"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것"
사이버 보안(Cyber security)이란 인터넷상의 해킹, 정보의 유출, 사이버 테러, 금융 사고 따위의 위험으로부터 사용자의 자산을 지키기 위하여 시행하는 모든 일을 의미한다.
사이버 환경에서 네트워크 운영상의 위험으로부터 조직과 사용자 자산을 보호하기 위해 사용하는 기술적 수단, 보안 정책, 개념, 보안 안전 장치, 가이드 라인, 위기 관리 방법, 보안 행동, 교육과 훈련, 모범 사례, 보안 보증, 그리고 보안 기술 등의 집합. 사이버 보안은 사이버 환경에서 다양한 보안 위협으로부터 조직과 사용자 자산의 운영 영속성을 보장한다. 일반적인 보안 목표는 가용성, 메시지 인증, 부인 방지를 포함한 무결성, 그리고 기밀성이다.
사이버 보안이 국가 안보와도 직결되는 만큼 정보 보안 산업의 중요성은 재론의 여지가 없다.
미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.
Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.
KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다고 밝혔다.
구글이 지난 해(2021년) 자사 서비스에 자동 활성화 시킨 2단계 인증을 통해 계정 해킹을 50% 줄였다고 구글 블로그를 통해 밝혔다.
금융감독원은, '전자금융감독규정' 개정안 규정 변경 예고(2024.2) 했는데, 사용자 비밀번호 설정 방식을 구체적으로 특정하던 규정을 삭제하고 금융회사 스스로 안전하다고 판단되는 비밀번호와 인증수단 관리 방식을 도입할 수 있도록 허용했다.
조만간 깃허브는 모든 리포지터리에 다중인증 접근 옵션을 적용할 것이라고 한다. 누구나 깃허브에서 활동을 하려면 두 번 이상의 인증 절차를 거쳐야 하는 것이다. 깃허브가 앞장서서 이런 움직임을 보이는 것이 여러 의미에서 대단하고 고무적이다.
최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다. 범죄자들 역시 피해자의 위치에 상관없이 공격을 감행한다. 직원 역시 고객임을 기억하는 것이 중요하다.
지금쯤이면 누구나 한 번쯤 ‘복잡한 비밀번호 생성 규칙’ 때문에 짜증이 나 본 적이 있을 것이다.
이는 ‘문제의 본질을 이해하지 못한 상태에서 나온 정책’의 폐해를 드러내는 사례다.
비밀번호를 강력히 해야 한다는 표면의 내용만을 가지고 사용자들에게 모든 부담을 전가하는 게 바로 이 ‘과도하게 복잡한 비밀번호 생성 규칙’이고, 사실 보안에 유의미한 도움이 되는 것도 아니다.
또한, SMS 통한 인증코드 전달하는 방식을 본인이 직접 인증코드를 생성해서 입력하는 방식으로 개선하면 사이버 범죄를 예방하는 효과가 있다.
정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 추가 인증(2차 인증)할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요하다.
정보자산의 비밀번호 만으로는 결코 안전하지 않으며, 비밀번호를 매번 사용할 때마다 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적보안 솔루션인 BaroPAM의 일회용 인증키(OTA, One-Time Authentication key)로 대체 했을 때 이점은 다음과 같다.
1. 비밀번호 단방향 암호화 불필요.
2. 비밀번호 관리지침 적용 불필요.
3. 비밀번호를 기억할 필요 없음.
4. 비밀번호 / 리셋 증후군에서 해방.
5. 사용자 정보 유출 되어도 로그인 불가능.
6. 비밀번호 도용 및 불법접속 불가능.
7. 중간자 공격에도 안전.
8. 비밀번호 분실 및 도용 등에 따른 초기화 불필요.
9. 일회성 또는 휘발성 같은 동적보안 지원.
"정적인 비밀번호, 서명, 사인, 지문, 안면, 홍체 등과 같은 패턴과 시그니처를 기반으로 한 정적인 보안의 시대는 끝났고, 이젠 정적인 보안이 아닌 매번 변하거나 한번 사용하고 버리는 일회성 또는 휘발성 같은 동적인 보안의 시대로!"
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
| 삼성, LG, MS 공격한 랩서스 해킹조직에 대한 대응방안 및 보안전략 (0) | 2022.03.31 |
|---|---|
| 크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등으로 비밀번호가 유출되어도 로그인을 차단하는 방법 (0) | 2022.03.28 |
| 2단계 인증으로 해킹 50% 감소했다고 밝힌 구글 (0) | 2022.02.12 |
| 피싱 키트의 피싱 공격에 대한 대안은 바로 3단계 인증 체계를 적용 (0) | 2022.02.05 |
| 스마트워크(Smartwork) 환경의 보안강화을 위한 3단계 인증 체계 적용 (0) | 2022.01.28 |