팀 FIDO 얼라이언스
2월 5일에 열린 ‘신원, 인증 및 앞으로의 길: 가상 정책 포럼(Identity, Authentication and the Road Ahead: Virtual Policy Forum)’ 행사의 둘째 날이자 마지막 날에는 정부 관료, 기술 전문가 및 정책 지지자들이 한자리에 모여 꽉 찬 의제를 가졌습니다.
이틀 동안 진행된 이 행사에는 FIDO Alliance가 Better Identity Coalition 및 ID Theft Resource Center(ITRC)와 함께 주최했으며 1,000명 이상의 등록 참석자가 참석했습니다. 행사 첫날 에는 정부와 업계가 개인과 기업을 모두 보호하고 서비스를 제공하기 위해 신원과 강력한 인증 시스템을 보다 널리 보급해야 할 필요성을 설명하는 세션이 진행되었습니다. 이와는 대조적으로 둘째 날에는 강력한 인증의 필요성에 중점을 두었으며 FIDO 인증이 2020년 미국 선거를 보호하는 데 어떻게 도움이 될 수 있었는지 설명하는 전문가 패널이 강조했습니다.
이날 행사는 안전한 디지털 신원의 필요성을 강조한 존 캣코 하원의원(공화당-뉴욕)의 기조연설로 시작되었습니다.
“우리의 국토 안보, 국가 안보, 경제 안보 및 생활 방식은 고도로 정교한 적들에 의해 전례 없는 방식으로 위협받고 있으며 단순히 경계하는 것만으로는 더 이상 충분하지 않습니다.” “오늘날의 위협 환경은 흔들리지 않는 복원력을 요구합니다. 이는 디지털 ID의 신성함과 복원력을 보장하기 위해 특히 그렇습니다.”
FIDO가 2020년 선거를 안전하게 치르는 데 도움을 준 방법
2016년 선거 기간 동안 해커가 민주당 직원들의 이메일 계정, 특히 클린턴 선거 위원장 존 포데스타(John Podesta)의 Gmail 계정에 침투했을 때 디지털 ID와 강력한 인증의 복원력에 의문이 제기되었습니다.
2020년 선거 주기 동안 동일한 유형의 사건이 다시 발생하지 않았는데, 이는 부분적으로 FIDO 표준과 민주당과 공화당 관계자 모두가 강력한 인증에 액세스할 수 있도록 하기 위한 공동의 노력 덕분입니다. Defending Digital Campaigns의 사장 겸 CEO인 마이클 카이저(Michael Kaiser, 사진 )는 이 행사에서 자신의 조직이 스스로를 방어할 수 있는 적절한 사이버 보안 리소스를 갖추지 못한 정치 캠페인의 문제를 해결하는 데 도움을 주기 위해 만들어졌다고 설명했습니다. 기업이 캠페인에 직접 기부할 수 없기 때문에 Defending Digital Campaigns는 정치 캠페인이 FIDO 기반의 강력한 인증 리소스를 포함한 사이버 보안 서비스를 무료 또는 저렴한 비용으로 얻을 수 있도록 하는 중개자 역할을 하기 위해 설립되었습니다.
Kaiser는 정치 캠페인은 수명이 짧고 보안 성숙도 모델에 대한 장기적인 생각이 없다는 점에서 일반적인 조직과 다르다고 설명했습니다. 그럼에도 불구하고 정치 캠페인은 믿을 수 없을 정도로 가치 있고 중요한 정보에 기반하고 있기 때문에 보호되어야 합니다.
Kaiser는 “2020년 주기에 정치 부문에서 10,000개 이상의 보안 키를 제공했다고 생각합니다. “183개의 캠페인에 100만 달러 이상의 제품을 제공했기 때문에 많은 사람과 많은 계정이 있었습니다.”
민주당 전국위원회(DNC)의 최고 보안 책임자인 밥 로드 (Bob Lord, 사진 )는 2016년 선거 이후 보안이 분명히 현미경 아래에 있었다고 언급했다.
로드는 “보안은 정말 어려운 문제이고 모두가 보안의 중요성을 잘 알고 있지만, 달러 수치가 오히려 방해가 될 수 있다”고 말했다. “보안 키와 같은 정보를 얻을 수 있는 신뢰할 수 있는 출처가 있는지 확인하는 것이 앞으로 나아가는 데 정말 중요한 역할을 했습니다.”
DNC 내에서, 그리고 캠페인 전반에 걸쳐 Lord와 그의 팀은 강력한 인증 기능을 제공하고 잠재적인 피싱 공격의 위험을 제한하기 위해 FIDO 기반 보안 키 사용을 엄격하게 구현했습니다.
로드는 “현재 DNC에서 이메일과 문서에 액세스해야 하는 100%의 사람들이 모두 보안 키를 사용하고 있다”며 “예외나 이를 거부할 수 있는 임원 권한도 없다”고 말했다.
DNC는 또한 기본 Gmail 계정에서 사용할 수 있는 것 이상의 추가 수준의 보호와 보증을 제공하는 Google의 고급 보호 프로그램(APP)의 이점을 누렸습니다.
“우리는 FIDO 보안 키와 APP의 결합에 대한 열렬한 지지자이자 진정한 신봉자입니다”라고 Lord는 말했습니다.
DNC가 FIDO를 신뢰하는 이유
Lord는 자신이 FIDO 표준을 열렬히 지지하는 데에는 여러 가지 이유가 있다고 언급했습니다. 하나는 FIDO 표준이 Google Chrome 브라우저에 내장되어 있다는 사실입니다. Lord는 DNC가 캠페인에 Chromebook 사용을 장려하고 있으며 통합된 FIDO 기능을 통해 강력한 인증을 더 쉽게 배포할 수 있다고 설명했습니다.
시장에는 여러 유형의 이중 인증이 있지만 Lord에게는 실제로 두 가지 범주만 있습니다.
“소비자 공간에서 사용할 수 있는 다단계 요소에는 두 가지 종류가 있다고 생각합니다 – FIDO 보안 키가 있고 다른 모든 것이 있다고 생각합니다”라고 Lord는 단호하게 말했습니다. “내가 다른 모든 것을 언급할 때, 나는 다른 다중 요인 시스템을 레거시라고 부르며, 사람들이 이것이 억제되고, 최소화되고, 결국 제거되어야 할 것이라는 멘탈 모델을 얻기를 원하기 때문에 그렇게 합니다.”
Lord는 다른 다단계 접근 방식이 다단계 접근 방식을 전혀 사용하지 않는 것보다는 낫지만 약점을 드러냈다는 것을 관찰했으며, 이것이 바로 업계로서 사람들이 FIDO의 강력한 인증 채택의 길로 나아가도록 매우 공격적으로 밀어붙이는 것이 중요한 이유라고 생각합니다.
Lord는 보안 키를 사용한 FIDO 기반의 강력한 인증 채택을 지지하지만, 그의 팀이 해결해야 할 몇 가지 사용성 문제와 사용자를 교육하고 온보딩하는 데 필요한 교육이 있다고 언급했습니다. DNC의 노력에서 얻은 교훈은 이제 https://democrats.org/security/ 의 Lord’s 팀에 의해 공개적으로 공유되고 있습니다.
그는 “이는 초당파적인 것이기 때문에 이러한 모범 사례에 대해 빨간색이나 파란색은 없지만 보안 키와 특히 APP에 대해 매우 강력하게 추진하고 있음을 알 수 있습니다”라고 말했습니다.
구글의 보안 및 아이덴티티 담당 수석 이사인 마크 리셔(Mark Risher, 사진 )는 패널 토론에서 일반적으로 두 번째 요소를 추가해도 사용자가 피싱 공격의 피해자가 될 가능성이 객관적으로 줄어든다고 강조했다. 즉, 공격자의 경우 암호를 피싱하거나 암호와 OTP(일회용 암호) PIN 코드를 피싱하는 것은 기본적으로 공격자에게 기본적으로 한 줄의 코드만 더 있으면 된다고 언급했습니다.
“국가의 자금 지원이 필요하지 않습니다”라고 Rischer는 피싱 공격에 대해 OTP를 우회할 수 있는 능력에 대해 말했습니다. “따라서 우리는 전 세계가 이러한 차이점을 이해하도록 해야 하며, 훨씬 더 엄격한 하드웨어 기반의 강력한 인증 기술 및 표준으로 전환하여 요구하기 시작해야 합니다.”
FIDO가 디지털 트랜스포메이션을 실현하기 위해 나아가는 방법
이날 오후 기조연설은 FIDO 얼라이언스 전무이사 앤드류 시키어(Andrew Shikiar, 사진 )가 맡았다. Shikiar는 암호 없는 인증이 디지털 트랜스포메이션의 중요한 초석이라고 언급했습니다.
Shikiar는 “팬데믹으로 인해 모든 것이 가속화되면서 디지털 트랜스포메이션의 보안 및 인증 측면이 전면에 등장했습니다.
Shikiar는 피싱이 계속 성공하면서 2020년에 소셜 엔지니어링이 일종의 르네상스를 맞았다고 언급했습니다.
“간단히 말해서, 이 악순환을 끊을 수 있는 유일한 방법은 서버 측 자격 증명과 암호에 대한 의존도를 없애는 것”이라고 Shikiar는 말했습니다. “서버에 있는 모든 것은 도난당할 수 있고 결국 도난당할 것이므로 피싱, 수집 및 재생이 쉽습니다.”
더 강력한 인증을 만들어야 할 필요성이 FIDO가 탄생한 이유입니다. Shikiar는 FIDO Alliance의 사명이 공개 키 암호화 및 비대칭 공개 키 암호화를 사용하여 더 간단하고 강력한 인증을 위한 개방형 표준을 만드는 것이라고 설명했으며, 이는 일반 소비자가 그 의미를 아는 것은 고사하고 발음할 필요도 없는 것입니다.
Shikiar는 또한 Apple이 그룹에 합류하는 것을 포함하여 2020년 FIDO Alliance의 하이라이트 중 일부를 설명했습니다. 그는 애플의 합류가 업계에 강력한 신호로 작용했으며, 이는 모든 사람들이 FIDO 얼라이언스를 중심으로 모여 표준 기반, 사용자 친화적, 강력한 인증을 위해 협력하고 있다는 강력한 신호라고 덧붙였다. FIDO의 2020년 또 다른 주요 하이라이트는 인증자에 대한 다양한 전송 메커니즘을 사용하는 운영 체제 및 브라우저 조합 전반에 걸친 지원 수준이었습니다.
“40억 개 이상의 장치가 FIDO 인증을 지원할 수 있습니다”라고 Shikiar는 말했습니다. “간단히 말해서, 우리는 FIDO가 웹 자체의 DNA의 일부가 되고 있다고 생각하며, 이는 매우 대담한 일입니다.”
“요약하자면, FIDO는 사용자 인증의 현재이자 미래입니다.”
ID 인증 문제로서의 Solarwind #Solorigate 공격
정책 포럼 둘째 날 내내 반향을 일으킨 핵심 주제는 일반적으로 Solorigate라고도 불리는 최근 Solarwinds 공격의 영향이었습니다.
ITI의 정책 담당 수석 부사장 겸 선임 고문인 존 밀러(John Miller)는 바이든 행정부가 아이덴티티와 관련하여 고려해야 할 정책에 대한 토론회에서 솔라윈즈 공격은 소프트웨어 공급망 공격으로 정확하게 설명되었지만 실제로는 아이덴티티 공격으로 상당히 특징지어진다고 언급했습니다.
밀러는 “솔라윈즈를 아이덴티티 공격으로 규정하는 것은 정책 입안자들에게 아이덴티티가 소비자로서 우리가 온라인에서 하는 일뿐만 아니라 기업 환경에도 얼마나 중요한지를 상기시킬 수 있는 기회를 제공한다”고 말했다.
행사의 마지막 기조 연설에서 Microsoft의 ID 보안 파트너 이사인 Alex Weinert( 사진 )는 Solorigate 사건의 배후에 있는 유혈이 낭자한 인증 및 ID 세부 정보와 제로 트러스트 원칙이 많은 위험을 완화하는 데 도움이 되는 이유를 설명했습니다.
와이너트는 솔로리게이트 공격이 신뢰에 대한 근본적인 공격이라고 지적했다. 그는 또한 공격에서 인증이 수행한 분명한 역할과 강력한 인증으로 전환해야 할 필요성을 강조했습니다.
와이너트는 “명시적으로 검증 가능한 자격 증명을 장려하기 위해 우리가 무엇을 하고 있는지, 우리 모두는 암호가 쓰레기라는 것을 알고 있으며, 암호가 믿을 수 없을 정도로 취약하다는 것을 알고 있다”고 말했다. “우리는 암호의 종말을 위해 노력하기 위해 업계로서 충분히 하고 있는가?”
오늘(2월 5일) 세션은 녹화되었으며 곧 제공될 예정입니다.
