정보가 유출되어도 계정을 안전하게 보호할 수 있는 다중 인증(MFA) 도입이 시급하다.

하루가 멀다하고 떠지는 계정정보 유출 및 도용 사고가 끊이질 않고 있다. 그래서, 기기마다, 플랫폼마다, 계정마다 각기 다른 비밀번호를 설정하고 주기적으로 변경할 것을 권장한다. 하지만 여러 개의 비밀번호를, 그것도 특수문자와 대문자를 포함하고 생년월일과 무관하며 연속성이 없는 최소 8자 이상의 글자 조합을 외우는 것은 좀체 만만한 일이 아니다. 그렇다고 컴퓨터 앞에 적어 둘 수도 없는 노릇이다. 그러니 기존에 사용한 적이 없으면서도 잊어버리지 않을 만한 비밀번호의 조합을 만들어내는 것은 이제 창의성의 영역에 있는지도 모르겠다.

 

해외 보안 전문 업체의 발표에 따르면, 2020년에 가장 많이 사용된 패스워드는 "123456"이다. 2019년 1위는 "12345"였으니, 겨우 숫자 한 자리가 늘어났을 뿐이다. 2위는 "123456789", 4위는 무려 "password"다. 비밀번호 입력을 통해 접근할 수 있는 정보의 양은 점점 방대해진다. 과거에는 메일 수신함 정도였다면, 이제는 핸드폰의 사진과 문자 기록, 계좌 정보와 같은 긴밀한 개인 정보까지 접근이 가능하다. 그리고 앞에서 열거한 비밀번호를 전문 해커가 풀어내는 데는 1초의 시간도 채 걸리지 않는다.

 

가장 많이 사용하는 비밀번호는 다음과 같다.

Password-1234 / Br0nc0$2012 / Password123$ / Password1234 / Summ3rSun2020! / 0rlando_0000 / Password1234! / ChangeIt123 / 1234password$ / ChangeItN0w! / admin / 12345 / 123456 / 123456789 / qwerqwer / default / password / root

 

개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요하다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말한다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문이다.

 

비밀번호가 유출되어도 도용할 수 없도록 비밀번호를 대체 하거나 로그인-ID/비밀번호 이외에 2차 인증(추가 인증) 체계로의 변화가 필요하다.

 

정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 추가 인증(2차 인증)할 수 있는 새로운 적용 방안인 추가 인증, 비밀번호 대체, 새로운 비밀번호 등이 필요하다.

 

 
비밀번호는 단방향 암호화를 적용해야 하며, 비밀번호 관리 지침에 따라 주기적으로 변경해야 하는데, 비밀번호를 OTP로 대체하면 비밀번호를 기억할 필요도 없으며, OTP의 생성 주기마다 바뀌기 때문에 효율적인 방법이기도 하다.
 
새로운 비밀번호는 비밀번호와 같이 OTP를 입력할 경우, 비밀번호를 먼저 입력하고 공백 없이 이어서 OTP를 입력하면 된다.
 
예를 들어, 비밀번호가 "baropam" 이고, OTP가 "123456" 이라면 비밀번호 입력란에 "baropam123456"으로 입력하면 된다.
 
OTP의 생성 주기가 30초 이면 30초 마다 OTP가 바뀌기 때문에 고정된 비밀번호와 결합하면 OTP 생성 주기 마다 새로운 비밀번호가 생성되기 때문에 고전적 방법인 주기적으로 서버의 비밀번호를 바꿀 필요가 없게 된다.
 
위와 같은 방법은 아이디/비밀번호가 유출되어도 비밀번호 뒤에 덧붙인 OTP를 해커들이 유추할 수 없어서 단순하면서도  강력한 보안을 제공한다.
 
분실.도용.해킹으로 인한 사용자 비밀번호를 초기화 해야 하는데, 이제는 사용자 본인 스스로 로그인-ID, 특정항목, OTP 등을 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 한다.
 
과거 강력한 보안시스템을 자랑하는 글로벌 기업들조차 내부 직원들의 계정 관리 허점을 타고 들어오는 공격에 속수무책으로 당하면서다.
 
요즘 보안의 핫이슈인 제로 트러스트(Zero trust)는 아주 믿을만한 직원의 계정이라도 시스템마다 접근 권한을 달리 부여하고, 실제 접근이 이뤄질 때마다 상대를 검증하는 보안 모델로 날로 지능화된 사이버 공격에 대응하기 위한 최적의 보안 대책으로 꼽히고 있다.
 
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 
제로 트러스트(Zero trust)는 간편성과 편리성을 내세워 적용하기 쉽지만 보안이 느슨한 Gateway 방식인 통합접근제어/통합계정관리/통합인증 방식과 반대 개념의 보안 모델이다.
 
참고로 Gateway 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회/원격 접속, 중간자 공격이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
 
도래하는 무선 네트워크 환경에는 망분리 의미가 없어 진다. 지금은 정보보안에 대한 인식의 대전환이 필요한 시대인 것 같다.

 
날로 지능화된 사이버 공격에 대응하기 위하여 정보자산의 보안강화를 위한 다중인증(MFA)의 인증키는 무엇보다도 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 보안 사고를 예방할 수 있다.
 
특히 SMS, 이메일 등 문자기반 인증 및 휴대폰으로 인증 확인 요청이나 인증키를 전송하는 방식이나 전송된 인증키를 요구하는 것은 사이버 범죄의 1순위로 이것만 개선해도 미연에 정보보안 사고을 예방할 수 있는 최선책이다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.