Offcanvas

������������ ���������

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

거의 모든 보안 사고의 시작··· '크리덴셜 스터핑' 검출·예방법

크리덴셜 스터핑(credential stuffing)은 수집된 이용자 이름과 비밀번호를 자동으로 대입하며 이용자 계정에 부정하게 액세스하려는 공격을 말한다. 이 방법으로 과거 여러 해 동안의 데이터 침해 사건이 발생했고, 그 결과 수십억 개의 로그인 정보가 해커의 수중에 들어갔다. 이들 인증 정보는 지하 경제의 연료가 됐고, 스팸부터 피싱, 계정 탈취에 이르는 온갖 행위에 악용됐다. 크리덴셜 스터핑 공격은 사이버 범죄자가 탈취된 이용자 이름과 비밀번호를 악용하는 대표적 방식 가운데 하나다. 이는 일종의 무차별 대입 공격 기법이지만, 일반적 단어 조합으로 된 ‘사전’을 이용해 비밀번호를 추측하는 것이 아니고, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용한다는 점에서 차이가 있다. 따라서 공격은 훨씬 더 쉽고 성공률은 더 높아진다. 여러 웹사이트에 같은 비밀번호를 재사용하는 사람이 많기 때문이다. 별로 유명하지 않은 웹사이트에서 훔친 인증 정보가 민감한 데이터를 가진 서비스에서도 유효할 확률이 높은 것이다. 크리덴셜 스터핑 문제의 심각성 보안 연구자인 트로이 헌트가 운영하는 무료 데이터 침해 알림 서비스 HIBP(HaveBeenPwned.com)는 410건이 넘는 데이터 침해에서 확인된 85억 개 이상의 훼손된 인증 정보를 추적한다. 이 서비스는 지하 포럼에서 널리 유포됐거나 공개된 데이터 세트로부터 나온 인증 정보만 취급한다. 그러나 비공개로 남아 있는 데이터베이스 덤프가 많고, 이는 소수의 해커 집단만 사용할 수 있다. 절취된 인증정보와 특수 툴을 판매하는 것에 근거하는 지하 경제 전체가 자동화된 크리덴셜 스터핑 공격을 지원한다. 이들 특수 툴은 유출된 데이터베이스에 있는 해시된 비밀번호를 해독한 후 취합한 이른바 ‘콤보 리스트’를 이용한다. 이 공격은 특별한 기술이나 지식을 필요로 하지 않고, 수백 달러를 지불해 툴과 데이터를 구매하기만 하면 사실상 누구나 할 수 있다. 2017년 11월부터 2019년 3월 말까지 17개월 동안 보...

Credential stuffing 크리덴셜 스터핑

2019.11.01

크리덴셜 스터핑(credential stuffing)은 수집된 이용자 이름과 비밀번호를 자동으로 대입하며 이용자 계정에 부정하게 액세스하려는 공격을 말한다. 이 방법으로 과거 여러 해 동안의 데이터 침해 사건이 발생했고, 그 결과 수십억 개의 로그인 정보가 해커의 수중에 들어갔다. 이들 인증 정보는 지하 경제의 연료가 됐고, 스팸부터 피싱, 계정 탈취에 이르는 온갖 행위에 악용됐다. 크리덴셜 스터핑 공격은 사이버 범죄자가 탈취된 이용자 이름과 비밀번호를 악용하는 대표적 방식 가운데 하나다. 이는 일종의 무차별 대입 공격 기법이지만, 일반적 단어 조합으로 된 ‘사전’을 이용해 비밀번호를 추측하는 것이 아니고, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용한다는 점에서 차이가 있다. 따라서 공격은 훨씬 더 쉽고 성공률은 더 높아진다. 여러 웹사이트에 같은 비밀번호를 재사용하는 사람이 많기 때문이다. 별로 유명하지 않은 웹사이트에서 훔친 인증 정보가 민감한 데이터를 가진 서비스에서도 유효할 확률이 높은 것이다. 크리덴셜 스터핑 문제의 심각성 보안 연구자인 트로이 헌트가 운영하는 무료 데이터 침해 알림 서비스 HIBP(HaveBeenPwned.com)는 410건이 넘는 데이터 침해에서 확인된 85억 개 이상의 훼손된 인증 정보를 추적한다. 이 서비스는 지하 포럼에서 널리 유포됐거나 공개된 데이터 세트로부터 나온 인증 정보만 취급한다. 그러나 비공개로 남아 있는 데이터베이스 덤프가 많고, 이는 소수의 해커 집단만 사용할 수 있다. 절취된 인증정보와 특수 툴을 판매하는 것에 근거하는 지하 경제 전체가 자동화된 크리덴셜 스터핑 공격을 지원한다. 이들 특수 툴은 유출된 데이터베이스에 있는 해시된 비밀번호를 해독한 후 취합한 이른바 ‘콤보 리스트’를 이용한다. 이 공격은 특별한 기술이나 지식을 필요로 하지 않고, 수백 달러를 지불해 툴과 데이터를 구매하기만 하면 사실상 누구나 할 수 있다. 2017년 11월부터 2019년 3월 말까지 17개월 동안 보...

2019.11.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6