요즘들어, 하루가 다르게 사이버 공격이 밤낮없이 발생하고 있다.
방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.
더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.
처음부터 완전한 보안 시스템은 없다.
간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다.
도래하는 무선 네트워크 환경에는 망분리 의미가 없어 진다. 지금은 정보보안에 대한 인식의 대전환이 필요한 시대인 것 같다.
특히 다중인증(MFA) 중 SMS, 이메일 등 문자기반 인증 및 휴대폰으로 인증 확인 요청이나 인증키를 전송하는 방식이나 전송된 인증키를 요구하는 것은 사이버 범죄의 1순위로 이것만 개선해도 미연에 정보보안 사고을 예방할 수 있는 최선책이다.
아직도 보안에 취약한 이런 다중인증(MFA) 방식이 사용되고 있는 현실이 안타깝다.
▶다중인증(MFA) 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶다중인증(MFA) 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶다중인증(MFA) 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식
정보자산의 보안 강화를 위해서 가장 중요한 다중인증(MFA)의 기본적인 사항은
▶보안 관점에서 위험을 얼마나 분산 시킬 것인지?
▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶단일 지점 공격을 어떻게 방어할 것인지?
▶우회/원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?
과거 강력한 보안시스템을 자랑하는 글로벌 기업들조차 내부 직원들의 계정 관리 허점을 타고 들어오는 공격에 속수무책으로 당하면서다.
요즘 보안의 핫이슈인 제로 트러스트(Zero trust)는 아주 믿을만한 직원의 계정이라도 시스템마다 접근 권한을 달리 부여하고, 실제 접근이 이뤄질 때마다 상대를 검증하는 보안 모델로 날로 지능화된 사이버 공격에 대응하기 위한 최적의 보안 대책으로 꼽히고 있다.
모든 정보자산에 대한 인증 정책은 제로 트러스트 보안 모델로 다양한 공격에 대비하여 통합해 보호하는 방법이 아니라 각각의 컴포넌트 하나하나를 보호하는 방안을 마련하여 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다는 것을 유념해야 한다.
특히, 제로트러스트 약점을 노려, 사내 업무 시스템을 공격을 방업하는 방법으로 사내 업무 시스템 접근 권한이 있는 중요한 계정 정보에 대해서는 "별도의 2차 인증" 등의 보안 절차 마련이 중요하다. 로그인 시 반드시 2차 인증(추가 인증) 의무화를 통해 해커가 계정정보(아이디·비밀번호)만으로는 로그인할 수 없도록 해야 한다. 이처럼 추가 인증은 가장 기본적인 보안 장치이지만, 일반적인 암호 설정보다 강력한 보안 무기가 될 수 있다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "다중 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 운영체제(OS)가 가장 기본 (0) | 2023.09.18 |
---|---|
망분리로 인한 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대 (0) | 2023.09.15 |
정보보안(Information Security) (0) | 2023.08.22 |
서비스나 기업을 사칭한 피싱 공격으로 인한 피해를 예방할 수 있는 보안수칙 (0) | 2023.08.19 |
제로트러스트(Zero Trust) 6가지 철학과 3가지 핵심 원칙 (0) | 2023.08.06 |