인사이트 인사이트: 사이버 보안의 성공과 실패를 공유하면 개선으로 이어집니다. – 사이버 보안을 둘러싼 비밀주의 문화가 발전을 가로막는 이유에 대해 FIDO Alliance의 전무이사 겸 CMO인 Andrew Shikiar가 설명합니다.
조직이 사이버 공격을 받았다면 다른 사람에게 알리시겠습니까?
지금까지의 대답은 명백히 ‘아니오’였습니다. 많은 사람들은 자신이 표적이 되었다는 사실을 공유하면 회사(또는 개인)의 취약점이 노출되어 추가적인 공격이나 조롱에 더 취약해진다고 생각합니다. 그러나 이러한 ‘모호성에 의한 보안’이라는 사고방식은 시대에 뒤떨어질 뿐만 아니라, 특히 비밀번호 및 기타 지식 기반 인증정보에 대한 의존도를 낮추는 등 업계의 집단적 방어 능력을 강화하는 데 방해가 됩니다.
올해 들어 전 세계적으로 비밀번호 사용률이 %-7% 감소했지만, 여전히 비밀번호는 가장 많이 사용되는 온라인 인증 수단으로 큰 문제가 되고 있습니다. 비밀번호는 매우 안전하지 않을 뿐만 아니라 소비자들에게 큰 골칫거리로 작용하고 있으며, 지난 한 달 동안 소비자의 59%가 온라인 서비스 접속을 포기하고 43%가 비밀번호를 요구받았을 때 구매를 포기한 것으로 나타났습니다. 데이터 유출의 82% 이상이 취약하거나 도난당한 로그인 자격 증명으로 인해 발생합니다.
멀티팩터 인증(MFA)의 장점은 널리 알려졌지만 많은 기업이 도입 수치를 공유하는 데 소극적이었습니다.
이는 수치가 좋지 않았기 때문일 수 있습니다. 트위터는 지난 여름 2단계 인증 도입 현황을 공개했는데, 2단계 인증을 활성화한 계정은 전체의 2.3%에 불과한 것으로 나타났습니다. 이 중 80%는 가장 보안이 취약한 모드인 SMS 기반 백업에 의존하고 있었습니다. 이 사실을 알린다고 해서 트위터의 보안이 약해지지는 않습니다. 대신, 개선의 강력한 기준을 제시하고 더 많은 고객이 MFA를 사용하도록 하기 위해 업계가 해야 할 일이 많이 남아 있다는 현실을 확인시켜 줍니다.
박수를 보내야 할 다른 조직으로는 Cloudflare와 Twilio가 있습니다. 이 두 클라우드 컴퓨팅 대기업은 최근 거의 동일한 피싱 공격의 표적이 되었다고 보고했습니다. 직원들은 IT 부서로 추정되는 곳에서 보낸 문자 메시지를 통해 비밀번호 변경을 요청하는 가짜 웹사이트로 연결되는 공격의 표적이 되었습니다. Twilio와 Cloudflare의 모니터링 시스템 모두 공격을 감지하지 못했으며, 예상대로 일부 직원이 방심하고 자격 증명을 공유했습니다.
Twilio는 수십 개의 다른 회사와 함께 공격의 희생양이 되었지만, Cloudflare의 직원들은 사용자와 연결된 FIDO(Fast ID Online) 보안 키를 사용하기 때문에 보호받을 수 있었습니다. 또한 오리진 바인딩은 자격 증명이 공유되는 것을 방지했습니다. 사고 이후 Twilio는 업데이트된 사고 보고서에서 공유한 바와 같이 Cloudflare의 지침을 따랐습니다. 이는 성공과 실패를 함께 공유하면 전체적으로 두 가지를 얻을 수 있다는 것을 보여주는 좋은 예입니다.
FIDO 얼라이언스에서는 이 문제를 해결하기 위해 세계 유수의 기술 기업 및 소비자 서비스 제공업체와 협력하고 있습니다. 우리는 함께 미국의 사이버 보안 기관인 CISA와 영국의 국가사이버보안센터 등 각국 정부에서 ‘표준’으로 삼고 있는 기술을 개발했습니다.
사이버 공격을 가장 효과적으로 방어하기 위해 조직은 트윌리오와 클라우드플레어의 사례에서 영감을 얻어 피싱에 강한 보안 프로토콜을 구축해야 합니다. 이러한 프로토콜은 종종 USB 키 또는 디바이스에 내장된 생체 인증으로 구현되며, 조직의 자체 네트워크와 정보, 서비스에 액세스하는 고객 모두를 위한 중요한 보안 계층으로 추가할 수 있습니다.
물론 새로운 기술을 개발하고 구현하는 FIDO 얼라이언스에서 하는 일은 비밀번호와 기타 취약한 형태의 레거시 인증에서 벗어나기 위한 중요한 부분이지만, 가장 중요한 부분은 아닙니다. 아키텍처 모범 사례를 바탕으로 직관적이고 일반적인 사용자 여정을 만들기 위한 업계 전반의 노력이 뒷받침되어야만 일상에서 비밀번호를 없애기 위해 필요한 문화적 변화와 이 기술의 대중적 채택이 가능해질 것입니다.
협업과 투명성은 원격 공격을 실행하는 데 훨씬 더 어려움을 겪는 해커를 포함하여 모든 관련자의 기준을 높이는 핵심 요소입니다.