Home > 전체기사
크리덴셜 탈취에 대한 대응책, 다중 인증에 대한 오해와 진실
  |  입력 : 2019-11-13 16:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대기업들만? 중요한 사람들만?...요즘 공격자들은 권한과 지위 낮아도 활용해
다중 인증, 완벽하지는 않지만 많은 문제 해결해주는 건 확실해


[보안뉴스 문가용 기자] 도난당한 크리덴셜은 기업들에 있어 엄청난 위협거리다. 왜? 합법적으로 사용하는 게 가능하기 때문이다. 범인들이 시치미 뚝 떼고 정상적으로 로그인 해서 평범한 일원인 것처럼 활동할 수 있게 된다. 비싼 돈 주고 구매해 설치한 백신, 방화벽, 그 외 각종 보안 솔루션들이 쓸모없게 변한다.

[이미지 = iclickart]


이제 많은 조직들이 바로 이 ‘도난당한 크리덴셜’의 위협에 대해 잘 이해하기 시작했다. 그렇지만 제대로 된 조치를 취하는 곳은 아직 드물다. 특히 비밀번호를 보호하는 것에 있어서 아직 미숙한 부분이 많다. 비밀번호 보호 방법이란 무엇인가? 바로 다중 인증이다. 하지만 2년 전 영국과 미국의 IT 전문가 500여 명을 대상으로 한 조사에서 다중 인증을 도입한 조직은 38%뿐이라고 나왔다. 그리고 2년이 지난 지금도 사정은 크게 달라지지 않았다.

왜 조직들은 다중 인증 도입을 꺼려하는 것일까? 다중 인증과 관련하여 이미 여러 가지 선입견이 자리를 확고하게 굳혀가고 있기 때문이다. 그래서 일반적인 기업들은 다중 인증이라는 말만 들어도 손부터 내젓는다. 선입견들을 대략 꼽아보자면 다음과 같다.

오해 1) 다중 인증이 정말 필요한 곳은 대기업 뿐이다
정말 흔한 오해 중 하나다. 기업들은 그 정도로 강력한 보안 장치를 도입하려면 어느 정도 규모가 갖춰져야만 한다고 생각한다. 잘못된 생각이다. 다중 인증은 기업의 규모가 어떠하든 반드시 필요한 보안 장치다. 기업에서 보관하는 정보의 민감도는 회사 크기에 따라 달라지지 않기 때문이다. 게다가 다중 인증이라는 게 복잡하고 비용이 높은 것만도 아니다. 작은 기업이 한다고 해서 ‘과도하다’고 할 만한 기술이 아니라는 것이다.

오해 2) 다중 인증은 권한이 높은 사용자 소수에게만 필요한 것이다
역시 1)번과 비슷한 맥락에서 나오는 오해다. ‘우리는 보호받을 만큼 중요하지 않아’라는 의식이 여기에도 깔려 있다. 실제 근무 환경과 현장을 생각해보라. 정말 대단히 높으신 분들이나 특수한 사람들만 민감한 정보들을 사용하는가? 공식 경로를 통해서든 아니든, 대다수 직원들이 여러 가지 이유로 이미 정보에 마음껏 접근하고 있다. 워크스테이션 여기 저기에 민감한 정보가 한두 개 저장되어 있지만 윈도우 로그인 비밀번호조차 걸려있지 않은 것이 대부분이다.

모든 직원들이 다중 인증을 사용해 윈도우에 로그인 하게 한다는 게 어찌보면 ‘침소봉대’처럼 느껴질 수 있지만, 우리가 업무에 사용하는 정보를 생각해보면 그렇지도 않다. 권한이 대단히 높지 않아도 밖으로 유출되었을 때 곤란한 정보를 많이 접하고 활용한다. 예를 들어 병원의 간호사 선생님들도 유명인 환자의 의료 정보에 접근할 수 있다. 이런 간호사들을 매수해 정보를 훔친 사례도 다수 존재한다.

게다가 한 가지 기억해야 할 건, 요즘 사이버 공격자들은 권한이 낮은 계정부터 공격을 차근차근 진행하기 시작한다는 것이다. 권한이 낮아 아무도 신경 쓰지 않는 계정을 몰래 탈취한 다음(피싱 공격 등으로), 이 계정으로부터 횡적으로 움직임으로써 점점 더 높은 권한을 차지해간다. 그러니 높은 권한 계정만이 다중 인증을 필요로 하는 건 아니다.

오해 3) 다중 인증, 완벽한 건 아니다
그러나 다중 인증이라고 해서 완벽한 건 아니다. 그 어떤 보안 솔루션들도 완벽하지 않다. 하지만 다중 인증이 꽤나 많은 문제를 해결해주는 건 사실이다. 최근 FBI는 사이버 범죄자들이 다중 인증을 회피해간 사건이 있었다며 주의하라는 경고문을 발표한 바 있다. 당시 공격자들은 채널 재킹(channel jacking)이라는 기법과 ‘실시간 피싱(real-time phishing)’이라는 기법을 활용했었다고 한다.

1) 채널 재킹 : 인증 장치와 서버 혹은 인증 장치와 클라이언트 간의 통신 채널을 장악하는 공격 기법이다. 인증 장치의 취약점을 익스플로잇 할 경우 가능해진다.
2) 실시간 피싱 : 중간기계(machine-in-the-middle) 공격 기법을 사용해 인증 관련 메시지들을 가로채고 공격자가 임의대로 해당 메시지를 활용하는 것이다.

하지만 공격자들 입장에서 이 두 가지 공격을 실행하는 건 그리 간단한 문제가 아니다. 공격에 드는 비용도 높고, 투자해야 할 노력의 수준도 높은 편이다. 그래서 공격자들은 다중 인증을 사용하는 기업이나 인물이 표적이 될 경우, 정말로 공격을 해야만 하는 상황이 아니라면 표적을 다시 설정한다. 다중 인증을 사용하지 않는, 그래서 공략이 쉬운 곳을 먼저 친다는 것이다.

그래서 FBI는 “완벽하진 않지만, 공격자가 꺼려할 정도로 비용을 높여준다”는 의미에서 다중 인증이 안정적이고 신뢰할 만한 방어법이라고 사람들에게 전파하고 있다.

오해 4) 다중 인증은 생산성을 저하시킨다
이건 좀 복잡한 문제다. 한 마디로 하자면, 저하시킬 수도 있고 아닐 수도 있다. 하지만 뭔가 새로운 것이 조직 내 업무 프로세스에 끼어들게 되면, 그것이 다중 인증이 아니더라도 생산성을 저하시킬 수 있다. 생산성 저하의 정도가 너무 심하면 결국 내부 직원들과 사용자들은 다중 인증을 우회하는 방법을 스스로 개발하고 터득한다. 즉 보안 전문가들이라면 다중 인증의 이러한 특성을 미리 간파해야 한다는 것이다. 다중 인증은 유연하게 도입되어야 하며, 사용자의 편의성도 최대한 고려해야 한다.

누구나 크리덴셜 도난에 당할 수 있고, 누구나 도난당한 크리덴셜에 당할 수 있다. 권한이 얼마나 높든, 조직의 규모가 어떻든 말이다. 다중 인증은 앞으로 기업들이 반드시 도입해야 할 기본적인 보안 장치로서 자리를 잡을 가능성이 높다. 미리 지금부터 사용 습관을 익히면 다중 인증이 대세가 되었을 때 도움이 될 것이다.

글 : 프랑소아 아미고레나(Francois Amigorena)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제