인증 보증 수준(AAL)이란 무엇인가요?

**인증 보증 수준(Authentication Assurance Level, AAL)**은 인증 프로세스의 강도와 신뢰성을 설명하는 데 사용되는 분류를 의미합니다. NIST의 특별 간행물 SP 800-63-3에 정의된 AAL은 조직이 디지털 상호 작용에 적합한 보안 수준을 결정하는 데 도움을 줍니다.

AAL에는 세 가지 수준이 있습니다:

• 사용자 인증에 대한 어느 정도의 신뢰도를 제공합니다.
• 일반적으로 비밀번호나 OTP 장치와 같은 단일 요소 인증을 포함합니다.

• 인증을 위해 두 가지 다른 요소가 필요합니다.
• 이 수준은 재전송 공격 방지 및 더 짧은 재인증 시간과 같은 추가적인 보안 조치를 다룹니다.
• 동기화된 패스키는 AAL2를 준수합니다.

• 하드웨어 기반 인증자를 사용하는 다중 요소 인증을 포함합니다.
• 검증자 사칭 방지 및 검증자 손상 방지를 포함한 엄격한 보안 요구 사항을 특징으로 합니다.
• 기기 바운드 패스키는 AAL3를 준수합니다.

AAL1의 저위험 환경부터 AAL3의 높은 보안 요구 사항에 이르기까지 각 수준은 다양한 보안 요구에 맞춰져 있습니다.

---

인증 보증 수준과 그 의미에 대해 더 자세히 살펴보겠습니다:

• 편의성이 우선시되는 저보안 애플리케이션을 대상으로 합니다.
• 비밀번호와 같은 간단한 인증 형식에 의존하기 때문에 일반적인 보안 위협(피싱, 중간자 공격, 크리덴셜 스터핑 등)에 취약합니다.

• 더 높은 보안이 요구되는 거래에 적합합니다.
• 물리적 요소(예: 보안 토큰)와 지식 기반 요소(예: 비밀번호)를 결합하여 보안을 강화합니다.

• 고위험 환경을 위해 설계되어 최대의 보안을 보장합니다.
• 고급 암호화 조치와 물리적 조작에 대한 하드웨어 저항성을 활용합니다.

• NIST는 동기화된 패스키(예: iCloud 키체인을 통한)를 AAL2 준수로 승인하여 디지털 개체를 위한 보안 프레임워크를 강화하고 패스키의 광범위한 채택을 위한 길을 열었습니다.
• 패스키는 AAL2에서처럼 기기 간 패스키 동기화를 허용하지 않는 기기 바운드 패스키인 경우, AAL3 준수 인증으로 더 높은 위험 시나리오에서도 사용될 수 있습니다.

패스키의 AAL 준수에 대한 자세한 내용은 이 블로그에서 읽어보세요.

---

AAL1은 기본적인 인증 보안을 제공하며, 일반적으로 사용자 편의성이 우선시되는 저위험 환경에서 사용됩니다.

AAL2는 두 가지 다른 인증 요소를 요구하여 AAL1에 비해 무단 접근의 위험을 크게 줄입니다.

AAL3는 최고 수준의 인증 보증으로, 하드웨어 기반 인증자와 검증자 사칭 방지와 같은 엄격한 보안 조치를 포함합니다.

동기화된 패스키(예: iCloud 키체인을 통한)는 AAL2로 분류되고 기기 바운드 패스키는 AAL3 준수로 분류됩니다. 자세한 내용은 이 블로그에서 읽어보세요.