Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

MFA

"CIAM 침해 수단으로 크리덴셜 스터핑 급증" 옥타 보고서

옥타의 새로운 보고서 2022 ID 보안 현황(The State of Secure Identity 2022)에 따르면, CIAM(Customer Identity and Access Management) 침해 수단으로 크리덴셜 스터핑(credential stuffing)이 급증하고 있다. 악성 봇과 자동화 툴, 비밀번호 재사용이 이런 현상을 부추기고 있다.   이번 보고서는 옥타의 액세스 관리 프랫폼 오스제로(Auth0)의 전 세계 고객이 자체적으로 보고한 데이터를 기반으로 작성됐다. 데이터 집계 결과, 오스제로 네트워크의 전체 트래픽 중 34%가 크리덴셜 스터핑 시도로 구성된 것으로 나타났다. 이는 약 100억 번의 시도에 해당한다. 크리덴셜 스터핑 공격이 하루에 3억 번 이상 치솟은 경우는 2022년 1분기에 2번 발견됐다. 또한 미국에서 발생한 전체 로그인 이벤트의 61%는 크리덴셜 스터핑인 것으로 나타났으며, 이런 계정은 2022년 3월 이후 85%로 급증했다. 크리덴셜 스터핑은 가입 공격(signup attack), MFA(multi-factor authentication) 우회 공격, 일반 트래픽, 실사용자의 로그인 시도 실패 이벤트보다 많았다.   CIAM를 노리는 공격자들 CIAM 서비스를 겨냥한 공격은 수동으로 실행된 공격부터 광범위한 자동화 기능과 무차별 대입 전술을 사용한 대규모 접근에 이르기까지 다양했다. 옥타의 보고서는 CIAM에 대한 공격을 사기성 가입, 크리덴셜 스터핑, MFA 우회 3가지 범주로 분류했다. 세션 하이재킹, 비밀번호 스프레이, 세션 ID URL 재작성 공격이 큰 비중을 차지했다.  보고서에 따르면, 사기성 가입 위협이 점차 커지고 있다. 오스제로는 에너지/유틸리티, 금융 서비스 부문에서 사기성 가입 비율이 가장 높았고 가장 두드러지는 위협이다. 반면 대부분 산업의 로그인 이벤트 중에서 크리덴셜 스터핑이 차지하는 비율은 10% 미만이었다. 로그인 시도는 소매/전자상거래, 금융 서...

옥타 오스제로 크리덴셜스터핑 2022.09.22

"이중인증이 능사는 아니다" 우버 해킹 사건이 주는 중대한 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관련 ...

2FA 우버 개인정보보호 2022.09.21

원격 데스크톱 프로토콜(RDP) 공격을 막는 3가지 방법

위협 행위자의 네트워크 원격 접근을 막기 위해 마이크로소프트에서 제공하는 기본 설정 및 새로운 기능 외에 사용자가 할 수 있는 방법을 살펴본다.  랜섬웨어가 시스템에 침입하는 (오래된) 한 가지 방법은 마이크로소프트의 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 공격하는 것이다. 수년 전 사무실 안팎에서 공유 원격 접근을 위해 마이크로소프트의 터미널 서비스를 사용했을 때, 위협 행위자는 TS그라인더(TSGrinder) 도구를 사용하곤 했다.    위협 행위자는 먼저 포트 3389에서 터미널 서비스 트래픽의 네트워크를 확인한다. 그다음 도구를 사용해 암호를 추측하여 네트워크 액세스 권한을 얻고, 관리자 계정을 노린다. 관리자 계정 이름을 변경하거나 터미널 서비스 프로토콜을 다른 포트로 이동하더라도 위협 행위자는 TCP/IP 트래픽을 스니핑하고, 트래픽이 어디로 이동했는지 식별할 수 있다.  위협 행위자는 RDP를 통해 여전히 원격 접근을 노리고 있다. 사람이 조작하는 랜섬웨어 기법을 통해 위협 행위자는 접근 권한을 얻은 다음, 더 높은 권한을 사용하여 네트워크에서 더 많은 액세스 권한을 얻는다. 여기서는 무차별 대입 공격 또는 기타 표적 원격 공격에서 네트워크를 보호하는 방법들을 소개한다.  빈 암호로 관리자 계정 사용 믿거나 말거나 이러한 공격을 막는 한 가지 방법은 관리자 계정에 빈 암호를 사용하는 것이다. 그룹 정책(Group Policy) 설정에서 ‘계정(Accounts) : 로컬 계정에서 빈 암호 사용을 콘솔 로그온 전용으로 제한(Limit local account use of blank passwords to console logon only)’을 활용하면 빈 암호를 통해 네트워크에 원격으로 액세스할 수 있는 기능이 차단된다. 물론 이상적인 보안 조치는 아니지만 서버 2003 이후 그룹 정책에서 쓸 수 있는 흥미로운 보호 기능이라고 할 수 있다.  윈도...

원격 접근 보안 원격 액세스 보안 네트워크 보안 2022.08.05

블로그ㅣ우리 회사 네트워크 인프라, 얼마나 보호하고 있는가?

필수적인 네트워크 인프라 보안 이니셔티브에는 일반 자격증명 제거, IT 관리자 계정 정기 감사, 인프라 접근용 MFA 구축 등이 있다.  네트워크 인프라 보호에 충분한 리소스를 투자하고 있는지 면밀하게 살펴봐야 할 때다(그리고 아마도 그렇지 않을 공산이 크다). 하이퍼 스케일러라면 네트워크 보안을 위해 할 수 있는 모든 일을 하고 있을 것이다. 하지만 이외의 거의 모든 기업은 ‘아니오’라고 가정하는 게 안전하다.    무조건 비난할 문제는 아니다. 대부분 이 문제는 가용 자원과 인지된 위험에 달려 있기 때문이다. 사이버 보안 예산은 물론이고 네트워크에서 발생할 수 있는 모든 위험을 처리하기에 인력과 시간도 너무 적을 때, 네트워크 사이버 보안 인력은 무엇에 집중할까?  대부분은 네트워크의 ‘내부(inward-facing)’보다 ‘외부(outward-facing)’에 집중하는 경향이 있다. 여기에는 2가지 큰 문제가 있다. ‘내부’가 흔들리고 있어서다. 즉, 기업 환경의 ‘내부’와 ‘외부’ 사이에 명확한 선을 긋기가 갈수록 어려워지고 있다. 그리고 ‘내부’에는 내부자 위협도 존재한다.  위험 평가를 수행할 때, IT 담당자가 인터넷과 직접적으로 연결되는 곳을 보호하는 것과 거의 동일한 방식으로 모든 네트워크 인프라를 보호해야 한다는 의미다. 다시 말해, 캠퍼스 스위치는 메인 인터넷 라우터 또는 애플리케이션 딜리버리 컨트롤러와 마찬가지로 엔터프라이즈 공격 영역의 일부다. 따라서 네트워크 보안 담당자는 네트워크 인프라 보안뿐만 아니라 전사 보안을 향상하기 위해 더 많은 시간을 투자해야 한다. 네트워크 인프라를 보호하는 4가지 원칙을 알아보자. 일반 자격증명 공유를 중단하라 이게 문제라는 걸 더 이상 말할 필요가 없다. 하지만 충격적인 수의 IT가 여전히 이러한 일을 하고 있다. 이를테면 스위치 관리 액세스 권한 등을 얻기 위해 네트워크 직원이 필요에 따라 로그인할 수 있는 계정이 있거나 때로는 이러한 계정이 여...

네트워크 인프라 네트워크 보안 자격증명 2022.07.19

"사일로, 사각지대…" IAM 전략의 문제를 드러내는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 오랜 역사에도 불구, 여전히 실수가 발생할 가능성이 있으며, 특히 기업이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 브레츠만은 기업이 보통 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 정도의 대응을 한다고 언급했다. 그러나 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. 직원 및 비즈니스 파트너...

ID 및 액세스 관리 IAM 인증 2022.07.08

마이크로소프트 네트워크를 위한 '다중인증' 도입 베스트 프랙티스

마이크로소프트가 마이크로소프트 365 보안 기본값을 변경해 MFA(Multi-Factor Authentication) 의무화를 기존 고객까지 확장한다. 마이크로소프트는 “해킹된 계정을 조사한 결과, 99.9%는 MFA 인증을 거치지 않아 비밀번호 스프레이 공격, 피싱, 비밀번호 재사용에 취약한 것으로 나타났다. 사용 패턴에 따라 보안 기본값에 적합한 조직에서 MFA 의무화를 시작한다. 특히 조건부 액세스를 사용하지 않거나 과거에 보안 기본값을 사용한 적 없고 레거시 인증 클라이언트를 적극적으로 사용하지 않는 고객부터 시작할 예정이다”라고 말했다.    마이크로소프트는 글로벌 관리자에게 이메일로 적합한 테넌트를 통지할 예정이다. 마이크로소프트는 “보안 기본값이 활성화되면 테넌트의 모든 사용자는 MFA 등록 요청을 받는다. 등록 유예 기간은 14일이다. 사용자는 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱으로 등록해야 하며 글로벌 관리자는 추가로 전화번호를 입력해야 한다”라고 설명했다. 따라서 아직 MFA를 배포하지 않은 기업은 지금이 적기다. 사이버 공격자는 피싱 공격을 사용해 보호되지 않는 계정을 추적하므로 MFA는 계정 액세스를 보호하는 핵심적인 방법이다. 물론 위험을 감수하기로 한 경우에는 MFA를 비활성화할 수 있다. 그러나 이는 피싱 캠페인의 가장 쉬운 표적이 될 것이라는 의미이기도 하다. 사용자 계정과 로그인은 수많은 네트워크 공격에 대한 새로운 진입점이다.   MFA 프로세스 선택하기 MFA 배포는 곧 지원하는 인증 프로세스를 선택하는 것이다. 여러 연구원은 SMS 메시지가 안전하지 않다고 주장한다. 수년 전 리버스 프록시 컴포넌트를 사용해 SMS 기반 MFA를 우회한 공격 사례가 있었다. 실제로 MFA는 충분히 안전하기만 하면 그만이다. 많은 보안 관련 결정과 마찬가지로 기업은 가장 우수하고 충분한 보안을 필요로 하는 인력에 대해 위험 분석을 수행해야 한다. 예컨대 직원 중...

다중인증 이중인증 MFA 2022.06.09

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

MFA 솔루션 선택 방법과 대표적인 멀티팩터 인증 제품 8선

크리덴셜(Credential) 기반 공격이 점점 더 정교해지고 있다. 고급 피싱 기술, 크리덴셜 스터핑(Credential Stuffing), 심지어 소셜 엔지니어링이나 서드파티 서비스 침해를 통한 크리덴셜 손상 등으로 인해 크리덴셜은 기업 시스템을 방어하는 데 있어 가장 취약한 지점이 됐다. 이런 모든 공격은 합법적인 보안 조치로 만료 일자가 지난 기존 크리덴셜, 사용자명 및 비밀번호가 대상이다. 접근 보안을 강화하는 확실한 방법은 다중 인증(Multi-Factor Authentication, MFA)이다.   보안 전문가들은 제어가 필요하다고 입을 모은다. 물리적 보안에서는 진입 지점을 제한해 제어를 얻는 경우가 많다. 내부로 들어가는 곳을 한 곳으로 모으면 보안 인력이 ID를 확인하거나 사람들에게 금속 탐지기를 통과하도록 할 수 있다. 인터넷과 웹 기반 앱이 폭발적으로 증가하기 전에는 회사 디렉터리가 하나의 디지털 진입 지점이었다. 직원들은 단일 크리덴셜을 사용해 회사 리소스를 인증하고 비즈니스 앱에 접근했다. 현대의 인프라와 웹 기반 비즈니스 애플리케이션 때문에 보안 상태를 유지할 수 있는 전문 도구가 없으면 이런 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다. MFA는 인증 프로세스를 상당히 개선한다. 첫 번째가 스마트폰, 하드웨어 MFA 토큰, SMS 또는 이메일 기반 인증 코드 등 추가 팩터 자체다. 인증 프로세스는 피싱이나 기타 악의적인 기법을 통해 손상될 수 있는 사용자 이름 및 비밀번호와 같은 지식 기반 요소에 더 이상 의존하지 않는다. 추가 MFA 팩터를 활용하는 인증 시도에는 손상된 사용자 이름 및 비밀번호의 영향을 최소화하기 위해 등록된 기기 사용자로부터의 상호작용이나 물리적 하드웨어 기기가 필요하다. MFA 솔루션의 선택 보안 조치와 관련해 까다로운 부분은 최종 사용자를 위해 편리하거나 최소한 효율적으로 보안을 유지하는 것이다. 가장 나쁜 방법은 사용자가 회사 리소스에 접근할 수 없거나 시행 중인 보안 조치를 우회...

MFA Cisco Duo ESET Secure Authentication 2021.10.21

비밀번호에 대한 소비자 인식, 더욱 혁신적인 인증을 받아들일 준비가 됐다

여러 연구 보고서에 따르면, 소비자는 좀 더 혁신적인 인증 절차를 받아들일 준비가 됐다.    사이버 공격을 막기 위해 고객 인증 절차를 강화하려는 CISO는 최종 사용자에게 너무 복잡하거나 혼란스럽거나 부담되지 않으면서 엄격한 보안을 제공할 수 있는 방법을 원한다. 또한 도전 질문이나 안면 인식과 같은 접근 방식에 있어 개인정보보호에 대한 문제도 고려해야 한다. 소비자의 태도는 항상 변하기 때문에 고객에게 가장 적합한 인증 방법을 선택하는 것은 매우 중요한 일이다. 이에 팬데믹은 매우 큰 영향을 미쳤다. 소비자들은 매장 내 쇼핑을 할 수 없게 되자 온라인 소매로 전환했다. 전문가에 따르면, 소비자는 식품과 같은 것을 디지털로 구매하는 것이 익숙해지면서 모바일 뱅킹이나 디지털 지갑과 같은 다른 형태의 디지털 상거래에도 더 익숙해졌다.  그러나 세대별 차이는 분명 존재한다. 예를 들어, 페이먼트닷컴(PYMNTS.com)과 노크노크(NokNok)에 따르면, ‘디지털 네이티브’ 세대의 소비자는 쇼핑 사이트, 결제 수단, 은행과 같은 여러 플랫폼과 모든 기기 간에 원활하게 이동할 수 있기를 기대한다. 이런 초연결 고객은 비밀번호 없는 인증(passwordless authentication)과 같은 혁신적인 보안 초치에 좀더 개방적이다.  관련 연구진들이 공통으로 인식하는 한 가지는 비밀번호가 가장 성가신 인증 방법이며, 최소한의 보호만 제공한다는 것이다. 소비자는 기업이 비밀번호 기반 인증에서 생체 인식(지문 또는 안면 인식) 다단계 인증(MultiFactor Authentication, MFA) 또는 사용자가 볼 수 없는 인증 방법과 같은 좀 더 현대적인 대안으로 전환하기를 원하고 있다.    소비자, 보안을 최우선으로 한다  신용정보기관 익스피리언(Experian)의 2021 글로벌 ID 및 사기 보고서에 따르면, 응답자의 55%가 온라인 거래를 할 때 보안이 최우선이라고 답했다. 익스피리언이...

비밀번호 보안 생체인식 2021.10.01

보안에 능숙한 매니지드 서비스 업체를 찾는 방법

미국 CISA(Cybersecurity and Infrastructure Security Agency)가 ‘매니지드 서비스 업체 고객을 위한 위험 고려사항(Risk Considerations for Managed Service Provider Customers)’이란 문서를 발표했다. CISA는 MSP 선택에 있어서 네트워크 관리자의 역할을 인정했다. 이 문서에는 컨설턴트를 이용하는 중소기업을 위한 전반적인 지침에 포함되어 있지만, 일부 권고사항은 필자가 알고 있는 SMB 환경과 일치하지 않는다.    특히, CISA는 “SMB는 어떤 자산이 가장 중요한지 목록을 작성하고 이런 자산에 대한 위험을 특징지어야 한다. 이를 통해 조직은 서비스 업체 계약 시 포함시키거나 제외할 자산의 우선순위를 결정하고, 이런 자산에 영향을 미치는 사고에 대한 구체적인 비상 계획을 세울 수 있다”고 설명했다. 많은 중소기업이 항상 기술 자산으로 인한 위험을 인지하고 있는 것은 아니다. 비즈니스적 필요로 인해 기술 자산을 구매하는 경우가 많다. 이런 필요가 충족되는 한 자산의 위험은 분석되지 않는다. 컨설턴트가 찾아와 기술 자산의 변화를 권고하는 경우가 많다.    MSP가 제공하면 좋은 것 CISA는 고용 조직이 MSP로부터 구체적인 계약 및 SLA를 확보할 것을 권고한다. 또한 MSP가 다음과 같은 사항을 제공할 것을 권고했다.    사고 관리 지침  MSP가 알려진 위험을 완화하기 위해 취할 조치  여러 고객의 데이터가 MSP의 네트워크에서 어떻게 분류 또는 분리되는지에 관한 설명  MSP가 처리하는 로그 및 기록 유지보수에 대한 지침  지적 재산 도난의 위험을 최소화하기 위한 직원 조사에 대한 문서  고객이 계약된 서비스에 직간접적으로 영향을 미치는 시스템을 검사하는 능력  원활한 서비스 통합을 지원하기 위한 전환 계획  계획된 네트워크 고장...

매니지드서비스 MSP MFA 2021.09.17

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA 2021.06.08

윈도우 원격 데스크톱 환경을 보호하는 방법

공격자는 원격 접근(remote access)을 통해 시스템에 침투하는 경우가 많다. 최근 공격자들이 미국의 정수 처리장 소프트웨어를 장악해 시스템에 투입되는 화학약품의 양을 변경한 사건이 발생했다. 정수 시스템 제어에 사용된 컴퓨터는 패치되지 않은 윈도우 7에서 팀뷰어(TeamViewer) 데스크톱 공유 소프트웨어를 사용했던 것으로 알려졌다. 화학약품 투입량 변경은 빠른 시간 내에 파악되어 원상 복구됐지만 다른 영역도 이런 원격 공격을 받을 수 있음을 인지해야 한다.   원격 작업 시대를 맞아 원격 접근이 필수 요소가 되면서 접근권한을 모니터링하고 원격 접근을 안전하게 보호해야 할 필요성도 커졌다. FBI는 원격 접근 보호를 강화하기 위한 다음과 같은 단계를 취할 것을 권장했다. 다중 요소 인증(MFA) 사용 강력한 비밀번호로 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 인증 정보 보호 안티바이러스, 스팸 필터, 방화벽을 최신 상태로 유지하고 올바르게 구성 네트워크 구성을 감사하고, 업데이트가 불가능한 컴퓨터 시스템을 격리 네트워크에서 RDP를 사용하는 시스템을 감사하고 사용되지 않는 RDP 포트를 닫고 가능한 모든 경우 MFA를 적용하고 RDP 로그인 시도를 로깅 모든 원격 연결 프로토콜의 로그 감사 소셜 엔지니어링 시도를 식별하고 보고하도록 사용자 교육 비정상적인 행동을 보이는 사용자의 접근을 식별해 유예 조치 소프트웨어 업데이트 최신 유지  이 조언에 따라 윈도우 네트워크를 더 잘 설정하는 방법을 소개한다. 원격 데스크톱 감사 활성화 윈도우 원격 데스크톱 연결은 비교적 쉽지만 시스템의 로그 파일 깊은 곳에 묻혀 있다. 다음 경로를 순서대로 따라가면 된다.     “Applications and Services Logs” “Microsoft” “Windows” “Terminal-Services-RemoteConnectionManager” “Opera...

윈도우 윈도우원격접근 다중요소인증 2021.03.08

‘심각하지만 흔한’ 클라우드 보안 실수 10가지

클라우드 환경은 보안 측면에서 유리한 측면을 가진다. 소규모 기업이라면 특히 그렇다. 그러나 클라우드를 제대로 구성하지 않는다면, 또 모니터링과 패칭 작업을 제대로 하지 않는다면 이러한 강점은 빛이 바랜다.  사실 완벽하게 클라우드를 구성하기란 현실적으로 불가능하다. 누구나 자격 증명을 느슨하게(또는 아예 없이) 클라우드 서버를 구성하고 서버를 느슨하게 배치할 수 있다. 또는 취약점이 발견되었을 때마다 소프트웨어를 최신 상태로 유지하기도 어렵다. 이런 상황이 너무 흔하다. 실제로 어큐릭스(Accurics) 및 오르카 시큐리티(Orca Security)의 조사에서는 다양한 구멍이 발견됐다. 이를테면 응답자 가운데 93%에게서 스토리지 서비스 구성이 잘못됐음이 드러나기도 했다. 보편적인 10가지 실수를 관해 알아본다.   방치된 스토리지 컨테이너 개방된 클라우드 서버에서 데이터 캐시를 발견한다. 거기에는 고객에 관한 온갖 기밀 정보가 포함되어 있을 수 있다. 보안 연구원들에게는 흔한 사례다. 예를 들어, 에이본(Avon)과 ‘Ancestry.com’의  컨테이너가 공개된 채 발견했다. 심지어는 보안 재판매업체인 SSL247마저도 자사의 파일을 공개된 AWS S3 컨테이너에 방치하고 있었다. 업가드(UpGuard)의 크리스 비커리는 이런 것들을 발견하면서 유명해졌다. 업가드의 블로그에 보면 모두 확인할 수 있다. 공개되어 있는 스토리지 컨테이너는 개발자들이 대충 생성하고 가끔 잊어버리기 때문에 발생한다. 클라우드 스토리지가 너무 저렴한데다 생성하기 쉽기 때문에 나타나는 부작용이다. 해결책 : ‘Shodan.io’ 또는 ‘BinaryEdge.io’ 같은 인기 디스커버리 도구를 사용하여 도메인을 정기적으로 확인한다. 또 CSO가 이전에 밝혔던 컨테이너 보안 개선에 관하여 했던 조언을 살펴본다. 여기에는 네이티브 도커 도구 사용과 Inspector, GuardDuty 및 CloudWatch 같은 아마존의 클라우드 네이티브 솔루션이 ...

클라우드보안 데이터보안 스토리지컨테이너 2020.09.15

글로벌 칼럼 | 코로나19로 더욱 분명해진 다중인증의 허점

모두가 알고 있는 그 사태로 인해(더 이상 그 이름을 말하고 싶지 않다) 기업은 불과 며칠 만에 많은 직원을 홈오피스로 보내야 했다. 당연히 철저히 검사해야 할 애플리케이션의 RFP를 적절하게 처리하는 등의 보안 정확성을 확인할 시간은 없었다. 비상 사태라는 점을 고려하면, 직원과 IT 부서는 상황이 허락하는 만큼 즉각적으로 보안을 개선할 수 있는 것을 파악해서 할 수 있는 만큼만 해야 했다.   여기서 등장하는 것이 다중인증(MultiFactor Authentication, MFA)이다. MFA는 안전할 것으로 생각되지만, 보통은 그리 안전하지 않은 방법으로 적용된다. 단순 숫자/문자를 모바일 디바이스로 전송하는데, 중간자(Man-in-the-Middle) 공격에 쉽게 당하는 방식이다. 과연 현재처럼 이상적인 조건과는 거리가 먼 상황에서 MFA를 좀 더 안전하게 배치하는 방법은 없을까? 살펴보자. 우선, 숫자/문자는 중간자 공격이 아니라도 몇 가지 방법으로 쉽게 손상될 수 있다는 것을 주목해야 한다. 블랙베리의 제품 관리 담당 수석 부사장 존 헤레마는 “2FA(Two Factor Authentication, 이중인증) 전달 채널로 사용되는 SMS는 사이버 공격자의 주요 공격 대상이자 쉽게 손상된다는 것은 확인된 사실이다. 이유는 SMS가 2FA 전달에 사용되고 있으며, 뱅킹이나 페이팔 같은 공격 가치가 높은 앱이나 서비스에 사용된다는 것이 잘 알려져 있기 때문이다”라고 지적했다.  공격 방법은 기술적인 방법과 소셜 엔지니어링을 결합해 사용하는데, 가짜 사이트와 피싱 공격의 결합이 이용되기도 한다. 헤레마는 “어떤 2FA라도 좋지 않다. 따라서 어떤 2FA가 좀 더 나은지가 아니라 이렇게 공격 받기 쉬운 곳에 사용할 수 있는 최첨단 방식이 있는지를 물어봐야 한다. 은행 액세스를 보호하는 것은 유튜브 계정을 보호하는 것과는 다르다”고 강조했다. 헤레마가 페이팔을 언급한 것이 흥미롭다. 왜냐하면, 페이팔은 두 가지 서로 다른 MFA 접근...

재택근무 홈오피스 OTP 2020.04.14

소셜 엔지니어링 공격에 당하고 있다는 10가지 신호

피싱(phishing)과 소셜 엔지니어링(social engineering)은 가장 기본적인 공격 방법이며, 컴퓨터가 발명된 이래로 거의 지속적으로 사용됐다.  1980년 대 초, 필자는 인터넷이 인터넷이기 전에 “HowtoGetAFreeHSTModem(HST 모뎀을 공짜로 얻는 방법)”이라는 텍스트 파일을 발견했다. 필자는 HST 9600 모뎀이 매우 탐났으며 텍스트 파일을 빨리 열었다. 그러자 “훔쳐라, 이 바보야”라는 텍스트가 나타났다. 해당 텍스트 파일을 닫기 위해 재빨리 esc 키를 눌렀다.  일반 텍스트 파일에는 보이지 않는 ANSI 제어 코드가 포함되어 있는데, 키보드에서 다음에 누르면 하드드라이브를 포맷했다. 그 이후로 필자는 2가지를 배웠다. 하나는 해커가 텍스트 파일을 사용해 공격할 수 있으면 모든 디지털 콘텐츠를 사용할 수 있다는 것과 또 하나는 적절하게 배치된 메시지를 통한 소셜 엔지니어링 공격으로 누구나 속일 수 있다는 것이다.    소셜 엔지니어링 공격을 받고 있다는 10가지 신호는 다음과 같다.  1. 로그온 정보 요청  소셜 엔지니어링의 가장 큰 특징은 로그온 정보를 요청하는 이메일, 웹사이트 또는 전화다. 그들이 로그온 정보를 요청하면 그들은 피해자를 상대로 이를 사용해 계정에 로그인하고, 제어하고, 피해자나 피해자의 조직에 대해 조치를 취한다. 구글과 마이크로소프트는 매일 수백만 건의 이메일 계정과 싸우고 있다.  위험을 줄이는 한 가지 방법은 다단계 인증(Multi Factor Authentication, MFA)이나 비밀번호 관리자(password manager)를 사용하는 것이다. 사기꾼은 사용자가 갖고 있지 않거나 모르는 비밀번호를 피싱할 수는 없다.  불행히도 MFA 솔루션은 모든 곳에서 작동하는 것이 아니며, 비밀번호는 오랫동안 우리 곁에 있을 것이다. 또한 모든 MFA 솔루션은 여러 가지 방법으로 해킹될 수 있다. 필자는 MFA를 해...

소셜엔지니어링 피싱 MFA 2019.09.24

"AB가 해킹을 차단해주지 않는다" 해킹을 비용효율적으로 방지하는 방법

"AB(Assume Breach)"는 기업이 이미 해킹을 당했거나 공격자에 의해 해킹을 당할 수 있다는 전제를 기반으로 한 사이버보안 방어 전략이다. 대부분의 기업과 조직은 해킹이 쉽기 때문에 이런 접근방식은 매우 유용하다. 하지만 반드시 그런 것은 아니다.   일부 고위 임원들은 이해가 되지 않을 수 있지만 조직을 해킹하기 매우 어렵게 만들 수 있다. 사실 일련의 방어책으로 사이버보안 위험을 크게 낮출 수 있다. 여기에는 ▲소셜 엔지니어링 및 피싱 대응 개선 ▲공격당할 가능성이 높은 소셜 엔지니어링 패치 개선 ▲모든 로그온에 MFA(Multi-Factory Authentication) 요구하기 등이 포함된다. 그렇다고 해서 공격을 모두 막을 수 있다는 것은 아니지만 위험은 감소한다. 그런데, 얼마나 감소하는 것일까? 설문조사에 따라 다르지만 모든 사이버 공격의 최대 91%는 피싱에 성공하면서 시작된다. 효과적인 소셜 엔지니어링 인식 프로그램으로 얻을 수 있는 이점이 무엇일지 생각해 보자.  필자의 경험상 이 3가지를 모두 제대로 하면 사이버보안 위험이 99% 감소한다. 사후 방어 전략인 AB 전략으로는 불가능하다. AB 전략은 단지 침입한 악당을 조기에 탐지하고 확산을 제한해 피해를 최소화하는 것일 뿐이다. 더 이상 해킹을 당하고 싶지 않다면 처음부터 해킹을 당하지 않는 것에 집중해야 한다. 향상된 보안 모니터링, 도메인 격리, 침입 탐지 등 AB 전략을 버릴 수는 없다. 안타깝게도 최근 대부분의 조직은 해킹 방지 전략 대신에 AB 방어책에 더 많은 돈을 지출하고 있다. 패치 및 소셜 엔지니어링과 피싱 방지 프로그램, 가장 비용효율적  앞서 설명한 3가지 방어책 가운데 2가지인 소셜 엔지니어링 대응 및 소셜 엔지니어링 패치는 비용이 높지 않다. 이미 비용을 지불했을 수도 있다. 단지 더 잘하면 된다. 위험의 90% 이상을 구성하는 이 두 가지 문제에 대해 IT 보안 예산의 5% 이하를 지출하고 있을 가능...

AB 소셜엔지니어링 해킹 2019.04.26

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.