Offcanvas

��������� ������ ������

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

안드로이드 '풀-디스크 암호화' 무력화 가능성··· 퀄컴 기반 기기가 주인공

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

안드로이드 취약점 퀄컴 결함 풀 디스크 암호화 FDE 무차별 대입 공격

2016.07.05

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

2016.07.05

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13