문자와 이메일 기반으로 한 이중 인증은 약하다는 목소리 높아져
“비밀번호보다 나은 건 사실”이라며 “시스템 교체 강요할 필요 있나” 의문
[보안뉴스 문가용 기자] 지난 주 대형 온라인 커뮤니티 레딧(Reddit)에서 정보 유출 사고가 있었다. 대단히 많은 정보가 유출된 것도 아니고, 치명적인 피해가 발생한 것도 아니지만 보안 커뮤니티는 이 사건을 두고 “강력한 이중 인증 시스템이 꼭 필요하다는 증거”라고 입을 모았다.
[이미지 = iclickart]
레딧은 이중 인증을 도입하고 있었다. 다만 이중 인증 중에서도 가장 약하다고 알려진 문자 기반 이중 인증이었기 때문에 당한 것이라고 레딧의 엔지니어들은 설명했다. 그러면서 토큰 기반의 이중 인증 시스템으로 교체할 계획임을 밝히기도 했다. 레딧 스스로도 이중 인증에 대해 강조한 것이다.
“많은 조직들이 현존하는 최고 인증 방법이 이중 인증 혹은 다중 인증이라고 생각합니다. 심지어 이중 인증만 있으면 모든 인증 문제가 해결될 것이라고 기대하죠. 하지만 잘못된 기대입니다. 특히 문자 메시지를 기반으로 한 이중 인증은, 모바일 네트워크의 취약점 때문에 약점이 있을 수밖에 없습니다.” 포지티브 테크놀로지스(Positive Technologies)의 사이버 보안 수석인 레이 안 갤로웨이(Leigh-Ann Galloway)의 설명이다.
“실제로 레딧 침해 사고가 문자 기반 이중 인증을 지나치게 믿고 있다가 발생한 것입니다. 문자 가로채기 공격은 흔하게 나타나는 현상이기도 하고요.” 갤로웨이의 설명이다. “솔직히 중요한 데이터를 보호하기에 비밀번호와 문자의 조합은 약합니다. 하드웨어 토큰 생성기를 기반으로 한 것이 훨씬 강력한 효과를 발휘합니다.”
또 다른 업체 센트리파이(Centrify)의 부회장인 앤디 스미스(Andy Smith)는 “문자 메시지를 통한 비밀번호 전송이 얼마나 취약한지 모르는 사람이 없을 정도”라고 표현한다. “솔직히 레딧의 보안 팀이 문자 기반 이중 인증이 취약하다는 걸 모르지 않았을 겁니다. 다만 아는 걸 적용하지 않았던 것 같은데요, 그게 바로 이번 사건의 가장 큰 교훈이라고 생각합니다. 보안 최근 트렌드를 실제 업무에 적용하는 것이 필요하다는 것이죠.”
그러면서 스미스는 “NIST에서도 특수 발행물을 통해, 문자 메시지를 통한 일회용 비밀번호 전송 시스템과 이메일을 기반으로 한 일회용 비밀번호 사용은 안전하지 않으니 사용하지 말라고 권장하기도 했다”고 강조했다. “NIST는 문자나 이메일 대신 FIDO 기반의 애플리케이션이나 하드웨어를 사용하는 보안 키 생성 방식을 추천했습니다.”
그래서 그런지 최근 FIDO의 U2F(Universal Second Factor)를 활용한 하드웨어 기반 보안 키들이 주요 기업들 사이에서 확산되고 있다. 페이스북은 지난 1월 고객들을 위한 U2F 도입을 확대해, 계정 보안을 더 탄탄히 하고자 하는 고객들에게 추가적인 선택지를 제공했다. 구글 역시 U2F 기반 보안 키를 사용한 덕분에 지난 1년 동안 8만 5천명 직원이 단 한 번도 피싱에 당하지 않았다고 발표하기도 했다.
하지만 일부 보안 전문가들은 문자 메시지 기반 이중 인증에 대한 폄하가 지나치다는 의견을 가지고 있기도 하다. “사실 약하다고는 해도 문자 기반 이중 인증이 단순 비밀번호보다 훨씬 강력하긴 합니다. 도입하기도 간편한 축에 속하고요.” 기술 기업인 하이테크 브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)의 설명이다. “인증 기술에 엄청나게 투자하고 신경 쓰는 기업들은 그리 많지 않습니다. 다른 데 신경 쓸 게 더 많기 때문이죠. 그런데 문자 메시지 기반 이중 인증이 쓸데없다고만 하면, 오히려 비밀번호로 회귀할 겁니다.”
SANS 인스티튜트(SANS Institute)의 제이크 윌리엄즈(Jake Williams)도 이에 동의한다. 그는 트위터를 통해 “이중 인증 하드웨어 토큰을 열열이 지지하는 사람들의 마음은 알겠지만 톤이 필요 이상으로 공격적”이라고 지적했다. “당신들이 그렇게 외쳐봐야 결국은 이중 인증을 애써 도입한 기업들의 기만 죽이는 꼴”이라고 말이다.
어찌됐든 비밀번호 보다 문자 기반의 이중 인증이 강력한 건 사실이다. 보안 업체 트립와이어(Tripwire)의 컴퓨터 보안 전문가인 크레이그 영(Craig Young)은 “그러므로 문자 기반 이중 인증은 안 쓰느니만 못하다는 인식을 심어주는 건 큰 실수가 될 것”이라고 지적했다.
“뭐가 됐든 비밀번호 하나만 사용하는 것보다 이중 인증이 훨씬 강력한 체계라는 건 사실입니다. 전화 문자나 이메일 모두 마찬가지입니다. 그나마 보안 인식을 조금 높여서 이런 인증 체계라도 갖추게 했는데, 이제 와서 어떤 시스템은 약하느니, 쓸데없느니 하는 말들만 쏟아내 봐야 생산적이지 않습니다.”
크레이그 영은 “레딧 사건의 가장 재미있는 점은 금융 기관이 아닌데, 금융 기관이 곧잘 당하는 수법에 당했다는 것”이라고 지적했다.
3줄 요약
1. 지난 주 발생한 레딧 해킹 사고로 “문자 기반 이중 인증은 쓸모없다”는 목소리 거세짐.
2. NIST에서도 문자와 이메일 기반의 이중 인증은 쓰지 않는 것이 좋다고 권고.
3. 하지만 문자/이메일 기반 이중 인증이 단순 비밀번호 강력한 건 사실. 이중 인증이 쓰레기라도 된 것처럼 목소리 높일 필요 없다는 주장도 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
“비밀번호보다 나은 건 사실”이라며 “시스템 교체 강요할 필요 있나” 의문
[보안뉴스 문가용 기자] 지난 주 대형 온라인 커뮤니티 레딧(Reddit)에서 정보 유출 사고가 있었다. 대단히 많은 정보가 유출된 것도 아니고, 치명적인 피해가 발생한 것도 아니지만 보안 커뮤니티는 이 사건을 두고 “강력한 이중 인증 시스템이 꼭 필요하다는 증거”라고 입을 모았다.
[이미지 = iclickart]
레딧은 이중 인증을 도입하고 있었다. 다만 이중 인증 중에서도 가장 약하다고 알려진 문자 기반 이중 인증이었기 때문에 당한 것이라고 레딧의 엔지니어들은 설명했다. 그러면서 토큰 기반의 이중 인증 시스템으로 교체할 계획임을 밝히기도 했다. 레딧 스스로도 이중 인증에 대해 강조한 것이다.
“많은 조직들이 현존하는 최고 인증 방법이 이중 인증 혹은 다중 인증이라고 생각합니다. 심지어 이중 인증만 있으면 모든 인증 문제가 해결될 것이라고 기대하죠. 하지만 잘못된 기대입니다. 특히 문자 메시지를 기반으로 한 이중 인증은, 모바일 네트워크의 취약점 때문에 약점이 있을 수밖에 없습니다.” 포지티브 테크놀로지스(Positive Technologies)의 사이버 보안 수석인 레이 안 갤로웨이(Leigh-Ann Galloway)의 설명이다.
“실제로 레딧 침해 사고가 문자 기반 이중 인증을 지나치게 믿고 있다가 발생한 것입니다. 문자 가로채기 공격은 흔하게 나타나는 현상이기도 하고요.” 갤로웨이의 설명이다. “솔직히 중요한 데이터를 보호하기에 비밀번호와 문자의 조합은 약합니다. 하드웨어 토큰 생성기를 기반으로 한 것이 훨씬 강력한 효과를 발휘합니다.”
또 다른 업체 센트리파이(Centrify)의 부회장인 앤디 스미스(Andy Smith)는 “문자 메시지를 통한 비밀번호 전송이 얼마나 취약한지 모르는 사람이 없을 정도”라고 표현한다. “솔직히 레딧의 보안 팀이 문자 기반 이중 인증이 취약하다는 걸 모르지 않았을 겁니다. 다만 아는 걸 적용하지 않았던 것 같은데요, 그게 바로 이번 사건의 가장 큰 교훈이라고 생각합니다. 보안 최근 트렌드를 실제 업무에 적용하는 것이 필요하다는 것이죠.”
그러면서 스미스는 “NIST에서도 특수 발행물을 통해, 문자 메시지를 통한 일회용 비밀번호 전송 시스템과 이메일을 기반으로 한 일회용 비밀번호 사용은 안전하지 않으니 사용하지 말라고 권장하기도 했다”고 강조했다. “NIST는 문자나 이메일 대신 FIDO 기반의 애플리케이션이나 하드웨어를 사용하는 보안 키 생성 방식을 추천했습니다.”
그래서 그런지 최근 FIDO의 U2F(Universal Second Factor)를 활용한 하드웨어 기반 보안 키들이 주요 기업들 사이에서 확산되고 있다. 페이스북은 지난 1월 고객들을 위한 U2F 도입을 확대해, 계정 보안을 더 탄탄히 하고자 하는 고객들에게 추가적인 선택지를 제공했다. 구글 역시 U2F 기반 보안 키를 사용한 덕분에 지난 1년 동안 8만 5천명 직원이 단 한 번도 피싱에 당하지 않았다고 발표하기도 했다.
하지만 일부 보안 전문가들은 문자 메시지 기반 이중 인증에 대한 폄하가 지나치다는 의견을 가지고 있기도 하다. “사실 약하다고는 해도 문자 기반 이중 인증이 단순 비밀번호보다 훨씬 강력하긴 합니다. 도입하기도 간편한 축에 속하고요.” 기술 기업인 하이테크 브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)의 설명이다. “인증 기술에 엄청나게 투자하고 신경 쓰는 기업들은 그리 많지 않습니다. 다른 데 신경 쓸 게 더 많기 때문이죠. 그런데 문자 메시지 기반 이중 인증이 쓸데없다고만 하면, 오히려 비밀번호로 회귀할 겁니다.”
SANS 인스티튜트(SANS Institute)의 제이크 윌리엄즈(Jake Williams)도 이에 동의한다. 그는 트위터를 통해 “이중 인증 하드웨어 토큰을 열열이 지지하는 사람들의 마음은 알겠지만 톤이 필요 이상으로 공격적”이라고 지적했다. “당신들이 그렇게 외쳐봐야 결국은 이중 인증을 애써 도입한 기업들의 기만 죽이는 꼴”이라고 말이다.
어찌됐든 비밀번호 보다 문자 기반의 이중 인증이 강력한 건 사실이다. 보안 업체 트립와이어(Tripwire)의 컴퓨터 보안 전문가인 크레이그 영(Craig Young)은 “그러므로 문자 기반 이중 인증은 안 쓰느니만 못하다는 인식을 심어주는 건 큰 실수가 될 것”이라고 지적했다.
“뭐가 됐든 비밀번호 하나만 사용하는 것보다 이중 인증이 훨씬 강력한 체계라는 건 사실입니다. 전화 문자나 이메일 모두 마찬가지입니다. 그나마 보안 인식을 조금 높여서 이런 인증 체계라도 갖추게 했는데, 이제 와서 어떤 시스템은 약하느니, 쓸데없느니 하는 말들만 쏟아내 봐야 생산적이지 않습니다.”
크레이그 영은 “레딧 사건의 가장 재미있는 점은 금융 기관이 아닌데, 금융 기관이 곧잘 당하는 수법에 당했다는 것”이라고 지적했다.
3줄 요약
1. 지난 주 발생한 레딧 해킹 사고로 “문자 기반 이중 인증은 쓸모없다”는 목소리 거세짐.
2. NIST에서도 문자와 이메일 기반의 이중 인증은 쓰지 않는 것이 좋다고 권고.
3. 하지만 문자/이메일 기반 이중 인증이 단순 비밀번호 강력한 건 사실. 이중 인증이 쓰레기라도 된 것처럼 목소리 높일 필요 없다는 주장도 나옴.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
