Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

2FA

"이중인증이 능사는 아니다" 우버 해킹 사건이 주는 중대한 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관련 ...

2FA 우버 개인정보보호 2022.09.21

글로벌 칼럼ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.  최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.      미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 2022.06.14

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

How-To : 애플 비밀번호에 확인 코드를 추가하는 방법

계정 로그인에 확인 코드를 도입하는 것은 계정 탈취를 막는 강력한 방법이 될 수 있다. 이중 인증(Two-factor authentication, 2FA)은 계정 이름이나 이메일 주소, 비밀번호 정보 외에도 사용자에게 전송되거나 앱이 생성한 코드에 대한 액세스 권한이 필요하다. 특히, 사용자 정보는 지난 몇 년 동안 수십억 개 계정이 유출돼 취약하다. 따라서 보안을 강화하려면 확인 코드를 추가하는 것이 좋다.   애플은 애플 ID에 자체 2FA 시스템을 적용했으며, 한동안 다른 시스템을 지원하지 않았다. iOS와 아이패드OS, 맥OS가 수차례 릴리즈된 이후, 메시지 앱은 텍스트로 전송된 2FA 코드를 인식하기 시작했고, iOS와 아이패드OS의 퀵타입(QuickType) 및 맥OS용 사파리 드롭다운 메뉴에 있는 자동 채우기 프롬프트를 통해 2FA 코드를 자동 입력하는 기능을 지원했다. 애플은 iOS 15 및 아이패드OS 15, 맥OS용 사파리 15에서 2FA 시스템을 더욱 개선했다. 이제 애플은 구글이 처음 보급해 현재 널리 사용되고 있는 인증 코드인 TOTP(Time-based One Time Password)를 직접 지원한다. 참고로 TOTP 생성 시 무료 앱인 오시(Authy)를 사용하는 것이 더 좋다. 오시(Authy)가 구글 어센티케이터(Google Authenticator)보다 훨씬 더 유연하고 다른 장치와 안전하게 동기화되기 때문이다. 이밖에 원패스워드(1Password)와 다른 비밀번호 관리자도 TOTP 지원 기능을 추가했다. 애플이 자사 비밀번호 기능으로 TOTP를 지원하는 것은 좋은 현상이다. 아이클라우드 키체인(iCloud Keychain)을 활성화하면 연결된 모든 장치에서도 확인 코드가 안전하게 동기화된다. 몬터레이에서는 사파리>환경설정>암호 탭이나 시스템 환경설정의 ‘암호’ 섹션에 다른 비밀번호 관리자에 저장된 비밀번호를 추가할 수 있다. 이전 맥OS 릴리즈에서는 오직 이 방법을 통해서만 비밀번호에 액세스할 수 ...

애플 비밀번호 확인코드 2022.04.06

“2FA의 첫 출발은 보호 계층을 하나 더 추가하는 것”

온라인 계정을 해킹 당하는 사용자 수는 매일 수백만 명에 이른다. 비밀번호 목록은 다크 웹에서 거래되며, 악의적 사용자는 자동화 프로세스를 사용해 수많은 계정과 서비스에 이들 비밀번호를 대입한다. 정교한 피싱 공격은 정당한 서비스나 고객 지원으로 위장해 사용자에게 비밀번호 혹은 비밀번호를 초기화하는 데 필요한 정보를 밝히도록 유도한다.   명백히 이런 일을 방지하는 최고의 방법은 각 게정마다 강력하고 추측하기 어려운 비밀번호를 설정하는 것이다. 대표적으로 원패스워드(1Password), 라스트패스(LastPass), 대시레인(Dachlane)과 같은 훌륭한 비밀번호 관리자를 사용해 이런 작업을 관리할 수 있다. 하지만 보안이 우수한 비밀번호만으로는 충분하지 않다. 보호 계층이 하나 더 필요하다. 다시 말해, 2단계 보안 인증(Two-Factor Authentication, 2FA)을 설정해야 한다는 것이다. Macworld는 이미 애플 계정에서 2FA를 활성화하는 방법을 설명했다. 그렇다면 기타 다른 계정에서는 어떻게 2FA를 설정해야 할까? 이들 역시 매우 신중하게 보호돼야 한다. 2FA를 설정해 계정을 보호하는 방법은 다음과 같다.   2FA란 무엇인가? 2FA는 특정 계정의 소유자가 본인임을 증명하는 방법이다. 인증에는 3가지 주요 요소가 있다. 하나는 비밀번호나 PIN과 같은 지식 요소와 특정 번호로 발송된 텍스트를 수신하는 휴대폰, USB 키팝(Key Fob), 이메일 주소 액세스와 같은 소유 요소, 지문, 망막과 같은 사용자 고유의 것인 고유 요소가 바로 그것이다. 집 현관문을 생각해보자. 열쇠만으로 현관문을 열 수 있다면 1단계 보안 인증이다. 따라서 문을 여는 데 집 열쇠만 있으면 된다. 물리적 열쇠와 4자리 PIN을 입력해 문을 열어야 하는 경우는 2FA라고 할 수 있다. 경보 시스템을 설치하는 것은 기본적으로 2FA를 집에 추가하는 것이나 다름없다. 일부 기업은 이런 종류의 보안을 다단계 보안 인증(Multi-Fa...

2단계 인증 2FA 다중인증 2022.03.28

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.   보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다. 인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다. 자동화 봇을 이용한 소셜 엔지니어링 공격 이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다. 인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다. ‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확...

보안 이중인증 OTP 2021.09.30

"SSO란 무엇인가" SSO가 보안과 사용자 경험을 개선하는 방법

싱글사인온(Single Sign-On, SSO)은 하나의 로그인 인증 정보를 사용해 여러 애플리케이션에 접근할 수 있는 중앙화된 세션 및 사용자 인증 서비스다. SSO의 장점은 간편함이다. 지정된 플랫폼 하나에서 인증되면 이후 매번 로그인과 로그아웃을 반복할 필요없이 다양한 서비스를 사용할 수 있다.   잘 구현된 SSO는 생산성, IT 모니터링 및 관리, 보안 통제 측면에서 매우 유익하다. 관리자는 하나의 보안 토큰(사용자 이름/암호 쌍)으로 여러 시스템과 플랫폼, 앱 및 기타 리소스에 대한 사용자 접근을 활성화하거나 비활성화할 수 있다. SSO는 비밀번호 분실이나 취약한 비밀번호의 위험도 낮춰준다. 싱글사인온의 작동 원리 SSO를 구현하는 데 사용할 수 있는 표준은 여러 가지지만 기본 패턴은 동일하다. 핵심은 애플리케이션이 사용자 인증 책임을 다른 애플리케이션이나 서비스로 넘길 수 있게 해준다는 데 있다. 사용자가 로그인하는 애플리케이션 또는 웹사이트에는 이메일 클라이언트부터 은행 웹사이트, 네트워크 공유에 이르기까지 다양한 서비스 공급업체가 존재한다. 이와 같은 플랫폼에는 대부분 사용자 인증을 위한 자체적인 기능이 포함된다. 그러나 SSO를 사용하면 그 책임이 하나의 ID 공급업체(일반적으로 SSO 플랫폼 자체)에 주어진다.  사용자가 하나의 서비스에 접근하기 위해 로그인을 시도하면 서비스 공급업체는 ID 공급업체와 교신해 사용자가 주장하는 본인임이 입증됐는지를 확인한다. 서비스 공급업체는 인증과 관련된 매개변수를 둘 수 있다. 예를 들어 ID 공급업체가 이중 인증(Two-Factor Authentication, 2FA) 또는 생체 인증을 사용하도록 요구할 수 있다. ID 공급업체는 사용자에게 로그인을 요청할 수도 있고, 사용자가 최근에 로그인한 적이 있다면 다시 요청하지 않고 서비스 공급업체에게 최근에 로그인했음을 알릴 수도 있다. 서비스 및 ID 공급업체는 당사자 간 상호 신뢰를 위해 디지털 서명되는 작은 크기의 구조화된 ...

SSO 2FA ID 2021.05.13

IDG 블로그 | 애플도 모든 계정에 이중인증 자동 활성화해야

세계 비밀번호의 날(World Password Day)을 맞이에 구글이 적절한 복구 정보가 있는 모든 구글 계정에 이중인증(2 Factor Authentication)을 자동으로 활성화한다고 밝혔다. 용감한 행보이자 굉장히 반가운 소식이다. 그리고 필자는 애플 역시 이런 움직임을 따라야 한다고 생각한다.   구글, 사용자 계정에 '이중인증' 자동 활성화한다 2019년 5월을 기준으로 전 세계 구글 사용자는 15억 명으로 절대 적지 않은 숫자다. 이들 중 얼마나 많은 사람이 아직 2FA를 활성화하지 않았는지는 알려지지 않았지만, 필자는 아주 많다고 생각하며, 따라서 이번 결정은 수천만 명의 사용자에게 영향을 끼칠 것으로 보인다. 물론, 2FA를 원하지 않는 사용자는 비활성화할 수 있다. 하지만 이를 유지하는 사람이 더 많고, 구글이 자동으로 활성화하지 않았더라면 2FA를 영원히 사용하지 않을 사람들도 즉각적으로 추가 보호 장치를 갖게 된다.  구글은 2FA 정책의 장점을 다음과 같이 설명했다. "오늘날 비밀번호는 인증을 위한 효율적인 형식이 아니다. 많은 사람이 불편해하고 해커가 탈취하기도 쉽다. 과거에는 이중인증이 설정하기 복잡하고 힘들었지만 이제는 그렇지 않다. 많은 사용자가 계정 전반에서 인증의 두 번째 단계로 사용하고 있다. 이 자동화된 입력 과정은 우리가 이중인증을 사용하도록 도와줄 것이다. 물론 사용자는 이런 변화를 거부할 수 있다. 기존 보안 설정을 그대로 유지할 수 있다" 애플은 2FA를 초기에 도입한 회사 중 하나이며, 2FA는 애플 생태계의 열쇠인 애플 ID 계정 보호 장치 역할을 하기도 한다. 애플은 새로운 에어태그 추적기 등 여러 서비스에 2FA 보호 계층이 필요하다고 주장하며, iOS 13.4, 아이패드OS 13.4, 맥OS 15.4 이후에 생성된 계정에는 의무로 2FA를 사용하도록 하고 있다. 하지만 여전히 2020년 3월 이전에 생성된 계정 중 상당수가 2FA로 보호되지 않고 있다. 애플은 이들도 2FA를...

세계비밀번호의날 2FA 이중인증 2021.05.07

"계정부터 윈도우까지" 내 책상 위 개인정보 단속하는 5대 보안 수칙

요새 세상에서 개인정보 보호는 현명한 조치인 동시에 필수 조치다. 세상이 긴밀하게 연결될수록 개인정보의 가치는 더욱 중요해진다. 웹사이트 공격으로 유출된 정보를 사용해 피해자의 다른 계정을 해킹하거나 컴퓨터를 인질로 잡아 몸값을 요구하거나, 방법과 상관없이 악의적인 공격자는 주머니에 돈을 챙길 수 있다면 피해자의 하루를 망치는 데 주저함이 없을 것이다.  하지만 전혀 희망이 없는 것은 아니다. 몇 가지 기본 보안 원칙을 따르면 월드와이드웹에서 발견되는 대부분의 공격으로부터 사용자를 보호할 수 있다. 더 좋은 점은 이 5가지 쉬운 보안 작업을 설정하는 시간이 얼마 들지 않는다는 것이다. 지금 바로 실행하면 밤에 걱정을 덜고 잠자리에 들 수 있다.   1. 비밀번호 관리자 사용하기 가장 큰 보안 위험으로 비밀번호 재사용이 꼽힌다. 주요 웹사이트와 서비스에서는 놀랄 만큼 정기적으로 대규모 데이터 해킹이 보고된다. 여러 계정에 같은 이메일과 비밀번호를 사용하는 경우, 이 계정이 유출되면 공격자가 이 정보를 사용해 다른 계정을 해킹할 수 있다.  보유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 이런 위험을 방지할 수 있다. 하지만 계정을 만드는 모든 웹사이트마다 다른 임의의 비밀번호를 기억하는 것은 거의 불가능하다. 바로 이 부분이 비밀번호 관리자가 필요한 부분이다. 이러한 도구는 강력한 무작위 비밀번호를 생성하고, 정보를 저장하며, 웹사이트와 소프트웨어의 로그인 필드를 자동으로 채울 수 있다. 브라우저들은 기본적인 비밀번호 관리 도구도 제공하기 시작했다. 그러나 유사시를 대비하기 위함이지만 전반적으로 충분하지 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(특히 무료 버전을 제공하는 서비스가 많다).   2. 이중인증(2FA) 활성화 국제 생체 인증 표준 협회 FIDO 얼라이언스(FIDO Aliance)의 U2F 개방형 표준과 호환되는 USB 키 드라이브와 기타 소형 장치는 이중인증을 단순화할...

2FA 이중인증 비밀번호 2021.02.05

부활한 애플 ID 복구 키 옵션, 안정적 지원은 아직

iOS 14와 아이패드 OS 14에는 잘 눈에 띄지 않는 변경 사항 한 가지가 있다. 애플 ID와 연결된 복구 키 옵션을 다시 활성화한 것이다. 애플 생태계 전반에 사용되는 계정 시스템은 2FA(2-Factor Authentication)을 제공하는데, 로그인을 하려면 비밀번호와 함께 로그인할 계정에 연결된 디바이스 혹은 휴대폰 번호가 필요하다. 복구 키는 여기 위에 보호 계층을 하나 더 추가하는 개념이다. 우선 주의할 것이 있다. 애플은 복구 키를 설정할 수 있도록 iOS와 아이패드OS, 맥OS에 필요한 부분을 업데이트했다. 하지만 iOS 14와 아이패드OS 14가 배포된 지 몇 주가 지났고, 여러 지원 문서에 복구 키 동작 방식에 대한 세부 사항이 업데이트되어 있음에도 불구하고, 애플 ID 지원 사이트나 애플 지원 앱, 나의 찾기 앱은 복구 키와 관련해 옛날 정보가 그대로 남아있다.  애플이 생태계 전반의 지원 문서가 완전히 업데이트되기 전까지는 복구 키 옵션을 활성화하지 않을 것을 권한다.    액세스를 제한하는 새로운 복구키 애플 ID 복구 키를 활성화하면, 계정의 비밀번호는 신뢰할 수 있는 디바이스와 키가 없을 때 어떤 방법으로도 변경할 수 없다. 신뢰할 수 있는 디바이스란, 애플 ID로(맥 OS 계정으로) 아이클라우드에 로그인하고, 2FA에 등록된 디바이스다. 이는 누군가가 애플 ID 웹사이트 또는 애플 ID 복구 사이트를 통해 비밀번호를 변경하는 것을 방지하므로, 하이재킹을 방지하는 역할을 한다. 또한, 보안상의 이유로 애플이 애플ID를 잠근 경우, 복구 키를 사용해 애플 ID에 접근권한을 다시 얻을 수 있다. 애플 ID가 잠기는 이유에는 사용자 본인의 혹은 사용자가 제어할 수 없는 서드파티의 로그인 실패가 많은 경우가 포함된다. 잘못된 로그인을 시도했을 때 애플ID 계정 액세스를 비활성화하는 것은 DoS(Denial of Service)의 일종이지만, 애플은 패턴을 식별해 이런 공격 시도를 조용히 차단한다.&nbs...

애플ID 복구키 애플 2020.11.30

글로벌 칼럼 | 기업에서는 하드웨어 이중인증이 최선인가

피싱(Phishing)과 크리덴셜 스터핑(credential stuffing) 공격은 대기업에 있어 중대한 위협이지만 이중 인증(two-factor authentication, 2FA), 특히 하드웨어 2FA는 이런 공격을 크게 완화하는데 놀랍도록 효과적이다.   보유한 자원의 수준이 보통 이하이며 피싱에 성공해 직원의 계정 자격 증명을 훔친 공격자는 해당 직원이 하드웨어 2FA를 등록한 경우 절대로 빨리 움직일 수 없다. 인증 시 하드웨어 2FA 토큰을 물리적으로 보유하고 있어야 한다.  마찬가지로 공격자가 크리덴셜 스터핑 공격을 시도하면서 비밀번호를 재사용하는 경우, 하드웨어 2FA 토큰이 인터넷의 엄청난 백그라운드 공격 노이즈를 피하는데 매우 유용할 것이다. 또한 하드웨어 2FA는 소프트웨어 2FA(직원의 스마트폰에 있는 인증 앱 등)보다 훨씬 안전한 것으로 여겨지고 있으며 스마트폰 분실 또는 도난 시 더욱 저렴한 비용으로 교체할 수 있음은 말할 것도 없다. 인증 앱은 더 이상 효과가 없는가  공격자들은 이미 소프트웨어 기반 2FA를 우회하는 방법을 찾고 있다. 악성코드 연구원 클라우디오 가니에리는 최근 “지난해에 @AmnestyTech Security Lab이 대응하고 조사한 피싱 캠페인을 보면 최소한 비 U2F 다중 인증을 우회하는 기능을 제공하지 않는 것이 없었다”라고 말했다.  U2F(Universal 2nd Factor)는 하드웨어 2FA 토큰에 대한 개방형 표준이다. 공격자들이 발전하면서 SMS 기반 2FA에서 소프트웨어 기반 인증 앱으로 옮겨갈 수밖에 없었다(아직 SMS 기반 2FA를 사용하는 사람은 없을 것이다). 많은 사용례에서 U2F 기반 하드웨어 동글로의 전환은 현명한 것이었다. 하드웨어 2FA를 잡다 하드웨어 기반 2FA 토큰을 사용하는 것이 소프트웨어 기반 인증 앱보다 더 안전하지만 완벽하지는 않다. USB 펌웨어부터 7단계의 웹 브라우저까지 인증 스택의 복잡성 때문에 보안 결함이 없...

이중인증 2FA 2020.03.13

이중 인증을 우회하는 피싱 공격, "실행하기 더 쉬워졌다"…핵인더박스

연구원은 이중 인증(two-factor authentication, 2FA)을 우회할 수 있는 피싱 공격을 자동화하는 2가지 툴인 무레나(Muraena)과 네크로브라우저(NecroBrowser)를 발표했다. 대부분의 방어체계가 이를 막을 수 없다.    침투 테스터 및 공격자는 2FA를 회피하는 방식으로 피싱 공격을 자동화하는 데 사용할 수 있으며, 탐지와 차단이 쉽지 않은 새로운 도구를 보유하고 있다. 이 도구를 사용하면 공격을 훨씬 쉽게 배포할 수 있으므로 조직은 안티 피싱 교육을 적절하게 채택해야 한다.  지난 달 네덜란드 암스테르담에서 개최된 핵인더박스(Hack In The Box) 컨퍼런스에서 새로운 툴킷이 발표됐으며 이는 며칠 만에 깃허브(GitHub)에 출시됐다. 이 툴킷에는 2가지 구성요소가 있다. '무레나'라는 쉬운 리버스 프록시(Reverse Proxy)와 '네크로브라우저'라는 헤드리스 크로미움(Chromium) 인스턴스 자동화를 위한 도커 컨테이너다.    중간자(man-in-the-middle) 유형의 공격 대부분의 사람이 잘 알고 있는 기존 피싱 공격은 공격자가 제어하는 웹 서버에서 호스팅되고 대상 웹 사이트의 이름과 비슷한 이름으로 된 도메인에서 제공하는 가짜 로그인 페이지로 구성된다.  그러나 이런 정적 공격은 이중 인증을 사용하는 온라인 서비스에 대해서는 효과적이지 않다. 합법적인 웹 사이트와의 상호작용이 없기 때문에 일회용 코드 생성을 촉발시키지 않기 때문이다. 이런 코드가 없으면 공격자는 피싱한 자격 증명으로 로그인을 할 수 없다.  2FA를 극복하기 위해 공격자는 피싱 웹사이트를 프록시로 사용하고 피해자를 대신해 합법적인 웹 사이트에 요청을 전달하고 실시간으로 응답을 제공해야 한다. 최종 목표는 사용자 이름과 비밀번호만 얻는 것이 아니라 실제 웹 사이트가 로그인한 계정과 연결하는 세션 쿠키(session cookies)라고 하는...

이중인증 2FA Muraena 2019.06.05

업데이트 : “이중인증이 이중인증이 아닐 때” 애플 아이클라우드 인증의 보안 구멍

*2019년 4월 16일 업데이트 : 애플은 이 문제가 아이클라우드의 이중인증 시스템 때문이 아니라 브라우저가 처리되는 방식 때문이라고 설명했다. 애플 대변인은 브라우저는 별도의 신뢰할 수 있는 디바이스로 인식된다고 설명했다. 아이클라우드 계정과 애플 디바이스 간의 이중인증은 다른 디바이스와 계정 간의 이중인증과 매우 다르다. 애플 방식으로 아이폰이나 맥의 이중인증은 사용자가 소유한 디바이스에 종속되어 있고, 시스템 설정은 이론적으로 물리적인 시큐리티 키(security key)만큼 안전하다. 다만, 그렇지 않을 때가 있다. 예를 들어보자. 아이클라우드나 애플 뮤직 계정에 아이폰에서 로그인하려고 하면 먼저 암호를 입력해야 한다. 암호를 입력하면 신뢰할 수 있는 디바이스, 즉, 아이패드와 같은 디바이스로 전송된 코드를 입력해야 한다. 아이패드에서 누군가 자신의 계정에 로그인을 시도하고 있으며, 허용할 것인지를 묻는 창이 나타난다. 허용을 탭하면 6자리 코드가 나타나는데, 이것을 다시 아이폰의 코드 입력 창에 넣으면 된다. 코드를 받지 못하면(때때로 발생하는 현상) SMS 코드나 아이폰의 설정앱 혹은 환경 설정에서 생성되는 하나를 사용할 수 있다. 아이폰에서 아이클라우드 이름을 탭하거나 맥에서 계정 정보를 탭한 다음 ‘암호 및 보안’을 탭하고 ‘확인 코드 받기’를 탭하면 된다. 6자리 코드가 나타나면 이를 다른 디바이스를 통해 입력해서 인증할 수 있다. 애플이 기본적인 이중인증을 지원하는 것으로 보이며, 신뢰할 수 있는 디바이스를 우선순위에 두는 시스템에는 결함이 없다. 1대 이상의 iOS 디바이스를 사용할 때 최적이다. 두 번째 디바이스를 추가해서 사용자가 알고 있는 것(암호)과 사용자가 소유한 것(디바이스)를 결합하는 것은 진정한 이중인증이다.   애플 이중인증 시스템의 구멍 하지만 애플 디바이스를 1대만 갖고 있다면, 문제가 된다. 예를 들어, 아이폰이 유일한 애플 디바이스라고 한다면, 이중인증을 위...

보안 아이클라우드 이중인증 2019.04.16

"이중 인증이란 무엇인가"…필요한 이유와 이를 구현하는 방법

구글, 페이스북, 인스타그램 또는 자체 내부 계정을 통한 이중인증(two-factor authentication, 2FA)은 해커로부터 지켜줄 수 있는 보호 계층을 제공한다. Credit: Silberfuchs 로리 크래노르는 이중인증의 중요성에 대해 잘 알고 있다. 크래노르는 비밀번호와 보안을 전문으로 하는 카네기 멜론(Carnegie Mellon) 대학의 교수이자 미 연방통상위원회 CTO다. 그리고 크래노르는 가족들의 휴대전화 해킹의 피해자이기도 하다. 이제 그녀는 이중인증이 이를 막을 수 있다고 확신한다. 크래노르의 경험은 누구든 몸서리치게 만들기 충분했다. 2016년 여름, 누군가 이동통신 판매점에 들어와 자신이 로리 크래노르임을 확인했다. 그 사기꾼은 가짜 신분증을 제출했으며 그녀는 새로운 아이폰으로 업그레이드하고 싶다고 말했다. 그리고 크래노르의 가족 번호로 연결된 2개의 새로운 기기와 크래노르의 성이 남겨진 계산서를 갖고 판매점을 나왔다. 크래노르는 "이 경우 이동통신업체가 전화로 문자 메시지라도 보냈다면 문제가 발생하지 않았을 것이다. 그 도둑은 예전 전화기를 갖고 있지 않았다. 그건 내 손에 있었다"고 말했다. 현재까지 2FA는 주요 미국이동통신업체에서 여전히 인기를 얻지 못하고 있다. 이런 보안상의 약점은 직원 데이터가 단일 비밀번호로 보호되는 모든 회사에서 경종을 울리고 있다. 이중인증이란 2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 2FA의 예로는 고등학교 마스코트는 무엇입니까?와 같은 질문에 답하는 것이나 문자 메시지를 통해 수신된 인증 코드를 입력하는 것이 포함된다. 2FA를 사용하는 이유 최상의 보안 관행인 2FA의 개념은 새로운 것이 아니다. 구글은 2010년 기업 고객을 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년에는 모든 구글 사용자로 대상을 확대했다...

이중인증 2FA 2017.12.04

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.