Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

이중인증

"이중인증이 능사는 아니다" 우버 해킹 사건이 주는 중대한 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관련 ...

2FA 우버 개인정보보호 2022.09.21

글로벌 칼럼ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.  최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.      미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 2022.06.14

마이크로소프트 네트워크를 위한 '다중인증' 도입 베스트 프랙티스

마이크로소프트가 마이크로소프트 365 보안 기본값을 변경해 MFA(Multi-Factor Authentication) 의무화를 기존 고객까지 확장한다. 마이크로소프트는 “해킹된 계정을 조사한 결과, 99.9%는 MFA 인증을 거치지 않아 비밀번호 스프레이 공격, 피싱, 비밀번호 재사용에 취약한 것으로 나타났다. 사용 패턴에 따라 보안 기본값에 적합한 조직에서 MFA 의무화를 시작한다. 특히 조건부 액세스를 사용하지 않거나 과거에 보안 기본값을 사용한 적 없고 레거시 인증 클라이언트를 적극적으로 사용하지 않는 고객부터 시작할 예정이다”라고 말했다.    마이크로소프트는 글로벌 관리자에게 이메일로 적합한 테넌트를 통지할 예정이다. 마이크로소프트는 “보안 기본값이 활성화되면 테넌트의 모든 사용자는 MFA 등록 요청을 받는다. 등록 유예 기간은 14일이다. 사용자는 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱으로 등록해야 하며 글로벌 관리자는 추가로 전화번호를 입력해야 한다”라고 설명했다. 따라서 아직 MFA를 배포하지 않은 기업은 지금이 적기다. 사이버 공격자는 피싱 공격을 사용해 보호되지 않는 계정을 추적하므로 MFA는 계정 액세스를 보호하는 핵심적인 방법이다. 물론 위험을 감수하기로 한 경우에는 MFA를 비활성화할 수 있다. 그러나 이는 피싱 캠페인의 가장 쉬운 표적이 될 것이라는 의미이기도 하다. 사용자 계정과 로그인은 수많은 네트워크 공격에 대한 새로운 진입점이다.   MFA 프로세스 선택하기 MFA 배포는 곧 지원하는 인증 프로세스를 선택하는 것이다. 여러 연구원은 SMS 메시지가 안전하지 않다고 주장한다. 수년 전 리버스 프록시 컴포넌트를 사용해 SMS 기반 MFA를 우회한 공격 사례가 있었다. 실제로 MFA는 충분히 안전하기만 하면 그만이다. 많은 보안 관련 결정과 마찬가지로 기업은 가장 우수하고 충분한 보안을 필요로 하는 인력에 대해 위험 분석을 수행해야 한다. 예컨대 직원 중...

다중인증 이중인증 MFA 2022.06.09

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. 이에 따라 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr

깃허브 개발자 이중인증 2022.05.09

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

글로벌 칼럼 | 비밀번호 변경의 악순환을 끝내는 방법

매년 이맘때면 필자는 회사의 사이버 보험 신청 양식을 채운다. 그리고 보험회사는 매년 우리 회사가 강력한 비밀번호를 사용하고 자주 변경할 것을 권장하는지를 묻는다. 이 질문은 필자를 상당히 괴롭히는데, 사실 비밀번호를 그렇게 자주 바꾸지는 않기 때문이다. 대신에 위험도에 적절하게 맞는 인증 프로세스를 사용한다. 비밀번호를 사용하는 것은 제일 마지막에 기대는 것이 좋다.   무엇보다도 웹 사이트에 담겨 있는 정보와 데이터를 생각해야 한다. 가장 잘 보호하고자 하는 사이트가 가장 취약할 때도 있다. 할 수 있다면, 사이트 액세스에 항상 이중인증을 추가한다. 모든 다중인증이 기술이 다 똑같은 것은 아니지만, 어떤 것이라도 없는 것보다는 낫다. 만약 이중인증 때문에 공격자가 다른 사이트로 발길을 돌린다면, 성공한 것이다. 은행이나 금융기관이 종종 인증 소프트웨어를 더디게 적용하는 경우가 있는데, 이때문에라도 사용자 이름과 비밀번호, 그리고 이중인증 툴로 보완해야만 한다. 보통은 스마트폰으로 전송되는 텍스트를 이용한다. 물론 스마트폰 SIM 칩도 복제할 수 있고, 공격자가 사용자의 폰인 것처럼 위장해 텍스트를 가로챌 수도 있다. 그래도 대다수 사용자는 이 프로세스를 이용해 훨씬 더 안전해진다. 사용자 이름과 비밀번호만 사용해 은행에 액세스하는 것은 계정을 위험에 빠트리는 일이다. 솔직히 말해, 비밀번호라고 다 같은 것은 아니다. 만약 한 비밀번호를 다른 웹 사이트, 다른 은행 계정에 재사용한다면, 훨씬 더 위험해진다. 공격자는 흔히 해킹된 비밀번호를 훔치거나 사들여 이를 다른 사이트에 액세스하는 데 재사용하려 들기 때문이다. 비밀번호를 재설정하라는 알림을 받았다면, 그리고 해당 계정에 로그인하려 한 적이 없다면, 그건 아마도 공격자가 비밀번호 스터핑 공격을 시도하는 것이다. 그러니 같은 비밀번호는 어디에서도 쓰지 말아야 한다. 온라인 서비스 사용자는 오랫동안 사용자 이름과 비밀번호를 다양하게 사용하라는 권고를 들었다. 어떤 사이트는 사용자의 정보를 다...

패스워드 비밀번호 이중인증 2022.03.08

How-To : '번거로운 이중인증을 간단하게' 안드로이드 보안 강화 설정 팁

보안은 중요하지만, 문제는 어떻게 보안을 강화할 것인가다. 온갖 보안 사고를 전하는 모든 과장되고 떠들썩하며 선정적인 보도에도 불구하고 안드로이드의 가장 현실적인 보안 위협은 어둠 속에 숨어 사용자의 어두운 비밀을 훔치기 위해 노리는 거대하고 악랄한 악성코드 괴물이 아니다.   대신 안드로이드 보안의 가장 큰 위험은 바로 사용자다. 바로, 나쁜 의도를 가진 사람에게 무심코 개인 정보를 보내거나 계정을 보호하는 조치를 소홀히 할 가능성 때문이다. 이런 가능성에 비하면 악성코드는 시시하다. '이론적인' 수준에서 두려울 뿐이다. 이런 상황에서 보안을 강화하는 가장 좋은 방법은 고유한 비밀번호와 이중 인증 등 추가적인 보호 계층으로 가능한 모든 계정을 보호하는 것이다. 특히 구글 계정에 중요한 것은 분명하지만 이중 인증을 지원하는 모든 계정에 적용하는 것이 좋다. 이중 인증 또는 2FA의 한 가지 문제점은 실제로 (기술적인 용어로 말하자면) 어린이에게 어려울 수 있다는 점이다. 2FA의 핵심은 활성화된 계정에 로그인하는 2번째 단계를 두는 것이다. 많은 경우에 이 단계는 특수 앱에 의해 생성된 후 로그인 화면에 입력되는 일회용 코드다. 그리고 일반적으로 지금 하는 일을 멈추고 홈 화면으로 돌아가서 앱 서랍을 연 후 2FA 코드 생성 앱을 열어 필요한 코드를 복사해 원래 로그인 화면에 입력해야 한다. 맞다, 매우 번거로운 작업이 분명하다. 그래서 이 과정은 더 쉽게 바꿔줄 방법을 지금부터 소개하려고 한다. 일반적으로 이중인증을 적용하면 안드로이드에서 항상 오씨(Authy), 즉, 필자가 선택한 이중인증 코드 생성 앱을 열어야 했다. 필자는 모든 계정을 가능하면 2FA로 보호하고 있으므로, 이런 서비스에 로그인할 때마다 스마트폰과 씨름하곤 했다. 이를 처리하는 더 스마트한 방법이 있을까. 결국 필자가 깨달은 내용은 다음과 같다. 약 20초가 소요되는 설정을 통해 오씨 또는 사용자가 지속적으로 의존하고 복잡한 과정 없이 어디에서나 빠르게 액세스할 수 있...

이중인증 보안 안드로이드 2021.11.22

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.   보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다. 인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다. 자동화 봇을 이용한 소셜 엔지니어링 공격 이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다. 인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다. ‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확...

보안 이중인증 OTP 2021.09.30

'털릴 것인가, 지킬 것인가?' PC와 온라인 기본 보안 수칙 5가지

개인정보 보호는 단순한 스마트한 특성이 아니라 거의 필수에 가깝다. 전 세계가 점차 연결되면서 개인정보의 중요성은 점차 커진다. 웹 사이트를 공격해 유출된 정보를 악용하고, 다른 계정에 침투하거나 개인용 컴퓨터에 랜섬웨어를 설치하고 돈을 요구하는 세력들은 이익을 위해서라면 망설임 없이 누구에게라도 악몽을 선사할 것이다. 기업 수천 곳이 무릎을 꿇었던 카세야 랜섬웨어 공격에서 이미 그런 상황이 벌어졌다.   하지만 희망이 없는 것은 아니다. 기본적인 보안 원칙만 준수해도 인터넷 세상에서 발생하는 대다수 공격에서 스스로를 보호할 수 있다. 기사에서 소개하는 5가지 보안 작업은 너무나 간단해서 완료까지 오래 걸리지도 않는다. 지금 바로 실행에 옮기고 편안한 마음으로 잠자리에 들자.   1. 비밀번호 관리자를 사용하라 가장 큰 보안 위험은 비밀번호 재사용이다. 주요 웹 사이트와 서비스에서 일어나는 대규모 데이터 유출 사태는 거의 주기적으로 일어나고 있다. 여러 계정에 똑같은 이메일, 똑같은 비밀번호를 사용하다가 웹 사이트에서 데이터가 유출되면, 공격자는 그 정보를 악용해 다른 계정까지 해킹할 수 있다. 따라서 소유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 스스로를 보호할 수 있지만, 계정을 생성한 모든 웹 사이트의 비밀번호가 기억하는 것은 불가능에 가깝다. 비밀번호 관리자가 필요한 것이 바로 이 단계다. 비밀번호 관리자는 강력한 무작위 비밀번호를 생성하고 정보를 저장하며 웹 사이트와 소프트웨어의 로그인 필드를 자동으로 채운다. 브라우저도 기본적인 비밀번호 관리 기능을 제공하기 시작했다. 브라우저 내장 기능은 유사시에 사용할 수 있을 정도지만 아주 완전하지는 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(무료 요금제를 제공하는 서비스도 많다).   2. 이중 인증을 활성화하라 대부분의 주요 서비스는 현재 이중 인증 기능을 제공하고 있으며, 민감한 개인정보를 취급하는 경우에는 더욱 그렇다. 가능할 경우라...

보안 백업 비밀번호관리자 2021.07.09

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA 2021.06.08

IDG 블로그 | 애플도 모든 계정에 이중인증 자동 활성화해야

세계 비밀번호의 날(World Password Day)을 맞이에 구글이 적절한 복구 정보가 있는 모든 구글 계정에 이중인증(2 Factor Authentication)을 자동으로 활성화한다고 밝혔다. 용감한 행보이자 굉장히 반가운 소식이다. 그리고 필자는 애플 역시 이런 움직임을 따라야 한다고 생각한다.   구글, 사용자 계정에 '이중인증' 자동 활성화한다 2019년 5월을 기준으로 전 세계 구글 사용자는 15억 명으로 절대 적지 않은 숫자다. 이들 중 얼마나 많은 사람이 아직 2FA를 활성화하지 않았는지는 알려지지 않았지만, 필자는 아주 많다고 생각하며, 따라서 이번 결정은 수천만 명의 사용자에게 영향을 끼칠 것으로 보인다. 물론, 2FA를 원하지 않는 사용자는 비활성화할 수 있다. 하지만 이를 유지하는 사람이 더 많고, 구글이 자동으로 활성화하지 않았더라면 2FA를 영원히 사용하지 않을 사람들도 즉각적으로 추가 보호 장치를 갖게 된다.  구글은 2FA 정책의 장점을 다음과 같이 설명했다. "오늘날 비밀번호는 인증을 위한 효율적인 형식이 아니다. 많은 사람이 불편해하고 해커가 탈취하기도 쉽다. 과거에는 이중인증이 설정하기 복잡하고 힘들었지만 이제는 그렇지 않다. 많은 사용자가 계정 전반에서 인증의 두 번째 단계로 사용하고 있다. 이 자동화된 입력 과정은 우리가 이중인증을 사용하도록 도와줄 것이다. 물론 사용자는 이런 변화를 거부할 수 있다. 기존 보안 설정을 그대로 유지할 수 있다" 애플은 2FA를 초기에 도입한 회사 중 하나이며, 2FA는 애플 생태계의 열쇠인 애플 ID 계정 보호 장치 역할을 하기도 한다. 애플은 새로운 에어태그 추적기 등 여러 서비스에 2FA 보호 계층이 필요하다고 주장하며, iOS 13.4, 아이패드OS 13.4, 맥OS 15.4 이후에 생성된 계정에는 의무로 2FA를 사용하도록 하고 있다. 하지만 여전히 2020년 3월 이전에 생성된 계정 중 상당수가 2FA로 보호되지 않고 있다. 애플은 이들도 2FA를...

세계비밀번호의날 2FA 이중인증 2021.05.07

구글, 사용자 계정에 '이중인증' 자동 활성화한다

보안 전문가 대부분은 이중인증(2FA)이 온라인 계정을 보호하는 데 핵심적인 역할을 한다고 입을 모은다. 이런 의견에 마침내 구글이 동참했다. 아니, 오히려 한 발 더 나갔다. 구글 계정에 로그인할 때 자동으로 이중인증이 적용되도록 할 예정이기 때문이다. 단, 단계적으로 대상자를 확대한다. 이번 발표는 세계 비밀번호의 날(World Password Day)에 나왔다.   그동안 구글은 이중인증을 암호의 대체 수단으로 여겨왔다. 구글의 인증 및 사용자 보안 담당 제품 관리 디렉터 마크 리셔는 암호를 온라인 보안의 가장 큰 위협이라고 지칭한 바 있다. 해커가 탈취하기는 쉬운 반면 사용자는 기억하기 어렵기 때문에 결국 같은 암호를 재사용하게 된다는 것이다. 그래서 일단 암호가 유출되면 여러 가지 사용자 계정이 모두 뚫리고 위험이 커진다. 구글은 이미 계정을 보호하는 데 이중인증을 사용하고 있다. 그러나 기존에는 선택사항이었다. 예를 들어 구글 계정에서 이중인증을 활성화하면 처음에는 암호를 입력하지만, 그 후에는 구글의 어센티케이터(Authenticator) 앱을 통해 암호를 입력하지 않고도 개별 휴대폰에서 로그인을 승인할 수 있다. 이처럼 이중인증은 사용자가 이미 알고 있는 암호와, 인증 휴대폰 같은 사용자가 지니고 있는 물건을 결합한 방식이다. 리셔에 따르면 구글은 계정이 '적절하게 설정되기만' 하면 2SV(구글은 이중인증을 이렇게 부른다)를 자동으로 활성화할 예정이다. 단, 사용자가 원하는 이를 해제할 수 있다.   구글의 이중 인증 작동 방식 여기서 적절하게 설정한 사용자는 어떤 의미일까. 구글의 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면, 계정에 휴대폰 번호나 두 번째 이메일 등 복구 정보를 설정한 사용자를 가리킨다. 구글의 시큐리티 체크업(Security Checkup) 페이지를 보면 현재 사용 중인 계정에 이중인증이 설정돼 있는지 확인할 수 있다. 같은 페이지에서 이중인증 설정을 위해 필요한 것이 있으면 안내하고 방법도 ...

구글 이중인증 2021.05.07

'개인정보 지키는 최후의 방어선' 애플 ID에 이중인증을 설정하기

애플 ID와 아이클라우드 계정을 아직도 이중인증으로 보호하지 않고 있다면 지금이라도 설정하는 것이 좋다. 과거에 해커가 유출된 아이클라우드 계정 수백만 개를 가지고 있다며 애플에 돈을 내라고 요구한 적이 있기 때문이다(지디넷은 일부 계정 데이터를 확보해 실제 데이터라고 판단했다). 결국 애플이 사용자 데이터를 보호하는 데 최선을 다한다고 해도 이와 같은 사고가 또 일어나지 않으리라 확신할 수 없다. 이런 사고를 막는 방법의 하나가 이중인증이다. 이를 사용하면 사용자 데이터를 완벽하게 보호할 수 있다. 설정하기도 쉬워 1분이면 된다. 그동안은 appleid.apple.com의 계정 설정 페이지에서 이중인증을 활성화할 수 있었다. 하지만 현재는 맥이나 iOS 기기에서 해야 한다(호환 기기를 사용하지 않는 애플 ID 사용자는 여전히 기존 방법을 사용할 수 있다).   아이폰과 아이패드에서 이중인증 설정하기 아이패드와 아이폰, 아이팟 터치에서 이중인증을 설정하는 방법부터 살펴보자. 여기서는 iOS 14.5와 아이패드OS 14.5를 기준으로 한다. 기기는 패스코드가 설정돼 있어야 한다(설정 > 터치 ID/페이스 ID > 패스코드). 아이폰과 아이패드에서 일단 이중인증을 설정하면 아이클라우드에 로그인할 때 코드 팝업 창이 나타난다. 팝업이 보이지 않거나 텍스트 메시지가 오지 않으면 설정 > 애플 ID > 암호 및 보안에서 '인증 코드 받기'를 누르면 된다.     설정 앱을 실행한다. 상단의 애플 ID 프로필을 탭 한다. 이중인증으로 보호하려는 그 계정으로 로그인돼 있어야 한다. 암호 및 보안을 탭 한다. 이중인증 설정을 찾아 활성화한다. 이중인증을 위해 텍스트 메시지를 받거나 전화를 받을 수 있는 번호를 입력한다. 텍스트 혹은 통화를 원하는 대로 설정할 수 있다. 이제 텍스트 메시지나 전화가 오면 다음 화면에서 6자리 인증 코드를 입력한다. 이제 끝났다. 이중인증이 활성화됐다. 공식적으로 신뢰할 수 ...

이중인증 iOS 애플ID 2021.05.06

"계정부터 윈도우까지" 내 책상 위 개인정보 단속하는 5대 보안 수칙

요새 세상에서 개인정보 보호는 현명한 조치인 동시에 필수 조치다. 세상이 긴밀하게 연결될수록 개인정보의 가치는 더욱 중요해진다. 웹사이트 공격으로 유출된 정보를 사용해 피해자의 다른 계정을 해킹하거나 컴퓨터를 인질로 잡아 몸값을 요구하거나, 방법과 상관없이 악의적인 공격자는 주머니에 돈을 챙길 수 있다면 피해자의 하루를 망치는 데 주저함이 없을 것이다.  하지만 전혀 희망이 없는 것은 아니다. 몇 가지 기본 보안 원칙을 따르면 월드와이드웹에서 발견되는 대부분의 공격으로부터 사용자를 보호할 수 있다. 더 좋은 점은 이 5가지 쉬운 보안 작업을 설정하는 시간이 얼마 들지 않는다는 것이다. 지금 바로 실행하면 밤에 걱정을 덜고 잠자리에 들 수 있다.   1. 비밀번호 관리자 사용하기 가장 큰 보안 위험으로 비밀번호 재사용이 꼽힌다. 주요 웹사이트와 서비스에서는 놀랄 만큼 정기적으로 대규모 데이터 해킹이 보고된다. 여러 계정에 같은 이메일과 비밀번호를 사용하는 경우, 이 계정이 유출되면 공격자가 이 정보를 사용해 다른 계정을 해킹할 수 있다.  보유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 이런 위험을 방지할 수 있다. 하지만 계정을 만드는 모든 웹사이트마다 다른 임의의 비밀번호를 기억하는 것은 거의 불가능하다. 바로 이 부분이 비밀번호 관리자가 필요한 부분이다. 이러한 도구는 강력한 무작위 비밀번호를 생성하고, 정보를 저장하며, 웹사이트와 소프트웨어의 로그인 필드를 자동으로 채울 수 있다. 브라우저들은 기본적인 비밀번호 관리 도구도 제공하기 시작했다. 그러나 유사시를 대비하기 위함이지만 전반적으로 충분하지 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(특히 무료 버전을 제공하는 서비스가 많다).   2. 이중인증(2FA) 활성화 국제 생체 인증 표준 협회 FIDO 얼라이언스(FIDO Aliance)의 U2F 개방형 표준과 호환되는 USB 키 드라이브와 기타 소형 장치는 이중인증을 단순화할...

2FA 이중인증 비밀번호 2021.02.05

글로벌 칼럼 | 기업에서는 하드웨어 이중인증이 최선인가

피싱(Phishing)과 크리덴셜 스터핑(credential stuffing) 공격은 대기업에 있어 중대한 위협이지만 이중 인증(two-factor authentication, 2FA), 특히 하드웨어 2FA는 이런 공격을 크게 완화하는데 놀랍도록 효과적이다.   보유한 자원의 수준이 보통 이하이며 피싱에 성공해 직원의 계정 자격 증명을 훔친 공격자는 해당 직원이 하드웨어 2FA를 등록한 경우 절대로 빨리 움직일 수 없다. 인증 시 하드웨어 2FA 토큰을 물리적으로 보유하고 있어야 한다.  마찬가지로 공격자가 크리덴셜 스터핑 공격을 시도하면서 비밀번호를 재사용하는 경우, 하드웨어 2FA 토큰이 인터넷의 엄청난 백그라운드 공격 노이즈를 피하는데 매우 유용할 것이다. 또한 하드웨어 2FA는 소프트웨어 2FA(직원의 스마트폰에 있는 인증 앱 등)보다 훨씬 안전한 것으로 여겨지고 있으며 스마트폰 분실 또는 도난 시 더욱 저렴한 비용으로 교체할 수 있음은 말할 것도 없다. 인증 앱은 더 이상 효과가 없는가  공격자들은 이미 소프트웨어 기반 2FA를 우회하는 방법을 찾고 있다. 악성코드 연구원 클라우디오 가니에리는 최근 “지난해에 @AmnestyTech Security Lab이 대응하고 조사한 피싱 캠페인을 보면 최소한 비 U2F 다중 인증을 우회하는 기능을 제공하지 않는 것이 없었다”라고 말했다.  U2F(Universal 2nd Factor)는 하드웨어 2FA 토큰에 대한 개방형 표준이다. 공격자들이 발전하면서 SMS 기반 2FA에서 소프트웨어 기반 인증 앱으로 옮겨갈 수밖에 없었다(아직 SMS 기반 2FA를 사용하는 사람은 없을 것이다). 많은 사용례에서 U2F 기반 하드웨어 동글로의 전환은 현명한 것이었다. 하드웨어 2FA를 잡다 하드웨어 기반 2FA 토큰을 사용하는 것이 소프트웨어 기반 인증 앱보다 더 안전하지만 완벽하지는 않다. USB 펌웨어부터 7단계의 웹 브라우저까지 인증 스택의 복잡성 때문에 보안 결함이 없...

이중인증 2FA 2020.03.13

“사람 구멍을 막아라” RSA 2020 가장 눈에 띄는 제품 5가지

세계 최대의 보안 행사인 RSA가 지난 주 미국 샌프란시스코에서 열렸다. 한 주 동안 수만 명이 모스콘 센터에 모여 거의 800곳의 솔루션 업체를 둘러봤고, 수백 명의 연사가 최신이자 최고의 사이버 보안 기술에 대해 발표했다.   이번 행사의 주제는 “인적 요소”였으며, 이 태그는 마켓 스트리트 지역의 모든 간판을 장식했다. 필자는 이 주제가 보안 솔루션 업계에서 본 것과 부합하는 것으로 생각하는데, 보안 커뮤니티는 보안 기술을 좀 더 쉽게 배치하고 사용하도록 만드는 데 중점을 두고 있다. 이런 변화를 보여주는 대표적인 솔루션 다섯 가지를 소개한다.   시스코 시큐어엑스(SecureX) 지난 해 필자는 EDR(Enpoint Detection and Response)의 시대가 끝나고 XDR의 시대가 시작된다고 주장한 바 있다. 필자의 기본 가정은 EDR 같은 보안 기술은 전체 퍼즐의 작은 조각 하나밖에 못 보기 때문에 따로 떨어져서는 존재하지 못한다는 것이다. 동료이자 CSO 블로거인 존 올칙 역시 비슷한 견해인데, 올칙은 이를 SOAR에 대응하는 SOAPA(Security Operations and Analytics Platform Architecture)라고 부른다. 이름이야 어떻든, 포인트 솔루션 중심의 접근법은 너무 복잡하고 맹점도 많으며, 해당 조직을 보안 침해에 노출시킨다. 시스코의 시큐어엑스는 운영 단순화를 위해 플랫폼 접근법을 취함으로써 인적 요소를 해결한다. 필자는 XDR의 3대 구성요소로 엔드포인트, 클라우드, 네트워크를 지목한 바 있다. 시스코는 여기서 한 걸음 더 나아가 자사의 탈로스 위협 인텔리전스를 추가하고 머신러닝을 사용해 가시성을 제공하는 것은 물론, 시스코와 서드파티 보안 툴 전반에 걸쳐 워크플로우를 자동화한다. 보안 전문가들은 복잡성이 보안의 적이라는 것을 잘 알고 있으며, 시큐어엑스는 바로 그 운영을 단순화한다.   포티넷 포티AI(FortiAI) 시스코와 비슷하게 포티넷도 플랫폼 접근법을 취했다...

엣지 rsa EDR 2020.03.03

EU의 'PSD2', 전세계 온라인 결제 산업에 중대한 영향

유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다.  PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우) 고객 은행 계좌에 액세스할 권한을 부여해야 한다.   SCA(Strong Consumer Authentication) 요건이란 무엇일까? PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다. 그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다. 이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다.  그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적...

eu SCA 이중인증 2019.09.18

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.