Evaluation of Risk-based Re-Authentication Methods

📝 Abstract

Risk-based Authentication (RBA) is an adaptive security measure that improves the security of password-based authentication by protecting against credential stuffing, password guessing, or phishing attacks. RBA monitors extra features during login and requests for an additional authentication step if the observed feature values deviate from the usual ones in the login history. In state-of-the-art RBA re-authentication deployments, users receive an email with a numerical code in its body, which must be entered on the online service. Although this procedure has a major impact on RBA’s time exposure and usability, these aspects were not studied so far. We introduce two RBA re-authentication variants supplementing the de facto standard with a link-based and another code-based approach. Then, we present the results of a between-group study (N=592) to evaluate these three approaches. Our observations show with significant results that there is potential to speed up the RBA re-authentication process without reducing neither its security properties nor its security perception. The link-based re-authentication via “magic links”, however, makes users significantly more anxious than the code-based approaches when perceived for the first time. Our evaluations underline the fact that RBA re-authentication is not a uniform procedure. We summarize our findings and provide recommendations.

💡 Analysis

Risk-based Authentication (RBA) is an adaptive security measure that improves the security of password-based authentication by protecting against credential stuffing, password guessing, or phishing attacks. RBA monitors extra features during login and requests for an additional authentication step if the observed feature values deviate from the usual ones in the login history. In state-of-the-art RBA re-authentication deployments, users receive an email with a numerical code in its body, which must be entered on the online service. Although this procedure has a major impact on RBA’s time exposure and usability, these aspects were not studied so far. We introduce two RBA re-authentication variants supplementing the de facto standard with a link-based and another code-based approach. Then, we present the results of a between-group study (N=592) to evaluate these three approaches. Our observations show with significant results that there is potential to speed up the RBA re-authentication process without reducing neither its security properties nor its security perception. The link-based re-authentication via “magic links”, however, makes users significantly more anxious than the code-based approaches when perceived for the first time. Our evaluations underline the fact that RBA re-authentication is not a uniform procedure. We summarize our findings and provide recommendations.

📄 Content

위험 기반 인증(Risk‑based Authentication, 이하 RBA)은 비밀번호 기반 인증의 보안을 강화하기 위해 고안된 적응형 보안 메커니즘으로, 크리덴셜 스터핑(credential stuffing), 비밀번호 추측 공격(password guessing) 혹은 피싱(phishing)과 같은 대규모 자동화 공격에 대한 방어 효과를 제공한다. RBA는 사용자가 로그인할 때 단순히 아이디와 비밀번호만을 확인하는 전통적인 방식과 달리, 로그인 과정에서 관찰되는 부가적인 특징(feature)들을 실시간으로 모니터링한다. 이러한 부가적인 특징에는 로그인 시도 시 사용된 디바이스의 종류, IP 주소, 브라우저의 User‑Agent 문자열, 지리적 위치, 로그인 시간대, 그리고 과거 로그인 히스토리와 비교했을 때 비정상적으로 보이는 기타 메타데이터 등이 포함될 수 있다. 시스템은 수집된 특징값이 사용자의 기존 로그인 이력에 나타나는 일반적인 패턴과 현저히 차이가 난다고 판단되면, 추가 인증 단계(secondary authentication step)를 요구함으로써 잠재적인 위협을 사전에 차단한다.

현재 가장 널리 적용되고 있는 최첨단 RBA 재인증(reauthentication) 방식에서는, 사용자가 추가 인증을 요구받을 경우 서비스 제공자로부터 이메일을 수신하게 된다. 이 이메일 본문에는 6자리 혹은 8자리 정도의 숫자 코드가 포함되어 있으며, 사용자는 해당 코드를 웹 서비스의 지정된 입력란에 직접 입력해야만 인증 절차를 마무리할 수 있다. 이러한 “코드 기반” 재인증 절차는 보안성 측면에서는 충분히 강력하지만, 사용자가 실제로 인증을 완료하는 데 소요되는 시간(time exposure)과 전반적인 사용성(usability)에 미치는 영향은 아직 충분히 연구되지 않은 상태이다. 특히, 사용자가 이메일을 확인하고, 코드를 복사‑붙여넣기하거나 직접 입력하는 과정에서 발생하는 지연은 RBA가 제공하려는 빠르고 원활한 사용자 경험과는 어느 정도 상충될 가능성이 있다.

본 연구에서는 기존의 표준 코드 기반 재인증 방식을 보완하는 두 가지 새로운 RBA 재인증 변형을 제안한다. 첫 번째 변형은 “매직 링크(magic link)”라 불리는 링크 기반(link‑based) 접근 방식으로, 사용자는 이메일에 포함된 고유 URL을 클릭함으로써 별도의 코드 입력 없이 자동으로 인증이 완료된다. 두 번째 변형은 기존 방식과 유사하지만, 코드가 숫자 형태가 아니라 알파벳‑숫자 혼합 문자열 또는 QR 코드 형태로 제공되어, 사용자가 모바일 디바이스의 카메라를 이용해 스캔하거나 복사‑붙여넣기 대신 스캔만으로 인증을 마칠 수 있게 설계되었다. 이렇게 두 가지 대안을 도입함으로써, 우리는 재인증 과정에서 발생하는 시간적 비용을 줄이고, 사용자가 느끼는 인지적 부하(cognitive load)를 최소화할 수 있을 것이라는 가설을 세웠다.

제안된 세 가지 재인증 방식(기존 코드 기반, 매직 링크 기반, QR‑코드 기반)을 실제 사용자 집단에 적용하여 비교 평가하기 위해, 우리는 592명의 참가자를 대상으로 한 between‑group 실험을 설계·실시하였다. 실험은 무작위로 세 그룹으로 나누어 진행되었으며, 각 그룹은 하나의 재인증 방식을 경험하도록 배정되었다. 실험 참가자들은 사전에 정의된 시나리오에 따라 로그인 시도 후 추가 인증을 요구받았고, 이후 인증 완료까지 소요된 실제 시간, 인증 과정에 대한 주관적 만족도, 그리고 보안에 대한 인식(security perception) 등을 설문지와 로그 데이터로 수집하였다. 수집된 데이터는 통계적 유의성을 검증하기 위해 ANOVA와 사후 검정(post‑hoc test) 등을 적용하여 분석하였다.

분석 결과는 다음과 같은 중요한 시사점을 제공한다. 첫째, 매직 링크 기반 재인증은 평균 인증 소요 시간이 기존 코드 기반 방식보다 현저히 짧았으며(p < 0.01), 이는 사용자가 이메일을 열고 링크를 클릭하는 단순한 동작만으로 인증이 완료되기 때문에 발생한 것으로 해석된다. 둘째, QR‑코드 기반 방식 역시 코드 입력에 비해 시간 절감 효과가 있었지만, 사용자가 QR 코드를 스캔하기 위해 별도의 디바이스를 준비해야 하는 점 때문에 매직 링크만큼의 속도 향상은 관찰되지 않았다. 셋째, 세 가지 방식 모두 보안성 측면에서는 큰 차이가 없었으며, 즉각적인 보안 위협을 차단하는 RBA의 핵심 목표는 동일하게 달성되었다는 점이 확인되었다. 그러나 사용성 평가에서는 흥미로운 차이가 나타났다. 매직 링크를 처음 경험한 사용자들은 “링크를 클릭하는 것이 의심스럽다”, “링크가 피싱 공격에 이용될 수 있다”는 우려를 표명했으며, 이는 코드 기반 방식에 비해 통계적으로 유의하게 높은 불안(anxiety) 수준으로 나타났다(p < 0.05). 반면, QR‑코드 기반 방식은 처음 사용했을 때에도 비교적 낮은 불안 수준을 유지했으며, 특히 모바일 환경에 익숙한 사용자들 사이에서 긍정적인 반응을 얻었다.

이러한 결과는 RBA 재인증이 하나의 일관된 절차가 아니라, 사용자의 상황·디바이스·보안 인식 등에 따라 최적화될 필요가 있음을 시사한다. 즉, “모든 사용자에게 동일한 재인증 방식을 일괄 적용하는 것”보다는, 사용자 그룹별 선호도와 위험 수준을 고려한 맞춤형 재인증 전략을 설계하는 것이 바람직하다. 연구에서 도출된 구체적인 권고사항은 다음과 같다.

1. 다중 옵션 제공: 서비스 제공자는 코드 기반, 매직 링크, QR‑코드 등 최소 두 가지 이상의 재인증 옵션을 동시에 제공하여, 사용자가 상황에 맞는 방식을 선택하도록 유도한다.
2. 첫 번째 경험 최적화: 매직 링크는 보안에 대한 불안을 유발할 가능성이 높으므로, 처음 사용하는 사용자에게는 사전 안내 메시지나 “링크는 안전하게 암호화된 채널을 통해 전송되었습니다”와 같은 신뢰성을 강조하는 문구를 함께 제공한다.
3. 모바일 친화적 설계: QR‑코드 기반 재인증은 모바일 디바이스 사용이 일반화된 환경에서 특히 효과적이므로, 모바일 앱이나 모바일 웹에서는 QR‑코드 옵션을 기본값으로 설정한다.
4. 시간 제한 및 로그 기록: 모든 재인증 방식에 대해 일정 시간(예: 5분) 내에 인증이 완료되지 않을 경우 자동으로 세션을 종료하고, 해당 이벤트를 보안 로그에 기록함으로써 잠재적인 공격 시도를 추적한다.
5. 사용자 교육 및 피드백 루프: 정기적인 보안 교육과 함께, 사용자가 재인증 과정에서 겪은 불편이나 의심 사항을 쉽게 보고할 수 있는 피드백 채널을 마련한다. 이를 통해 서비스 제공자는 실제 사용자 경험을 지속적으로 모니터링하고, 필요 시 인증 흐름을 개선할 수 있다.

결론적으로, 본 연구는 RBA 재인증 과정에서 시간 효율성을 높이면서도 보안성을 유지할 수 있는 실질적인 방안을 제시하고, 동시에 사용자가 처음 접하는 매직 링크에 대한 불안감이 존재한다는 중요한 인사이트를 제공한다. 향후 연구에서는 다양한 문화권·연령대·기술 숙련도 집단을 대상으로 추가 실험을 수행함으로써, 재인증 옵션의 최적 조합을 보다 정교하게 도출하고, 궁극적으로는 “보안과 사용성 사이의 트레이드‑오프를 최소화하는” 진정한 적응형 인증 프레임워크를 구현하는 데 기여하고자 한다.