우리 사법부가 북한 해커 조직 '라자루스'(Lazarus)에 대량의 전자정보를 탈취당했다는 사실이 뒤늦게 밝혀진 가운데, 대법원 전산망 관리자 계정의 일부 비밀번호가 공개됐다.

 

5일 노컷뉴스에 따르면 라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 비밀번호는 'P@ssw0rd', '123qwe', 'oracle99' 등 속칭 깨기 쉬운 문자열로 구성돼 있었다. 특히 일부 계정은 2016년 8월부터 6년 넘게 'P@ssw0rd' 비밀번호를 바꾸지 않은 것으로 전해졌다. 일반인들이 이용하는 온라인 사이트에서도 보안 등을 이유로 3/6개월에 한 번씩 비밀번호 변경을 요청하는 경우가 대부분이기에 충격을 주는 대목이다.

앞서 매체는 지난 30일 라자루스가 작년부터 올해 초까지 사법부 전산망에 침투해 최소 수십GB에서 최대 수백GB 이상의 내부 전자정보를 빼갔으며, 그 안에는 민·형사소송 당사자들의 개인정보와 재산관계 서류, 기업 기밀과 국가 안보정보 등이 담겼을 것이라는 기사를 냈다. 

또 지난 4일 매체는 대법원이 지난 2월경 라자루스 백도어 악성파일을 탐지했음에도 이를 외부에 감추려 했으며, 언론에는 거짓 해명을 내놓았다고 전했다. 벌써 8개월 전 범행 주체와 공격 방식, 피해 규모를 파악하고도 "북한 라자루스로 단정할 수 없고, 소송 서류 등 유출 여부를 확인할 수 없다"고 말했다는 것이다.

법원행정처는 보안 점검을 거쳐 해킹 피해 사실을 상세히 보고받은 지난 4월에야 기존 비밀번호를 일괄 변경하고, 계정 비밀번호의 최대 사용 기간을 설정하는 등의 조처를 한 것으로 알려졌다.
 

이러한 상황에서 5일부터 이틀 동안 조희대 대법원장 후보자 인사청문회가 열리면서, 해당 해킹 사태가 주요 의제로 다뤄질 것이란 전망이 나온다. 

출처 : 허프포스트코리아 

​구글이 비밀번호 없이 개인 구글 계정에 로그인할 수 있는 ‘패스키’(passkeys)를 기본 옵션으로 설정한다.​

 

구글은 10일(현지 시각) 블로그를 통해 이같이 밝혔다. 구글이 지난 5월 출시한 패스키는 컴퓨터나 휴대전화 등에서 비밀번호를 입력하지 않고 구글이 지원하는 앱이나 사이트를 이용할 수 있는 기술이다.

패스키를 사용하면 비밀번호 입력 대신 얼굴 인식이나 지문, 화면 잠금 개인 식별번호(PIN) 등을 이용해 로그인할 수 있다. 이 때문에 비밀번호와 달리 해킹이나 기기분실 등에 따른 계정 탈취 우려가 적다.

구글은 “이용자들의 긍정적인 피드백을 받아 ‘패스키’를 기본 옵션으로 설정했다”면서 “’패스키’는 이용자들이 비밀번호를 일일이 기억할 필요가 없는 안전하고 빠른 대안”이라고 전했다.

구글은 다른 온라인 계정에서 패스키를 사용할 수 있는 곳에 대해 계속 업데이트할 계획이다. 다만, 현재의 비밀번호를 더 선호하는 이용자는 ‘패스키’ 사용 옵션을 거부할 수 있다. 

 

 

조선비즈/김송이 기자

전자상거래 분야 1위 업체 아마존도 슬슬 비밀번호를 없애가려는 것으로 보인다. 공식적으로 발표하지는 않았지만 조용히 패스키를 자사 플랫폼에 도입한 것이다. 3억 명 사용자를 보유한 플랫폼이기 때문에 이제 적잖은 사람들이 패스키의 맛을 볼 수 있게 됐다.

아마존이 아무런 예고도 없이 패스키 기능을 도입했다. 아마존에서 쇼핑을 즐기는 사용자들이나 아마존 플랫폼에서 스트리밍을 제공하던 사용자들이나, 이제부터 클라우드 기반 인증 도구인 패스키를 사용해야만 하는 상황이 됐다. 최근 구글과 MS 등 ‘빅테크’ 기업들의 흐름을 아마존도 놓치지 않고 좇은 것으로 보인다.

갑작스럽긴 해도 패스키라는 인증 도구를 사용할 줄 모르는 사람은 거의 없다는 것이 꽤나 다행인 점이다. 이미 애플이 자사의 인기 높은 장비들을 통해 페이스ID나 터치ID 등을 보편화시켰고, 그 외에도 각종 랩톱에 장착된 지문 센서라든가, 화면 잠금 장치를 푸는 PIN 번호와 같은 개념이 이제는 낯설지 않다. 비밀번호 없이도 인증할 수 있게 해주는 여러 도구들을 사용자들은 충분히 접해왔고 지금도 그러고 있다.

최근에는 이 패스키라는 것이(보다 정확히 말하면 비밀번호를 대체한다는 핵심 개념이) 클라우드 서비스, 웹사이트, 앱 등 여러 군데에서 적용되고 있다. 우버(Uber)도 도입하고 있고, 온리팬즈(OnlyFans)도 이 기술로 사용자들의 접속을 허용한다. 내부적인 활용을 위해 패스키를 도입하는 기업들도 많아지고 있는 추세다.

아마존의 소리 소문 없는 패스키 도입을 먼저 알아채고 알린 건 패스키 기술 전문 업체 코바도(Corbado)의 공동 창립자 빈센트 델리츠(Vincent Delitz)다. “아마존은 사용자의 수가 어마어마한 플랫폼입니다. 아마존이 패스키를 도입하여 많은 사람들이 사용하게 된다는 건, 테크 분야의 신기술이나 유행에 민감하지 않은 사람이더라도 패스키에 적응할 기회가 생긴다는 뜻이 됩니다. 패스키의 편리함에 사람들이 익숙해지고, 따라서 패스키에 대한 수요가 높아진다면 다른 플랫폼과 서비스들에서도 패스키를 도입할 수밖에 없을 겁니다.”

다만 아마존의 패스키가 아직 완전하지는 않다고 델리츠는 설명을 잇는다. “아마존 모바일 앱들에는 아직 패스키가 지원되지 않고 있습니다. 잘 이해가 안 가는 선택이죠. 또한 패스키를 국가별로 혹은 최고 수준 도메인별로 따로 설정을 해야 한다는 것도 조금 아쉽습니다. 패스키 자동 채우기도 아직 지원이 안 되는 걸로 보이고, 장비 관리에서도 불편함들이 조금씩 나타나고 있습니다. 패스키라는 기술 자체의 문제는 아니고, 이를 구축하는 부분에서 나타나는 문제들인데 개선되어야 할 것입니다.”

지난 주 구글도 패스키를 ‘디폴트 로그인 방식’으로 채택할 것이라고 발표했다. 구글은 오래 전부터 비밀번호 없애기에 앞장서 왔던 기업이다. 여기에 아마존도 조용히 패스키를 도입하기 시작했으니, 비밀번호보다 안전한 로그인 기술의 도입이 점점 빨라지고 있다고 볼 수 있으며, 두 주요 기업의 실질적인 행동으로 ‘패스워드리스(passwordless : 비밀번호 없는)’가 더 빠르게 실현될 가능성이 높아졌다. 아이덴티티 보호와 관리 전문 기업 베리다스(Veridas)의 CEO 에두아르도 아잔자(Eduardo Azanza)는 “보안의 측면에서 매우 긍정적인 흐름”이라고 보고 있다.

“패스키가 확산되는 것 자체에는 단점이 없습니다. 오히려 보안이 강화된다는 장점만 있을 뿐이죠. 특히 생체 인증을 기반으로 한 패스키가 널리 도입되면 사이버 공격으로 인한 로그인 정보의 침해가 이전처럼 자주 발생하지 않을 거라고 봅니다. 생체 인증 정보는 사용자의 물리적 특성을 반영한 것이기 때문에 해킹으로 훔쳐가기가 매우 힘들죠. 그러니 아이덴티티 탈취나 도용이 까다로워지고, 그러한 시도에 대한 탐지는 오히려 빨라질 것이라고 봅니다. 아마존과 같은 대형 IT 기업이 패스키를 도입한다는 건 비밀번호를 종식시켜야 한다는 강력한 메시지가 될 겁니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)] 

​FIDO APAC Summit 2023

날짜 및 장소 : 8월 28 – 30일, 베트남 나트랑

Silver sponsor : TrustKey Solutions

 

아시아 태평양 지역은 비밀번호 없는 솔루션에 대한 관심이 높아지면서 인증 방법의 환경이 크게 변화하고 있습니다. 
기존의 비밀번호 기반 인증 방법은 피싱 공격, 자격증명 도용, 취약한 비밀번호 관행 등 다양한 위협에 취약한 것으로 입증되었습니다. 이에 따라 아시아 태평양 지역의 조직들은 보다 안전하고 사용자 친화적인 대안으로 비밀번호 없는 인증을 적극적으로 탐색하고 채택하고 있습니다. 아시아 태평양 신원 확인 및 인증 시장은 2021년부터 2028년까지 예측 기간 동안 성장할 것으로 예상됩니다.

 

FIDO APAC Summit 2023에서는

일본, 싱가포르, 호주, 한국 등 아시아 국가의 업계 리더, 사이버 보안 전문가 및 정부 대표자가 모여 FIDO 인증 분야의 최신 개발과 성공 사례를 살펴보는 시간을 가졌으며,

특히 구글은 Chrome과 안드로이드에서 Passkey를 지원함으로써 Passkey의 확산에 집중하는 모습이었습니다.

 

 

 

 

이 서밋에서 트러스트키는 전시 부스를 운영하여 새로이 출시된 모델인 B210을 소개하고 TrustKey Login Solution 시연 및 PIV를 선보였으며, DTASIA 베트남 지사, VinCSS와 CySack등 유수의 업체들과 접촉하여 협업 가능성을 확인하는 기회가 되었습니다. 

더 나아가 VinCSS와는 파트너쉽 협의로 발전하는 등 TrustKey solutions가 가진 FIDO 기술을 소개하는 기회와 더불어 풍부한 네트워킹 경험을 쌓을 수 있었던 행사였습니다.

자세한 내용은 FIDO Alliance 홈페이지에서 확인해보세요.  

FIDO 보안키

FIDO 보안키(Fast IDentity Online security key)는 사용자 계정에 대한 공격(피싱 및 사회공학적 사기를 포함)으로부터 안전하게 계정을 보호하는 하드웨어 보안 장치입니다.

FIDO 보안키는 iPhone에 연결하여, Apple ID 계정에 로그인할 경우, 신원을 확인하는 데 사용할 수 있고 6자리 인증코드를 대체하여 공격자가 인증 정보를 탈취하거나 요청하는 것을 방지합니다.

 

트러스트키 등록하기

트러스트키(G310H, G320H, T110, T210)는 지문인식 또는 터치 방식으로 사용자를 인증하는 방식의 FIDO 보안키입니다.

 

트러스트키 G시리즈와 T시리즈

사용자는 트러스트키가 분실되거나, 손상되거나, 도난당할 경우에 대비해 백업용으로 사용할 수 있도록 최소 두 개 이상의 트러스트키를 등록해야 합니다. 최대 여섯 개의 키를 사용자의 계정과 페어링할 수 있습니다.

Ÿ   아이폰에서 설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오.

Ÿ   보안키 > 보안키 추가를 탭한 다음 화면상의 지침을 따르십시오.

 

트러스트키를 사용하여 기기, 웹 사이트 또는 앱에 로그인하기

Ÿ   요청을 받으면, 트러스트키를 삽입하십시오.

Ÿ   화면상의 지침을 따르십시오.

 

아이폰에서 등록된 트러스트키

트러스트키를 사용하여 Apple ID 암호 재설정하기

Apple ID 암호를 잊어버린 경우 사용자의 계정과 페어링된 트러스트키를 사용하여 암호를 재설정할 수 있습니다.

Ÿ   설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오. (아직 iPhone에서 Apple ID로 로그인하지 않았을 경우, 먼저 페어링된 트러스트키를 사용하여 로그인하십시오.)

Ÿ   암호 변경을 탭한 다음, 화면상의 지침을 따르십시오.

 

트러스트키를 사용하여 Apple ID 잠금 해제하기

Apple ID 계정에 로그인할 때 연속으로 6번 실패하거나 iPhone이 기타 의심스러운 활동을 감지하는 경우, Apple ID가 잠겼다는 알림이 화면에 나타납니다. 트러스트키를 사용하여 이러한 잠금을 해제할 수 있습니다.

Ÿ   계정 잠금 해제를 탭한 다음, 화면상의 지침을 따라 Apple ID의 잠금을 해제하십시오.

Ÿ   다른 사람이 사용자의 암호를 알아내 사용자의 계정이 잠겼다고 생각되는 경우, ‘암호 변경’을 탭하고 암호를 새로 입력하십시오.

Ÿ   ‘완료’를 탭하십시오.

 

트러스트키 제거하기

최대 여섯 개의 트러스트키를 Apple ID와 페어링할 수 있습니다. 한도에 도달한 상태에서 키를 추가로 페어링하려는 경우, 하나 이상의 페어링된 키를 제거할 수 있습니다. 언제든지 제거한 키를 대치할 수 있습니다.

Ÿ   설정 > [사용자 이름] > 암호 및 보안으로 이동하십시오.

Ÿ   ‘보안키’를 탭하십시오.

Ÿ   모든 키를 제거하려면 ‘모든 키 삭제’를 탭한 다음, ‘삭제’를 탭하십시오.

키를 개별적으로 제거하려면 제거하려는 키를 탭한 다음, ‘키 삭제’를 탭하십시오.

참고: 기기에서 트러스트키를 모두 제거하면, 이전처럼 이중 인증에 여섯 자리 확인 코드를 사용하게 됩니다.

   ​

오스트리아 공공 행정 정보 및 문제에 대한 즉각적인 도움과 정보를 제공하는 기관 간 플랫폼인 eosterriech.gv.at에서 최근 FIDO2 보안키를 MFA장치로 사용하는 향상된 지원을 발표했습니다.
그 결과 TrustKey G310H 보안키가 해당 온라인 사이트에서 호환되어 ID Austria와 함께 사용할 수 있습니다.

원문 :
● ID Austria와 호환되는 FIDO 보안 키는 무엇이며 어디에서 사용할 수 있나요?
WebAuthn으로 인증된 FIDO2 레벨 2를 지원하는 토큰은 ID 오스트리아에서 사용할 수 있습니다. 이는 현재 아래와 같이 충족됩니다:

• Trustkey G310H
• GoTrust Idem Key FIDO2
• Yubico Security Key NFC in schwarz (USB-A + NFC, USB-C + NFC)
• Yubico YubiKey FIPS Series (5 NFC FIPS, 5C NFC FIPS, 5C FIPS, 5 Nano FIPS, 5C Nano FIPS, 5Ci FIPS)

일반적인 모델들은 보통 USB 또는 NFC를 통해 컴퓨터에 연결하여 사용하는 방식입니다.
온라인 스토어에서 구입할 수 있으며 모델에 따라 30유로에서 70유로 사이의 가격대를 형성하고 있으며, 원활한 작동을 위해 Windows 운영 체제에서 사용하며 Chrome 또는 Firefox와 같은 일반적인 브라우저를 사용하는 것이 좋습니다.
운영 체제 및 브라우저의 FIDO2 지원에 대한 개요는 https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/ 에서 확인할 수 있습니다.
 
지금 트러스트키를 주문하려면 amazon.com/s?k=TrustKey 에 방문하여 구매하고 ID Austria 피싱 방지 MFA수단으로써 트러스트키 보안키를 사용하여 당신의 계정을 보호하세요.