주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서

크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등으로 비밀번호가 유출되어도 로그인을 차단하는 방법

누리아이티 2022. 3. 28. 09:52

"스마트 워크, 재택근무(WFA), 모바일 가상화(VMI), MS Azure, 클리우드 환경 등에 보안강화를 위한 다중인증 체계 도입 절실!"

 

클라우드 서비스 제공 업체들은 일반 기업들보다 더 강력한 보안 기능을 제공할 것이라는 기대감이 사용자들 사이에 존재한다.

보기에 따라 맞는 말일 수도, 틀린 말일 수도 있다. 분명한 건 클라우드 서비스를 제공하는 대기업들이라고 하더라도 완전하지는 않다는 것이다. 이제는 클라우드가 온라인 생활의 필수 요소가 되었다.

애플리케이션과 DB를 사용해서 하는 모든 일들이 이런 저런 방법으로 클라우드와 엮이게 되어 있다.

또한, 최근 DB가 설정 오류와 관리 부실로 고스란히 노출되는 사건이 너무나 많이 일어나고 있고, 이 때문에 다크웹에서는 추가 범죄에 활용할 수 있는 자원이 넘쳐나고 있는 상황이다.

 

스마트폰을 비롯한 IT 기기들이 지문이나 얼굴, 지정맥 등 생체인식정보를 활용하면서 이제는 누구나 부담없이 사용하는 생체정보지만, 문제는 수정이 불가능한 탓에 그 정보가 유·노출될 경우 그 피해가 크다는 걸 잘 알지 못한다는 사실이다.

 

그래서, 지금쯤이면 누구나 한 번쯤 다중인증(MFA, Multi-Factor Authentication, 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것) 시스템의 중요성에 대해 한 번 이상 들어봤을 것이다.

권한이 높고 민감한 정보를 자주 다루는 계정들에 다중인증을 적용함으로써 침해 가능성을 낮출 수 있다는 권고 사항은 우리 주변에서 매우 흔하게 접할 수 있다.

하지만 사용자 개개인들이 자발적으로 자신의 이메일 계정이나 은행 계좌를 보호하기 위해 다중인증 옵션을 선택하는가?

대부분은 다중인증의 중요성에 대해 익히 들었지만 개인 계정들을 여전히 한 개의 암호로만 보호하고 있다.

로그인 한 번 할 때마다 발생하는 "추가 정보 입력" 단계를 우리는 도무지 견디지 못하는 것처럼 보인다.

비슷한 상황이 클라우드 환경에서도 벌어지고 있다.

아무리 다중인증이 좋다고 해도 클라우드 관리 계정에 다중인증을 적용하는 기업은 그리 많지 않다.

한 조사에 의하면 다중인증을 활성화하고 있는 기업들이 52% 정도에 그친다고 한다.

다중인증의 중요성은 알고 있지만 절반(47%)이 사용하지 않아, 다중인증(다단계 인증, 2단계 인증, 2차인증, 추가인증, 이중인증)에 대한 인식이 높아지고 있음에도 불구하고 IT 관리자의 절반(47%)이 다중인증 솔루션을 사용하지 않아 피싱 공격에 노출되어 있는 것으로 조사됐다.

사용하지 않는 이유로는 이 기술에서 가치를 발견하지 못했기 때문이다. 
원격 근무시 다중인증을 사용하지 않아, 원격 근무자 4명 중 1명은 다중인증을 사용하지 않고 있다. 이는 피싱이 2021년에 가장 일반적인 공격 유형이 된 이유 중 하나이다.

 

절반을 가까스로 넘긴 조직들만이 가장 중요한 계정과, 그 계정에 연결된 데이터를 보호하기 위해 자신들이 아는 것을 실천하고 있는 것이다.

구글이 지난 해(2021년) 자사 서비스에 자동 활성화 시킨 2단계 인증을 통해 계정 해킹을 50% 줄였다고 구글 블로그를 통해 밝혔다.
 

조만간 깃허브는 모든 리포지터리에 다중인증 접근 옵션을 적용할 것이라고 한다. 누구나 깃허브에서 활동을 하려면 두 번 이상의 인증 절차를 거쳐야 하는 것이다. 깃허브가 앞장서서 이런 움직임을 보이는 것이 여러 의미에서 대단하고 고무적이다.
 
2단계 인증은 새로운 장치에서 로그인을 시도할 때 이용자의 모바일 장치 또는 다른 계정을 통해 이것이 정상적인지 확인하는 절차를 거치는 방식이다.
 
때문에 크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등으로 비밀번호가 유출되어도 이용자가 이를 확인하고 로그인을 차단할 수 있다.
 
구글은 이러한 2단계 인증 및 비숫한 다요소 인증(MFA, Multi-Factor Authentication) 체계의 효율성에 대해 많은 것을 보여준 결과라고 밝혔다.

 

 

요즘 우리가 흔히 대수롭지 않게 지나친 SMS 또는 네이버가 적용하고 있는 방식인 스마트폰과 통신하여 OTP 또는 인증코드를 주고 받는 방식의 2단계 인증은 보안에 제일 취약한 방식으로 이미 사이버 범죄에 악용될 것으로 누구나 예상됐던 방식이다. 이 때문에 문자 기반 이중인증은 그리 안전하지 않다는 인식이 형성되기도 했다.

이런 방식의 2단계 인증은 앞으로 계속해서 피해자가 발생할 것으로 보며, 절대로 스마트폰과 통신하여 OTP 또는 인증코드를 주고 받는 방식의 2단계 인증은 보안에 제일 취약한 방식으로 사용하지 않는게 좋을 듯 싶다.

 

 

 

누구나 손쉽게 적용할 수 있는 플러그인 가능한 인증모듈 방식(PAM, Pluggable Authentication Module)의 다중인증 방식으로 별도의 인증서버가 필요 없고, 통신하지 않고, 별도의 인증서버도 필요 없고, 누구나 휴대하고 있는 스마트폰을 인증키 생성 매체에서 본인이 생성한 일회용 인증키를 본인이 직접 입력하는 방식인 BaroPAM 솔루션은 사이버 범죄에 악용되지 않는다.

 

대중적인 여러 웹 서비스들은 다중인증을 사용하고 있으며, 일반적으로 기본값으로 비활성화되는 선택 기능이다.
 
수많은 인터넷 서비스(구글, 아마존 AWS 등)는 개방형 시간 기반 일회용 비밀번호 알고리즘(TOTP)을 사용하여 다중 또는 2-팩터 인증(Two-factor authentication)을 지원한다.
 
정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 추가 인증(2차 인증)할 수 있는 새로운 적용 방안인 추가 인증, 비밀번호 대체, 새로운 비밀번호 등이 필요하다.

 

 

팬데믹 2년 동안 많은 사람들의 사고방식과, 업무에 대한 태도가 바뀌고 있다. 어느 때보다 IT 담당자들의 역할이 보다 중요해지고 있다.

특히, 보안 문제를 1순위로 해결해 주어야 한다. 원격 근무 체제는 사이버 위협을 증가시켰다. 그렇기 때문에 원격에서 근무하는 직원들을 데리고 사업을 이어가야 하는 회사 입장에서는 보안이 그 무엇보다 "사업 연속성"과 직결되는 문제가 된다. 하지만 이를 개개인의 역량과 관심에 의존하는 보안은 짐만 될 뿐이다. 너무 많은 보안 절차를 도입하는 것도 마찬가지다. 보안은 생산성에 영향을 주어서는 안 된다. 회사가 대신 해 줄 수 있는 건 대신 해 줘야 한다. 예를 들어 주기적인 백업은 회사 차원에서 도맡아 할 수 있다. 직원이 랜섬웨어에 당해 모든 작업 파일을 잃었어도 회사가 담담히 백업 파일을 제공할 수 있다면 그 직원으로서는 회사에 든든함을 느낄 것이다.

 

 

[공통 보안 강화 방안]

① 사용하지 않는 시스템은 전원을 종료하여 해킹 경로로 활용되는 것을 사전 방지

② 중요 파일 및 문서 등은 네트워크와 분리된 오프라인 백업 권고

③ 주기적으로 유추하기 어려운 패스워드(숫자, 대소문자, 특수문자 조합 8자리 이상) 변경은 약한 비밀번호를 생성시킬 가능성이 높으며,  비밀번호 사용 보다는 OTP 등을 통한 비밀번호 대체  및 OTP 등을 통한 추가 인증(2차인증)으로 보안 강화

④ 사용하지 않는 네트워크 서비스는 비활성화하고, 인가된 관리자만 접속할 수 있도록 방화벽 등에서 접근제어 설정

⑤ 신뢰할 수 있는 백신을 설치(최신 버전 유지, 실시간 감지 적용 등)하고 정기적으로 검사 진행