"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것"
사이버 보안(Cyber security)이란 인터넷상의 해킹, 정보의 유출, 사이버 테러, 금융 사고 따위의 위험으로부터 사용자의 자산을 지키기 위하여 시행하는 모든 일을 의미한다.
사이버 환경에서 네트워크 운영상의 위험으로부터 조직과 사용자 자산을 보호하기 위해 사용하는 기술적 수단, 보안 정책, 개념, 보안 안전 장치, 가이드 라인, 위기 관리 방법, 보안 행동, 교육과 훈련, 모범 사례, 보안 보증, 그리고 보안 기술 등의 집합. 사이버 보안은 사이버 환경에서 다양한 보안 위협으로부터 조직과 사용자 자산의 운영 영속성을 보장한다. 일반적인 보안 목표는 가용성, 메시지 인증, 부인 방지를 포함한 무결성, 그리고 기밀성이다.
사이버 보안이 국가 안보와도 직결되는 만큼 정보 보안 산업의 중요성은 재론의 여지가 없다.
전세계적으로 경제활동을 비롯해 사회 전반에 걸쳐 디지털 전환이 일어나면서 특히 작년부터 급격히 늘어난 재택근무, 원격수업 덕분에 사이버 보안 분야에서 광범위한 수요가 촉발됐다. 재택근무에 이용되는 직원의 VPN 계정정보를 획득하고 보안 취약점을 이용해 기업 내부망에 접근하거나, 원격수업 파일 다운로드를 통해 랜섬웨어를 공격하거나 첨부파일을 이용해 악성코드 감염을 유도하는 등의 형태로 보안 사각지대를 노린 사이버 위협이 증가한 것이다.
코로나 사태로 많은 사람들이 재택근무, 원격수업을 시작하면서 많이 사용되는 솔루션은 VPN, VDI, SSO, 화상 회의 등 중에도 SSO 솔루션을 주목할 만하다. 하지만 SSO에는 중요한 결함이 있을 수 있다고 한다. “어떤 기업의 경우, 사용자가 SSO 인프라에 로그인하고 나면 중요한 자산에 접근할 때도 다시 인증을 할 필요가 없도록 인프라를 구성했다. 이럴 때 공격자가 저단계 장비에 SSO로 접근하는데 성공함으로써 민감한 정보 등에도 접근할 수 있게 된다. 즉 권한 상승 공격과 같은 효과가 발생하는 것이다.”
이런 경우 아이덴티티를 기반으로 인증 구조가 짜여져 있지 않다는 것이 치명적인 약점이 있다. “즉 다중 인증의 기본 구조가 되어야 할 제로트러스트가 결여되어 있다는 것이다. 그저 여러 장비와 서비스에 편리하게 로그인 되어야 한다는 필요만 만족시키는데 집중해 있기 때문이다.”
뿐만 아니라 디지털 전환의 핵심 기반기술이라고 볼 수 있는 클라우드 서비스 사용이 증가하면서 클라우드 서비스를 대상으로 한 공격도 함께 증가해 사이버 보안에 대한 필요성은 더욱 커졌다.
"전세계 기업들은 이제 상용 기성 소프트웨어(COTS)를 구매하는 대신 서비스로서의 소프트웨어(SaaS)를 채택하고 있다. SaaS를 사용하는 기업들은 자체 데이터센터에서 실행하지 않고 클라우드에서 애플리케이션을 호스팅하기 위해 SaaS 공급업체에 의존하고 있는 바, 대부분의 기업은 결국 SaaS 접근 방식에 내재된 사이버 보안 위험에 직면하게 된다. 기업 관점에서 보면 보안과 관련해 고객 중심적인 접근 방식을 취하고 제품의 보안기능을 더 쉽게 이해할 수 있는 서비스를 제공하는 업체들이 경쟁력이 있다. 한국의 기업들이 미국 시장에 진출하기 위해서는 이러한 전반적인 시장 흐름에 대한 정보 조사가 무엇보다 우선적으로 이뤄져야 한다”고 조언했다.
보안 사고는 이제 삶의 일부가 되어버렸다. 온갖 보안 수칙들이 등장하고 보호 기술들이 나오고 있지만 아직 사이버 공격과 보안 사고로부터 완전한 면역력을 갖춘 조직은 하나도 없다.
오히려 디지털 데이터에 대한 의존도가 높아지고 원격 근무 체제가 확산되면서 사이버 공격의 위험에 더 크게 노출된 상태다.
5G 환경이 전세계적으로 구축되면서 더 많은 디바이스와 네트워크들이 연결되고 있다. 그에 따른 사이버 위협 또한 증가하고 있는게 현실이다.
사이버 위협 환경이 계속 진화하면서 어느 한 산업 분야에 국한되지 않고 모든 산업권을 대상으로 매일 새롭고 다양한 방식의 공격으로 실행되고 있다. 공격 기법은 점점 고도화되어 기존의 대응 체계를 우회하는 지능형 위협으로 발전되고 있다.
더욱이 랜섬웨어와 같이 금전적인 이익이나 정치적인 목적으로 공격을 가하기 때문에 장시간의 걸친 치밀한 준비와 막대한 피해를 유발하는 파괴력을 지니고 있다.
코로나19 사태 장기화가 사이버 보안 분야에도 영향을 미친다. 예전과 다른 형식의 보안위협이 등장하는 등 해커의 공격이 다양화한다.
코로나19로 백신에 대한 기대감이 커진 만큼 백신 연구를 노린 해킹도 급증했다. 주요 백신 연구 기관 및 제약 회사, 세계보건기구(WHO), 유럽의약청(EMA) 조직 및 관계자를 노린 위협이 줄을 이었다.
실제로 공공기관이나 기업 또는 지인으로 가장하거나, 업무 메일(이력서, 연말정산, 연봉계약서 등등)로 위장해 열람을 유도해 해킹 사이트로 접속하게 하는 해킹 메일이 판을 친다.
해커들은 코로나19 이슈를 악용해 사람들이 관심 있어 할 내용(치료법, 확진자 동선, 재난지원금 관련 등)으로 열람을 유도해 악성 프로그램을 전산망에 심기도 한다.
미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.
Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.
KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다.
구글이 곧 모든 구글 계정에 이중인증을 도입할 예정이다. 구글은 오래 전부터 비밀번호를 퇴출(비밀번호를 대체)시켜야 한다는 스탠스를 취해 왔었다. 이중인증 역시 그런 차원에서 도입하려는 것으로 보인다.
최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다. 범죄자들 역시 피해자의 위치에 상관없이 공격을 감행한다. 직원 역시 고객임을 기억하는 것이 중요하다.
지금쯤이면 누구나 한 번쯤 ‘복잡한 비밀번호 생성 규칙’ 때문에 짜증이 나 본 적이 있을 것이다.
이는 ‘문제의 본질을 이해하지 못한 상태에서 나온 정책’의 폐해를 드러내는 사례다.
비밀번호를 강력히 해야 한다는 표면의 내용만을 가지고 사용자들에게 모든 부담을 전가하는 게 바로 이 ‘과도하게 복잡한 비밀번호 생성 규칙’이고, 사실 보안에 유의미한 도움이 되는 것도 아니다.
또한, SMS 통한 인증코드 전달하는 방식을 본인이 직접 인증코드를 생성해서 입력하는 방식으로 개선하면 사이버 범죄를 예방하는 효과가 있다.
"정적인 비밀번호, 서명, 사인, 지문, 안면, 홍체 등과 같은 패턴과 시그니처를 기반으로 한 정적인 보안의 시대는 끝났고, 이젠 정적인 보안이 아닌 매번 변하거나 한번 사용하고 버리는 일회성 또는 휘발성 같은 동적인 보안의 시대로!"
다중 인증(MFA, Multi-Factor Authentication)는 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증한다.
또한, 다중 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behavior), 장소(place) 중 두 가지에 한해 별도의 여러 증거 부분을 인증 매커니즘에 성공적으로 제시한 이후에만 사용자가 접근 권한이 주어지는 컴퓨터 접근 제어 방식의 하나이다.
2-팩터 인증(Two-factor authentication, 2FA)은 두 개의 다른 요소를 병합함으로써 사용자가 주장하는 식별자를 확인하는 방식이다. 2-팩터 인증은 다중 인증의 일종이다.
대중적인 여러 웹 서비스들은 다중 인증을 사용하고 있으며, 일반적으로 기본값으로 비활성화되는 선택 기능이다.
수많은 인터넷 서비스(구글, 아마존 AWS 등)는 개방형 시간 기반 일회용 비밀번호 알고리즘(TOTP)을 사용하여 다중 또는 2-팩터 인증(Two-factor authentication)을 지원한다.
기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 다중 인증을 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다.
또한, 공공기관 및 일반기업이 서버, PC, 어플리케이션, 이메일 등에 정보자산의 보안 강화를 위한 다중 인증 솔루션을 도입한 이유이기도 하다.
정보자산의 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 다중 인증 솔루션의 적용은 선택이 아닌 필수로 보다 더 안전하게 정보자산을 보호할 수 있다.
간편성과 편리성을 내세운 별도 인증 서버를 필요로 하는 인증서버 방식인 Gateway(+Proxy) 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회접속 및 원격 접속이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
Gateway(+Proxy)/FIDO 방식의 제일 큰 문제는 빈번하게 발생하는 통신 장애 또는 보안 지역에서 인증 서버와 통신할 수 없어서 인증을 받을 수 없다는 점, 인증 폭주로 인하여 인증 속도가 저하된다는 점, 인증 서버에 장애가 발생하면 관련 서비스가 모두 중단된다는 점이다.
또한 통합인증이 아닌 분산인증을 적용함으로써 위와 같이 만일에 발생할 수 있는 문제를 최소화 시킬 수 있다.
보안 솔루션은 내가 접속하고자 하는 다양한 운영체제나 애플리케이션에 설치가 되어야 하며, 접속하고자 하는 운영체제나 애플리케이션에서 인증을 해야 한다.
보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
게임 업계가 사이버 공격에 대응하기 위한 방법인 다중 인증 설정으로 보안강화 (0) | 2021.08.17 |
---|---|
생체인식 시장 성장, 어떤 걸림돌 있나? (0) | 2021.08.15 |
CentOS를 Rocky Linux로 대체 필요 (0) | 2021.08.05 |
다중 인증(MFA)에 사용될 수 있는 기술(예를 들어 OTP, 생체정보 등) (0) | 2021.07.03 |
기업 보안 담당자에게 보안 강화를 위해 권고하고 싶은 사항 (0) | 2021.06.27 |