제미니는 타일러와 카메론 윙클보스가 2014년에 설립한 암호화폐 거래소이자 수탁업체입니다. 제미니는 사용자가 웹사이트와 모바일 앱을 통해 암호화폐 자산을 구매, 판매, 보관할 수 있도록 지원합니다.
도전 과제/사용 사례
범죄자들의 표적이 될 가능성이 높은 분야의 금융 서비스 공급업체는 강력한 인증이 무엇보다 중요합니다.
Gemini의 보안 노력은 보안 업계에 익숙하고 보안 사고 대응 회사인 Mandiant에서 근무한 경험이 있는 최고 보안 책임자 Dave Damato가 이끌고 있습니다.
“제 경력의 대부분은 사고를 예방하고 대응하는 데 집중해 왔으며, 강력한 2단계 인증은 이러한 공격의 대부분을 막는 핵심 요소입니다.”라고 다마토는 Authenticate 금융 서비스 서밋의 한 세션에서 말했습니다. “이것이 바로 제가 FIDO에 열광하는 이유이기도 합니다.”
Gemini가 FIDO를 사용하여 사용자를 보호하는 방법
Gemini는 사용자에게 가장 강력한 수준의 보안 인증을 제공하여 위험을 최소화하고자 했습니다.
SMS 기반 2단계 인증 방식을 사용하는 것이 사용자 이름과 비밀번호를 사용하는 것보다 나을 수 있지만, 제미니 계정의 높은 가치를 고려할 때 공격자는 SMS 2단계 인증을 우회하는 데 필요한 단계를 거칠 수 있습니다. 2019년부터 Gemini는 고객에게 가능한 최고 수준의 보안을 제공하기 시작했으며, 이를 위해 FIDO2 인증 표준을 지원하기 시작했습니다.
다마토는 “FIDO2는 이러한 문제를 극복하고 공격자의 비용을 획기적으로 증가시키도록 설계되었습니다.”라고 말합니다. “고객들이 공유할 수 있는 비밀번호가 없기 때문에 FIDO2는 피싱에 강합니다.”
혜택
Gemini의 경우 FIDO2를 사용하면 공격 표면을 줄이는 데 도움이 되는 일련의 가시적인 위험 완화 이점을 누릴 수 있습니다. Gemini 사용자는 일회용 비밀번호(OTP), SMS 또는 백업 코드에 의존할 필요 없이 보다 사용자 친화적인 FIDO2 기반 환경의 이점을 누릴 수 있습니다.
가장 일반적인 공격 유형 중 하나는 크리덴셜 스터핑으로, 공격자가 한 사이트에서 분실하거나 도난당한 비밀번호를 다른 사이트에서 재사용하거나 ‘스터핑’하는 것입니다. FIDO를 사용하면 쌍둥이자리에서 이러한 위험을 최소화할 수 있습니다. FIDO 강력한 인증은 공유된 비밀이 아닌 암호화를 기반으로 하므로 사용자가 비밀번호를 재사용하더라도 FIDO를 배포하면 위험을 크게 최소화할 수 있습니다.
다마토는 “회사 입장에서는 자격 증명을 저장하거나 관리할 필요가 없고, 자격 증명이 도난당하는 다른 침해 사고에 대해 걱정할 필요가 없다는 점이 가장 큰 장점입니다.”라고 말합니다.
