Home > 전체기사
크리덴셜 탈취에 대한 대응책, 다중 인증에 대한 오해와 진실
  |  입력 : 2019-11-13 16:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대기업들만? 중요한 사람들만?...요즘 공격자들은 권한과 지위 낮아도 활용해
다중 인증, 완벽하지는 않지만 많은 문제 해결해주는 건 확실해


[보안뉴스 문가용 기자] 도난당한 크리덴셜은 기업들에 있어 엄청난 위협거리다. 왜? 합법적으로 사용하는 게 가능하기 때문이다. 범인들이 시치미 뚝 떼고 정상적으로 로그인 해서 평범한 일원인 것처럼 활동할 수 있게 된다. 비싼 돈 주고 구매해 설치한 백신, 방화벽, 그 외 각종 보안 솔루션들이 쓸모없게 변한다.

[이미지 = iclickart]


이제 많은 조직들이 바로 이 ‘도난당한 크리덴셜’의 위협에 대해 잘 이해하기 시작했다. 그렇지만 제대로 된 조치를 취하는 곳은 아직 드물다. 특히 비밀번호를 보호하는 것에 있어서 아직 미숙한 부분이 많다. 비밀번호 보호 방법이란 무엇인가? 바로 다중 인증이다. 하지만 2년 전 영국과 미국의 IT 전문가 500여 명을 대상으로 한 조사에서 다중 인증을 도입한 조직은 38%뿐이라고 나왔다. 그리고 2년이 지난 지금도 사정은 크게 달라지지 않았다.

왜 조직들은 다중 인증 도입을 꺼려하는 것일까? 다중 인증과 관련하여 이미 여러 가지 선입견이 자리를 확고하게 굳혀가고 있기 때문이다. 그래서 일반적인 기업들은 다중 인증이라는 말만 들어도 손부터 내젓는다. 선입견들을 대략 꼽아보자면 다음과 같다.

오해 1) 다중 인증이 정말 필요한 곳은 대기업 뿐이다
정말 흔한 오해 중 하나다. 기업들은 그 정도로 강력한 보안 장치를 도입하려면 어느 정도 규모가 갖춰져야만 한다고 생각한다. 잘못된 생각이다. 다중 인증은 기업의 규모가 어떠하든 반드시 필요한 보안 장치다. 기업에서 보관하는 정보의 민감도는 회사 크기에 따라 달라지지 않기 때문이다. 게다가 다중 인증이라는 게 복잡하고 비용이 높은 것만도 아니다. 작은 기업이 한다고 해서 ‘과도하다’고 할 만한 기술이 아니라는 것이다.

오해 2) 다중 인증은 권한이 높은 사용자 소수에게만 필요한 것이다
역시 1)번과 비슷한 맥락에서 나오는 오해다. ‘우리는 보호받을 만큼 중요하지 않아’라는 의식이 여기에도 깔려 있다. 실제 근무 환경과 현장을 생각해보라. 정말 대단히 높으신 분들이나 특수한 사람들만 민감한 정보들을 사용하는가? 공식 경로를 통해서든 아니든, 대다수 직원들이 여러 가지 이유로 이미 정보에 마음껏 접근하고 있다. 워크스테이션 여기 저기에 민감한 정보가 한두 개 저장되어 있지만 윈도우 로그인 비밀번호조차 걸려있지 않은 것이 대부분이다.

모든 직원들이 다중 인증을 사용해 윈도우에 로그인 하게 한다는 게 어찌보면 ‘침소봉대’처럼 느껴질 수 있지만, 우리가 업무에 사용하는 정보를 생각해보면 그렇지도 않다. 권한이 대단히 높지 않아도 밖으로 유출되었을 때 곤란한 정보를 많이 접하고 활용한다. 예를 들어 병원의 간호사 선생님들도 유명인 환자의 의료 정보에 접근할 수 있다. 이런 간호사들을 매수해 정보를 훔친 사례도 다수 존재한다.

게다가 한 가지 기억해야 할 건, 요즘 사이버 공격자들은 권한이 낮은 계정부터 공격을 차근차근 진행하기 시작한다는 것이다. 권한이 낮아 아무도 신경 쓰지 않는 계정을 몰래 탈취한 다음(피싱 공격 등으로), 이 계정으로부터 횡적으로 움직임으로써 점점 더 높은 권한을 차지해간다. 그러니 높은 권한 계정만이 다중 인증을 필요로 하는 건 아니다.

오해 3) 다중 인증, 완벽한 건 아니다
그러나 다중 인증이라고 해서 완벽한 건 아니다. 그 어떤 보안 솔루션들도 완벽하지 않다. 하지만 다중 인증이 꽤나 많은 문제를 해결해주는 건 사실이다. 최근 FBI는 사이버 범죄자들이 다중 인증을 회피해간 사건이 있었다며 주의하라는 경고문을 발표한 바 있다. 당시 공격자들은 채널 재킹(channel jacking)이라는 기법과 ‘실시간 피싱(real-time phishing)’이라는 기법을 활용했었다고 한다.

1) 채널 재킹 : 인증 장치와 서버 혹은 인증 장치와 클라이언트 간의 통신 채널을 장악하는 공격 기법이다. 인증 장치의 취약점을 익스플로잇 할 경우 가능해진다.
2) 실시간 피싱 : 중간기계(machine-in-the-middle) 공격 기법을 사용해 인증 관련 메시지들을 가로채고 공격자가 임의대로 해당 메시지를 활용하는 것이다.

하지만 공격자들 입장에서 이 두 가지 공격을 실행하는 건 그리 간단한 문제가 아니다. 공격에 드는 비용도 높고, 투자해야 할 노력의 수준도 높은 편이다. 그래서 공격자들은 다중 인증을 사용하는 기업이나 인물이 표적이 될 경우, 정말로 공격을 해야만 하는 상황이 아니라면 표적을 다시 설정한다. 다중 인증을 사용하지 않는, 그래서 공략이 쉬운 곳을 먼저 친다는 것이다.

그래서 FBI는 “완벽하진 않지만, 공격자가 꺼려할 정도로 비용을 높여준다”는 의미에서 다중 인증이 안정적이고 신뢰할 만한 방어법이라고 사람들에게 전파하고 있다.

오해 4) 다중 인증은 생산성을 저하시킨다
이건 좀 복잡한 문제다. 한 마디로 하자면, 저하시킬 수도 있고 아닐 수도 있다. 하지만 뭔가 새로운 것이 조직 내 업무 프로세스에 끼어들게 되면, 그것이 다중 인증이 아니더라도 생산성을 저하시킬 수 있다. 생산성 저하의 정도가 너무 심하면 결국 내부 직원들과 사용자들은 다중 인증을 우회하는 방법을 스스로 개발하고 터득한다. 즉 보안 전문가들이라면 다중 인증의 이러한 특성을 미리 간파해야 한다는 것이다. 다중 인증은 유연하게 도입되어야 하며, 사용자의 편의성도 최대한 고려해야 한다.

누구나 크리덴셜 도난에 당할 수 있고, 누구나 도난당한 크리덴셜에 당할 수 있다. 권한이 얼마나 높든, 조직의 규모가 어떻든 말이다. 다중 인증은 앞으로 기업들이 반드시 도입해야 할 기본적인 보안 장치로서 자리를 잡을 가능성이 높다. 미리 지금부터 사용 습관을 익히면 다중 인증이 대세가 되었을 때 도움이 될 것이다.

글 : 프랑소아 아미고레나(Francois Amigorena)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)