TrustKey

#해킹 #비밀번호 #계정탈취 Dec 08, 2023

북한 해킹그룹 '라자루스' 침투 반년 넘게 숨긴 법원: 6년간 써온 비밀번호는 듣고 나니 말문이 턱 막힌다

우리 사법부가 북한 해커 조직 '라자루스'(Lazarus)에 대량의 전자정보를 탈취당했다는 사실이 뒤늦게 밝혀진 가운데, 대법원 전산망 관리자 계정의 일부 비밀번호가 공개됐다.

5일 노컷뉴스에 따르면 라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 비밀번호는 'P@ssw0rd', '123qwe', 'oracle99' 등 속칭 깨기 쉬운 문자열로 구성돼 있었다. 특히 일부 계정은 2016년 8월부터 6년 넘게 'P@ssw0rd' 비밀번호를 바꾸지 않은 것으로 전해졌다. 일반인들이 이용하는 온라인 사이트에서도 보안 등을 이유로 3/6개월에 한 번씩 비밀번호 변경을 요청하는 경우가 대부분이기에 충격을 주는 대목이다.

앞서 매체는 지난 30일 라자루스가 작년부터 올해 초까지 사법부 전산망에 침투해 최소 수십GB에서 최대 수백GB 이상의 내부 전자정보를 빼갔으며, 그 안에는 민·형사소송 당사자들의 개인정보와 재산관계 서류, 기업 기밀과 국가 안보정보 등이 담겼을 것이라는 기사를 냈다.

또 지난 4일 매체는 대법원이 지난 2월경 라자루스 백도어 악성파일을 탐지했음에도 이를 외부에 감추려 했으며, 언론에는 거짓 해명을 내놓았다고 전했다. 벌써 8개월 전 범행 주체와 공격 방식, 피해 규모를 파악하고도 "북한 라자루스로 단정할 수 없고, 소송 서류 등 유출 여부를 확인할 수 없다"고 말했다는 것이다.

법원행정처는 보안 점검을 거쳐 해킹 피해 사실을 상세히 보고받은 지난 4월에야 기존 비밀번호를 일괄 변경하고, 계정 비밀번호의 최대 사용 기간을 설정하는 등의 조처를 한 것으로 알려졌다.

이러한 상황에서 5일부터 이틀 동안 조희대 대법원장 후보자 인사청문회가 열리면서, 해당 해킹 사태가 주요 의제로 다뤄질 것이란 전망이 나온다.

출처 : 허프포스트코리아

#패스키 #구글 #비밀번호 #passwordless Oct 31, 2023

“비밀번호 사라진다”… 구글, ‘패스키’ 기본 옵션 설정

구글이 비밀번호 없이 개인 구글 계정에 로그인할 수 있는 ‘패스키’(passkeys)를 기본 옵션으로 설정한다.

구글은 10일(현지 시각) 블로그를 통해 이같이 밝혔다. 구글이 지난 5월 출시한 패스키는 컴퓨터나 휴대전화 등에서 비밀번호를 입력하지 않고 구글이 지원하는 앱이나 사이트를 이용할 수 있는 기술이다.

패스키를 사용하면 비밀번호 입력 대신 얼굴 인식이나 지문, 화면 잠금 개인 식별번호(PIN) 등을 이용해 로그인할 수 있다. 이 때문에 비밀번호와 달리 해킹이나 기기분실 등에 따른 계정 탈취 우려가 적다.

구글은 “이용자들의 긍정적인 피드백을 받아 ‘패스키’를 기본 옵션으로 설정했다”면서 “’패스키’는 이용자들이 비밀번호를 일일이 기억할 필요가 없는 안전하고 빠른 대안”이라고 전했다.

구글은 다른 온라인 계정에서 패스키를 사용할 수 있는 곳에 대해 계속 업데이트할 계획이다. 다만, 현재의 비밀번호를 더 선호하는 이용자는 ‘패스키’ 사용 옵션을 거부할 수 있다.

조선비즈/김송이 기자

#패스키 #아마존 #비밀번호 #생체인증 #passwordless Oct 31, 2023

아무도 몰래 패스키 도입한 아마존, 비밀번호 철폐를 위한 강력한 메시지

전자상거래 분야 1위 업체 아마존도 슬슬 비밀번호를 없애가려는 것으로 보인다. 공식적으로 발표하지는 않았지만 조용히 패스키를 자사 플랫폼에 도입한 것이다. 3억 명 사용자를 보유한 플랫폼이기 때문에 이제 적잖은 사람들이 패스키의 맛을 볼 수 있게 됐다.

아마존이 아무런 예고도 없이 패스키 기능을 도입했다. 아마존에서 쇼핑을 즐기는 사용자들이나 아마존 플랫폼에서 스트리밍을 제공하던 사용자들이나, 이제부터 클라우드 기반 인증 도구인 패스키를 사용해야만 하는 상황이 됐다. 최근 구글과 MS 등 ‘빅테크’ 기업들의 흐름을 아마존도 놓치지 않고 좇은 것으로 보인다.

갑작스럽긴 해도 패스키라는 인증 도구를 사용할 줄 모르는 사람은 거의 없다는 것이 꽤나 다행인 점이다. 이미 애플이 자사의 인기 높은 장비들을 통해 페이스ID나 터치ID 등을 보편화시켰고, 그 외에도 각종 랩톱에 장착된 지문 센서라든가, 화면 잠금 장치를 푸는 PIN 번호와 같은 개념이 이제는 낯설지 않다. 비밀번호 없이도 인증할 수 있게 해주는 여러 도구들을 사용자들은 충분히 접해왔고 지금도 그러고 있다.

최근에는 이 패스키라는 것이(보다 정확히 말하면 비밀번호를 대체한다는 핵심 개념이) 클라우드 서비스, 웹사이트, 앱 등 여러 군데에서 적용되고 있다. 우버(Uber)도 도입하고 있고, 온리팬즈(OnlyFans)도 이 기술로 사용자들의 접속을 허용한다. 내부적인 활용을 위해 패스키를 도입하는 기업들도 많아지고 있는 추세다.

아마존의 소리 소문 없는 패스키 도입을 먼저 알아채고 알린 건 패스키 기술 전문 업체 코바도(Corbado)의 공동 창립자 빈센트 델리츠(Vincent Delitz)다. “아마존은 사용자의 수가 어마어마한 플랫폼입니다. 아마존이 패스키를 도입하여 많은 사람들이 사용하게 된다는 건, 테크 분야의 신기술이나 유행에 민감하지 않은 사람이더라도 패스키에 적응할 기회가 생긴다는 뜻이 됩니다. 패스키의 편리함에 사람들이 익숙해지고, 따라서 패스키에 대한 수요가 높아진다면 다른 플랫폼과 서비스들에서도 패스키를 도입할 수밖에 없을 겁니다.”

다만 아마존의 패스키가 아직 완전하지는 않다고 델리츠는 설명을 잇는다. “아마존 모바일 앱들에는 아직 패스키가 지원되지 않고 있습니다. 잘 이해가 안 가는 선택이죠. 또한 패스키를 국가별로 혹은 최고 수준 도메인별로 따로 설정을 해야 한다는 것도 조금 아쉽습니다. 패스키 자동 채우기도 아직 지원이 안 되는 걸로 보이고, 장비 관리에서도 불편함들이 조금씩 나타나고 있습니다. 패스키라는 기술 자체의 문제는 아니고, 이를 구축하는 부분에서 나타나는 문제들인데 개선되어야 할 것입니다.”

지난 주 구글도 패스키를 ‘디폴트 로그인 방식’으로 채택할 것이라고 발표했다. 구글은 오래 전부터 비밀번호 없애기에 앞장서 왔던 기업이다. 여기에 아마존도 조용히 패스키를 도입하기 시작했으니, 비밀번호보다 안전한 로그인 기술의 도입이 점점 빨라지고 있다고 볼 수 있으며, 두 주요 기업의 실질적인 행동으로 ‘패스워드리스(passwordless : 비밀번호 없는)’가 더 빠르게 실현될 가능성이 높아졌다. 아이덴티티 보호와 관리 전문 기업 베리다스(Veridas)의 CEO 에두아르도 아잔자(Eduardo Azanza)는 “보안의 측면에서 매우 긍정적인 흐름”이라고 보고 있다.

“패스키가 확산되는 것 자체에는 단점이 없습니다. 오히려 보안이 강화된다는 장점만 있을 뿐이죠. 특히 생체 인증을 기반으로 한 패스키가 널리 도입되면 사이버 공격으로 인한 로그인 정보의 침해가 이전처럼 자주 발생하지 않을 거라고 봅니다. 생체 인증 정보는 사용자의 물리적 특성을 반영한 것이기 때문에 해킹으로 훔쳐가기가 매우 힘들죠. 그러니 아이덴티티 탈취나 도용이 까다로워지고, 그러한 시도에 대한 탐지는 오히려 빨라질 것이라고 봅니다. 아마존과 같은 대형 IT 기업이 패스키를 도입한다는 건 비밀번호를 종식시켜야 한다는 강력한 메시지가 될 겁니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]