Andrew Shikiar, FIDO Alliance 전무 이사 겸 CMO
아마존, 애플, 구글, 마이크로소프트, IBM의 리더들은 지난주 백악관에서 조 바이든 대통령과 만나 정부와 민간 부문이 함께 국가의 사이버 보안을 개선할 수 있는 전략에 대해 논의했다.
회의 후 Amazon은 자격을 갖춘 AWS 고객에게 무료 FIDO 보안 키에 대한 액세스 권한을 제공할 것이라고 발표했습니다. 이렇게 하면 AWS에서 실행되는 급증하는 비즈니스 수를 보호할 수 있을 뿐만 아니라 다른 많은 비즈니스(예: G Suite, Github, Dropbox, Stripe) 및 소비자(Facebook, Twitter, Coinbase, Bank of America) 서비스에서 이러한 키를 사용할 수 있으므로 더 나은 인증 관행을 도입하는 데 도움이 됩니다.
Amazon은 수년 동안 FIDO Alliance의 주요 이해 관계자였으며 그들의 리더십이 시장 전체로 확장되는 것을 보는 것은 멋진 일입니다. 더 많은 기업이 클라우드로 이동함에 따라 클라우드 서비스 제공업체가 이 중요한 인프라를 보호하기 위해 이를 따르는 것이 절대적으로 중요합니다. 위협과 공격자는 점점 더 정교해지고 있으며 그 영향은 사소하지 않습니다. 수억 개의 개인 기록이 다크 웹에서 놀라울 정도로 정기적으로 도난당하고 재판매되고 있습니다. 이는 우리 경제, 국가 안보, 사회에 대한 명백하고 현존하는 위협입니다.
지난 5년 동안 자격 증명 도난과 관련이 없는 침해를 꼽기는 어렵습니다.
콜로니얼 파이프라인(Colonial Pipeline)에서 수행된 가장 최근의 주요 공격은 훔친 비밀번호 하나를 사용하여 미국 동부 해안을 근본적으로 마비시켰습니다.
모든 기업은 이러한 위협으로부터 직원과 고객을 교육하고 보호하기 위한 조치를 취하는 것이 중요합니다. “전통적인” 다단계 인증 수단(예: OTP)은 회사나 조직을 재정적으로 무력화시킬 수 있는 이러한 공격으로부터 보호하는 데 적합하지 않습니다.
궁극적으로, 콜로니얼 파이프라인(Colonial Pipeline)과 같은 자격 증명 기반 침해는 FIDO 인증으로 계정을 보호하는 경우 불가능하며, 이 인증은 네트워크를 통해 전달되는 지식 기반 인증 자격 증명이 없는 장치를 로컬에서 소유해야 합니다.
FIDO Alliance는 창립 이래 먼 길을 걸어왔습니다. 화이트보드 개념으로 시작한 것이 웹 DNA의 일부가 되는 기술로 발전했습니다. 이제 거의 모든 플랫폼과 기기에서 FIDO 인증을 지원할 수 있으며, 공개 SDK 및 도구뿐만 아니라 기업이 사이트 및 앱에 FIDO를 구현하는 데 도움이 될 수 있는 FIDO 인증 공급업체 제품 및 서비스의 풍부한 에코시스템이 있습니다.
무료 FIDO 보안 키를 제공하려는 Amazon의 움직임은 강력하고 중요한 본보기가 됩니다. 다른 모든 클라우드 서비스 제공업체는 최소한 네트워크에 대한 관리자 액세스를 위해 FIDO 인증자를 사용하도록 설정하여 후속 조치를 시급히 고려할 것을 권장합니다.
