비대면 디지털 환경에서도 2단계 인증 통해 철저한 신원 확인 가능
2단계 인증 설정하는 것만으로도 해킹 사고 상당수 예방할 수 있어
[보안뉴스 이상우 기자] 세상에 믿을 사람 하나 없다는 표현을 종종 쓰곤 한다. 인간관계에서 상대방에게 실망하거나 상대방에 의해 예상치 못한 피해를 입었을 때 사용하는 표현이다. 이는 현실세계뿐만 아니라 사이버 보안에서도 유효한 표현이다. ID와 비밀번호를 이용해 접속하는 사용자라도 신뢰하지 말고, 오직 철저한 인증만을 믿고 이를 통해 적절한 권한을 부여하는 ‘제로 트러스트’ 모델이다.
[이미지=utoimage]
오늘날 디지털 중심의 업무환경이 구축되면서 기업 임직원은 대부분의 업무를 클라우드 등 디지털 환경에서 수행하고 있으며, 특히 코로나19가 확산된 이후로 비대면 환경에서 원격근무가 활발하게 이뤄지고 있다. 과거 기업 업무는 내부에서 주로 진행됐기 때문에 보안은 외부에서 침입하는 공격자를 차단하는데 주력했다. 하지만 오늘날 업무 환경에서는 기업 네트워크 외부에서도 업무 등을 위해 접근을 시도하기 때문에 보안은 공격을 위한 접근과 정상적인 접근을 제대로 구분해야 한다.
시스템에 접근하는 사용자에게 권한을 주는 가장 기본적인 방법은 계정이다. ID와 비밀번호를 이용해 시스템에 로그인하고, 사용자가 필요한 애플리케이션을 이용하거나 자료를 활용할 수 있다. 문제는 이 과정에서 손상된 자격증명(ID와 비밀번호)이 쓰일 수 있다는 점이다. 손상된 자격증명이란 ID와 비밀번호 등이 유출돼 타인에 의해 악용될 수 있는 상태를 말한다. 특히, 해당 기업에서 직접적으로 유출되지 않더라도, 다른 사이트에서 이용하는 자격증명을 재사용하거나 추측하기 쉬운 비밀번호를 이용할 경우에도 자격증명이 손상될 수 있다.
로그인도 입국 심사처럼 철저하게, 2단계 인증
이러한 일은 기업뿐만 아니라 개인 사용자에게도 빈번히 발생한다. 흔히 ‘계정이 해킹됐다’고 표현하는 보안사고다. 실제로 지난 8월 말에는 미국의 한 남성이 애플 직원을 사칭한 피싱으로 계정정보를 유출하고, 사용자의 아이클라우드에 접근해 사진 62만 장과 동영상 9,000여개를 유출했다. 이 중에는 나체 사진과 사생활 동영상 등이 포함돼 있었으며, 이를 발견했을 경우 다른 공모자와 유출한 콘텐츠를 공유하기도 했다.
[이미지=utoimage]
미국 연방수사국(FBI)에 따르면 공격자는 ‘애플 백업 아이클라우드(Applebackupiccloud)’나 ‘백업 에이전트 아이클라우드(backupagenticcloud)’ 등의 이메일 주소를 이용해 로그인 정보 변경을 사칭한 메일을 발송했고, 피싱에 속은 사용자가 자신의 계정 정보를 입력하도록 유도했다. 약 4,700여 명의 피해자가 자신의 ID와 비밀번호를 포함한 메일을 회신했으며, 이 가운데 최소 306여명의 계정에 접근한 것으로 확인됐다.
이처럼 사용자의 자격증명이 사이버 공격자에게 노출될 경우 심각한 피해를 유발할 수 있다. 실제로 다크웹 등에서는 ID, 비밀번호, 이메일 등이 포함된 텍스트 파일이 ‘Password Combo’ 등과 같은 이름으로 거래되기도 한다.
2단계 인증 혹은 다요소 인증(MFA: Multi Factor Authentication)은 이러한 사이버 공격으로부터 자신의 자격증명을 보호할 수 있는 수단이다. ID와 비밀번호를 1단계 인증이라고 한다면, 이 방법 외에 추가적인 수단을 이용해 다시 한 번 인증하는 것을 2단계 인증이라 할 수 있다. ARS, 보안카드, OTP, 이메일, 문자메시지, 애플리케이션 등 다양한 방법을 이용할 수 있으며, 최근에는 스마트폰과 생체인식(지문 등)을 이용하는 사례를 흔히 볼 수 있다.
2단계 인증의 종류와 특징
인증의 종류는 크게 지식 및 소유기반 인증, 속성기반 인증, 행위기반 인증 등으로 나눌 수 있으며, 이밖에 장소기반 인증 등이 쓰이기도 한다. 지식기반 인증(What I know)은 흔히 사용하는 ID와 비밀번호 등을 들 수 있으며, 계정정보 수정 시 ‘어릴 때 키우던 강아지 이름은’ 등의 질문을 설정하는 것 역시 지식기반 인증에 해당한다.
[이미지=utoimage]
소유기반 인증(What I have)은 사용자가 가진 OTP, 스마트폰, 보안카드, 보안 토큰 등을 들 수 있으며, 오늘날 스마트폰과 전용 애플리케이션(PASS 등 민간인증서)을 흔히 사용한다. 속성기반 인증(What I am)은 지문이나 홍채 같은 사람의 고유한 특징을 통해 인증하는 방식으로, 다른 인증과 함께 복합적으로 쓰인다. 행위기반 인증(What I do)은 어떤 인물의 반복된 행동이나 기기 사용 방식 등을 통해 인증하는 것으로, 수기서명 등 다양한 방식이 연구 및 실증되고 있다. 장소기반 인증(Where you are)의 경우 자신이 가진 기기가 특정 네트워크에 연결됐을 때 인증되는 방식이다. 안드로이드 스마트폰이 집에서 사용하는 공유기에 연결될 경우 화면 잠금을 풀지 않고 바로 사용할 수 있게 설정하는 것을 예로 들 수 있으며, GPS나 이동통신 등을 이용하면 특정 장소에서만 시스템에 접근하도록 구성하는 것도 가능하다.
이러한 인증은 복합적으로 쓰이고 있으며, 특히 생체인식 기능을 갖춘 스마트폰이 많이 보급된 오늘날 이러한 경향은 더욱 커지고 있다. 가령, ID와 비밀번호로 웹사이트 로그인을 시도한다면 이와 관련한 인증 승인 메시지를 스마트폰에 설치된 전용 앱으로 전송한다. 이 과정에서 이미 지식기반 인증과 소유기반 인증이 쓰였다. 특히, 인증용 앱을 실행하기 위해서 스마트폰 잠금을 풀거나 앱 잠금을 푸는데 지문인식을 사용한다면 속성기반 인증까지 더해지는 셈이다.
이처럼 인증에 사용되는 요소 형태와 단계가 늘어날수록 단순한 비밀번호 유출만으로는 계정을 탈취하기 어렵게 된다. 가령, 사이버 공격자가 우연히 사용자의 ID와 비밀번호를 손에 넣었더라도 사용자 스마트폰이 없다면 인증 앱(소유기반)을 실행할 수 없으며, 스마트폰까지 탈취해도 지문을 통한 잠금해제(속성기반)를 할 수 없기 때문에 자격증명이 훼손돼도 계정과 정보를 보호할 수 있다.
계정 해킹 예방, 2단계 인증 설정부터
앞서 언급한 것처럼 계정이 해킹됐다는 소식을 심심치 않게 듣는다. 자신의 구글 계정과 등록해둔 결제수단을 통해 무단으로 인앱 결제가 이뤄졌다는 이야기는 지난해 국회 과학기술정보방송통신위원회 국정감사 주요 이슈 중 하나였다. 이러한 사례 외에도 네이버나 페이스북 등에 로그인하면서 해외 로그인 시도를 차단했다는 알림이 보이기도 한다.
사실 이러한 해킹은 대부분 대형 IT 서비스가 직접 공격 당해 정보가 유출된 것보다는 피싱을 통해 계정정보가 유출되거나 동일한 ID와 비밀번호를 사용하는 취약한 웹 서비스에서 유출된 정보가 크리덴셜 스터핑 공격에 쓰였을 수 있다. 특히, 코로나19 확산과 함께 디지털 서비스 이용이 늘어나면서 계정정보가 유출될 가능성도 더 커지고 있다.
우리가 이용하는 구글, 애플, 네이버, 카카오, 페이스북, 인스타그램 등 주요 서비스는 2단계 인증 기능을 지원하고 있다. 자신의 계정 설정에서 2단계 인증을 활성화할 경우 타인이 부정한 로그인을 쉽게 할 수 없으며, 이러한 시도가 발생하면 사용자에게 알려주기 때문에 사용자 스스로 비밀번호를 변경하는 등 보안을 강화할 수 있다. 대부분의 서비스는 로그인 후 계정 설정 항목에서 ‘보안 설정’이나 ‘보안’과 같은 메뉴를 찾아 2차 인증과 관련한 설정을 할 수 있으니, 설정하지 않았다면 지금 바로 설정하는 것을 권장한다.
[이상우 기자(boan@boannews.com)]
2단계 인증 설정하는 것만으로도 해킹 사고 상당수 예방할 수 있어
[보안뉴스 이상우 기자] 세상에 믿을 사람 하나 없다는 표현을 종종 쓰곤 한다. 인간관계에서 상대방에게 실망하거나 상대방에 의해 예상치 못한 피해를 입었을 때 사용하는 표현이다. 이는 현실세계뿐만 아니라 사이버 보안에서도 유효한 표현이다. ID와 비밀번호를 이용해 접속하는 사용자라도 신뢰하지 말고, 오직 철저한 인증만을 믿고 이를 통해 적절한 권한을 부여하는 ‘제로 트러스트’ 모델이다.
[이미지=utoimage]
오늘날 디지털 중심의 업무환경이 구축되면서 기업 임직원은 대부분의 업무를 클라우드 등 디지털 환경에서 수행하고 있으며, 특히 코로나19가 확산된 이후로 비대면 환경에서 원격근무가 활발하게 이뤄지고 있다. 과거 기업 업무는 내부에서 주로 진행됐기 때문에 보안은 외부에서 침입하는 공격자를 차단하는데 주력했다. 하지만 오늘날 업무 환경에서는 기업 네트워크 외부에서도 업무 등을 위해 접근을 시도하기 때문에 보안은 공격을 위한 접근과 정상적인 접근을 제대로 구분해야 한다.
시스템에 접근하는 사용자에게 권한을 주는 가장 기본적인 방법은 계정이다. ID와 비밀번호를 이용해 시스템에 로그인하고, 사용자가 필요한 애플리케이션을 이용하거나 자료를 활용할 수 있다. 문제는 이 과정에서 손상된 자격증명(ID와 비밀번호)이 쓰일 수 있다는 점이다. 손상된 자격증명이란 ID와 비밀번호 등이 유출돼 타인에 의해 악용될 수 있는 상태를 말한다. 특히, 해당 기업에서 직접적으로 유출되지 않더라도, 다른 사이트에서 이용하는 자격증명을 재사용하거나 추측하기 쉬운 비밀번호를 이용할 경우에도 자격증명이 손상될 수 있다.
로그인도 입국 심사처럼 철저하게, 2단계 인증
이러한 일은 기업뿐만 아니라 개인 사용자에게도 빈번히 발생한다. 흔히 ‘계정이 해킹됐다’고 표현하는 보안사고다. 실제로 지난 8월 말에는 미국의 한 남성이 애플 직원을 사칭한 피싱으로 계정정보를 유출하고, 사용자의 아이클라우드에 접근해 사진 62만 장과 동영상 9,000여개를 유출했다. 이 중에는 나체 사진과 사생활 동영상 등이 포함돼 있었으며, 이를 발견했을 경우 다른 공모자와 유출한 콘텐츠를 공유하기도 했다.
[이미지=utoimage]
미국 연방수사국(FBI)에 따르면 공격자는 ‘애플 백업 아이클라우드(Applebackupiccloud)’나 ‘백업 에이전트 아이클라우드(backupagenticcloud)’ 등의 이메일 주소를 이용해 로그인 정보 변경을 사칭한 메일을 발송했고, 피싱에 속은 사용자가 자신의 계정 정보를 입력하도록 유도했다. 약 4,700여 명의 피해자가 자신의 ID와 비밀번호를 포함한 메일을 회신했으며, 이 가운데 최소 306여명의 계정에 접근한 것으로 확인됐다.
이처럼 사용자의 자격증명이 사이버 공격자에게 노출될 경우 심각한 피해를 유발할 수 있다. 실제로 다크웹 등에서는 ID, 비밀번호, 이메일 등이 포함된 텍스트 파일이 ‘Password Combo’ 등과 같은 이름으로 거래되기도 한다.
2단계 인증 혹은 다요소 인증(MFA: Multi Factor Authentication)은 이러한 사이버 공격으로부터 자신의 자격증명을 보호할 수 있는 수단이다. ID와 비밀번호를 1단계 인증이라고 한다면, 이 방법 외에 추가적인 수단을 이용해 다시 한 번 인증하는 것을 2단계 인증이라 할 수 있다. ARS, 보안카드, OTP, 이메일, 문자메시지, 애플리케이션 등 다양한 방법을 이용할 수 있으며, 최근에는 스마트폰과 생체인식(지문 등)을 이용하는 사례를 흔히 볼 수 있다.
2단계 인증의 종류와 특징
인증의 종류는 크게 지식 및 소유기반 인증, 속성기반 인증, 행위기반 인증 등으로 나눌 수 있으며, 이밖에 장소기반 인증 등이 쓰이기도 한다. 지식기반 인증(What I know)은 흔히 사용하는 ID와 비밀번호 등을 들 수 있으며, 계정정보 수정 시 ‘어릴 때 키우던 강아지 이름은’ 등의 질문을 설정하는 것 역시 지식기반 인증에 해당한다.
[이미지=utoimage]
소유기반 인증(What I have)은 사용자가 가진 OTP, 스마트폰, 보안카드, 보안 토큰 등을 들 수 있으며, 오늘날 스마트폰과 전용 애플리케이션(PASS 등 민간인증서)을 흔히 사용한다. 속성기반 인증(What I am)은 지문이나 홍채 같은 사람의 고유한 특징을 통해 인증하는 방식으로, 다른 인증과 함께 복합적으로 쓰인다. 행위기반 인증(What I do)은 어떤 인물의 반복된 행동이나 기기 사용 방식 등을 통해 인증하는 것으로, 수기서명 등 다양한 방식이 연구 및 실증되고 있다. 장소기반 인증(Where you are)의 경우 자신이 가진 기기가 특정 네트워크에 연결됐을 때 인증되는 방식이다. 안드로이드 스마트폰이 집에서 사용하는 공유기에 연결될 경우 화면 잠금을 풀지 않고 바로 사용할 수 있게 설정하는 것을 예로 들 수 있으며, GPS나 이동통신 등을 이용하면 특정 장소에서만 시스템에 접근하도록 구성하는 것도 가능하다.
이러한 인증은 복합적으로 쓰이고 있으며, 특히 생체인식 기능을 갖춘 스마트폰이 많이 보급된 오늘날 이러한 경향은 더욱 커지고 있다. 가령, ID와 비밀번호로 웹사이트 로그인을 시도한다면 이와 관련한 인증 승인 메시지를 스마트폰에 설치된 전용 앱으로 전송한다. 이 과정에서 이미 지식기반 인증과 소유기반 인증이 쓰였다. 특히, 인증용 앱을 실행하기 위해서 스마트폰 잠금을 풀거나 앱 잠금을 푸는데 지문인식을 사용한다면 속성기반 인증까지 더해지는 셈이다.
이처럼 인증에 사용되는 요소 형태와 단계가 늘어날수록 단순한 비밀번호 유출만으로는 계정을 탈취하기 어렵게 된다. 가령, 사이버 공격자가 우연히 사용자의 ID와 비밀번호를 손에 넣었더라도 사용자 스마트폰이 없다면 인증 앱(소유기반)을 실행할 수 없으며, 스마트폰까지 탈취해도 지문을 통한 잠금해제(속성기반)를 할 수 없기 때문에 자격증명이 훼손돼도 계정과 정보를 보호할 수 있다.
계정 해킹 예방, 2단계 인증 설정부터
앞서 언급한 것처럼 계정이 해킹됐다는 소식을 심심치 않게 듣는다. 자신의 구글 계정과 등록해둔 결제수단을 통해 무단으로 인앱 결제가 이뤄졌다는 이야기는 지난해 국회 과학기술정보방송통신위원회 국정감사 주요 이슈 중 하나였다. 이러한 사례 외에도 네이버나 페이스북 등에 로그인하면서 해외 로그인 시도를 차단했다는 알림이 보이기도 한다.
사실 이러한 해킹은 대부분 대형 IT 서비스가 직접 공격 당해 정보가 유출된 것보다는 피싱을 통해 계정정보가 유출되거나 동일한 ID와 비밀번호를 사용하는 취약한 웹 서비스에서 유출된 정보가 크리덴셜 스터핑 공격에 쓰였을 수 있다. 특히, 코로나19 확산과 함께 디지털 서비스 이용이 늘어나면서 계정정보가 유출될 가능성도 더 커지고 있다.
우리가 이용하는 구글, 애플, 네이버, 카카오, 페이스북, 인스타그램 등 주요 서비스는 2단계 인증 기능을 지원하고 있다. 자신의 계정 설정에서 2단계 인증을 활성화할 경우 타인이 부정한 로그인을 쉽게 할 수 없으며, 이러한 시도가 발생하면 사용자에게 알려주기 때문에 사용자 스스로 비밀번호를 변경하는 등 보안을 강화할 수 있다. 대부분의 서비스는 로그인 후 계정 설정 항목에서 ‘보안 설정’이나 ‘보안’과 같은 메뉴를 찾아 2차 인증과 관련한 설정을 할 수 있으니, 설정하지 않았다면 지금 바로 설정하는 것을 권장한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
