SHOP CONTACT US
KR EN
KR EN
TrustKey
Global Group
The Best Partner for You

SUPPORT

고객의 윤택한 생활을 위한 기술 가치를 창조합니다.

칼럼/블로그업데이트되는 트러스트키 소식과 관련 기술 정보를 만나보세요.

#FIDO #FIDO2.0 Feb 29, 2024
자격증명 취약성에 대한 FIDO 2.0의 해답

디지털 보안이 무엇보다 중요한 시대에 암호에 대한 지속적인 의존성은 전 세계적으로 기업에게 여전히 상당한 취약점으로 남아 있다. FIDO(Fast IDentity Online) 2.0은 이용 가능한 기술을 이용하여 자격 증명 승인을 재창조하면서 시의적절한 해결책으로 등장한다.


인터넷 1.0 시대에 뿌리를 둔 레거시 자격 증명 시스템은 조직을 인공지능이 지원하는 정교한 사이버 위협에 점점 더 많이 노출시킨다. 현재 매주 평균 2,138번 시도되는 인도 조직에 대한 공격이 15% 증가한 것은 주로 이러한 제대로 보안되지 않은 자격 증명에 기인한다. 회사와 산업이 인도와 그 지역 전역에서 계속 번창함에 따라, 보안 팀은 네트워크의 구현으로부터 FIDO 2.0과 같은 새로운 자격 증명 접근법을 구현함으로써 이익을 얻을 수 있다.

네트워크 보안, 고급 인증 구현, 사이버 위생에 대한 직원 교육에 대한 CISO와 사이버 보안 실무자의 노력에도 불구하고 단 한 번의 보안 침해로 인해 운영이 중단되는 경우가 여전히 많다.

인증 방식의 변화

다양한 인증 방법에도 불구하고 로그인에 영숫자 코드를 널리 사용하는 것은 조직의 보안을 지속적으로 위협하고 있다.특히 최근 몇 년 동안 아시아 태평양 지역에서 이러한 결함이 더욱 부각되었다. 그 결과로

- 전 세계 공격의 31%는 디지털 전환이 전 부문에 걸쳐 빠른 속도로 진행되고 있다.
- 가장 큰 타격을 입은 분야는 정부로, 전체 공격의 22%를 흡수했다.
- 전체 공격의 49%가 민감한 정보의 유출로 이어졌으며, 공격 성공의 27%는 핵심 조직 운영에 지장을 초래했다. 

이는 사람들이 자신의 정보가 유출되었는지 파악하는 과정에서 겪는 재정적, 개인적 부담을 넘어서는 것이다. 과거에는 이러한 공격은 시스템 내의 취약점을 식별하고 관련 전술을 사용하여 이를 악용함으로써 성공적으로 수행되었다. 하지만 오늘날 기업들은 피싱 공격과 디바이스 손상이라는 두 가지 주요 위협에 직면해 있다.

피싱 공격

마이크로소프트가 자사 제품에서 제공하고 회사 GitHub에서도 요구되는 FIDO2 표준을 따랐다면 이번 보안 침해는 완전히 피할 수 있었다. 이는 레거시 자격증명 인증에 의존하는 것이 얼마나 위험한지 잘 보여준다. 해커들은 성공적인 피싱 시도를 통해 단일 계정의 유출로 수백 개의 조직을 위험에 빠뜨릴 수 있었으며, 문제는 확장성이다.

인공지능(AI)은 피싱 공격의 규모를 크게 확장하고 정확도를 개선했다. 과거에는 부실한 이메일을 많은 사용자에게 발송하는 방식이었다면, 오늘날의 공격은 AI로 제작된 메시지와 SMS 푸시 알림 및 기타 위협적이지 않아 보이는 다른 형태의 행동을 결합한다.

이로 인해 위협 행위자의 진입 장벽이 낮아져 취약점을 악용하는 방법에 대한 기술적 노하우가 없어도 더 뛰어난 기술을 사용할 수 있게 되었다. 대신 '비밀번호 변경' 링크를 클릭하거나, 무해해 보이는 문자에 응답하거나, 회사 IT 부서에서 보낸 것처럼 보이는 성가신 메시지를 없애기 위해 자격 증명을 입력하는 등 직원들에게 왕국의 열쇠를 넘겨달라고 요청할 수 있다.

일단 침투하면 위협 행위자는 속은 사용자가 가지고 있던 모든 정보에 액세스할 수 있지만, 주의할 점은 네트워크 내에서 AI로 다시 한 번 올바른 메시지만 큐레이팅하면 정보를 추출하고 권한을 높일 수 있다는 것이다. 피싱 공격의 이러한 진화는 기술적 변화뿐만 아니라 조직의 중요한 운영 위험을 나타낸다. FIDO2를 구현하면 SIM 스왑 공격, IdP MITM 피싱 공격, 푸시 폭탄, OTP MITM 공격, 암호 분사, 자격증명 분실/재사용의 위험을 제거할 수 있다.

디바이스 손상

원격 근무나 개인 디바이스 사용을 허용하는 조직은 익숙하지 않은 디바이스라는 추가적인 보안 계층에 직면하게 된다. IT 운영자들은 항상 네트워크상의 모든 장치를 식별하고 승인하기 위해 고군분투해 왔는데, 다시 사용자 이름, 암호, 그리고 아마도 다른 영숫자 인증 기술에 의존한다.  문제는 이러한 2단계 인증 방법이 사용자 자격 증명과 함께 유출될 수 있다는 점이다.

컴파일과 더불어 싱글 사인온의 인기도 높아졌지만, 사용자가 유출되면 싱글 포인트에 액세스 권한을 부여한 모든 도구에서 생성된 프로필도 함께 유출될 수 있다. 조직에서 승인한 보안 환경을 갖춘 SSO의 예가 있더라도 해당 API와 인증이 아무리 안전하더라도 사용자 이름, 비밀번호, 영숫자 인증으로 프론트 도어가 여전히 안전하다면 위험은 여전히 존재한다.

아이러니하게도 조직 내에서 배포되는 대부분의 하드웨어에는 이미 안전하고 타협할 수 없는 생체인식 기능이 탑재되어 있다. 따라서 디바이스 손상은 단순한 기술적 문제가 아니라 심각한 운영상의 취약점이 된다.

FIDO 2.0- 인증 및 표준 고도화

다른 기술과 함께 로그인 자격 증명을 발전시키지 못한 것은 구글, 마이크로소프트, 아마존, 애플 등이 인정한 사실이다. 보안 격차를 해소하고 조직이 자격증명 공격의 희생양이 되는 것을 방지하기 위해 FIDO 연합은 개별 사용자와 사용 중인 디바이스를 올바르게 인증하는 데 필요한 기존의 온칩 보안을 활용하는 새로운 표준을 만들었다.

현재 직장에서 이미 사용 중이며 FIDO를 준수하는 디바이스의 예로는 이미 일종의 생체 인식 또는 토큰 인증이 필요한 디바이스를 들 수 있다. 여기에는 얼굴 인식, 지문 또는 카드나 NFC 지팡이와 같은 물리적 장치 토큰이 포함된다.

이 시스템의 강점은 사용자 디바이스와 소프트웨어 인증 간의 대칭성에 있다. 주요 스마트폰의 고급 인증과 마찬가지로 FIDO 2.0은 확립된 승인 및 자격 증명을 기반으로 조직에서 상호 검증을 의무화한다.

이러한 보호 계층을 추가함으로써 우리가 의존하는 사용자 이름과 비밀번호 조합은 조직의 전체 보안 태세에서 더 복잡한 인증 프로세스의 한 부분일 뿐이며 위협 행위자에게는 중요한 장애물이 된다.

엔드포인트 및 클라우드 보안

피싱 공격이 계속해서 모든 사용자를 표적으로 삼고 있기 때문에 기업 침투에 큰 상금이 걸린다는 것은 놀라운 일이 아니다. 기업 디바이스에서 이러한 기능을 사용할 수 있고 구형 디바이스에 대한 적응성을 고려할 때, 수백만 달러의 잠재적 위기를 예방하려면 경영진이 이러한 표준을 채택하기 위한 긴급한 조치가 필수적이다. FIDO 2.0 표준의 통합은 단순한 기술 업그레이드가 아니라 점점 더 상호 연결되는 세상에서 디지털 방어를 강화하기 위한 전략적 필수 요소이다.

FIDO2가 사용자 이름/비밀번호보다 더 안전한 이유는 무엇인가요?



사용자 이름/비밀번호 인증의 내재적 약점을 탐색해보면, FIDO2는 더 강력한 인증 프로세스를 사용한다. 먼저 각 디바이스 또는 하드웨어 토큰을 개별적으로 등록하여 FIDO2 인증을 허용해야 하며, 이는 공개/개인 키 쌍을 생성하므로써 수행된다. MS Entra ID 또는 OKTA와 같은 상용 ID 공급자와 페어링된 아이폰의 경우, 사용자 인터페이스가 이 등록 프로세스를 안내한다.

내부 작동 방식 
공개 키 부분은 웹 서비스에 저장되어 사용자 ID에 할당다. 사용자 디바이스 측에서는 개인 키가 휴대폰 또는 노트북 보안 인클레이브 내에 저장된다. 사용자가 등록된 웹 서비스에 인증하면 웹 서비스는 사용자에게 '패스키'(휴대폰 또는 노트북에 저장된 개인 키)를 입력하라는 메시지를 표시하고, 사용자는 인증 프로세스의 챌린지/응답 부분을 완료하기 위해 개인 키를 사용할 수 있도록 디바이스의 보안 인클레이브를 잠금 해제하라는 메시지가 표시된다. 개인 키는 디바이스에서 절대 유출되지 않으며 기존의 사용자 이름/비밀번호보다 훨씬 더 안전하다. 

사용자 이름과 비밀번호는 앞으로 한동안 FIDO2 인증과 함께 사용될 것이지만, FIDO2 구현에서는 인증 프로세스의 개인 키 챌린지/응답 부분 없이는 사용할 수 없으므로 사용자 이름/비밀번호를 분실하거나 도난당한 경우 가치가 거의 없으며 단독으로 인증에 사용할 수 없다는 것을 의미한다.

출처 : Korea IT Times

글: 조시 블랙웰더, 센티넬원의 정보보안 책임자

MORE
2024 보안업계가 주목하는 기술: ③ 비밀번호 없는 인증 기술

비밀번호는 인터넷 시대에 가장 기본적인 보안 장치이면서 가장 허술하게 관리되는 보안 장치이기도 하다. 현대인들은 인터넷과 모바일 서비스를 사용하기 위해 많게는 수십 개의 계정을 만들게 되는데, 이 모든 계정의 비밀번호를 기억하고 관리하는 것은 쉬운 일이 아니다. 하지만 이렇게 허술하게 관리되는 비밀번호는 사이버 공격자의 쉬운 먹잇감이 되기 십상이다. 


이처럼 사용자들의 비밀번호 관리가 갈수록 어려워지고 비밀번호 유출로 인한 보안 사고가 자주 발생하면서 기업들은 이를 보완하기 위한 다양한 방법을 강구하고 있다. 대표적으로 생체 인증 등을 도입한 다중 인증 방식(MFA: Multi-Factor Authentication)이 여기에 속한다. 최근에는 비밀번호가 아예 필요 없는 인증 방식이 활발하게 연구되고 있다. 2024년 보안업계가 주목하는 기술 세 번째 주인공은 비밀번호 없는(Passwordless) 인증 기술이다.


일상적으로 사용하는 비밀번호의 위험성


디지털 환경이 일상으로 녹아들면서 우리는 수많은 아이디와 비밀번호를 설정해야 하는 환경에 놓여있다. 거의 모든 웹사이트와 애플리케이션에서는 개개인의 정보를 특정하기 위해 로그인을 장려하고 있다. 문제는 이처럼 이용자가 직접 아이디와 비밀번호를 설정하고 기입하는 방식이 보안에 굉장히 취약하다는 점이다.

전문 기관의 조사에 따르면 인터넷 사용자들이 원활하게 디지털 환경을 이용하기 위해 필요한 비밀번호의 개수는 약 100여 개. 하지만 사람들은 기억력의 한계 탓에 100여 개의 비밀번호를 모두 다르게 설정하지 못한다. 결국 2~3개, 혹은 기억하기 쉬운 한 개의 비밀번호로 대부분의 웹사이트와 애플리케이션을 이용하고 있다.

게다가 비밀번호를 기억하기 쉽도록 연달아 이어진 문자열을 이용하거나 개인정보에 기반해 설정하는 이들도 많다. 생년월일이나 이름, 휴대폰 번호처럼 기억하기 쉬운 정보를 비밀번호에 포함시키는 것이다. 그래서 개인정보를 아는 사람이라면 비밀번호를 쉽게 유추할 수 있고 해커의 공격으로 비밀번호나 개인정보가 유출되기도 쉽다. 더욱이 한 번 도용되면 같은 비밀번호를 공유하는 다른 사이트와 애플리케이션의 계정도 연쇄적으로 도용될 위험이 크다.

[출처: 게티이미지뱅크]

이는 비단 개인의 문제만이 아니다. 웹 기반 서비스를 이용하는 기업들 역시 비밀번호를 어렵지 않게 설정해서 돌려 쓰는 편이고 이 비밀번호가 유출되는 경우가 적지 않다. 실제로 해커들 역시 기업이나 개인에 대한 사이버 공격을 감행할 때 자주 사용하는 한 두 개의 비밀번호를 알아내는 데 집중하는 경향이 있다.


오늘날 사이버 공간에서 발생하는 정보 유출의 81%가 도난당한 혹은 재사용되는 비밀번호 때문에 발생한다는 조사 결과도 있다. 그리고 이를 초기화하는데 기업들이 천문학적인 비용을 지불하고 있다는 통계도 있다. 2017년 마이크로소프트는 한 달 만에 68만 6000개의 비밀번호를 초기화하는데 1200만 달러(약 160억 원)의 비용을 지불했고 대다수의 글로벌 기업들이 비밀번호 관리 솔루션에 상당량의 보안 비용을 지불하고 있다.

유출되는 비밀번호에 대한 해결책으로 인증서를 이용하는 기업이나 사이트가 많아지고 있지만 인증서 역시 비밀번호가 필요한 탓에 같은 문제점이 있다는 지적이 많았다. 이에 비밀번호가 아예 필요 없는 다양한 보안 기술에 대한 수요가 늘어나고 있다. 

비밀번호 없는 인증 기술의 진화

비밀번호로 인한 보안 위협이 나날이 늘어나면서 비밀번호 없는 인증 기술에 대한 업계의 관심도 폭증하고 있다. 시장 조사 기업 FMI(Future Market Insights)는 2022년 전 세계 비밀번호 없는 인증 시장은 약 134억 5040만 달러(약 18조 원) 수준이었으며 이 시장이 연평균 15.3% 성장해  2032년에는 556억 7940만 달러(약 74조 원)에 이를 것으로 예상했다.

보안업계에서는 지금까지 사용자가 인증 요소를 두 가지 이상 사용해 본인 인증을 하는 다중 인증을 활용해 왔다. 다중 인증에는 기존의 아이디와 비밀번호 외에 이메일 인증, 모바일 및 SMS 인증, 음성 통화, OTP 등을 함께 활용하는 인증 기술이다. ▲사용자만이 알고 있는 지식을 물어보는 지식 기반 인증 ▲사용자가 소유한 하드웨어나 소프트웨어를 활용하는 소유 기반 인증(인증서나 OTP 등) ▲사용자의 고유한 신체 구조를 활용하는 생체 기반 인증으로 구분할 수 있다.

하지만 다중 요소 인증 역시 우회가 쉽고 기존 비밀번호 패턴을 알고 있으면 쉽게 정보를 유출할 수 있다는 문제가 제기되면서 비밀번호 없는 인증 기술은 더욱 강력한 보안 기능을 내장한 형태로 진화를 꾀하고 있다.

[출처: 게티이미지뱅크]
[이미지출처: 게티이미지뱅크]

대표적인 것이 FIDO(Fast IDentity Online) 기반 인증 기술이다. FIDO는 2006년 6월에 설립된 온라인 보안 인증 관련 글로벌 기업들의 연합체인 FIDO Alliance가 추구하는 온라인 인증 방식으로 기존 패스워드를 사용하는 서비스에서 두 번째 인증 요소로 강한 인증을 추가하는 방식과 사용자의 디바이스에서 제공하는 인증 방법을 온라인 서비스와 연동하여 사용자를 인증하는 방식으로 나눌 수 있다.


전자에 해당하는 기술이 지금까지 우리가 일상에서 마주한 수많은 2단계 보안 기술들이며 후자에 해당하는 기술은 분산 디지털 신원 개념을 도입한 방식이다. 분산 디지털 신원 시스템은 신원 등록 데이터와 인증을 통합해 두 가지를 절대로 떨어뜨리지 못하게 강제하는 방식이다. 비밀 키를 별도의 공간에 저장해 두고 이 비밀 키에 접근하기 위해서는 등록 과정에서 제출한 생체 정보와 동일한 정보를 입력할 수 있도록 구성한다. 기존 FIDO 시스템에서 한 발 더 나아가 FIDO 모듈을 플랫폼화하고 인증 절차를 더욱 강화한 FIDO2에 해당하는 기술이다. 

비밀번호 없는 인증 기술의 활용

비밀번호 없는 인증 기술, 로그인 기술은 이미 상용화되어 글로벌 기업들 중 일부에서는 스마트카드와 보안키, 하드웨어 토큰, 생체 인식, 모바일 인증 등을 통해 사내 클라우드 기반 솔루션을 지원하고 있다. 신분증이나 출입 카드 발급 과정에서 비밀번호 없는 인증 기술을 적용한 사례도 있으며 지문 인식, 얼굴 인식 등 생체 인증을 지원하는 모바일 기기도 이미 일상이 된 지 오래다.

패스키라 불리는 생체 인증을 기반으로 한 비밀번호 없는 로그인 기술도 적극 활성화되고 있다. 패스키는 스마트폰과 같은 기기나 디바이스에 비밀 키를 내장하고 이를 활성화하기 위해 생체 인증으로 본인을 확인하는 방식이다.


사용자 계정의 식별자로 작동하는 고유한 숫자 또는 문자열 시퀀스를 부여하고 여기에 보안 토큰이나 생체 인식 같은 다른 요소를 결합해 추가적인 보안 계층을 제공한다. 다중 요소 인증을 활용한 보안으로 1단계에서는 기기 자체 혹은 기기 안에 내장된 비밀 키가 인증 요소로 기능하고 2단계에서는 사용자만의 고유한 생체 정보를 인증해야 한다. 해킹을 통해 비밀 키나 패스키를 획득했더라도 생체 인증으로 본인을 재차 확인해야 하기에 보안성이 높다는 평가가 많다.

 

암호화된 한 쌍의 공개키와 개인키를 조합해 패스키를 구성하는 경우도 있다. 공개키는 서버에, 개인키는 사용자 기기에 각각 저장해 어느 한쪽이 유출되더라도 다른 키가 보안을 책임지는 방식이다.


이미 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 로블록스, 닌텐도, 어도비, 틱톡 등 글로벌 기업들이 패스키 도입을 공개적으로 발표했으며 작년 하반기부터 패스키 기능을 자사 앱이나 웹사이트에서 기본 옵션으로 도입한 기업도 많다.

패스키 도입을 주도한 FIDO Alliance에 따르면 전 세계 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용하고 있으며, 99%의 기기가 패스키 적용이 가능한 환경을 지원하고 있는 것으로 나타났다. 패스키 도입을 위한 환경은 이미 조성되어 있다는 뜻이다.

비밀번호 없는 인증 기술의 대표격인 패스키지만 단점이 없는 건 아니다. 1단계 인증에 해당하는 기기 자체를 분실한 경우 계정이나 장치가 아예 잠겨버릴 수 있다. 더불어 전통적인 비밀번호 방식보다 추가로 설정해야 할 포인트가 늘어나 관련 지식이나 디지털 환경에 취약한 사용자에게는 오히려 장벽으로 기능할 여지도 있다.

비밀번호 없는 로그인, 인증 기술은 사용자의 편의는 물론, 점점 늘어나는 보안 위협을 해소하기 위한 차세대 보안 기술이다. 기억나지 않는 비밀번호 탓에 로그인을 수차례 시도하고 한 번 유출된 비밀번호로 인해 연쇄적으로 해킹의 위협에 시달리는 문제를 해결할 핵심적인 기술이 바로 비밀번호 없는 인증 기술이다. 향후 우리가 더 안전한 인터넷을 누리기 위해서도 필수적인 보안 기술이라고 할 수 있겠다.

출처 : CCTV뉴스(https://www.cctvnews.co.kr/news/articleView.html?idxno=236661)

MORE

Meet TrustKey’s expert.

CONTACT US

TOP
(주)트러스트키 / 주소 : 서울특별시 강남구 테헤란로22길 14 중유빌딩 2층 (06236) / Tel : +82.2.556.7878
Sales : sales@trustkey.kr / Technical : support@trustkey.kr / Fax : 02.558.7876

Copyright © 2020 TrustKey. All Rights Reserved.

TrustKey Family Site