 가능한 FIDO 자격 증명입니다. 장치 결합 패스키는 하드웨어 보안 모듈에 저장되어 내보낼 수 없으며, 최고 수준의 보안 보증을 제공합니다. 동기화된 패스키는 종단 간 암호화를 사용해 여러 장치 간 클라우드 동기화가 가능하며, 편의성을 우선시하면서도 피싱 저항 인증의 암호학적 정의를 충족합니다.

이러한 각 구성 요소는 암호학적 도메인 결합을 통해 피싱을 차단하는 구조화된 인증 절차에 참여합니다. 다음 섹션에서는 이 절차가 단계별로 어떻게 작동하는지 설명합니다.

피싱 저항 MFA의 작동 방식

인증 절차는 프로토콜 수준에서 도메인 결합을 통해 피싱을 차단합니다. 등록을 시작하면, 신뢰 당사자 웹사이트는 해당 등록에만 고유한 임의 데이터를 포함하는 암호학적 챌린지를 생성합니다. 클라이언트 장치는 해당 도메인에만 특화된 고유한 키 쌍을 생성합니다.

인증 장치는 새로 생성된 개인 키로 챌린지에 서명하고, FIDO 서버는 사용자 계정과 인증 장치 메타데이터에 연결된 공개 키를 저장합니다. 인증 시, 인증 장치는 생체 인증, PIN 입력, 물리적 존재 확인을 요청합니다. 시스템은 도메인이 해당 출처에 등록된 자격 증명과 일치하는지 확인합니다. 피싱 사이트에 있다면 인증 장치는 일치하는 자격 증명을 찾지 못해 보안이 위협받기 전에 인증이 실패합니다.

각 인증은 재사용 또는 중계가 불가능한 고유한 암호학적 서명을 생성합니다. 이는 중간자 공격을 무력화합니다. 공격자는 합법적인 서비스와 동일한 프록시 사이트를 만들 수 있지만, 암호학적 챌린지-응답은 특정 출처 도메인에 결합됩니다. 프록시는 합법적 도메인을 제어하지 않고 개인 키도 없으므로 필요한 서명을 위조할 수 없습니다.

이러한 프로토콜 수준의 보호가 대부분의 조직이 여전히 의존하는 기존 방식과 피싱 저항 MFA를 구분 짓는 요소입니다.

피싱 저항 MFA vs. 기존 MFA

표준 MFA는 비밀번호 기반 로그인에 두 번째 요소를 추가하지만, 대부분의 구현은 여전히 공격자가 가로챌 수 있는 공유 비밀에 의존합니다. 기존 방식과 피싱 저항 방식의 차이는 인증 과정에서 자격 증명이 탈취될 수 있는지 여부에 달려 있습니다.

기존 MFA 방식의 실패 원인

SMS 및 음성 기반 일회용 비밀번호는 공격자가 SIM 스와핑 또는 SS7 프로토콜 악용을 통해 가로챌 수 있는 통신망을 통해 전송됩니다. 인증 앱은 사용자가 로그인 폼에 입력하는 시간 기반 코드를 생성하며, 실시간 피싱 프록시는 사용자가 가짜 사이트에 코드를 입력할 때 이를 캡처합니다. 

푸시 알림은 사용자가 로그인 요청을 승인하도록 유도하지만, MFA 피로 공격은 반복적인 알림으로 사용자가 결국 하나를 승인할 때까지 시도합니다. 이러한 각 방식은 재사용 가능한 자격 증명을 전송하거나, 합법적 요청과 사기 요청을 구분하는 사용자의 판단에 의존합니다.

피싱 저항 MFA가 격차를 해소하는 방법

피싱 저항 MFA는 두 가지 문제를 모두 제거합니다. FIDO2/WebAuthn 및 PKI 기반 인증은 개인 키가 인증 장치를 절대 벗어나지 않고, 각 인증 응답이 요청 도메인에 암호학적으로 결합되는 비대칭 암호화를 사용합니다. 공격자가 가로챌 수 있는 자격 증명이 네트워크를 통해 전송되지 않습니다. 

요청이 합법적인지 여부는 사용자의 결정이 아니라 프로토콜이 도메인 검증을 자동으로 강제합니다. Google은 FIDO 보안 키를 도입한 후 85,000명 이상의 직원에게 단 한 건의 피싱 공격도 성공하지 않았다고 보고했으며, Microsoft의 피싱 저항 MFA 도입은 전체 직원 계정의 92%를 보호하고 있습니다.

이러한 방식 간의 격차는 공격자가 AI 기반 사회공학을 도입해 실시간 자격 증명 탈취를 더욱 빠르고 정교하게 만들면서 계속 벌어질 것입니다. 이 격차가 커지는 것이 바로 규제 기관과 표준화 기구가 피싱 저항 방식을 의무화하는 이유입니다.

피싱 저항 MFA 규정 준수 및 규제

연방 지침과 글로벌 표준은 이제 피싱 저항 인증을 요구하거나 권장하고 있으며, 규정 준수가 보안 이점과 함께 도입의 주요 동인이 되고 있습니다.

도입을 주도하는 주요 프레임워크는 다음과 같습니다:

• OMB Memorandum M-22-09는 2022년 1월 행정명령 14028에 따라 모든 연방 기관이 제로 트러스트 아키텍처 전략의 일환으로 기관 직원, 계약자, 파트너를 위해 피싱 저항 MFA를 구현하도록 요구했습니다. 이 메모는 SMS 코드, 음성 통화, 일회용 비밀번호, 단순 푸시 알림 등 피싱에 저항하지 못하는 인증 방식을 지원 중단해야 한다고 명시합니다. 대국민 정부 시스템도 일반 사용자에게 피싱 저항 옵션을 제공해야 합니다.
• CISA의 제로 트러스트 성숙도 모델은 피싱 저항 MFA를 Identity 축의 기본 요건으로 규정합니다. 최적의 성숙도 수준에서는 모든 사용자와 모든 접근 시나리오에 피싱 저항 인증을 배포합니다.
• NIST 특별 간행물 800-63B는 인증 보증 수준 3(AAL3)을 하드웨어 기반, 피싱 저항 인증 장치와 암호학적 소유 증명으로 정의합니다.

미국 연방 정부를 넘어 이러한 요구사항은 전 세계 규제 산업에 영향을 미칩니다. 연방 기관과 협력하는 금융기관, 의료기관, 방위산업체도 동일한 인증 기준을 충족해야 합니다. 유럽연합의 NIS2 지침은 중요 인프라 운영자를 위한 강력한 인증 통제를 요구하며, PCI DSS 4.0과 같은 민간 부문 프레임워크도 카드 소지자 데이터 환경의 관리자 접근에 피싱 저항 인증을 권장합니다.

도입을 지연하는 조직은 규제 노출과 보험 영향에 직면할 수 있으며, 사이버 보험사는 정책 적격성 요건으로 피싱 저항 MFA를 점점 더 요구하고 있습니다. 규정 준수와 별개로, 보안 이점 자체만으로도 도입의 타당성이 충분합니다.

피싱 저항 MFA의 주요 이점

자격 증명 피싱 공격을 제거할 수 있습니다. FIDO Alliance의 2025년 설문조사에 따르면 36%의 소비자가 약하거나 탈취된 자격 증명으로 계정이 침해된 경험이 있으며, 암호학적 결합을 통해 자격 증명 탈취를 기술적으로 불가능하게 만듭니다.

피싱 저항 MFA는 기존 인증을 체계적으로 침해하는 공격에 대한 보호를 제공합니다:

• SIM 스와프 공격은 공격자가 이동통신사로 하여금 전화번호 제어권을 이전하도록 유도하지만, 인증이 특정 하드웨어의 암호화 키에 결합되어 있어 전화번호로는 인증이 불가능합니다.
• 중간자 공격은 자격 증명과 세션 토큰을 캡처하지만, 각 인증 요청마다 합법적 도메인에 특화된 새로운 암호학적 챌린지가 필요하므로 실패합니다.
• MFA 피로 공격은 사용자를 승인 요청으로 폭격하지만, 인증이 인증 장치의 물리적 소지와 사용자 존재 확인을 요구하므로 실패합니다.

이러한 보호 메커니즘은 구체적인 보안 개선을 제공하지만, 조직은 인증 계층을 넘어 비자격 증명 공격 방식으로 계정 침해를 나타내는 이상 접근 패턴을 탐지할 수 있는 가시성도 유지해야 합니다. 이러한 이점을 실현하려면 여러 구현 과제를 극복해야 합니다.

피싱 저항 MFA 구현의 과제

엔터프라이즈 전반에 피싱 저항 MFA를 배포하는 것은 단순한 설정 변경이 아닙니다. 조직은 극복을 위해 신중한 계획이 필요한 아키텍처, 운영, 전략적 과제에 직면합니다.

레거시 애플리케이션 호환성

레거시 애플리케이션은 가장 중요한 아키텍처 제약입니다. CISA와 FIDO Alliance의 지침에 따르면, FIDO2와 WebAuthn은 최신 웹 브라우저와 운영체제를 필요로 합니다. 레거시 인증 프로토콜을 사용하는 애플리케이션은 아키텍처 수정 없이는 FIDO2를 직접 지원할 수 없습니다.

인증 방식을 애플리케이션 기능에 맞게 매핑해야 합니다: 최신 웹 애플리케이션은 FIDO2/WebAuthn을 기본 지원하고, 레거시 애플리케이션은 PKI 기반 인증 또는 프로토콜 브리지 솔루션이 필요할 수 있으며, 운영체제 로그인은 FIDO 보안 키 또는 플랫폼 인증 장치가 필요합니다. 구형 운영체제는 FIDO2 보안 키와 같은 외부 인증 장치가 필요할 수 있습니다. 복잡한 IT 환경에서 전체 FIDO2 전환은 수년에 걸쳐 단계적 배포 전략이 필요하며, 우선순위는 고가치 사용자와 시스템에 둬야 합니다.

아이덴티티 라이프사이클 통합

아이덴티티 라이프사이클 관리 통합도 신중한 계획이 필요합니다. IAM 워크플로우에 인증 장치 등록 및 해제를 통합하여 입사-이동-퇴사 이벤트를 지원해야 합니다. FIDO 서버 인프라는 사용자 셀프서비스, 관리자 라이프사이클 제어, API 게이트웨이 통합, 중앙 ICAM 모델과 일치하는 정책 집행이 필요합니다.

진화하는 공격자 전술

공격자는 방어 조치에 적응합니다. 피싱 저항 MFA가 자격 증명 피싱과 기존 MFA 우회 기법을 제거하더라도, 집요한 공격자는 다른 방법으로 전환합니다. 여전히 엔드포인트 침해, 애플리케이션 취약점, 다른 보안 통제를 겨냥한 사회공학,  공급망 공격에 직면할 수 있습니다. 피싱 저항 MFA는 강력한 인증 보안을 제공하지만, 더 넓은 심층 방어 전략에 통합되어야 합니다. 이러한 과제를 감안하더라도, 많은 조직이 피할 수 있는 실수로 인해 자체 배포를 약화시킵니다.

피싱 저항 MFA의 일반적인 실수

피싱 저항 MFA를 배포한 조직도 구현상의 간과로 인해 보안 태세를 약화시킬 수 있습니다. 가장 치명적인 실수는 피싱 저항 인증이 해결하려던 동일한 취약점을 다시 도입하는 것입니다.

• 피싱 저항이 아닌 방식으로의 대체 옵션 유지는 악용 가능한 보안 격차를 만듭니다. 조직은 1차 인증에 FIDO2를 배포하지만, SMS 코드나 푸시 알림을 백업 옵션으로 남겨둡니다. 공격자는 이러한 대체 메커니즘을 찾아내어 사용자를 덜 안전한 인증 경로로 유도합니다. 피싱 저항 MFA 배포가 완료되면 모든 레거시 인증 방식을 제거하고, 기본 인증, SMS 코드, 비밀번호만 접근을 차단해야 합니다.
• 불충분한 장치 및 플랫폼 커버리지는 우회 기회를 만듭니다. 기업 관리 장치에만 집중한 배포 계획은 BYOD 시나리오, 계약자 접근, 파트너 연동에 격차를 남깁니다. 공격자는 장치가 강력한 인증을 지원하지 않는다고 주장해 MFA를 우회합니다. 인증 다운그레이드 공격을 차단하는 정책이 필요합니다.
• 인증 장치를 아이덴티티 라이프사이클 워크플로우와 통합하지 않음은 운영 부담과 보안 격차를 만듭니다. 온보딩 시 자동 등록, 오프보딩 시 자동 해제가 없는 인증 장치 배포는 오래된 자격 증명을 남깁니다. IDManagement.gov의 Identity Lifecycle Management Playbook에 따르면, 조직은 입사-이동-퇴사 프로세스 내에서 "피싱 저항 인증 장치 지원 방법"에 대한 지침이 필요합니다. 자격 증명 라이프사이클 관리를 수동으로 처리하면 확장성이 없고, 퇴사자가 인증 권한을 유지하는 기간이 발생합니다.
• 불충분한 계정 복구 계획은 추가 취약점을 만듭니다. 등록 시 여러 인증 장치 등록을 요구하지 않으면, 사용자가 보안 키를 분실하거나 휴대폰을 교체할 때 자격 증명 이전이 안 되면 계정 잠금이 발생합니다. FIDO Alliance 엔터프라이즈 배포 가이드에 따르면, 여러 인증 장치 등록을 요구하면 계정 잠금을 방지할 수 있습니다. 복구 메커니즘도 피싱 저항 특성을 유지해야 사회공학 공격 표면을 만들지 않습니다.

이러한 실수는 모두 공통적으로 피싱 저항 MFA가 제거하려던 취약점을 다시 도입한다는 점을 공유합니다. 다음 모범 사례는 이를 방지하는 데 도움이 됩니다.

피싱 저항 MFA 모범 사례

성공적인 배포는 보안 향상과 운영 준비성을 균형 있게 고려한 구조화된 접근 방식을 따릅니다. 이 관행은 CISA 지침, FIDO Alliance 엔터프라이즈 배포 권장사항, 연방 기관의 문서화된 구현 사례에서 도출되었습니다.

중앙 집중식 아이덴티티 인프라 기반 구축

중앙 집중식 아이덴티티, 자격 증명, 접근 관리 플랫폼부터 시작하십시오. CISA가 성공 사례로 문서화한 미국 농무부의 FIDO 구현은 기존 SSO 플랫폼을 활용해 FIDO 인증 방식을 활성화했습니다. USDA는 중앙 아키텍처를 통해 PIV 카드가 없는 사용자에게도 피싱 저항 인증을 제공했습니다. 기존 아이덴티티 인프라를 기반으로 하면 더 빠른 배포와 더 나은 사용자 경험을 얻을 수 있습니다.

고가치 사용자 및 시스템 우선 배포

시스템 관리자, 임원, 법무, 인사, 최고 경영진 등 고가치 사용자에게 즉시 피싱 저항 MFA를 배포하십시오. 이메일 시스템, 파일 서버,  원격 접근 시스템, 관리자 콘솔 등 표적이 되는 리소스에 집중하십시오. 제한된 사용자 집단으로 운영 경험을 쌓으면서 위험 집중도를 줄이고, 이후 전사적 확장에 대비할 수 있습니다.

단계적 정책 집행 구현

관리 장치에서 비밀번호 없는 인증이 가능한 사용자에게 피싱 저항 자격 증명을 우선 배포하십시오. 이후 리소스 접근에 피싱 저항 MFA를 요구하는 정책 집행으로 진행하십시오. 마지막으로 모든 사용자가 피싱 저항 자격 증명으로 인증하도록 전환을 완료하십시오. 이 단계적 접근은 운영 중단 없이 각 단계에서 보안 태세를 개선할 수 있습니다.

여러 피싱 저항 방식 지원

FIDO2와 PKI 기반 방식을 모두 지원하는 하이브리드 인증 전략을 계획하십시오. FIDO2는 클라우드 애플리케이션에 최적의 사용자 경험을 제공하고, PKI 인증서는 엄격한 규제 요건이 있는 레거시 시스템에 성숙한 인프라를 제공합니다. 여러 피싱 저항 방식을 지원하면 피싱 저항이 아닌 옵션으로의 후퇴 없이 유연성을 확보할 수 있습니다.

여러 인증 장치 등록 요구

초기 등록 시 여러 인증 장치 등록을 요구하여 계정 잠금 시나리오를 방지하십시오. 조직은 플랫폼 인증 장치와 하드웨어 보안 키 모두를 요구하거나, 동일 유형의 여러 인증 장치를 백업 자격 증명으로 지원할 수 있습니다. 복구 프로세스는 백업 인증 장치나 안전한 계정 복구 절차 등 암호학적 보안 특성을 유지해야 합니다.

레거시 인증 방식 완전 제거

배포가 충분히 완료되면 레거시 인증 방식을 완전히 제거하십시오. 정책 엔진은 모든 애플리케이션에서 기본 인증, SMS 코드, 비밀번호만 접근, 기존 푸시 알림을 차단합니다. 정기적인 감사로 레거시 인증을 여전히 허용하는 애플리케이션을 찾아 우선적으로 마이그레이션 또는 폐기합니다.

이러한 관행을 따르면 강력한 인증 기반을 구축할 수 있지만, 인증만으로는 전체 공격 표면을 커버할 수 없습니다. 사용자가 성공적으로 로그인한 이후의 활동에 대한 가시성도 필요합니다.

SentinelOne으로 피싱 저항 MFA 강화

SentinelOne의 Singularity Platform은 인증 보안을 로그인 이후 활동까지 확장하는 아이덴티티 위협 탐지 및 대응(ITDR) 기능을 제공합니다. 이 플랫폼은 인증 이벤트와 엔드포인트 행동, 네트워크 활동, 사용자 행동을 연계합니다. Purple AI는 자연어 쿼리를 통해 인증 이상 탐지 조사를 가속화하며, 경보량을 88% 줄이고 보안팀의 인증 패턴 분석 수작업을 대폭 감소시킵니다. 인증 속도 이상, 지리적 불가능 시나리오, 장치 지문 변경, 자격 증명 오용을 시사하는 접근 패턴 편차에 대한 가시성을 확보할 수 있습니다.

Singularity Identity는 Active Directory 및 Entra ID를 포함한 클라우드 아이덴티티 공급자에 대한 실시간 방어로 아이덴티티 인프라를 보호합니다. 행동 이상이 인증 이벤트 이후 비정상 권한 상승, 자격 증명 덤핑 시도, 횡적 이동을 나타내면, Singularity Platform의 Storyline 기술이 전체 공격 내러티브를 재구성하여 더 빠른 조사와 자율 대응을 가능하게 합니다.

피싱 저항 MFA는 구조적으로 안전한 인증 기반을 만듭니다. 인증 이후 활동을 모니터링하고, 이상 행동을 탐지하며, 자격 증명 계층을 넘어선 취약점을 노리는 위협에 자율적으로 대응하는 사이버보안 도구를 함께 배포함으로써 이 투자를 극대화할 수 있습니다.

SentinelOne 데모 요청을 통해 인증 이벤트와 엔드포인트 행동의 연계가 어떻게 완전한 위협 가시성을 제공하는지 확인하십시오.

핵심 요약

피싱 저항 MFA는 비대칭 암호화와 도메인 결합을 통해 자격 증명 탈취를 구조적으로 불가능하게 만들어 자격 증명 피싱을 제거합니다. CISA는 FIDO/WebAuthn 및 PKI 기반 인증만을 승인된 피싱 저항 방식으로 지정합니다. 

기존 MFA는 현대적 공격에 체계적으로 실패하며, MFA 피로가 사고의 14%에서 나타나고 자격 증명 오용이 90%의 웹 애플리케이션 침해를 유발합니다.