작성자: Brett McDowell, FIDO Alliance 전무 이사
수천 명의 사람들이 세금 사기로 인해 수백만 달러와 개인 정보를 잃었 으며 미국 GAO(Government Accountability Office)는 이제 FIDO 인증을 지원 방법으로 지적하고 있습니다.
범죄자들이 세금 사기를 위해 정보를 수집하는 가장 일반적인 방법 중 하나는 피싱 및 소셜 엔지니어링 공격입니다 – 시민을 속여 비밀번호 및 주민등록번호와 같은 개인 정보를 넘겨주는 것을 목표로 하는 이메일 및 전화 통화. 이러한 공격은 멈출 기미가 보이지 않습니다. 이 IRS는 “사기꾼들이 세금 신고 기간 동안 납세자를 괴롭히기 위해 노력함에 따라 새롭고 진화하는 피싱 수법이 꾸준히 맹공격을 받고 있다”고 보고합니다.
납세자 사기의 지속을 감안하여 GAO는 “신분 도용: IRS는 납세자 인증 노력을 강화해야 합니다 “라는 공개 보고서를 발행하여 IRS가 인증 방법을 강화하는 동시에 향후 납세자에 대한 서비스를 개선하기 위해 무엇을 할 수 있는지 결정했습니다.
FIDO 인증은 GAO가 IRS에 고려할 것을 권장하는 인증 옵션 중 하나입니다. 이 보고서에 따르면 FIDO 표준을 사용하는 솔루션과 같은 소유 기반 인증은 사용자에게 “단일 요소 인증을 위해 사용자 이름과 비밀번호에 의존하는 웹 사이트 또는 시스템에 액세스하기 위한 두 번째 요소로 사용될 때 편리하고 추가된 보안 계층”을 제공합니다. 다시 말해, 시민들이 FIDO 지원 장치를 사용하여 IRS 서비스에 로그인할 수 있도록 허용하면 편의성에 영향을 주지 않으면서 추가적인 보호를 받을 수 있습니다.
또한 FIDO 인증은 최고 수준의 보증에서 안전한 디지털 인증에 대한 NIST(National Institute of Standards and Technology)의 새로운 지침을 충족하며, GAO는 IRS가 이를 우선 순위로 구현할 것을 권장합니다.
정부 기관이 FIDO 인증을 채택하도록 촉구한 것은 이번이 처음이 아닙니다. 작년 Ron Wyden 상원의원(민주당, 오리건)은 사회보장국(SSA)에 서한을 보내 FIDO 보안 키가 “모든 피싱에 강”하기 때문에 지원해 줄 것을 요청했습니다.
FIDO 인증은 피싱 및 소셜 엔지니어링 공격에 대해 작동하는 것으로 입증되었습니다. 2017년 초부터 Google의 85,000+명의 직원 중 누구도 피싱을 당하지 않았습니다. 회사가 모든 직원에게 FIDO 기반 보안 키를 사용하도록 요구하기 시작했을 때. IRS가 GAO 권고 사항을 따르고 사용자가 FIDO 인증으로 로그인할 수 있도록 하면 피싱 관련 세금 사기가 크게 줄어들어 시민과 정부의 비용, 시간 및 번거로움을 줄일 수 있습니다.