연방 기관은 향후 180일 이내에 다단계 인증을 구현해야 하는 새로운 행정 명령을 준수하기 위해 FIDO를 선택해야 합니다.
작성자: Andrew Shikiar, FIDO Alliance 전무 이사 겸 최고 마케팅 책임자
최근 공격으로 인해 미국의 주요 인프라 자산이 취약한 부분이 드러난 가운데, 바이든 대통령은 수요일 미국의 사이버 보안을 강화하기 위한 새로운 행정명령에 서명했다.
최근 몇 달 동안 미국의 주요 인프라에 대한 세간의 이목을 끄는 공격이 여러 건 발생했으며, 그 중에는 정부의 상당 부분을 잠재적 위험에 노출시킨 솔라윈즈(Solarwinds) 공급망 공격도 포함되어 있습니다. 최근 가장 주목받는 것은 콜로니얼 파이프라인(Colonial Pipeline)에 대한 랜섬웨어 공격으로, 이는 미국 전역의 정제유 흐름에 큰 영향을 미쳤습니다. 이러한 공격은 미국 내 중요 인프라의 취약성을 노출시켰으며, 바이든 행정부는 위험을 최소화하거나 제거하는 연방 지침을 발표하고 있습니다.
행정 명령의 핵심 부분은 기관이 저장 및 전송 중인 데이터에 대해 가능한 최대 범위까지 다단계 인증(MFA) 및 암호화를 채택해야 한다는 요구 사항입니다. 연방 민간 지부 기관은 180일 이내에 행정 명령을 준수해야 하며 채택이 완료될 때까지 60일마다 진행 상황을 보고해야 합니다. 어떤 이유로든 기관이 180일 이내에 MFA 및 암호화를 완전히 채택할 수 없는 경우 CISA 국장, OMB 국장 및 APNSA를 통해 기한을 지키지 못한 이유를 국토안보부 장관에게 보고해야 합니다.
FIDO 얼라이언스는 바이든 행정부의 오늘 지침을 환영하며 다단계 인증의 중요성에 초점을 맞춘 바이든 행정부에 박수를 보냅니다. 이 행정 명령에서 주목할 만한 점은 백악관이 MFA를 15년 이상 기관이 의존해 온 PIV/PKI 플랫폼으로 제한하는 대신 모든 곳에서 MFA를 우선시하고 있다는 것입니다. 오늘의 행정 명령은 특정 기술을 의무화하지 않고 MFA로 모든 계정을 보호하는 것이 최우선 과제임을 분명히 했다는 점에서 중요한 진전을 의미합니다. 가장 취약한 형태의 MFA가 암호가 공격 벡터인 일부 공격을 여전히 차단할 수 있다는 것을 알고 있기 때문에 이는 주목할 만한 변화입니다. 또한 FIDO 인증은 피싱 공격으로부터 보호해야 하는 애플리케이션을 위한 PIV에 대한 유일한 표준 기반 대안이라는 것을 알고 있습니다. 이 행정 명령은 기관이 FIDO 인증을 배포할 수 있는 문을 열어주는데, 이는 기관이 하고 싶었지만 PIV가 아닌 인증의 사용이 허용되지 않았기 때문에 보류해 왔던 것입니다.
미국 정부가 MFA와 강력한 암호화의 사용을 옹호한 것은 이번이 처음이 아닙니다. CISA가 2020년 9월에 발표한 선거 보안에 대한 권고 에서 정부 기관은 사이버 스파이 사건의 대부분이 피싱에 의해 발생하며 FIDO 보안 키는 피싱 공격으로부터 100% 보호하는 유일한 MFA 형태라고 언급했습니다.
실제로 미국 정부는 FIDO를 통한 강력한 인증 사용을 옹호해 왔을 뿐만 아니라 실제로 적어도 2018년부터 login.gov 포털에서 이를 구현하고 있습니다. login.gov 통해 미국 정부는 이미 시민과 기관이 연방 자원에 안전하게 액세스할 수 있도록 안전한 접근 방식을 제공하고 있습니다. 2019년 6월, FIDO Alliance는 login.gov 에 대한 배포 사례 연구를 자세히 설명하는 웨비나를 주최했으며, 이는 기관이 향후 180일 이내에 강력한 인증을 채택해야 하는 필요성으로 인해 더욱 시의적절합니다.
FIDO Alliance는 창립 이래 금융 서비스, 전자 상거래 및 정부를 포함한 모든 산업 분야의 기술 및 소비자 서비스 제공업체뿐만 아니라 모든 주요 운영 체제 공급업체를 포함한 업계 파트너를 한데 모으고 있습니다. 이러한 모든 다양한 그룹은 강력한 인증을 표준화하기 위해 공통의 목적으로 협력해 왔습니다. 오늘날 전 세계 수십억 개의 장치가 FIDO 인증을 지원할 수 있으며 강력한 인증의 미래를 보장하는 데 역할을 할 준비가 되어 있습니다. 대부분의 주요 클라우드 제공업체, 디바이스 제조업체 및 브라우저 공급업체가 모두 FIDO를 지원한다는 사실은 기관이 “고정”해야 하는 다른 제품 대신 내장된 MFA를 쉽게 활용할 수 있음을 의미합니다.
최근 잇따른 공격이 다시 한 번 우리에게 일깨워준 것이 있다면, 민간 부문과 공공 부문은 중요한 인프라를 보호하기 위해 강력한 보안 조치가 필요하다는 것이며, FIDO Alliance는 이것이 인증에서 시작된다고 믿습니다.
우리는 정부 기관이 이 지침을 준수할 때 가장 강력한 형태의 MFA만 채택할 것을 촉구합니다. FIDO 얼라이언스와 그 회원들은 위험을 줄이고 미국 정부의 사이버 보안 태세를 개선하는 데 도움이 되는 강력한 인증을 구현하기 위한 교육, 리소스 및 도구를 통해 기관을 지원하고 지원할 준비가 되어 있습니다.
