2020.11.17

“음성, SMS 기반 멀티팩터 인증도 위험하다” 마이크로소프트 임원 주장

Brian Cheon | CIO KR
기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다. 

마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다. 

그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다. 

그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다. 

와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다. 

그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다. 

한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프트 365 신형 라인업에 보안 옵션을 기본화했다. 모든 사용자에게 MFA 인증을 요구한 것이다. 마이크로소프트 어센터케이터가 기본 MFA 수단으로 설정돼 있다. ciokr@idg.co.kr
 



2020.11.17

“음성, SMS 기반 멀티팩터 인증도 위험하다” 마이크로소프트 임원 주장

Brian Cheon | CIO KR
기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다. 

마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다. 

그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다. 

그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다. 

와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다. 

그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다. 

한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프트 365 신형 라인업에 보안 옵션을 기본화했다. 모든 사용자에게 MFA 인증을 요구한 것이다. 마이크로소프트 어센터케이터가 기본 MFA 수단으로 설정돼 있다. ciokr@idg.co.kr
 

X