마셔블(Mashable)의 최근 기사에 따르면, 한 공격자는 회사의 슬랙 계정 상에서 몇몇 내부 트위터 시스템에 관한 인증 정보를 알아냈다. 이게 사실이라면(해킹 출처에 관해서는 상충된 보도들이 있다) 이는 네트워크 관리자가 인증 정보를 제대로 관리하지 못한다는 것을 의미한다. 관리자가 그 정도라면 사용자 역시 인증 정보를 제대로 관리하지 않는다고 보아도 무방할 것이다.
네트워크 관리자와 사용자가 인증 정보를 보다 잘 보호하도록 하기 위해 어떤 조치를 취해야 할까? 이는 교육과 인식으로 귀결된다.
소셜 엔지니어링에 대한 저항을 구축한다
네트워크 관리자와 최종 사용자에게 피싱이 주는 영향, 그리고 공격자가 약점을 파고드는 방식을 교육하라. 공격자는 소셜 미디어를 통해 조직 안에서 누가 무슨 역할을 맡고 있고 누구를 추적할 것인지를 파악한다. 유명한 해커인 케빈 미트닉은 한때 CEO와 임원 목록이 담긴 한 워싱턴 주 책자를 이용해 회사에 액세스한 적이 있다. 공공 장소에서 소셜 게시글을 억제해 정보가 공격자에게 노출되는 것을 피하도록 경고한다.
인증을 확인하는 데 쓰이는 정보를 보호한다
소셜 미디어 상에서 설문조사 질문에 답하지 말도록 사용자에게 경고한다. 흔히 이런 ‘무작위 질문’은 전형적인 비밀번호 초기화 질문 내지 비밀번호 검증 프로세스로부터 유래한다. 최초의 직업이나 좋아하는 자동차에 대해 묻는 페이스북 게시글에 답변한다면 공격자는 비밀번호 초기화 답변 데이터베이스를 축적할 수 있다.
사용자가 브랜드 랜딩 페이지를 인식할 수 있도록 교육한다
오피스 365 또는 마이크로소프트 365의 경우 브랜딩을 이용하는 것이 좋다. 이는 사용자에게 정당한 비밀번호 랜딩 페이지에 관해 교육하는 데 유리하다. 공격자는 기업 이미지들을 수집한 후 이를 사용자가 정당한 장소에서 인증 정보를 제공하고 있다고 착각하도록 유도하는 데 사용한다.랜딩 페이지를 더 좋게 만들려면 애저 P1이나 마이크로소프트 365 비즈니스 플러스 라이선스가 있어야 한다(비즈니스 플러스 라이선스에는 P1이 포함됨). 회사 브랜드를 커스터마이징 하려면 ‘애저 액티브 디렉터리’를 선택한 후 ‘컴퍼니 브랜딩’을 선택하고, 그 후 ‘구성하기’를 선택한다. 이제 아이콘(배너 로고 포함), 배경 이미지, 사용자 이름 힌트에 관한 각종 설정을 선택할 수 있다.
비밀 문구 이용을 장려한다
비밀번호(passwords) 대신 비밀문구(passphrases)를 선택하도록 교육한다. 사람들의 비밀번호 선택은 허술하기 짝이 없다. 심지어 2019년에도 가장 많이 쓰인 비밀번호는 ‘12345’였다. 애플리케이션은 최대한 강력한 비밀번호를 생성하도록 해야 한다. 사용자가 개인적으로 비밀번호 관리자 프로그램을 사용하도록 장려하고 사용법을 교육시킨다.기업의 경우 프로그램들을 평가해 회사의 보안 의무 사항을 충족하는 프로그램을 선정한다. 웹 기반 비밀번호 관리자 프로그램은 위험을 초래한 이력이 있었다. 권장 비밀번호 관리 프로그램을 매년 세심하게 평가하고 검토한다.
다중 인증의 이용을 교육한다
애플리케이션, 원격 액세스, 이메일, 여타 로그인 인증에 다중 인증(Multi-Factor Authentication, MFA)을 이용하는 법을 교육한다. 마이크로소프트 365는 애저 P1 라이선스에 의해 이중 인증이 면제되는 장소를 지정하는 화이트리스트 기능을 제공한다.다중 인증(MFA)은 위험한 원격 접속 사용자로 한정될 수 있다. 이 기능은 ‘지정된 위치’라고 불린다. 애저 포털에서 ‘애저 액티브 디렉터리’를 선택한 후, ‘보안’ 부문에서 ‘조건부 액세스’를 선택한다. ‘조건부 액세스’ 페이지에서 ‘지정된 위치’와 ‘새 위치’를 차례로 선택한다. ‘이름’ 상자에 지정된 위치의 이름을 입력한다. IP 영역 상자에서 IP 영역을 사이더(CIDR) 포맷으로 입력하고 ‘생성’을 선택한다.
안전한 웹사이트를 파악하는 법을 교육한다
안전한 웹사이트가 어떻게 작용하고 어떤 모습인지를 교육한다. 사용자가 한 웹사이트에 들어가 인증정보를 입력할 때에는 부담스러운 결정 과정에 직면한다. 이 사이트가 과연 안전한가? 인증 정보를 적절한 장소로 입력하고 있는가? 사용자에게 정상적 프로세스 및 프롬프트에 관해 교육한다. 사용자의 브라우저 트래픽을 가로채 차단 프로세스를 제공하는 프록시 필터나 클라우드 서비스를 이용한다면 해당 클라우드 서비스가 최종 사용자에게 실행 가능성에 관한 정보를 제공하도록 설정한다. 이에 의해 사용자는 실행하고자 하는 웹사이트 동작이 적절한 것인지 파악할 수 있다. 예를 들어, 웹 필터링 소프트웨어가 특정 민감 사이트를 차단했다면 차단 알림 정보는 차단 프로세스가 회사의 조치임을 명확히 진술하는 식이다.
기밀 정보를 입력할 때 필요한 프로세스를 사용자에게 교육한다. 이는 과거에는 쉬웠지만, 프라이빗 브라우징을 위해 SSL을 강제하는 검색 엔진이 출현하면서 어떤 사이트가 안전한지 판단하기가 더 어려워졌다. 승인 과정을 거쳐 URL을 전송하는 등 검증 프로세스를 마련하라. 브라우징을 승인된 사이트로 한정할 수도 있다.
컴퓨터 장비의 적절한 이용에 대해 교육한다
사용자와 네트워크 관리자는 알려지지 않은 위치에 있는 컴퓨터 장비를 기업 액세스에 절대로 사용해서는 안 된다. 항공기 탑승권을 인쇄한 호텔 비즈니스 센터에 있는 키오스크 컴퓨터는 기업 자산에 액세스하는 데 사용되어서는 안 된다.뉴욕의 킨코스(Kinkos)에 있는 컴퓨터에 키로거 토큰을 배치해 스니핑 공격을 통해 450개의 은행 인증 정보를 수집했던 보안 사건이 널리 보도된 바 있다. 관리자와 사용자는 비밀번호를 입력할 때 주변 환경을 파악해야 한다. 예를 들어 누군가가 비행기에서 사용자의 어깨 너머로 사용자가 무슨 작업을 하고 있는지 볼 수 있고, 심지어 비밀번호까지 포착할 수 있다.
필요하다면 인증 프로세스를 추가한다
기업용 윈도우 헬로는 생체 인식 또는 PIN을 이용하는 새로운 사용자 인증 방식을 기반으로 한다. 윈도우 헬로를 통해 사용자는 마이크로소프트, 액티브 디렉터리, 마이크로소프트 애저 액티브 디렉터리, ID 인증 서비스 또는 RP(Relying Party) 서비스 계정에(FIDO 2.0 인증 지원) 인증할 수 있다. 기업용 윈도우 헬로는 윈도우 헬로 컨비니언스 PIN보다 더 안전하다. 이는 그룹 정책이나 모바일 기기 관리(MDM) 정책을 통해 구성될 수 있다. 이는 언제나 키 또는 증명서 기반의 인증을 이용한다. 기업용 윈도우 헬로를 설치하려면 그 전에 하드웨어를 점검해 필수 TPM 칩이 있고 여타 요건을 충족하는지 확인해야 한다. 이 솔루션은 소프트웨어만으로 구현이 가능하다. 그러나 이의 구현을 감안해 설계된 노트북과 데스크톱에서 구현이 더 간편한 것이 보통이다. editor@itworld.co.kr