지식 기반 인증

흔히 KBA라고 하는 지식기반 인증은 금융 기관이나 웹사이트와 같은 서비스에 접속하는 사람의 신원을 증명하려는 인증 방법이다.이름에서 알 수 있듯이, KBA는 신원 정보를 제공하는 사람이 신원 소유자라는 것을 증명하기 위해 개인의 사적인 정보에 대한 지식을 요구한다.KBA에는 사전 합의된 공유 비밀 세트를 기반으로 하는 정적 KBA와 보다 광범위한 개인정보 기반에서 생성된 질문을 기반으로 하는 동적 KBA의 두 종류가 있다.^[1]

정적 KBA(공유 암호)

"공유 비밀" 또는 "공유 비밀 질문"이라고도 불리는 정적 KBA는 일반적으로 은행, 금융 서비스 회사 및 전자 메일 제공자가 계정 액세스를 허용하기 전에 고객의 신원을 증명하기 위해 또는 사용자가 비밀번호를 잊어버린 경우 예비 사용자로 사용된다.고객과 처음 접촉할 때 정적 KBA를 사용하는 기업은 제공자와 고객 간에 공유할 정보(가장 일반적으로 질문과 그에 상응하는 답변)를 수집해야 한다.이 데이터는 고객이 다시 계정에 액세스하러 올 때 검색하기 위해 저장해야 한다.

정적 KBA의 약점은 2008년 사라 페일린 전 알래스카 주지사의 이메일 계정에 무단 접속이 이뤄진 사건에서 입증됐다.야후! 계정의 비밀번호는 온라인에서 쉽게 답을 구할 수 있었던 전 지사의 생년월일과 우편번호와 함께 '배우자를 어디서 만났느냐' 등 비밀문의를 공유해 재설정할 수 있다.

일부 신원확인 제공자들은 사이트와 정보의 보안을 돕기 위해 최근 비밀음이나 사진을 도입했다.이러한 전술은 비밀 질문처럼 동일한 데이터 저장 및 검색 방법을 필요로 한다.

다이나믹 KBA

다이나믹 KBA는 지식질문을 활용해 개별적인 정체성을 검증하되 사전에 질의응답 등을 제공할 필요는 없는 고도의 인증이다.질문은 마케팅 자료, 신용 보고서 또는 거래 내역 같은 공공 및 개인 데이터에서 취합된다.

절차를 개시하기 위해서는 이름, 주소, 생년월일 등 기본적인 식별 요인을 소비자가 제공하고 신원확인 서비스를 통해 확인해야 한다.신원 확인 후 제공된 개인 신원에 해당하는 데이터 기록에서 실시간으로 질문이 생성된다.전형적으로 질문에 답하는 데 필요한 지식은 사람의 지갑에서 구할 수 없어(일부 회사에서는 '출금외 질문'이라고 부른다) 실제 신원 소유자가 아닌 사람이 답을 알고 보안된 정보에 접근하기 어렵다.일반적으로 답변이 연구되는 것을 방지하기 위해 응답에 제공되는 시간과 시도 횟수가 제한된다.

Dynamic KBA는 부정 행위 방지 및 컴플라이언스 준수 수단으로서 고객 ID를 검증하기 위해 여러 다른 산업에 고용되어 있다.이러한 유형의 KBA는 기존 소비자와의 관계를 기반으로 하지 않기 때문에, 기업이 계정 생성 중에 고객 ID에 대한 높은 신원 보장을 받을 수 있는 방법을 제공한다.

참고 항목

• 인지 비밀번호
• 신원확인 서비스
• 지갑이 부족

참조