세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
페이스북, 보안 강화 위해 물리 키 개발 완료
  |  입력 : 2017-02-10 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이스북, 내부적으로 보안 강화 중...지난 1월 물리 보안 키 도입
업계에서 보안 강화와 편리성 증대 위한 노력 연쇄적으로 일어날 듯


[보안뉴스 홍나경 기자] 소셜미디어가 상당한 위험 요소들을 지니고 있음에도 불구하고 많은 이들이 소셜미디어를 통해 자신들의 개인정보를 공유하는 것에 대해 매우 관대하다. 소셜미디어의 사용량은 줄어들 기미가 보이지 않으며 IT 전문가들은 계속해서 지속적으로 방대하게 늘어나는 소셜미디어 활동들로 인해 자신이 속한 조직의 사이버 환경을 지키는 데 골머리를 앓고 있다.


미국 뉴욕 알바니에 위치한 엑셀시어 컬리지(Excelsior College)의 보안 전공 프로그램 관리자인 아멜리아 에스트윅(Amelia Estwick)은 “소셜미디어가 위험한 것은 맞습니다. 하지만 현대사회에서 꼭 필요한 것이기도 하지요”라고 말하며 이제는 소셜미디어가 없는 삶을 상상하기 힘들다고 언급했다.

하지만 최근 페이스북과 같은 종류의 소셜미디어 기업들은 자신들의 플랫폼을 더 안전하게 지키기 위해 내부 보안 기준을 높이고 있다. 실제로 지난달 페이스북은 사용자 계정 보호를 위해 FIDO 이중인증(FIDO U2F) 기반의 보안 키 기술을 도입하기로 했다는 사실을 발표했다. 페이스북 사용자들은 페이스북에 로그인 할 때 USB 포트에 해당 보안 키를 꽂은 뒤 가볍게 터치하는 식으로 이중인증을 실행할 수 있다.

페이스북의 보안 엔지니어인 브래드 힐(Brad Hill)은 소셜네트워크의 보안 강화가 필요한 현실을 받아들였다고 운을 떼며 최근 이러한 페이스북의 노력은 로그인과 계정 복구 관련 보안에 있어 업계에 변화를 주기 위한 행보라고 설명했다. “소셜미디어, 이메일 등의 보안은 모든 사람이 현재 주목하고 있는 분야입니다. 많은 이들이 온라인 아이덴티티를 더 안전하게 보호하고 싶어 하지요. 페이스북은 계속해서 보안을 더 쉽고 효과적으로 사용할 수 있는 방안을 구축하기 위해 노력할 것입니다.”

페이스북, 인스타그램 등을 포함한 소셜미디어의 빠른 성장은 사실 멀웨어, 데이터 마이닝 등 다양한 사이버 공격에 장을 열어 준 것이나 다름없는 것이었다. 소셜미디어 보안 기업인 제로폭스(ZeroFOX)의 공동 창립자인 이반 블레어(Evan Blair)는 “소셜미디어의 증가 및 성장은 해커들에게 사람들을 공격할 수 있는 기회를 무수히 많이 제공했습니다. 또한, 해커들은 소셜미디어와 인터넷을 통해 자신들이 원하는 목표물이 누구든지(기업/개인) 상관없이 공격할 수 있게 됐습니다”라고 설명했다.

또한, 블레어는 사람들이 소셜미디어 계정을 이메일 계정보다 더 안전하게 믿는 경향이 있다고 계속해서 말했다. “이메일에 관한 사이버 공격 수법에 관해서는 계속해서 교육을 하고 있으며 위험성을 강조하고 있습니다. 심지어 아는 사람에게 받은 이메일이라고 하더라도 의심을 늦추지 않게끔 사람들을 교육시키고 있습니다.”

하지만 그는 이러한 교육 내용을 소셜미디어에도 적용시키는 이들이 많지 않다고 말하며 대부분 사용자들이 별 생각 없이 페이스북, 트위터, 인스타그램에 있는 링크를 눌러보고 개인적인 내용을 공개적으로 공유하고 있다고 말했다. “보안에 대한 기준이 제대로 확립된 것이 아니기 때문에 소셜 엔지니어링(커퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단), 스피어피싱 캠페인에 사람들이 특히나 취약한 것입니다.”

블레어는 사실 상당수의 사람들이 소셜미디어를 신뢰하고 있는 현실을 언급하며 소셜미디어를 통해 많은 양의 정보를 공개할수록 해커들에게 있어서 더 쉬운 먹잇감이 되는 것이라고 경고했다. 페이스북과 같은 소셜미디어 기업들은 점점 증가하고 있는 사이버 위협들을 파악하고 자신들의 소비자와 비즈니스를 보호하기 위해 사이버 위협을 완화하는 방법들을 고안 및 실행하고 있다.

페이스북의 플랫폼 형태를 본다면 왜 그들이 특히나 해커들에게 있어 매력적인 먹잇감인지 이해할 수 있다고 에스트윅은 말했다. “페이스북이 다른 소셜미디어들보다 더 위험한 이유는 현재 제공하고 있는 서비스들이 많기 때문입니다. 트위터같은 경우는 주로 트윗을 보내는 기능에 주력한 소셜미디어지만 페이스북은 페이스북 라이브, 인스타그램 연동 등 여러 가지 서비스를 제공하고 있습니다. 하지만 사실 많은 이들이 페이스북을 가입할 때 이러한 것들이 위협으로 작용할 것이라는 사실은 모르고 있죠.”

올해 1월 26일 페이스북은 계정 인증에 보안 키를 도입하겠다는 계획을 밝혔다. 당시 페이스북의 보안 엔지니어인 힐은 시스템에 코드를 입력할 필요 없이 USB 포트를 통해 연결하여 물리적인 암호화 증거를 제시하는 방식으로 계정을 피싱 공격으로부터 보호할 수 있다고 말했다. 또한, 별도의 보안 인증 관련 프로그램을 컴퓨터에 설치할 필요도 없으며 현재 비즈니스용으로 페이스북을 사용하는 이들이 많이 선택한다고 언급했다.

“물리적 보안 키는 해커들이 해킹할 수도 없으며 또한 사용자들이 해커들에게 이를 실수로라도 줄 수 없는 보안 방법입니다.” 이뿐만 아니라 사용자들은 같은 보안 키를 구글, 드롭박스, 깃허브 등 여러 개의 계정에 사용할 수 있다고 한다. 페이스북은 보안 키를 발표하고 곧 바로 깃허브와 함께 계정복구를 하는 데 보안 키를 함께 쓸 수 있도록 하는 프로젝트를 진행했다. 그래서 깃허브 사이트 사용자가 계정 복구를 원하거나 비밀번호를 잊었을 때 페이스북으로 인증하는 방식을 택하면 이메일 주소나 휴대폰 인증을 하지 않고도 깃허브에 로그인을 할 수 있다. “사람들은 자주 자신들의 비밀번호를 잊어버리거나 핸드폰을 잃어버립니다. 그렇기 때문에 계정복구를 하기 위해서는 다른 방법이 필요하지요.”

반면 소셜 미디어는 계속해서 해커들의 주요 타깃이 될 것이라고 블레어는 주장했다. “소셜미디어를 통해서 더 많은 타깃형 사이버 공격들이 늘어날 것입니다. 현재도 자주 소셜미디어에 관한 사이버 사건 사고들이 나오고 있긴 합니다. 하지만 앞으로는 주로 기업 내의 직원들을 통해 내부 시스템에 접근을 하려는 공격들이 더 많이 늘어날 것으로 보입니다.”

전문가들은 보안을 강화하기 위한 노력을 페이스북이 제일 먼저 시작했지만 다른 플랫폼들도 페이스북을 뒤따라 새로운 시도를 할 것으로 예상된다고 언급했다. 또한, 페이스북의 행보는 다른 업계들에서 주목하고 있다고 말하며 보안 키 관련 기술은 앞으로 다른 업계들도 도입을 해야 할 필요가 있다고 덧붙였다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)