사이버 범죄자는 크리덴셜 스터핑(Credential Stuffing)을 통해 유출된 계정을 여러 가지 방식으로 활용한다. 실제로 2020년 게임 업계에서 발생한 스터핑 공격은 2019년 대비 224% 증가했다. 게다가 2020년에는 크리덴셜 스터핑 공격이 흔하게 발생해 사용자 이름과 비밀번호로 구성된 대규모 리스트가 불법 웹 사이트에서 겨우 5달러(한화 약 6,700원)에 판매되기도 했다. 사이버 범죄자들은 코로나19 기간 중, 이전에 확보한 계정 목록을 재활용하기도 했으며, 새로운 공격 목표를 대상으로 탈취한 목록을 시험하기도 했다. 이런 활동은 2020년 초에 시작돼 1년간 지속됐다
게임 업계를 대상으로 한 공격 증가의 또 다른 원인은 한층 발전하고 정교해진 범죄자들의 공격 기법 때문이라고 할 수 있다. 범죄자들은 정보를 탈취할 수 있는 취약점을 발견하기 위해 매일 또는 매시간 방어벽을 테스트하고 외부와 접속하는 서버를 확인한다. 또한, 유명한 소셜 네트워크를 통해 공격 기법과 사례들을 공유하기 위한 수많은 그룹 채팅방이 만들어지는 것을 목격하기도 했다. 이들 대부분은 데이터베이스와 보호되지 않은 자산을 노리고 있다.
게임 회사들은 모든 종류의 공격에 대항해 인프라를 지속적으로 보호하고 있다. 온라인 게임 조직들은 다른 기업과 마찬가지로 웹 기반 공격과 트렌드에 주의를 기울이고 있다. 마찬가지로 게임 개발자들도 기존 보안 기능을 강화하며 API 접속을 보호하기 위해 사이버 공격 동향을 파악하고, 이에 맞춰 시스템을 보호해야 한다.
이를 위해서는 우선 계정에 대한 보호를 강화해야 한다고 설명했다. 비밀번호 재사용 가능성을 줄일 수 있도록 패스워드 관리 도구를 이용할 수 있고, 다중인증 또는 다중 인증(MFA: Multi-factor authentication) 앱과 U2F(Universal 2nd factor) 인증 장치 역시 유용하다. 또한, 사용자와 소비자들에게 계정과 개인정보를 보호하기 위한 절차의 중요성을 교육하는 것도 필요하다.
다중 인증(MFA, Multi-Factor Authentication)는 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증한다.
또한, 다중 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behavior), 장소(place) 중 두 가지에 한해 별도의 여러 증거 부분을 인증 매커니즘에 성공적으로 제시한 이후에만 사용자가 접근 권한이 주어지는 컴퓨터 접근 제어 방식의 하나이다.
2-팩터 인증(Two-factor authentication, 2FA)은 두 개의 다른 요소를 병합함으로써 사용자가 주장하는 식별자를 확인하는 방식이다. 2-팩터 인증은 다중 인증의 일종이다.
다중 인증 중 간편성과 편리성을 내세운 별도 인증 서버를 필요로 하간편성과 편리성을 내세운 별도 인증 서버를 필요로 하는 인증서버 방식인 Gateway(+Proxy) 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회접속 및 원격 접속이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
다중인증 적용 방식 중 Gateway(+Proxy)/FIDO 방식의 제일 큰 문제는 빈번하게 발생하는 통신 장애 또는 보안 지역에서 인증 서버와 통신할 수 없어서 인증을 받을 수 없다는 점, 인증 폭주로 인하여 인증 속도가 저하된다는 점, 인증 서버에 장애가 발생하면 관련 서비스가 모두 중단된다는 점이다.
또한 통합인증이 아닌 분산인증을 적용함으로써 위와 같이 만일에 발생할 수 있는 문제를 최소화 시킬 수 있다.
보안 솔루션은 내가 접속하고자 하는 다양한 운영체제나 애플리케이션에 설치가 되어야 하며, 접속하고자 하는 운영체제나 애플리케이션에서 인증을 해야 한다.
보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
Windows, 개방형 OS 등의 Desktop 보안 강화 방안 (0) | 2021.10.02 |
---|---|
Windows, 개방형OS의 Desktop PC에 화면 보호기 잠금 방지 및 해제 기능의 필요성 대두 (0) | 2021.08.30 |
생체인식 시장 성장, 어떤 걸림돌 있나? (0) | 2021.08.15 |
새로운 사이버 보안 위협에 대한 정보자산 보안 인식의 변화 필요 (0) | 2021.08.13 |
CentOS를 Rocky Linux로 대체 필요 (0) | 2021.08.05 |