디지털 보안이 무엇보다 중요한 시대에 암호에 대한 지속적인 의존성은 전 세계적으로 기업에게 여전히 상당한 취약점으로 남아 있다. FIDO(Fast IDentity Online) 2.0은 이용 가능한 기술을 이용하여 자격 증명 승인을 재창조하면서 시의적절한 해결책으로 등장한다.
인터넷 1.0 시대에 뿌리를 둔 레거시 자격 증명 시스템은 조직을 인공지능이 지원하는 정교한 사이버 위협에 점점 더 많이 노출시킨다. 현재 매주 평균 2,138번 시도되는 인도 조직에 대한 공격이 15% 증가한 것은 주로 이러한 제대로 보안되지 않은 자격 증명에 기인한다. 회사와 산업이 인도와 그 지역 전역에서 계속 번창함에 따라, 보안 팀은 네트워크의 구현으로부터 FIDO 2.0과 같은 새로운 자격 증명 접근법을 구현함으로써 이익을 얻을 수 있다.
네트워크 보안, 고급 인증 구현, 사이버 위생에 대한 직원 교육에 대한 CISO와 사이버 보안 실무자의 노력에도 불구하고 단 한 번의 보안 침해로 인해 운영이 중단되는 경우가 여전히 많다.
인증 방식의 변화
다양한 인증 방법에도 불구하고 로그인에 영숫자 코드를 널리 사용하는 것은 조직의 보안을 지속적으로 위협하고 있다.특히 최근 몇 년 동안 아시아 태평양 지역에서 이러한 결함이 더욱 부각되었다. 그 결과로
- 전 세계 공격의 31%는 디지털 전환이 전 부문에 걸쳐 빠른 속도로 진행되고 있다.
- 가장 큰 타격을 입은 분야는 정부로, 전체 공격의 22%를 흡수했다.
- 전체 공격의 49%가 민감한 정보의 유출로 이어졌으며, 공격 성공의 27%는 핵심 조직 운영에 지장을 초래했다.
이는 사람들이 자신의 정보가 유출되었는지 파악하는 과정에서 겪는 재정적, 개인적 부담을 넘어서는 것이다. 과거에는 이러한 공격은 시스템 내의 취약점을 식별하고 관련 전술을 사용하여 이를 악용함으로써 성공적으로 수행되었다. 하지만 오늘날 기업들은 피싱 공격과 디바이스 손상이라는 두 가지 주요 위협에 직면해 있다.
피싱 공격
마이크로소프트가 자사 제품에서 제공하고 회사 GitHub에서도 요구되는 FIDO2 표준을 따랐다면 이번 보안 침해는 완전히 피할 수 있었다. 이는 레거시 자격증명 인증에 의존하는 것이 얼마나 위험한지 잘 보여준다. 해커들은 성공적인 피싱 시도를 통해 단일 계정의 유출로 수백 개의 조직을 위험에 빠뜨릴 수 있었으며, 문제는 확장성이다.
인공지능(AI)은 피싱 공격의 규모를 크게 확장하고 정확도를 개선했다. 과거에는 부실한 이메일을 많은 사용자에게 발송하는 방식이었다면, 오늘날의 공격은 AI로 제작된 메시지와 SMS 푸시 알림 및 기타 위협적이지 않아 보이는 다른 형태의 행동을 결합한다.
이로 인해 위협 행위자의 진입 장벽이 낮아져 취약점을 악용하는 방법에 대한 기술적 노하우가 없어도 더 뛰어난 기술을 사용할 수 있게 되었다. 대신 '비밀번호 변경' 링크를 클릭하거나, 무해해 보이는 문자에 응답하거나, 회사 IT 부서에서 보낸 것처럼 보이는 성가신 메시지를 없애기 위해 자격 증명을 입력하는 등 직원들에게 왕국의 열쇠를 넘겨달라고 요청할 수 있다.
일단 침투하면 위협 행위자는 속은 사용자가 가지고 있던 모든 정보에 액세스할 수 있지만, 주의할 점은 네트워크 내에서 AI로 다시 한 번 올바른 메시지만 큐레이팅하면 정보를 추출하고 권한을 높일 수 있다는 것이다. 피싱 공격의 이러한 진화는 기술적 변화뿐만 아니라 조직의 중요한 운영 위험을 나타낸다. FIDO2를 구현하면 SIM 스왑 공격, IdP MITM 피싱 공격, 푸시 폭탄, OTP MITM 공격, 암호 분사, 자격증명 분실/재사용의 위험을 제거할 수 있다.
디바이스 손상
원격 근무나 개인 디바이스 사용을 허용하는 조직은 익숙하지 않은 디바이스라는 추가적인 보안 계층에 직면하게 된다. IT 운영자들은 항상 네트워크상의 모든 장치를 식별하고 승인하기 위해 고군분투해 왔는데, 다시 사용자 이름, 암호, 그리고 아마도 다른 영숫자 인증 기술에 의존한다. 문제는 이러한 2단계 인증 방법이 사용자 자격 증명과 함께 유출될 수 있다는 점이다.
컴파일과 더불어 싱글 사인온의 인기도 높아졌지만, 사용자가 유출되면 싱글 포인트에 액세스 권한을 부여한 모든 도구에서 생성된 프로필도 함께 유출될 수 있다. 조직에서 승인한 보안 환경을 갖춘 SSO의 예가 있더라도 해당 API와 인증이 아무리 안전하더라도 사용자 이름, 비밀번호, 영숫자 인증으로 프론트 도어가 여전히 안전하다면 위험은 여전히 존재한다.
아이러니하게도 조직 내에서 배포되는 대부분의 하드웨어에는 이미 안전하고 타협할 수 없는 생체인식 기능이 탑재되어 있다. 따라서 디바이스 손상은 단순한 기술적 문제가 아니라 심각한 운영상의 취약점이 된다.
FIDO 2.0- 인증 및 표준 고도화
다른 기술과 함께 로그인 자격 증명을 발전시키지 못한 것은 구글, 마이크로소프트, 아마존, 애플 등이 인정한 사실이다. 보안 격차를 해소하고 조직이 자격증명 공격의 희생양이 되는 것을 방지하기 위해 FIDO 연합은 개별 사용자와 사용 중인 디바이스를 올바르게 인증하는 데 필요한 기존의 온칩 보안을 활용하는 새로운 표준을 만들었다.
현재 직장에서 이미 사용 중이며 FIDO를 준수하는 디바이스의 예로는 이미 일종의 생체 인식 또는 토큰 인증이 필요한 디바이스를 들 수 있다. 여기에는 얼굴 인식, 지문 또는 카드나 NFC 지팡이와 같은 물리적 장치 토큰이 포함된다.
이 시스템의 강점은 사용자 디바이스와 소프트웨어 인증 간의 대칭성에 있다. 주요 스마트폰의 고급 인증과 마찬가지로 FIDO 2.0은 확립된 승인 및 자격 증명을 기반으로 조직에서 상호 검증을 의무화한다.
이러한 보호 계층을 추가함으로써 우리가 의존하는 사용자 이름과 비밀번호 조합은 조직의 전체 보안 태세에서 더 복잡한 인증 프로세스의 한 부분일 뿐이며 위협 행위자에게는 중요한 장애물이 된다.
엔드포인트 및 클라우드 보안
피싱 공격이 계속해서 모든 사용자를 표적으로 삼고 있기 때문에 기업 침투에 큰 상금이 걸린다는 것은 놀라운 일이 아니다. 기업 디바이스에서 이러한 기능을 사용할 수 있고 구형 디바이스에 대한 적응성을 고려할 때, 수백만 달러의 잠재적 위기를 예방하려면 경영진이 이러한 표준을 채택하기 위한 긴급한 조치가 필수적이다. FIDO 2.0 표준의 통합은 단순한 기술 업그레이드가 아니라 점점 더 상호 연결되는 세상에서 디지털 방어를 강화하기 위한 전략적 필수 요소이다.
FIDO2가 사용자 이름/비밀번호보다 더 안전한 이유는 무엇인가요?
사용자 이름/비밀번호 인증의 내재적 약점을 탐색해보면, FIDO2는 더 강력한 인증 프로세스를 사용한다. 먼저 각 디바이스 또는 하드웨어 토큰을 개별적으로 등록하여 FIDO2 인증을 허용해야 하며, 이는 공개/개인 키 쌍을 생성하므로써 수행된다. MS Entra ID 또는 OKTA와 같은 상용 ID 공급자와 페어링된 아이폰의 경우, 사용자 인터페이스가 이 등록 프로세스를 안내한다.
내부 작동 방식
공개 키 부분은 웹 서비스에 저장되어 사용자 ID에 할당다. 사용자 디바이스 측에서는 개인 키가 휴대폰 또는 노트북 보안 인클레이브 내에 저장된다. 사용자가 등록된 웹 서비스에 인증하면 웹 서비스는 사용자에게 '패스키'(휴대폰 또는 노트북에 저장된 개인 키)를 입력하라는 메시지를 표시하고, 사용자는 인증 프로세스의 챌린지/응답 부분을 완료하기 위해 개인 키를 사용할 수 있도록 디바이스의 보안 인클레이브를 잠금 해제하라는 메시지가 표시된다. 개인 키는 디바이스에서 절대 유출되지 않으며 기존의 사용자 이름/비밀번호보다 훨씬 더 안전하다.
사용자 이름과 비밀번호는 앞으로 한동안 FIDO2 인증과 함께 사용될 것이지만, FIDO2 구현에서는 인증 프로세스의 개인 키 챌린지/응답 부분 없이는 사용할 수 없으므로 사용자 이름/비밀번호를 분실하거나 도난당한 경우 가치가 거의 없으며 단독으로 인증에 사용할 수 없다는 것을 의미한다.
글: 조시 블랙웰더, 센티넬원의 정보보안 책임자