블로그

신원정보 도용: 배럴에 피시를 쏘는 것만큼 쉬운 일

썸네일
2017년 2월 8일 게시

가장 좋은 시나리오를 상상해보세요. 사용자를 대상으로 보안 인식 교육을 실시하고, 사용자에게 적용되는 모든 위협에 대해 교육했습니다. 모든 사람이 피싱 사기꾼의 전술을 알고 피싱 이메일로 인한 피해를 피하는 방법을 아는 보안 문화가 조성되었습니다. 드라이브-바이 다운로드를 방지하기 위해 모든 엔드포인트에 바이러스 백신을 설치했습니다. 사용자들은 취약한 비밀번호와 비밀번호 재사용의 위험성을 알고 신경 쓰기 때문에 비밀번호 관리자를 사용할 만큼 고급 수준입니다.

비밀번호

이제 현실로 돌아오세요. 인간은 실수를 하기 쉽기 때문에 우리는 기술을 사용합니다. 물론, 사용자를 교육하는 것은 매우 중요합니다. 이를 통해 피싱 관련 사고의 빈도를 획기적으로 줄일 수 있기 때문입니다. 하지만 사용자를 아무리 교육하더라도 실수를 하는 사람은 항상 몇몇은 있을 것입니다. 에 따라 2016년 Verizon 데이터 침해 조사 보고서(DBIR)에 따르면 피싱 검사를 받은 사람 중 13%가 피싱 이메일의 첨부 파일을 클릭했습니다. 그러므로 사용자 중 누구도 그 13%에 속하지 않을 거라고 생각하지 마세요. 실수는 차치하고, 직원의 20%는 자신의 비밀번호를 판매할 의향이 있으며, 이 직원 중 44%는 1,000달러 미만에 그럴 의향이 있습니다! 이러한 통계를 보고 "우리 조직에서는 그런 일이 일어나지 않을 거야"라고 생각한다면 피싱 사고가 발생할 것을 예상하고 대비하지 않으면 실수를 저지르는 입니다.

피싱의 명백한 동기는 사용자의 자격 증명을 훔쳐 더욱 심층적인 공격을 시작하는 것입니다. 2016년 베라이즌 DBIR에서는 손상된 자격 증명을 사용한 사건이 1,429건 기록되었습니다. 어떻게 이런 일이 가능한가? 사용자 비밀번호 피로가 큰 원인입니다. 개인적인 용도로 추적하고 있는 모든 비밀번호를 생각해 보세요. 모바일 뱅킹 앱, Gmail 계정, Facebook 계정, Amazon Prime... 목록은 셀 수 없이 많습니다. 이제 이와 동일한 상황을 기업에 적용해 보겠습니다. 기업의 80%가 클라우드에서 애플리케이션(Office 365, Salesforce, Concur 등)을 제공하고 있습니다. 기업의 가장 민감한 데이터는 애플리케이션에 저장되어 있으며 해당 애플리케이션에는 다음과 같은 일반적인 암호 복잡성 요구 사항이 있을 수 있습니다.

  • 최소 8자
  • 최소 1개의 특수문자(!,@,#,$ 등)를 사용하세요.
  • 최소 1개의 대문자(A-Z) 사용
  • 최소 1개의 숫자(0-9) 사용


모범 사례에 따르면 각 계정에 고유한 비밀번호를 사용해야 하며, 이러한 앱 중 다수는 90~180일마다 비밀번호를 변경해야 합니다. 모든 비밀번호를 기억하는 데 행운을 빕니다!

현실은 이러한 비밀번호 요구 사항을 어떻게 반영할까요? 실제로 대부분 사용자는 하나나 둘, 어쩌면 세 개의 고유한 비밀번호를 사용하는데, 더 중요한 앱의 경우 비밀번호 끝에 "1"을 추가하여 약간 변형할 수도 있습니다. 즉, 하나의 비밀번호가 침해되면 공격자는 이를 통해 여러 자격 증명을 침해할 수 있는 좋은 시작점이 됩니다. 이를 어떻게 막을 수 있을까?

보안을 구현한다는 것은 항상 보안과 사용자의 편의성 간의 균형을 찾는 것입니다. 피싱으로 인한 공격을 완전히 근절하는 것은 우리의 빠르게 움직이는 업무 환경에서는 매우 어렵고, 아마도 불가능할 수도 있는 작업일 것입니다. 그러면 우리는 어떻게 해야 할까요? 

피싱으로 인해 자격 증명이 손상되어 발생하는 피해를 막거나 적어도 크게 줄일 수 있는 좋은 솔루션은 다중 요소 인증(MFA)입니다. MFA는 당신이 아는 것(비밀번호), 당신이 가지고 있는 것(토큰) 그리고 심지어 당신이라는 것(생체 인식)으로 구성됩니다. 사용자 이름과 비밀번호를 입력하고 일종의 일회성 토큰이나 물리적 검증을 제공하면 승인된 사용자만 귀하의 애플리케이션에 액세스할 수 있습니다.

우연히 첫 번째 문단에서 설명한 대로 많은 유니콘과 함께 작업하게 된다면 여전히 MFA 솔루션을 구현해야 한다는 것을 보여주는 증거가 많이 있습니다. 웹 브라우저와 비밀번호 관리자는 사용자가 모범 사례를 준수하는 데 도움이 된다는 점에서 확실히 유용하지만, 공격자도 이를 노리고 있습니다. 사용자가 자동 완성 기능을 선택하면 공격자는 이름과 이메일과 같은 기본 입력란만 표시하고 거주지 주소, 생년월일, 전화번호, 심지어 비밀번호와 같은 중요한 필드를 숨길 수 있습니다. 이는 사용자의 비밀번호 및 기타 민감한 정보가 사용자가 볼 수 없는 텍스트 필드에 의도치 않게 입력된다는 것을 의미합니다. 하지만 입력된 텍스트를 난독화하고 암호화하여 읽을 수 없게 만드는 방법이 있습니다.

사용자는 어디에서나 어떤 기기로든 애플리케이션에 연결하고 싶어하므로, 이를 안전하게 연결할 수 있도록 돕는 것은 여러분의 몫입니다. F5의 애플리케이션 액세스 솔루션을 사용하면 다양한 MFA 공급업체와 쉽게 통합할 수 있어 사용자에게 2단계, 3단계 또는 그 이상의 인증 옵션을 제공할 수 있습니다(예: 인증 앱을 통한 일회용 비밀번호[OTP] 모바일 폰 푸시 알림, Yubikey 등). 또한 F5 WebSafe 와 같은 F5의 사기 방지 솔루션과 함께 배포하는 경우 사용자 이름과 비밀번호를 포함하여 온라인 양식에 입력된 텍스트를 난독화하고 암호화하여 추가 보호를 제공할 수 있습니다.

사용자에게 간단하면서도 향상된 경험을 제공하고 애플리케이션에 대한 보안 인증을 강화하면 모든 사람에게 보안상의 이점이 있습니다.