주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ BaroSolution/기술문서

새로운 사이버 보안 위협에 대한 대안은 "2단계 인증" 설정

누리아이티 2021. 5. 9. 17:48

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것"

 

보안 사고는 이제 삶의 일부가 되어버렸다. 온갖 보안 수칙들이 등장하고 보호 기술들이 나오고 있지만 아직 사이버 공격과 보안 사고로부터 완전한 면역력을 갖춘 조직은 하나도 없다.

 

오히려 디지털 데이터에 대한 의존도가 높아지고 원격 근무 체제가 확산되면서 사이버 공격의 위험에 더 크게 노출된 상태다.

5G 환경이 전세계적으로 구축되면서 더 많은 디바이스와 네트워크들이 연결되고 있다. 그에 따른 사이버 위협 또한 증가하고 있는게 현실이다.

사이버 위협 환경이 계속 진화하면서 어느 한 산업 분야에 국한되지 않고 모든 산업권을 대상으로 매일 새롭고 다양한 방식의 공격으로 실행되고 있다. 공격 기법은 점점 고도화되어 기존의 대응 체계를 우회하는 지능형 위협으로 발전되고 있다.

 

더욱이 랜섬웨어와 같이 금전적인 이익이나 정치적인 목적으로 공격을 가하기 때문에 장시간의 걸친 치밀한 준비와 막대한 피해를 유발하는 파괴력을 지니고 있다.

 

코로나19 사태 장기화가 사이버 보안 분야에도 영향을 미친다. 예전과 다른 형식의 보안위협이 등장하는 등 해커의 공격이 다양화한다.

코로나19로 백신에 대한 기대감이 커진 만큼 백신 연구를 노린 해킹도 급증했다. 주요 백신 연구 기관 및 제약 회사, 세계보건기구(WHO), 유럽의약청(EMA) 조직 및 관계자를 노린 위협이 줄을 이었다.

실제로 공공기관이나 기업 또는 지인으로 가장하거나, 업무 메일(이력서, 연말정산, 연봉계약서 등등)로 위장해 열람을 유도해 해킹 사이트로 접속하게 하는 해킹 메일이 판을 친다.

해커들은 코로나19 이슈를 악용해 사람들이 관심 있어 할 내용(치료법, 확진자 동선, 재난지원금 관련 등)으로 열람을 유도해 악성 프로그램을 전산망에 심기도 한다.

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.

 

Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.

 

KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다.

 

구글이 곧 모든 구글 계정에 이중인증을 도입할 예정이다. 구글은 오래 전부터 비밀번호를 퇴출(비밀번호를 대체)시켜야 한다는 스탠스를 취해 왔었다. 이중인증 역시 그런 차원에서 도입하려는 것으로 보인다. 

 

금융감독원은, '전자금융감독규정' 개정안 규정 변경 예고(2024.2) 했는데, 사용자 비밀번호 설정 방식을 구체적으로 특정하던 규정을 삭제하고 금융회사 스스로 안전하다고 판단되는 비밀번호와 인증수단 관리 방식을 도입할 수 있도록 허용했다.

 

최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다. 범죄자들 역시 피해자의 위치에 상관없이 공격을 감행한다. 직원 역시 고객임을 기억하는 것이 중요하다.

 

지금쯤이면 누구나 한 번쯤 ‘복잡한 비밀번호 생성 규칙’ 때문에 짜증이 나 본 적이 있을 것이다. 
 
이는 ‘문제의 본질을 이해하지 못한 상태에서 나온 정책’의 폐해를 드러내는 사례다. 
 
비밀번호를 강력히 해야 한다는 표면의 내용만을 가지고 사용자들에게 모든 부담을 전가하는 게 바로 이 ‘과도하게 복잡한 비밀번호 생성 규칙’이고, 사실 보안에 유의미한 도움이 되는 것도 아니다.

 

또한, SMS 통한 인증코드 전달하는 방식을 본인이 직접 인증코드를 생성해서 입력하는 방식으로 개선하면 사이버 범죄를 예방하는 효과가 있다.

 

기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 2차 인증(추가 인증)를 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다.

 

 

또한, 공공기관 및 일반기업이 서버, PC, 어플리케이션, 이메일 등에 정보자산의 보안 강화를 위한 2차 인증(추가 인증) 솔루션을 도입한 이유이기도 하다.

 

정보자산의 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 2단계 인증(2차 인증추가인증) 솔루션의 적용은 선택이 아닌 필수로 보다 더 안전하게 정보자산을 보호할 수 있다.

 

 

간편성과 편리성을 내세운 별도 인증서버를 필요로 하는 인증서버 방식인 Gateway(+Proxy) 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회접속 및 원격 접속이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다. 

 

제일 큰 문제는 빈번하게 발생하는 통신 장애 또는 보안 지역에서 인증 서버와 통신할 수 없어서 인증을 받을 수 없다는 점, 인증 폭주로 인하여 인증 속도가 저하된다는 점, 인증 서버에 장애가 발생하면 관련 서비스가 모두 중단된다는 점이다.


보안 솔루션은 내가 접속하고자 하는 장비에 설치가 되어야 하며, 접속하고자 하는 장비에서 인증을 해야 한다.

 

현재, 정보자산(H/W, S/W)에 대한 정보자산의 보안은 반대로 되어 있는게 현실이다.
 
예를 들어, 아파트를 출입하는 1층에 Lock이 있고, 실제 집의 출입문에는 Lock이 없는 누구나 맘대로 들낙거릴 수 있는 오픈되어 있는 구조이다.
  
이 구조로는 도둑이 1층 출입문만 통과하면 실제 집의 출입문에는 열러 있는 구조라 얼마든지 이집 저집 이방 저방을 다니면서 생명과 재산에 피해를 볼 수 밖에 없다.
  
생명과 재산을 그나마 보호 받을려면 1층 출입문 뿐만 아니라 각 집마다 출입문에 Lock이 설치 되어 있어야 한다.
  

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.