Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

다중인증

"이중인증이 능사는 아니다" 우버 해킹 사건이 주는 중대한 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관련 ...

2FA 우버 개인정보보호 2022.09.21

중소기업을 위한 랜섬웨어 방어 대책과 40가지 권고 : IST

IST(Institute for Security and Technology)가 최근 “랜섬웨어 방어 청사진(“Blueprint for Ransomware Defense)란 보고서를 발표하며, 중소기업의 랜섬웨어와 기타 사이버 공격 대응에 필요한 방어 대책 권고안을 제시했다. 보고서는 NIST(National Institute of Standards and Technology)의 사이버 보안 프레임워크를 따라 확인, 보호, 대응, 복구 형식에 초점을 맞췄다. NIST의 프레임워크 중 탐지 기능에 대한 내용은 포함하지 않았는데, 보고서는 SMB가 이 기능을 수행하기 위해서는 사이버 보안 서비스 업체와 협력할 것으로 권고했다.    권고안은 단계별로 기초적인 방지책 14가지, 실행 가능한 방지책 26가지를 제시했다.    기업 네트워크 상의 위협을 파악할 수 있는 방안 IST는 보호가 필요한 기업 네트워크 상에 어떤 것이 있는지 파악하는 데 도움이 되는 기초적인 방어 대책으로 다음 4가지를 소개했다.   상세한 기업 자산 인벤토리를 작성해 유지한다. 소프트웨어 인벤토리를 작성해 유지한다. 데이터 관리 프로세스를 수립해 유지한다. 계정 인벤토리를 작성해 유지한다. SMB는 기업 내 컴퓨터와 소프트웨어에 있는 위험을 이해하기 위해 좀 더 많은 지침이 필요할 수 있다. 특히 많은 중소기업이 구식 기술을 그대로 사용하는데, 대부분 중요한 현업 애플리케이션에 필요하기 때문이다. 따라서 IT 자산 현황을 파악하는 것만으로는 부족하며, 구식 장비와 소프트웨어를 사용함으로써 생기는 위험을 평가할 필요가 있다. 실행 가능한 방지책은 허가된 소프트웨어가 지원되도록 확실히 하는 것이다.   네트워크 인프라 보호를 위한 방안 다음 권고안은 이렇게 확인한 IT 자산을 보호하는 방법에 관한 것이다.   안전한 환경 구성 프로세스를 구축하고 유지한다. 네트워크 인프라를 위한 안전한 환경 구성 프로세스...

랜섬웨어 해킹 대응 2022.08.18

글로벌 칼럼ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.  최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.      미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 2022.06.14

마이크로소프트 네트워크를 위한 '다중인증' 도입 베스트 프랙티스

마이크로소프트가 마이크로소프트 365 보안 기본값을 변경해 MFA(Multi-Factor Authentication) 의무화를 기존 고객까지 확장한다. 마이크로소프트는 “해킹된 계정을 조사한 결과, 99.9%는 MFA 인증을 거치지 않아 비밀번호 스프레이 공격, 피싱, 비밀번호 재사용에 취약한 것으로 나타났다. 사용 패턴에 따라 보안 기본값에 적합한 조직에서 MFA 의무화를 시작한다. 특히 조건부 액세스를 사용하지 않거나 과거에 보안 기본값을 사용한 적 없고 레거시 인증 클라이언트를 적극적으로 사용하지 않는 고객부터 시작할 예정이다”라고 말했다.    마이크로소프트는 글로벌 관리자에게 이메일로 적합한 테넌트를 통지할 예정이다. 마이크로소프트는 “보안 기본값이 활성화되면 테넌트의 모든 사용자는 MFA 등록 요청을 받는다. 등록 유예 기간은 14일이다. 사용자는 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱으로 등록해야 하며 글로벌 관리자는 추가로 전화번호를 입력해야 한다”라고 설명했다. 따라서 아직 MFA를 배포하지 않은 기업은 지금이 적기다. 사이버 공격자는 피싱 공격을 사용해 보호되지 않는 계정을 추적하므로 MFA는 계정 액세스를 보호하는 핵심적인 방법이다. 물론 위험을 감수하기로 한 경우에는 MFA를 비활성화할 수 있다. 그러나 이는 피싱 캠페인의 가장 쉬운 표적이 될 것이라는 의미이기도 하다. 사용자 계정과 로그인은 수많은 네트워크 공격에 대한 새로운 진입점이다.   MFA 프로세스 선택하기 MFA 배포는 곧 지원하는 인증 프로세스를 선택하는 것이다. 여러 연구원은 SMS 메시지가 안전하지 않다고 주장한다. 수년 전 리버스 프록시 컴포넌트를 사용해 SMS 기반 MFA를 우회한 공격 사례가 있었다. 실제로 MFA는 충분히 안전하기만 하면 그만이다. 많은 보안 관련 결정과 마찬가지로 기업은 가장 우수하고 충분한 보안을 필요로 하는 인력에 대해 위험 분석을 수행해야 한다. 예컨대 직원 중...

다중인증 이중인증 MFA 2022.06.09

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. 이에 따라 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr

깃허브 개발자 이중인증 2022.05.09

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

인간을 표적으로 하는 대표적인 사이버 공격 수법 4가지

기술의 실패는 매일같이 발생한다. 사기성 메일, 피싱 메일처럼 원하지 않는 이메일을 막는 일은 이메일을 사용하기 시작한 날부터 줄곧 실패했다. 지난 2000년 수많은 IT 동료를 감염시킨 악명 높은 이메일 기반 컴퓨터 악성코드 ‘아이러브유(ILOVEYOU) 바이러스’를 생각해 보자.   아이러브유 바이러스 희생자들은 ‘아이러브유(ILOVEYOU)’라는 제목의 이메일을 클릭하지 말았어야 했지만 클릭했고, 그 후에는 뒷정리를 감당해야 했다. 많은 사용자가 백신이나 엔드포인트 보호 소프트웨어가 이런 문제를 경고해 줄 것으로 기대하지만 현실은 그렇지 않을 때가 많다. 기술이 실패하는 이유는 공격자가 사람을 표적으로 한 공격 수법으로 해당 기술을 피해갔기 때문이다. 대표적인 4가지 수법을 소개한다. 1. 특정인을 목표로 한 소셜 엔지니어링 사람을 대상으로 한 사이버 공격은 여러 가지다. 가장 대표적인 방법이 특정 인물을 목표로 삼은 공격 방법이다. 이런 공격 방법은 최근 소셜프루프 시큐리티(SocialProof Security) CEO 레이첼 토바크가 공개한 영상에 잘 소개돼 있다. 토바크는 영화 제작자 제프리 캐천버그의 컴퓨터를 해킹하기 위해 우선 웹상에 공개된 데이터베이스를 조사해 캐천버그가 믿을 만한 회사 동료 앤서니 살레로 가장했다. 토바크는 살레의 이메일과 매우 비슷한 주소로 캐천버그에게 피싱 메일을 전송한 후, 살레의 전화번호를 도용해 전화를 걸었다. 살레의 전화를 받았다고 생각한 캐천버그가 피싱 메일에 포함된 링크를 클릭하자, 토바크는 캐천버그가 보유한 모든 연락처를 포함해 캐천버그가 노트북으로 로그인한 모든 것에 접근할 수 있었다.   소셜 엔지니어링 기법이 새로운 것은 아니다. 1990년대에 검거된 유명 해커 캐빈 미트닉은 소셜 엔지니어링 기법으로 입수한 비밀번호와 암호만으로 컴퓨터를 해킹했다고 밝힌 바 있다. FBI는 미트닉이 사용하던 워싱턴 지역의 임원과 비서 인명록을 증거로 압수했는데, 필자는 페이지 모서리가 접혀 있는 ...

소셜엔지니어링 피싱메일 다중인증 2022.04.04

“2FA의 첫 출발은 보호 계층을 하나 더 추가하는 것”

온라인 계정을 해킹 당하는 사용자 수는 매일 수백만 명에 이른다. 비밀번호 목록은 다크 웹에서 거래되며, 악의적 사용자는 자동화 프로세스를 사용해 수많은 계정과 서비스에 이들 비밀번호를 대입한다. 정교한 피싱 공격은 정당한 서비스나 고객 지원으로 위장해 사용자에게 비밀번호 혹은 비밀번호를 초기화하는 데 필요한 정보를 밝히도록 유도한다.   명백히 이런 일을 방지하는 최고의 방법은 각 게정마다 강력하고 추측하기 어려운 비밀번호를 설정하는 것이다. 대표적으로 원패스워드(1Password), 라스트패스(LastPass), 대시레인(Dachlane)과 같은 훌륭한 비밀번호 관리자를 사용해 이런 작업을 관리할 수 있다. 하지만 보안이 우수한 비밀번호만으로는 충분하지 않다. 보호 계층이 하나 더 필요하다. 다시 말해, 2단계 보안 인증(Two-Factor Authentication, 2FA)을 설정해야 한다는 것이다. Macworld는 이미 애플 계정에서 2FA를 활성화하는 방법을 설명했다. 그렇다면 기타 다른 계정에서는 어떻게 2FA를 설정해야 할까? 이들 역시 매우 신중하게 보호돼야 한다. 2FA를 설정해 계정을 보호하는 방법은 다음과 같다.   2FA란 무엇인가? 2FA는 특정 계정의 소유자가 본인임을 증명하는 방법이다. 인증에는 3가지 주요 요소가 있다. 하나는 비밀번호나 PIN과 같은 지식 요소와 특정 번호로 발송된 텍스트를 수신하는 휴대폰, USB 키팝(Key Fob), 이메일 주소 액세스와 같은 소유 요소, 지문, 망막과 같은 사용자 고유의 것인 고유 요소가 바로 그것이다. 집 현관문을 생각해보자. 열쇠만으로 현관문을 열 수 있다면 1단계 보안 인증이다. 따라서 문을 여는 데 집 열쇠만 있으면 된다. 물리적 열쇠와 4자리 PIN을 입력해 문을 열어야 하는 경우는 2FA라고 할 수 있다. 경보 시스템을 설치하는 것은 기본적으로 2FA를 집에 추가하는 것이나 다름없다. 일부 기업은 이런 종류의 보안을 다단계 보안 인증(Multi-Fa...

2단계 인증 2FA 다중인증 2022.03.28

글로벌 칼럼 | 비밀번호 변경의 악순환을 끝내는 방법

매년 이맘때면 필자는 회사의 사이버 보험 신청 양식을 채운다. 그리고 보험회사는 매년 우리 회사가 강력한 비밀번호를 사용하고 자주 변경할 것을 권장하는지를 묻는다. 이 질문은 필자를 상당히 괴롭히는데, 사실 비밀번호를 그렇게 자주 바꾸지는 않기 때문이다. 대신에 위험도에 적절하게 맞는 인증 프로세스를 사용한다. 비밀번호를 사용하는 것은 제일 마지막에 기대는 것이 좋다.   무엇보다도 웹 사이트에 담겨 있는 정보와 데이터를 생각해야 한다. 가장 잘 보호하고자 하는 사이트가 가장 취약할 때도 있다. 할 수 있다면, 사이트 액세스에 항상 이중인증을 추가한다. 모든 다중인증이 기술이 다 똑같은 것은 아니지만, 어떤 것이라도 없는 것보다는 낫다. 만약 이중인증 때문에 공격자가 다른 사이트로 발길을 돌린다면, 성공한 것이다. 은행이나 금융기관이 종종 인증 소프트웨어를 더디게 적용하는 경우가 있는데, 이때문에라도 사용자 이름과 비밀번호, 그리고 이중인증 툴로 보완해야만 한다. 보통은 스마트폰으로 전송되는 텍스트를 이용한다. 물론 스마트폰 SIM 칩도 복제할 수 있고, 공격자가 사용자의 폰인 것처럼 위장해 텍스트를 가로챌 수도 있다. 그래도 대다수 사용자는 이 프로세스를 이용해 훨씬 더 안전해진다. 사용자 이름과 비밀번호만 사용해 은행에 액세스하는 것은 계정을 위험에 빠트리는 일이다. 솔직히 말해, 비밀번호라고 다 같은 것은 아니다. 만약 한 비밀번호를 다른 웹 사이트, 다른 은행 계정에 재사용한다면, 훨씬 더 위험해진다. 공격자는 흔히 해킹된 비밀번호를 훔치거나 사들여 이를 다른 사이트에 액세스하는 데 재사용하려 들기 때문이다. 비밀번호를 재설정하라는 알림을 받았다면, 그리고 해당 계정에 로그인하려 한 적이 없다면, 그건 아마도 공격자가 비밀번호 스터핑 공격을 시도하는 것이다. 그러니 같은 비밀번호는 어디에서도 쓰지 말아야 한다. 온라인 서비스 사용자는 오랫동안 사용자 이름과 비밀번호를 다양하게 사용하라는 권고를 들었다. 어떤 사이트는 사용자의 정보를 다...

패스워드 비밀번호 이중인증 2022.03.08

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA 2021.06.08

글로벌 칼럼 | 코로나19로 더욱 분명해진 다중인증의 허점

모두가 알고 있는 그 사태로 인해(더 이상 그 이름을 말하고 싶지 않다) 기업은 불과 며칠 만에 많은 직원을 홈오피스로 보내야 했다. 당연히 철저히 검사해야 할 애플리케이션의 RFP를 적절하게 처리하는 등의 보안 정확성을 확인할 시간은 없었다. 비상 사태라는 점을 고려하면, 직원과 IT 부서는 상황이 허락하는 만큼 즉각적으로 보안을 개선할 수 있는 것을 파악해서 할 수 있는 만큼만 해야 했다.   여기서 등장하는 것이 다중인증(MultiFactor Authentication, MFA)이다. MFA는 안전할 것으로 생각되지만, 보통은 그리 안전하지 않은 방법으로 적용된다. 단순 숫자/문자를 모바일 디바이스로 전송하는데, 중간자(Man-in-the-Middle) 공격에 쉽게 당하는 방식이다. 과연 현재처럼 이상적인 조건과는 거리가 먼 상황에서 MFA를 좀 더 안전하게 배치하는 방법은 없을까? 살펴보자. 우선, 숫자/문자는 중간자 공격이 아니라도 몇 가지 방법으로 쉽게 손상될 수 있다는 것을 주목해야 한다. 블랙베리의 제품 관리 담당 수석 부사장 존 헤레마는 “2FA(Two Factor Authentication, 이중인증) 전달 채널로 사용되는 SMS는 사이버 공격자의 주요 공격 대상이자 쉽게 손상된다는 것은 확인된 사실이다. 이유는 SMS가 2FA 전달에 사용되고 있으며, 뱅킹이나 페이팔 같은 공격 가치가 높은 앱이나 서비스에 사용된다는 것이 잘 알려져 있기 때문이다”라고 지적했다.  공격 방법은 기술적인 방법과 소셜 엔지니어링을 결합해 사용하는데, 가짜 사이트와 피싱 공격의 결합이 이용되기도 한다. 헤레마는 “어떤 2FA라도 좋지 않다. 따라서 어떤 2FA가 좀 더 나은지가 아니라 이렇게 공격 받기 쉬운 곳에 사용할 수 있는 최첨단 방식이 있는지를 물어봐야 한다. 은행 액세스를 보호하는 것은 유튜브 계정을 보호하는 것과는 다르다”고 강조했다. 헤레마가 페이팔을 언급한 것이 흥미롭다. 왜냐하면, 페이팔은 두 가지 서로 다른 MFA 접근...

재택근무 홈오피스 OTP 2020.04.14

지금 ‘핫’한 사이버보안 트렌드 7가지와 열기가 식고 있는 트렌드 4가지

기술 산업은 역동적이고, 끊임없이 변화한다. IT 보안 산업에 종사하고 있다면, 악성 해커들이 개발한 기법 때문에 변화가 강요될 수도 있는 특이한 상황에 놓인다. 이 산업에는 항상 새로운 무엇이 등장하고, 반대로 유용도가 크게 떨어지는 기법과 도구들도 있다. 기술 보안 트렌드의 온갖 ‘하이프’ 가운데 진짜를 파악하기 정말 힘들 수 있다. 판매할 제품이 있는 회사들은 자신이 시장의 첨단을 걷고 있다고 설득하려 들기 때문이다. 우리는 진짜 ‘핫’한, 또는 열기가 식은 보안 트렌드를 파악하는 데 도움을 주기 위해, 비용부터 효과성까지 중요한 통계들을 조사해 이런 트렌드들을 선정했다.   11가지 ‘핫'한(그리고 핫하지 않은) 사이버보안 트렌드: 1. Hot - 크리덴셜 스터핑 2. Hot - 협업 앱 보안 3. Not - 랜섬웨어 4. Hot - 은행(금융) 트로이 목마 5. Hot - 사물 인터넷 6. Not - 인공 지능 7. Hot - 양자 암호화 8. Hot - 피싱 9. Not – 바이러스 백신(안티바이러스) 10. Hot - 다중 인증 11. Not - 블록체인   Hot - 크리덴셜 스터핑(Credential stuffing) 매년 대기업에서 수백만 개의 사용자 이름과 암호가 침해당하는 중대 해킹 사고가 연이어 발생한다. 이런 해킹 공격은 공격자가 훔친 수 많은 크리덴셜을 이용해 다양한 웹사이트에 자동 로그인 공격을 하는 이른바 크리덴셜 스터핑을 초래한다. 많은 사람들이 여러 사이트에서 동일한 사용자 이름과 암호를 사용하고 있는 데, 공격자가 이를 악용하는 것이다. 자동 공격이기 때문에 훔친 로그인 크리덴셜 가운데 아주 적은 비율만 일치해도 공격할 가치가 있다. 패스워드핑(PasswordPing)을 공동 창업한 크리스텐 란타 하이칼 윌슨 제품 관리 책임자 겸 CMO는 “사용자 크리덴셜을 더 안전하게 만들어야 한다. 기업과 기관은 로그인, 비밀번호 재...

트로이목마 블록체인 다중인증 2019.03.14

마이크로소프트 다중 인증 서비스 또 오류… “9일 동안 2번째”

27일 다중 인증(Multi-Factor Authentication, MFA)으로 마이크로소프트 오피스 365에 로그인하지 못하는 장애가 발생했다. 지난 19일에도 같은 문제가 일어났고, 마이크로소프트가 이 장애에 대한 후속 조치를 발표한 지 하루 만에 다시 발생한 일이다. 애저 상태 대시보드에 따르면, “UTC(협정세계시)로 2018년 11월 27일 오후 2시 25분부터 MFA 사용 고객들이 정책적으로 MFA가 요구되는 경우 간헐적으로 애저 액티브 디렉토리(Azure Active Directory)와 같은 애저 리소스에 로그인하지 못하는 현상이 발생했다.” 2시간 30분 후 DNS(Domain Name Service) 관련 문제가 해결되었고, 엔지니어들이 서비스를 재부팅했다. 대시보드에는 ‘재부팅 후 실패 비율이 감소하는 것을 확인했다”고 결론 내렸다. 이번 장애는 미주, 유럽, 아시아 태평양 지역의 사용자들에게 영향을 끼쳤다. 19일에 발생했던 장애는 14시간 동안 지속되었으며, 마이크로소프트는 해당 장애에 대해 3가지 근본적인 원인과 자세한 장애 현상, 그리고 엔지니어들이 서비스 복구를 위해 진행한 사항과 향후 계획을 담은 1,150단어가 넘는 긴 보고서로 설명했다.  이 보고서 말미에 마이크로소프트는 “장애를 겪은 고객들에게 매우 죄송하다”라고 언급했다. 디렉션 온 마이크로소프트(Directions on Microsoft)의 애널리스트인 웨스 밀러는 두 번의 장애에 대해 “골칫거리”라고 표현하면서 애저 액티브 디렉토리 같은 서비스와 MFA 등은 “아주 견고하게 설계되어야만 한다”라고 지적했다. 그는 보고서에서 서비스 업데이트 배포를 재평가하고 서비스를 보다 신속하게 복원할 수 있는 방법을 찾고 있다는 점에서 “애저 팀이 올바른 관점을 갖고 있길 바라며, 그래 보인다”고 평가했다. 밀러는 엔지니어들이 문제의 ...

애저 Azure 오피스365 2018.11.28

IDG 보안 컨퍼런스 2015 인터뷰|"생체인식 방식을 결합하라" 웰스파고 앤디 푸테 부사장

최근 핀테크 시대를 맞이하면서 금융과 관련한 모든 기업, 서비스 업체, 모바일 콘텐츠 업체, 그리고 각 분야의 IT 업체들은 핀테크 시장에서 새로운 비즈니스 모델을 창출하기 위해 사활을 걸고 있다. 핀테크 관련 기업들이 갖춰야 할 가장 기본적인 요소는 바로 보안이며, 이 가운데서도 관문 역할을 하는 인증은 가장 뜨겁게 논의되고 있는 부문이다. 최근 금융당국은 국내 핀테크 시장의 걸림돌이 되어 온 액티브 X 기반의 공인인증서를 폐지하고 비대면 인증을 허용하는 등의 인증 관련 제도를 혁파하면서 핀테크 시장에 물꼬를 텄다. 비대면 인증이란 고객이 은행 등 영업점에 방문해 본인인지 직접 인증하지 않고도 계좌 등을 개설할 수 있게 인증하는 것으로, 핀테크의 핵심 기술로 꼽힌다. 기존 대면인증 방식에 비해 편리하지만 보안 위협에 노출되어 있다는 점에서 인증 기술과 정책은 각 핀테크 서비스의 차별적 요소로 작용하고 있다. 특히 최근까지 액티브 X 기반의 공인인증만을 고집해 온 국내 사용자 인증 방식의 선택은 해당 서비스의 사활이 걸릴 정도로 중요하다. 미국의 대표적인 은행인 웰스파고는 사용자 인증 분야에 있어 단연 경험이 출중하다. 최근 웰스파고는 모바일 뱅킹에서 비밀번호 대신 셀프카메라로 인증하는 방법을 선보일만큼 생체인식 기술 도입에 앞서가고 있다. 하지만 생체인식 기술 가운데 안면 인식은 아직 오차율이 높아 금융거래 인증방법으로 도입하기에는 위험성이 따른다. 이에 대해 웰스파고 홀세일 서비스 그룹 부사장 앤디 푸테는 ITWorld와의 이메일 인터뷰를 통해 "그렇다. 안면 생체인식만으로는 정확하지 않으며 금융거래 인증방법으로는 위험하다. 그러나 웰스파고의 생체인증 파일럿 프로젝트는 안면과 음성을 모두 사용해 사용자 신분을 확인하고 있다. 안면과 음성 인식을 결합한 이중 인식으로 높은 정확성을 가진 사용자 인증이 가능해진다"고 말했다. 앤디 푸테는 "특히 웰스파고는 확실히 자리를 잡은 생체인식 방식인 안면,...

모바일 인증 생체인식 2015.08.12

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.