비용대비 효과적인 '크리덴셜스터핑' 공격 발생 급증

강력한 비밀번호·2단계인증·주기적비밀번호 변경 필수

 

​[서울=뉴시스]송혜리 기자 = #고객 여러분께 심려를 끼쳐 드린 점 진심으로 사과드립니다.

당사는 신원 불상의 자로부터 사전 수집된 것으로 추정되는 계정정보(ID/PW)를 이용한 로그인 시도가 발생했음을 확인했습니다. 외부 불상자로부터 로그인 된 일부 회원님의 정보가 유출(의심)됐을 가능성이 확인되어 안내 드리며, 안전한 서비스 이용을 위해, 고객님의 계정에 대해 타인이 예측하기 어려운 비밀번호로 변경해 사용하시는 것을 권장 드립니다.

국내 대형 온라인 쇼핑몰에서 지난해 게시한 '개인정보 유출(의심)에 대한 안내'다. 회사는 이용자로부터 "새로운 디바이스에서 로그인이 됐다"는 신고를 받고 조사한 결과 유출된 ID와 비밀번호를 활용하는 '크리덴셜 스터핑' 공격을 받은 것으로 드러났다. 이로 인해 이용자의 개인정보 78만여건이 유출됐다.

최근 계정 탈취 문제가 잇따라 발생하면서, 이제 비밀번호를 정기적으로 바꾸거나 강력한 비밀번호를 사용하는 것 만으로는 충분치 않다. 그러나 많은 사람들이 생각보다 비밀번호 관리에 무심하며, 기업들도 민감한 정보를 보호하는 데 여전히 비밀번호만 사용하며 위험성을 과소 평가하고 있다는 지적이 나오고 있다. 2단계 인증, 생체인증, 패스키 등 기존 방식보다 더 강력한 보안 수단을 사용하는 것이 필요하다.

 

최근 안랩은 지난해 전 세계적으로 초당 최대 4000건의 비밀번호 공격이 발생한 것으로 나타났다고 공개했다. 그러면서 비밀번호만 잘 지켜도 자산과 정보의 유출을 막을 수 있다고 강조했다.

안랩은 비밀번호 보안 강화 방안 여섯가지를 제시했다. 그 첫번째 방법은 '2단계 인증(2FA) 사용'이다.

 '2단계 인증'은 서비스 접속 시 문자메시지 인증번호나 OTP(일회용비밀번호) 등으로 다시 한번 신원을 확인하는 기능이다. 공격자가 탈취한 아이디, 비밀번호 등으로 로그인을 시도하더라도 2차 확인 과정이 있기 때문에 피해를 예방할 수 있다. 인터넷 뱅킹 로그인 시 비밀번호 입력 후, OTP 생성기나 모바일 인증 앱을 통해 생성된 코드를 입력하는 것이 대표적이다. 

 

'패스키(Passkey) 활용'도 고려할 필요가 있다. 패스키는 비밀번호를 대체할 목적으로 만들어진 로그인 시스템이다. 비밀번호를 기억하거나 관리할 필요 없이 생체 인식(지문, 얼굴 인식)이나 기기 PIN으로 인증할 수 있다.

사용자가 로그인하려고 할 때, 서비스 제공자는 사용자 기기에 인증 요청을 보낸다. 사용자 기기는 생체 인식이나 PIN을 통해 사용자 신원을 확인하고, 개인 키로 인증 응답을 생성해 서비스 제공자에게 전송한다. 서비스 제공자는 공개 키를 사용해 응답을 검증한다.

현재 구글, 애플, 마이크로소프트 등이 패스키를 지원한다. 애플은 패스키 기능을 iOS 15 등에 도입해 사용자들이 아이폰, 아이패드, 맥에 더 안전하게 로그인할 수 있도록 했고, 구글도 계정 로그인 시 2단계 인증으로 패스키를 사용할 수 있도록 했다.

'비밀번호 관리자' 사용도 좋은 방법이다. 가장 위험한 것이 같은 아이디를 여러 사이트에 돌려 쓰는 경우다. 보안이 취약한 사이트에서 해킹 당하면, 동일한 아이디와 비밀번호를 쓰는 다른 계정도 해킹될 수 있기 때문이다.

비밀번호 관리자 소프트웨어는 사용자들이 여러 계정의 비밀번호를 안전하게 저장하고 관리할 수 있도록 도와주는 프로그램이다. 사용자의 비밀번호를 암호화해 저장하며 필요할 때마다 쉽게 접근할 수 있도록 해준다. 주요 기능으로는 강력한 비밀번호 생성, 자동 로그인, 비밀번호 동기화 등이 있다. 

 

'강력한 비밀번호를 사용'하는 것은 개인정보 보호의 첫걸음이다. 당연한 것이지만 비밀번호는 대소문자, 숫자, 특수문자를 모두 포함해 최소 12자 이상으로 만드는 것이 좋다. 대문자와 소문자를 혼합하고, 0부터 9까지의 숫자와 !, @, #, $, %, ^, &, *, (, ) 등의 특수문자를 포함한다.

이때 개인정보나 흔한 단어 사용은 금물이다. 안랩은 문구 기반 비밀번호를 추천하는데, 문장을 조합해 기억하기 쉽고 복잡한 비밀번호를 생성하는 형태다. 예를 들어,  Th1s!sMyStr0ngP@ssw0rd처럼, 유추 가능하면서도 아무나 모방할 수 없도록 해야 한다.

'주기적 비밀번호 변경'도 잊지 말아야 한다. 비밀번호는 정기적으로 변경하는 것이 좋다. 일반적으로 3개월마다 변경하는 것이 좋고, 최대 6개월에 한번은 바꿔줘야 한다. 심지어 비밀번호 변경은 법률에도 명시돼 있다. 이 규정에 따르면, 전자금융거래의 안전한 수행을 위해 이용자에 본인확인 절차를 거쳐 비밀번호 변경이 가능하도록 정보처리 시스템을 구축하고, 비밀번호 변경 시 같은 번호를 재사용하지 않도록 할 것을 준수하도록 공지해야 한다.

마지막으로 '생체인식 활용'도 비밀번호 보안을 강화하는 좋은 방법이다. 생체인식은 지문, 홍채 등 인간의 신체 부위를 인식해서 본인 인증을 하는 기술이다. 생체인식을 활용하면 비밀번호 등 별도의 인증키를 가지고 다니거나 외울 필요가 없다.

원문보기​

엑스(트위터)가 안드로이드 앱에 패스키를 도입하려는 계획을 밝혔다고 12일(현지시간) IT매체 폰아레나가 전했다. 

 

앞서 엑스는 iOS 사용자를 대상으로 패스키 기능을 제공한 바 있다. 그런데 최근 더SP안드로이드(The SP Android)의 조사 결과 엑스 베타 앱 내 안드로이드 버전 패스키 기능이 확인됐다. 이에 안드로이드 버전의 패스키 기능이 현재 개발 중이며 출시가 임박한 것으로 매체는 추정했다. 

패스키는 애플, 구글, 마이크로소프트(MS) 등 주요 기업들과 협력해 FIDO(Fast IDentity Online) 얼라이언스에서 개발한 기술이다. 이는 복잡한 비밀번호 없이 생체 인식이나 디바이스별 암호화 키 등을 이용해 인증하는 방식으로, 온라인 계정의 해킹이나 피싱 시도에 대한 취약성을 줄일 수 있다. 

출처 : 디지털투데이 

디지털 보안이 무엇보다 중요한 시대에 암호에 대한 지속적인 의존성은 전 세계적으로 기업에게 여전히 상당한 취약점으로 남아 있다. FIDO(Fast IDentity Online) 2.0은 이용 가능한 기술을 이용하여 자격 증명 승인을 재창조하면서 시의적절한 해결책으로 등장한다.

인터넷 1.0 시대에 뿌리를 둔 레거시 자격 증명 시스템은 조직을 인공지능이 지원하는 정교한 사이버 위협에 점점 더 많이 노출시킨다. 현재 매주 평균 2,138번 시도되는 인도 조직에 대한 공격이 15% 증가한 것은 주로 이러한 제대로 보안되지 않은 자격 증명에 기인한다. 회사와 산업이 인도와 그 지역 전역에서 계속 번창함에 따라, 보안 팀은 네트워크의 구현으로부터 FIDO 2.0과 같은 새로운 자격 증명 접근법을 구현함으로써 이익을 얻을 수 있다.

네트워크 보안, 고급 인증 구현, 사이버 위생에 대한 직원 교육에 대한 CISO와 사이버 보안 실무자의 노력에도 불구하고 단 한 번의 보안 침해로 인해 운영이 중단되는 경우가 여전히 많다.

인증 방식의 변화

다양한 인증 방법에도 불구하고 로그인에 영숫자 코드를 널리 사용하는 것은 조직의 보안을 지속적으로 위협하고 있다.특히 최근 몇 년 동안 아시아 태평양 지역에서 이러한 결함이 더욱 부각되었다. 그 결과로

- 전 세계 공격의 31%는 디지털 전환이 전 부문에 걸쳐 빠른 속도로 진행되고 있다.
- 가장 큰 타격을 입은 분야는 정부로, 전체 공격의 22%를 흡수했다.
- 전체 공격의 49%가 민감한 정보의 유출로 이어졌으며, 공격 성공의 27%는 핵심 조직 운영에 지장을 초래했다. 

이는 사람들이 자신의 정보가 유출되었는지 파악하는 과정에서 겪는 재정적, 개인적 부담을 넘어서는 것이다. 과거에는 이러한 공격은 시스템 내의 취약점을 식별하고 관련 전술을 사용하여 이를 악용함으로써 성공적으로 수행되었다. 하지만 오늘날 기업들은 피싱 공격과 디바이스 손상이라는 두 가지 주요 위협에 직면해 있다.

피싱 공격

마이크로소프트가 자사 제품에서 제공하고 회사 GitHub에서도 요구되는 FIDO2 표준을 따랐다면 이번 보안 침해는 완전히 피할 수 있었다. 이는 레거시 자격증명 인증에 의존하는 것이 얼마나 위험한지 잘 보여준다. 해커들은 성공적인 피싱 시도를 통해 단일 계정의 유출로 수백 개의 조직을 위험에 빠뜨릴 수 있었으며, 문제는 확장성이다.

인공지능(AI)은 피싱 공격의 규모를 크게 확장하고 정확도를 개선했다. 과거에는 부실한 이메일을 많은 사용자에게 발송하는 방식이었다면, 오늘날의 공격은 AI로 제작된 메시지와 SMS 푸시 알림 및 기타 위협적이지 않아 보이는 다른 형태의 행동을 결합한다.

이로 인해 위협 행위자의 진입 장벽이 낮아져 취약점을 악용하는 방법에 대한 기술적 노하우가 없어도 더 뛰어난 기술을 사용할 수 있게 되었다. 대신 '비밀번호 변경' 링크를 클릭하거나, 무해해 보이는 문자에 응답하거나, 회사 IT 부서에서 보낸 것처럼 보이는 성가신 메시지를 없애기 위해 자격 증명을 입력하는 등 직원들에게 왕국의 열쇠를 넘겨달라고 요청할 수 있다.

일단 침투하면 위협 행위자는 속은 사용자가 가지고 있던 모든 정보에 액세스할 수 있지만, 주의할 점은 네트워크 내에서 AI로 다시 한 번 올바른 메시지만 큐레이팅하면 정보를 추출하고 권한을 높일 수 있다는 것이다. 피싱 공격의 이러한 진화는 기술적 변화뿐만 아니라 조직의 중요한 운영 위험을 나타낸다. FIDO2를 구현하면 SIM 스왑 공격, IdP MITM 피싱 공격, 푸시 폭탄, OTP MITM 공격, 암호 분사, 자격증명 분실/재사용의 위험을 제거할 수 있다.

디바이스 손상

원격 근무나 개인 디바이스 사용을 허용하는 조직은 익숙하지 않은 디바이스라는 추가적인 보안 계층에 직면하게 된다. IT 운영자들은 항상 네트워크상의 모든 장치를 식별하고 승인하기 위해 고군분투해 왔는데, 다시 사용자 이름, 암호, 그리고 아마도 다른 영숫자 인증 기술에 의존한다.  문제는 이러한 2단계 인증 방법이 사용자 자격 증명과 함께 유출될 수 있다는 점이다.

컴파일과 더불어 싱글 사인온의 인기도 높아졌지만, 사용자가 유출되면 싱글 포인트에 액세스 권한을 부여한 모든 도구에서 생성된 프로필도 함께 유출될 수 있다. 조직에서 승인한 보안 환경을 갖춘 SSO의 예가 있더라도 해당 API와 인증이 아무리 안전하더라도 사용자 이름, 비밀번호, 영숫자 인증으로 프론트 도어가 여전히 안전하다면 위험은 여전히 존재한다.

아이러니하게도 조직 내에서 배포되는 대부분의 하드웨어에는 이미 안전하고 타협할 수 없는 생체인식 기능이 탑재되어 있다. 따라서 디바이스 손상은 단순한 기술적 문제가 아니라 심각한 운영상의 취약점이 된다.

FIDO 2.0- 인증 및 표준 고도화

다른 기술과 함께 로그인 자격 증명을 발전시키지 못한 것은 구글, 마이크로소프트, 아마존, 애플 등이 인정한 사실이다. 보안 격차를 해소하고 조직이 자격증명 공격의 희생양이 되는 것을 방지하기 위해 FIDO 연합은 개별 사용자와 사용 중인 디바이스를 올바르게 인증하는 데 필요한 기존의 온칩 보안을 활용하는 새로운 표준을 만들었다.

현재 직장에서 이미 사용 중이며 FIDO를 준수하는 디바이스의 예로는 이미 일종의 생체 인식 또는 토큰 인증이 필요한 디바이스를 들 수 있다. 여기에는 얼굴 인식, 지문 또는 카드나 NFC 지팡이와 같은 물리적 장치 토큰이 포함된다.

이 시스템의 강점은 사용자 디바이스와 소프트웨어 인증 간의 대칭성에 있다. 주요 스마트폰의 고급 인증과 마찬가지로 FIDO 2.0은 확립된 승인 및 자격 증명을 기반으로 조직에서 상호 검증을 의무화한다.

이러한 보호 계층을 추가함으로써 우리가 의존하는 사용자 이름과 비밀번호 조합은 조직의 전체 보안 태세에서 더 복잡한 인증 프로세스의 한 부분일 뿐이며 위협 행위자에게는 중요한 장애물이 된다.

엔드포인트 및 클라우드 보안

피싱 공격이 계속해서 모든 사용자를 표적으로 삼고 있기 때문에 기업 침투에 큰 상금이 걸린다는 것은 놀라운 일이 아니다. 기업 디바이스에서 이러한 기능을 사용할 수 있고 구형 디바이스에 대한 적응성을 고려할 때, 수백만 달러의 잠재적 위기를 예방하려면 경영진이 이러한 표준을 채택하기 위한 긴급한 조치가 필수적이다. FIDO 2.0 표준의 통합은 단순한 기술 업그레이드가 아니라 점점 더 상호 연결되는 세상에서 디지털 방어를 강화하기 위한 전략적 필수 요소이다.

FIDO2가 사용자 이름/비밀번호보다 더 안전한 이유는 무엇인가요?

​

사용자 이름/비밀번호 인증의 내재적 약점을 탐색해보면, FIDO2는 더 강력한 인증 프로세스를 사용한다. 먼저 각 디바이스 또는 하드웨어 토큰을 개별적으로 등록하여 FIDO2 인증을 허용해야 하며, 이는 공개/개인 키 쌍을 생성하므로써 수행된다. MS Entra ID 또는 OKTA와 같은 상용 ID 공급자와 페어링된 아이폰의 경우, 사용자 인터페이스가 이 등록 프로세스를 안내한다.

내부 작동 방식 
공개 키 부분은 웹 서비스에 저장되어 사용자 ID에 할당다. 사용자 디바이스 측에서는 개인 키가 휴대폰 또는 노트북 보안 인클레이브 내에 저장된다. 사용자가 등록된 웹 서비스에 인증하면 웹 서비스는 사용자에게 '패스키'(휴대폰 또는 노트북에 저장된 개인 키)를 입력하라는 메시지를 표시하고, 사용자는 인증 프로세스의 챌린지/응답 부분을 완료하기 위해 개인 키를 사용할 수 있도록 디바이스의 보안 인클레이브를 잠금 해제하라는 메시지가 표시된다. 개인 키는 디바이스에서 절대 유출되지 않으며 기존의 사용자 이름/비밀번호보다 훨씬 더 안전하다. 

사용자 이름과 비밀번호는 앞으로 한동안 FIDO2 인증과 함께 사용될 것이지만, FIDO2 구현에서는 인증 프로세스의 개인 키 챌린지/응답 부분 없이는 사용할 수 없으므로 사용자 이름/비밀번호를 분실하거나 도난당한 경우 가치가 거의 없으며 단독으로 인증에 사용할 수 없다는 것을 의미한다.

출처 : Korea IT Times

​글: 조시 블랙웰더, 센티넬원의 정보보안 책임자

비밀번호는 인터넷 시대에 가장 기본적인 보안 장치이면서 가장 허술하게 관리되는 보안 장치이기도 하다. 현대인들은 인터넷과 모바일 서비스를 사용하기 위해 많게는 수십 개의 계정을 만들게 되는데, 이 모든 계정의 비밀번호를 기억하고 관리하는 것은 쉬운 일이 아니다. 하지만 이렇게 허술하게 관리되는 비밀번호는 사이버 공격자의 쉬운 먹잇감이 되기 십상이다. 

이처럼 사용자들의 비밀번호 관리가 갈수록 어려워지고 비밀번호 유출로 인한 보안 사고가 자주 발생하면서 기업들은 이를 보완하기 위한 다양한 방법을 강구하고 있다. 대표적으로 생체 인증 등을 도입한 다중 인증 방식(MFA: Multi-Factor Authentication)이 여기에 속한다. 최근에는 비밀번호가 아예 필요 없는 인증 방식이 활발하게 연구되고 있다. 2024년 보안업계가 주목하는 기술 세 번째 주인공은 비밀번호 없는(Passwordless) 인증 기술이다.

일상적으로 사용하는 비밀번호의 위험성

디지털 환경이 일상으로 녹아들면서 우리는 수많은 아이디와 비밀번호를 설정해야 하는 환경에 놓여있다. 거의 모든 웹사이트와 애플리케이션에서는 개개인의 정보를 특정하기 위해 로그인을 장려하고 있다. 문제는 이처럼 이용자가 직접 아이디와 비밀번호를 설정하고 기입하는 방식이 보안에 굉장히 취약하다는 점이다.

전문 기관의 조사에 따르면 인터넷 사용자들이 원활하게 디지털 환경을 이용하기 위해 필요한 비밀번호의 개수는 약 100여 개. 하지만 사람들은 기억력의 한계 탓에 100여 개의 비밀번호를 모두 다르게 설정하지 못한다. 결국 2~3개, 혹은 기억하기 쉬운 한 개의 비밀번호로 대부분의 웹사이트와 애플리케이션을 이용하고 있다.

게다가 비밀번호를 기억하기 쉽도록 연달아 이어진 문자열을 이용하거나 개인정보에 기반해 설정하는 이들도 많다. 생년월일이나 이름, 휴대폰 번호처럼 기억하기 쉬운 정보를 비밀번호에 포함시키는 것이다. 그래서 개인정보를 아는 사람이라면 비밀번호를 쉽게 유추할 수 있고 해커의 공격으로 비밀번호나 개인정보가 유출되기도 쉽다. 더욱이 한 번 도용되면 같은 비밀번호를 공유하는 다른 사이트와 애플리케이션의 계정도 연쇄적으로 도용될 위험이 크다.

​

이는 비단 개인의 문제만이 아니다. 웹 기반 서비스를 이용하는 기업들 역시 비밀번호를 어렵지 않게 설정해서 돌려 쓰는 편이고 이 비밀번호가 유출되는 경우가 적지 않다. 실제로 해커들 역시 기업이나 개인에 대한 사이버 공격을 감행할 때 자주 사용하는 한 두 개의 비밀번호를 알아내는 데 집중하는 경향이 있다.

오늘날 사이버 공간에서 발생하는 정보 유출의 81%가 도난당한 혹은 재사용되는 비밀번호 때문에 발생한다는 조사 결과도 있다. 그리고 이를 초기화하는데 기업들이 천문학적인 비용을 지불하고 있다는 통계도 있다. 2017년 마이크로소프트는 한 달 만에 68만 6000개의 비밀번호를 초기화하는데 1200만 달러(약 160억 원)의 비용을 지불했고 대다수의 글로벌 기업들이 비밀번호 관리 솔루션에 상당량의 보안 비용을 지불하고 있다.

유출되는 비밀번호에 대한 해결책으로 인증서를 이용하는 기업이나 사이트가 많아지고 있지만 인증서 역시 비밀번호가 필요한 탓에 같은 문제점이 있다는 지적이 많았다. 이에 비밀번호가 아예 필요 없는 다양한 보안 기술에 대한 수요가 늘어나고 있다. 

비밀번호 없는 인증 기술의 진화

비밀번호로 인한 보안 위협이 나날이 늘어나면서 비밀번호 없는 인증 기술에 대한 업계의 관심도 폭증하고 있다. 시장 조사 기업 FMI(Future Market Insights)는 2022년 전 세계 비밀번호 없는 인증 시장은 약 134억 5040만 달러(약 18조 원) 수준이었으며 이 시장이 연평균 15.3% 성장해  2032년에는 556억 7940만 달러(약 74조 원)에 이를 것으로 예상했다.

보안업계에서는 지금까지 사용자가 인증 요소를 두 가지 이상 사용해 본인 인증을 하는 다중 인증을 활용해 왔다. 다중 인증에는 기존의 아이디와 비밀번호 외에 이메일 인증, 모바일 및 SMS 인증, 음성 통화, OTP 등을 함께 활용하는 인증 기술이다. ▲사용자만이 알고 있는 지식을 물어보는 지식 기반 인증 ▲사용자가 소유한 하드웨어나 소프트웨어를 활용하는 소유 기반 인증(인증서나 OTP 등) ▲사용자의 고유한 신체 구조를 활용하는 생체 기반 인증으로 구분할 수 있다.

하지만 다중 요소 인증 역시 우회가 쉽고 기존 비밀번호 패턴을 알고 있으면 쉽게 정보를 유출할 수 있다는 문제가 제기되면서 비밀번호 없는 인증 기술은 더욱 강력한 보안 기능을 내장한 형태로 진화를 꾀하고 있다.

[이미지출처: 게티이미지뱅크]​

대표적인 것이 FIDO(Fast IDentity Online) 기반 인증 기술이다. FIDO는 2006년 6월에 설립된 온라인 보안 인증 관련 글로벌 기업들의 연합체인 FIDO Alliance가 추구하는 온라인 인증 방식으로 기존 패스워드를 사용하는 서비스에서 두 번째 인증 요소로 강한 인증을 추가하는 방식과 사용자의 디바이스에서 제공하는 인증 방법을 온라인 서비스와 연동하여 사용자를 인증하는 방식으로 나눌 수 있다.

전자에 해당하는 기술이 지금까지 우리가 일상에서 마주한 수많은 2단계 보안 기술들이며 후자에 해당하는 기술은 분산 디지털 신원 개념을 도입한 방식이다. 분산 디지털 신원 시스템은 신원 등록 데이터와 인증을 통합해 두 가지를 절대로 떨어뜨리지 못하게 강제하는 방식이다. 비밀 키를 별도의 공간에 저장해 두고 이 비밀 키에 접근하기 위해서는 등록 과정에서 제출한 생체 정보와 동일한 정보를 입력할 수 있도록 구성한다. 기존 FIDO 시스템에서 한 발 더 나아가 FIDO 모듈을 플랫폼화하고 인증 절차를 더욱 강화한 FIDO2에 해당하는 기술이다. 

비밀번호 없는 인증 기술의 활용

비밀번호 없는 인증 기술, 로그인 기술은 이미 상용화되어 글로벌 기업들 중 일부에서는 스마트카드와 보안키, 하드웨어 토큰, 생체 인식, 모바일 인증 등을 통해 사내 클라우드 기반 솔루션을 지원하고 있다. 신분증이나 출입 카드 발급 과정에서 비밀번호 없는 인증 기술을 적용한 사례도 있으며 지문 인식, 얼굴 인식 등 생체 인증을 지원하는 모바일 기기도 이미 일상이 된 지 오래다.

패스키라 불리는 생체 인증을 기반으로 한 비밀번호 없는 로그인 기술도 적극 활성화되고 있다. 패스키는 스마트폰과 같은 기기나 디바이스에 비밀 키를 내장하고 이를 활성화하기 위해 생체 인증으로 본인을 확인하는 방식이다.

사용자 계정의 식별자로 작동하는 고유한 숫자 또는 문자열 시퀀스를 부여하고 여기에 보안 토큰이나 생체 인식 같은 다른 요소를 결합해 추가적인 보안 계층을 제공한다. 다중 요소 인증을 활용한 보안으로 1단계에서는 기기 자체 혹은 기기 안에 내장된 비밀 키가 인증 요소로 기능하고 2단계에서는 사용자만의 고유한 생체 정보를 인증해야 한다. 해킹을 통해 비밀 키나 패스키를 획득했더라도 생체 인증으로 본인을 재차 확인해야 하기에 보안성이 높다는 평가가 많다.

 

암호화된 한 쌍의 공개키와 개인키를 조합해 패스키를 구성하는 경우도 있다. 공개키는 서버에, 개인키는 사용자 기기에 각각 저장해 어느 한쪽이 유출되더라도 다른 키가 보안을 책임지는 방식이다.

이미 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 로블록스, 닌텐도, 어도비, 틱톡 등 글로벌 기업들이 패스키 도입을 공개적으로 발표했으며 작년 하반기부터 패스키 기능을 자사 앱이나 웹사이트에서 기본 옵션으로 도입한 기업도 많다.

패스키 도입을 주도한 FIDO Alliance에 따르면 전 세계 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용하고 있으며, 99%의 기기가 패스키 적용이 가능한 환경을 지원하고 있는 것으로 나타났다. 패스키 도입을 위한 환경은 이미 조성되어 있다는 뜻이다.

비밀번호 없는 인증 기술의 대표격인 패스키지만 단점이 없는 건 아니다. 1단계 인증에 해당하는 기기 자체를 분실한 경우 계정이나 장치가 아예 잠겨버릴 수 있다. 더불어 전통적인 비밀번호 방식보다 추가로 설정해야 할 포인트가 늘어나 관련 지식이나 디지털 환경에 취약한 사용자에게는 오히려 장벽으로 기능할 여지도 있다.

비밀번호 없는 로그인, 인증 기술은 사용자의 편의는 물론, 점점 늘어나는 보안 위협을 해소하기 위한 차세대 보안 기술이다. 기억나지 않는 비밀번호 탓에 로그인을 수차례 시도하고 한 번 유출된 비밀번호로 인해 연쇄적으로 해킹의 위협에 시달리는 문제를 해결할 핵심적인 기술이 바로 비밀번호 없는 인증 기술이다. 향후 우리가 더 안전한 인터넷을 누리기 위해서도 필수적인 보안 기술이라고 할 수 있겠다.

출처 : CCTV뉴스(https://www.cctvnews.co.kr/news/articleView.html?idxno=236661)​

우리 사법부가 북한 해커 조직 '라자루스'(Lazarus)에 대량의 전자정보를 탈취당했다는 사실이 뒤늦게 밝혀진 가운데, 대법원 전산망 관리자 계정의 일부 비밀번호가 공개됐다.

 

5일 노컷뉴스에 따르면 라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 비밀번호는 'P@ssw0rd', '123qwe', 'oracle99' 등 속칭 깨기 쉬운 문자열로 구성돼 있었다. 특히 일부 계정은 2016년 8월부터 6년 넘게 'P@ssw0rd' 비밀번호를 바꾸지 않은 것으로 전해졌다. 일반인들이 이용하는 온라인 사이트에서도 보안 등을 이유로 3/6개월에 한 번씩 비밀번호 변경을 요청하는 경우가 대부분이기에 충격을 주는 대목이다.

앞서 매체는 지난 30일 라자루스가 작년부터 올해 초까지 사법부 전산망에 침투해 최소 수십GB에서 최대 수백GB 이상의 내부 전자정보를 빼갔으며, 그 안에는 민·형사소송 당사자들의 개인정보와 재산관계 서류, 기업 기밀과 국가 안보정보 등이 담겼을 것이라는 기사를 냈다. 

또 지난 4일 매체는 대법원이 지난 2월경 라자루스 백도어 악성파일을 탐지했음에도 이를 외부에 감추려 했으며, 언론에는 거짓 해명을 내놓았다고 전했다. 벌써 8개월 전 범행 주체와 공격 방식, 피해 규모를 파악하고도 "북한 라자루스로 단정할 수 없고, 소송 서류 등 유출 여부를 확인할 수 없다"고 말했다는 것이다.

법원행정처는 보안 점검을 거쳐 해킹 피해 사실을 상세히 보고받은 지난 4월에야 기존 비밀번호를 일괄 변경하고, 계정 비밀번호의 최대 사용 기간을 설정하는 등의 조처를 한 것으로 알려졌다.
 

이러한 상황에서 5일부터 이틀 동안 조희대 대법원장 후보자 인사청문회가 열리면서, 해당 해킹 사태가 주요 의제로 다뤄질 것이란 전망이 나온다. 

출처 : 허프포스트코리아 

​구글이 비밀번호 없이 개인 구글 계정에 로그인할 수 있는 ‘패스키’(passkeys)를 기본 옵션으로 설정한다.​

 

구글은 10일(현지 시각) 블로그를 통해 이같이 밝혔다. 구글이 지난 5월 출시한 패스키는 컴퓨터나 휴대전화 등에서 비밀번호를 입력하지 않고 구글이 지원하는 앱이나 사이트를 이용할 수 있는 기술이다.

패스키를 사용하면 비밀번호 입력 대신 얼굴 인식이나 지문, 화면 잠금 개인 식별번호(PIN) 등을 이용해 로그인할 수 있다. 이 때문에 비밀번호와 달리 해킹이나 기기분실 등에 따른 계정 탈취 우려가 적다.

구글은 “이용자들의 긍정적인 피드백을 받아 ‘패스키’를 기본 옵션으로 설정했다”면서 “’패스키’는 이용자들이 비밀번호를 일일이 기억할 필요가 없는 안전하고 빠른 대안”이라고 전했다.

구글은 다른 온라인 계정에서 패스키를 사용할 수 있는 곳에 대해 계속 업데이트할 계획이다. 다만, 현재의 비밀번호를 더 선호하는 이용자는 ‘패스키’ 사용 옵션을 거부할 수 있다. 

 

 

조선비즈/김송이 기자

전자상거래 분야 1위 업체 아마존도 슬슬 비밀번호를 없애가려는 것으로 보인다. 공식적으로 발표하지는 않았지만 조용히 패스키를 자사 플랫폼에 도입한 것이다. 3억 명 사용자를 보유한 플랫폼이기 때문에 이제 적잖은 사람들이 패스키의 맛을 볼 수 있게 됐다.

아마존이 아무런 예고도 없이 패스키 기능을 도입했다. 아마존에서 쇼핑을 즐기는 사용자들이나 아마존 플랫폼에서 스트리밍을 제공하던 사용자들이나, 이제부터 클라우드 기반 인증 도구인 패스키를 사용해야만 하는 상황이 됐다. 최근 구글과 MS 등 ‘빅테크’ 기업들의 흐름을 아마존도 놓치지 않고 좇은 것으로 보인다.

갑작스럽긴 해도 패스키라는 인증 도구를 사용할 줄 모르는 사람은 거의 없다는 것이 꽤나 다행인 점이다. 이미 애플이 자사의 인기 높은 장비들을 통해 페이스ID나 터치ID 등을 보편화시켰고, 그 외에도 각종 랩톱에 장착된 지문 센서라든가, 화면 잠금 장치를 푸는 PIN 번호와 같은 개념이 이제는 낯설지 않다. 비밀번호 없이도 인증할 수 있게 해주는 여러 도구들을 사용자들은 충분히 접해왔고 지금도 그러고 있다.

최근에는 이 패스키라는 것이(보다 정확히 말하면 비밀번호를 대체한다는 핵심 개념이) 클라우드 서비스, 웹사이트, 앱 등 여러 군데에서 적용되고 있다. 우버(Uber)도 도입하고 있고, 온리팬즈(OnlyFans)도 이 기술로 사용자들의 접속을 허용한다. 내부적인 활용을 위해 패스키를 도입하는 기업들도 많아지고 있는 추세다.

아마존의 소리 소문 없는 패스키 도입을 먼저 알아채고 알린 건 패스키 기술 전문 업체 코바도(Corbado)의 공동 창립자 빈센트 델리츠(Vincent Delitz)다. “아마존은 사용자의 수가 어마어마한 플랫폼입니다. 아마존이 패스키를 도입하여 많은 사람들이 사용하게 된다는 건, 테크 분야의 신기술이나 유행에 민감하지 않은 사람이더라도 패스키에 적응할 기회가 생긴다는 뜻이 됩니다. 패스키의 편리함에 사람들이 익숙해지고, 따라서 패스키에 대한 수요가 높아진다면 다른 플랫폼과 서비스들에서도 패스키를 도입할 수밖에 없을 겁니다.”

다만 아마존의 패스키가 아직 완전하지는 않다고 델리츠는 설명을 잇는다. “아마존 모바일 앱들에는 아직 패스키가 지원되지 않고 있습니다. 잘 이해가 안 가는 선택이죠. 또한 패스키를 국가별로 혹은 최고 수준 도메인별로 따로 설정을 해야 한다는 것도 조금 아쉽습니다. 패스키 자동 채우기도 아직 지원이 안 되는 걸로 보이고, 장비 관리에서도 불편함들이 조금씩 나타나고 있습니다. 패스키라는 기술 자체의 문제는 아니고, 이를 구축하는 부분에서 나타나는 문제들인데 개선되어야 할 것입니다.”

지난 주 구글도 패스키를 ‘디폴트 로그인 방식’으로 채택할 것이라고 발표했다. 구글은 오래 전부터 비밀번호 없애기에 앞장서 왔던 기업이다. 여기에 아마존도 조용히 패스키를 도입하기 시작했으니, 비밀번호보다 안전한 로그인 기술의 도입이 점점 빨라지고 있다고 볼 수 있으며, 두 주요 기업의 실질적인 행동으로 ‘패스워드리스(passwordless : 비밀번호 없는)’가 더 빠르게 실현될 가능성이 높아졌다. 아이덴티티 보호와 관리 전문 기업 베리다스(Veridas)의 CEO 에두아르도 아잔자(Eduardo Azanza)는 “보안의 측면에서 매우 긍정적인 흐름”이라고 보고 있다.

“패스키가 확산되는 것 자체에는 단점이 없습니다. 오히려 보안이 강화된다는 장점만 있을 뿐이죠. 특히 생체 인증을 기반으로 한 패스키가 널리 도입되면 사이버 공격으로 인한 로그인 정보의 침해가 이전처럼 자주 발생하지 않을 거라고 봅니다. 생체 인증 정보는 사용자의 물리적 특성을 반영한 것이기 때문에 해킹으로 훔쳐가기가 매우 힘들죠. 그러니 아이덴티티 탈취나 도용이 까다로워지고, 그러한 시도에 대한 탐지는 오히려 빨라질 것이라고 봅니다. 아마존과 같은 대형 IT 기업이 패스키를 도입한다는 건 비밀번호를 종식시켜야 한다는 강력한 메시지가 될 겁니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)] 

​FIDO APAC Summit 2023

날짜 및 장소 : 8월 28 – 30일, 베트남 나트랑

Silver sponsor : TrustKey Solutions

 

아시아 태평양 지역은 비밀번호 없는 솔루션에 대한 관심이 높아지면서 인증 방법의 환경이 크게 변화하고 있습니다. 
기존의 비밀번호 기반 인증 방법은 피싱 공격, 자격증명 도용, 취약한 비밀번호 관행 등 다양한 위협에 취약한 것으로 입증되었습니다. 이에 따라 아시아 태평양 지역의 조직들은 보다 안전하고 사용자 친화적인 대안으로 비밀번호 없는 인증을 적극적으로 탐색하고 채택하고 있습니다. 아시아 태평양 신원 확인 및 인증 시장은 2021년부터 2028년까지 예측 기간 동안 성장할 것으로 예상됩니다.

 

FIDO APAC Summit 2023에서는

일본, 싱가포르, 호주, 한국 등 아시아 국가의 업계 리더, 사이버 보안 전문가 및 정부 대표자가 모여 FIDO 인증 분야의 최신 개발과 성공 사례를 살펴보는 시간을 가졌으며,

특히 구글은 Chrome과 안드로이드에서 Passkey를 지원함으로써 Passkey의 확산에 집중하는 모습이었습니다.

 

 

 

 

이 서밋에서 트러스트키는 전시 부스를 운영하여 새로이 출시된 모델인 B210을 소개하고 TrustKey Login Solution 시연 및 PIV를 선보였으며, DTASIA 베트남 지사, VinCSS와 CySack등 유수의 업체들과 접촉하여 협업 가능성을 확인하는 기회가 되었습니다. 

더 나아가 VinCSS와는 파트너쉽 협의로 발전하는 등 TrustKey solutions가 가진 FIDO 기술을 소개하는 기회와 더불어 풍부한 네트워킹 경험을 쌓을 수 있었던 행사였습니다.

자세한 내용은 FIDO Alliance 홈페이지에서 확인해보세요.  

FIDO 보안키

FIDO 보안키(Fast IDentity Online security key)는 사용자 계정에 대한 공격(피싱 및 사회공학적 사기를 포함)으로부터 안전하게 계정을 보호하는 하드웨어 보안 장치입니다.

FIDO 보안키는 iPhone에 연결하여, Apple ID 계정에 로그인할 경우, 신원을 확인하는 데 사용할 수 있고 6자리 인증코드를 대체하여 공격자가 인증 정보를 탈취하거나 요청하는 것을 방지합니다.

 

트러스트키 등록하기

트러스트키(G310H, G320H, T110, T210)는 지문인식 또는 터치 방식으로 사용자를 인증하는 방식의 FIDO 보안키입니다.

 

트러스트키 G시리즈와 T시리즈

사용자는 트러스트키가 분실되거나, 손상되거나, 도난당할 경우에 대비해 백업용으로 사용할 수 있도록 최소 두 개 이상의 트러스트키를 등록해야 합니다. 최대 여섯 개의 키를 사용자의 계정과 페어링할 수 있습니다.

Ÿ   아이폰에서 설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오.

Ÿ   보안키 > 보안키 추가를 탭한 다음 화면상의 지침을 따르십시오.

 

트러스트키를 사용하여 기기, 웹 사이트 또는 앱에 로그인하기

Ÿ   요청을 받으면, 트러스트키를 삽입하십시오.

Ÿ   화면상의 지침을 따르십시오.

 

아이폰에서 등록된 트러스트키

트러스트키를 사용하여 Apple ID 암호 재설정하기

Apple ID 암호를 잊어버린 경우 사용자의 계정과 페어링된 트러스트키를 사용하여 암호를 재설정할 수 있습니다.

Ÿ   설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오. (아직 iPhone에서 Apple ID로 로그인하지 않았을 경우, 먼저 페어링된 트러스트키를 사용하여 로그인하십시오.)

Ÿ   암호 변경을 탭한 다음, 화면상의 지침을 따르십시오.

 

트러스트키를 사용하여 Apple ID 잠금 해제하기

Apple ID 계정에 로그인할 때 연속으로 6번 실패하거나 iPhone이 기타 의심스러운 활동을 감지하는 경우, Apple ID가 잠겼다는 알림이 화면에 나타납니다. 트러스트키를 사용하여 이러한 잠금을 해제할 수 있습니다.

Ÿ   계정 잠금 해제를 탭한 다음, 화면상의 지침을 따라 Apple ID의 잠금을 해제하십시오.

Ÿ   다른 사람이 사용자의 암호를 알아내 사용자의 계정이 잠겼다고 생각되는 경우, ‘암호 변경’을 탭하고 암호를 새로 입력하십시오.

Ÿ   ‘완료’를 탭하십시오.

 

트러스트키 제거하기

최대 여섯 개의 트러스트키를 Apple ID와 페어링할 수 있습니다. 한도에 도달한 상태에서 키를 추가로 페어링하려는 경우, 하나 이상의 페어링된 키를 제거할 수 있습니다. 언제든지 제거한 키를 대치할 수 있습니다.

Ÿ   설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오.

Ÿ   ‘보안키’를 탭하십시오.

Ÿ   모든 키를 제거하려면 ‘모든 키 삭제’를 탭한 다음, ‘삭제’를 탭하십시오.

키를 개별적으로 제거하려면 제거하려는 키를 탭한 다음, ‘키 삭제’를 탭하십시오.

참고: 기기에서 트러스트키를 모두 제거하면, 이전처럼 이중 인증에 여섯 자리 확인 코드를 사용하게 됩니다.

   ​

오스트리아 공공 행정 정보 및 문제에 대한 즉각적인 도움과 정보를 제공하는 기관 간 플랫폼인 eosterriech.gv.at에서 최근 FIDO2 보안키를 MFA장치로 사용하는 향상된 지원을 발표했습니다.
그 결과 TrustKey G310H 보안키가 해당 온라인 사이트에서 호환되어 ID Austria와 함께 사용할 수 있습니다.

원문 :
● ID Austria와 호환되는 FIDO 보안 키는 무엇이며 어디에서 사용할 수 있나요?
WebAuthn으로 인증된 FIDO2 레벨 2를 지원하는 토큰은 ID 오스트리아에서 사용할 수 있습니다. 이는 현재 아래와 같이 충족됩니다:

• Trustkey G310H
• GoTrust Idem Key FIDO2
• Yubico Security Key NFC in schwarz (USB-A + NFC, USB-C + NFC)
• Yubico YubiKey FIPS Series (5 NFC FIPS, 5C NFC FIPS, 5C FIPS, 5 Nano FIPS, 5C Nano FIPS, 5Ci FIPS)

일반적인 모델들은 보통 USB 또는 NFC를 통해 컴퓨터에 연결하여 사용하는 방식입니다.
온라인 스토어에서 구입할 수 있으며 모델에 따라 30유로에서 70유로 사이의 가격대를 형성하고 있으며, 원활한 작동을 위해 Windows 운영 체제에서 사용하며 Chrome 또는 Firefox와 같은 일반적인 브라우저를 사용하는 것이 좋습니다.
운영 체제 및 브라우저의 FIDO2 지원에 대한 개요는 https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/ 에서 확인할 수 있습니다.
 
지금 트러스트키를 주문하려면 amazon.com/s?k=TrustKey 에 방문하여 구매하고 ID Austria 피싱 방지 MFA수단으로써 트러스트키 보안키를 사용하여 당신의 계정을 보호하세요.