Brett McDowell, FIDO Alliance 전무 이사
2,100만 명의 사용자에게 영향을 미친 Timehop 데이터 유출은 특히 유럽에서 시행되고 있는 새로운 GDPR 및 PSD2 요구 사항에 비추어 볼 때 나머지 온라인 서비스 업계에 교훈을 주는 순간을 제공합니다.
Timehop은 “클라우드 컴퓨팅 환경에 대한 액세스 자격 증명이 손상되었기 때문에 침해가 발생했다”고 설명했으며, 다시는 이런 일이 발생하지 않을 것이라고 고객을 안심시키기 위한 명백한 노력의 일환으로 “이제 모든 계정에 대한 권한 부여 및 액세스 제어를 보호하기 위해 다단계 인증을 포함하는 조치를 취했습니다”라고 덧붙였습니다.
지금까지 이것은 모두 너무 흔한 데이터 유출 알림에 대한 표준입니다. 그러나 내 눈길을 끈 것은 사용자의 소셜 미디어 게시물과 사진이 유출되지 않았음을 굵은 글씨로 강조하면서 손실된 데이터에는 “이름, 이메일 주소 및 일부 전화번호”가 포함되었음을 명확히 한 것입니다. 이 사건에서 몇 가지 중요한 교훈을 얻을 수 있는데, 온라인 서비스 보안 팀과 예산을 담당하는 경영진이 주목하기를 바랍니다.
첫째, 다단계 인증(MFA)에 투자하기 전에 침해를 기다려야 하는 이유는 무엇입니까? 업계 데이터는 서비스 제공업체가 사용자를 보호하도록 요구합니다. 업계에서는 작년에 데이터 침해가 전년 대비 45% 증가했을 뿐만 아니라 이러한 사고의 80% 이상이 비밀번호 유출의 결과라는 것을 알고 있습니다. 암호 피싱과 같은 저렴한 원격 공격은 점점 더 침해의 초기 단계가 되고 있습니다. 위험은 나날이 증가하고 있습니다. MFA에 대한 투자는 불가피합니다. 기업의 비용을 낮추는 유일한 방법은 침해를 당하기 전에 투자를 하는 것입니다.
둘째, 유럽 고객의 개인 정보가 있는 경우 현재 완전히 시행되고 있는 일반 데이터 보호 규정을 통해 데이터 보호에 대한 더 높은 표준이 이미 적용되고 있습니다 (GDPR)을 참조하십시오. 즉, 한때 소셜 미디어 게시물, 개인 사진 또는 재무 데이터보다 덜 중요하다고 여겨졌던 것이 이제는 데이터 침해 사고가 발생하기 전에 위험 적절한 조치를 취했음을 규제 기관에 입증할 수 없는 경우 매우 중요합니다. 유럽에서 결제를 처리하고 비즈니스를 수행하는 경우 PSD2는 해당 거래에 대해 보안 고객 인증을 제공해야 하며, 이를 위해서는 세 가지 인증 요소, 즉 사용자가 알고 있는 것(예: 암호), 본인 신분(예: 생체 인식) 및/또는 가지고 있는 것(예: 신뢰할 수 있는 장치의 암호화 서명) 중 최소 두 가지가 명시적으로 필요합니다.
옵션을 고려할 때 GDPR에는 생체 인식 데이터 수집 및 처리에 대한 특별한 요구 사항도 있다는 점에 유의해야 합니다. 선택한 사용자 경험인 경우 내장된 온디바이스 생체 인식 일치를 사용하여 많은 추가 비용과 책임을 절약할 수 있습니다.
마지막으로, 업계가 바로 이 목적을 위해 미래 지향적인 개방형 표준을 제공했을 때 어제의 MFA에 투자하는 데 예산을 낭비하지 마십시오. 너무나 많은 전문가들이 여전히 MFA가 암호와 SMS로 전달되는 일회용 암호를 의미한다고 생각합니다. 이 두 솔루션 모두 “공유 비밀”로, 본질적으로 저렴한 피싱 스타일 공격에 취약하며, 이러한 공격이 증가하고 있으며 매우 효과적이라는 것을 알고 있습니다.
이 사실은 작년에 분석 회사인 Javelin 이 강력한 인증 상태에 대한 연구를 발표하면서 더욱 명확해졌습니다 “고수준 보안 보장 강력한 인증”을 MFA의 새로운 범주로 인정했습니다. Javelin은 미국 국립 표준 기술 연구소(National Institute of Standards and Technology)의 업데이트된 지침을 인용하여 인증 보증에 대한 최고 점수를 획득하기 위해 요소 중 하나가 암호화 소유 증명이 되어야 한다고 말했습니다.
FIDO Alliance는 W3C와 함께 개방형 산업 표준을 개발했습니다 Windows 10, Android, 세계에서 가장 인기 있는 웹 브라우저, iOS SDK 및 다양한 하드웨어 보안 키에 이미 기본 제공되고 있는 강력한 보안 보장 인증을 지원합니다. 이러한 기본 기능이 대부분의 새로운 디바이스에 표준으로 제공됨에 따라 FIDO는 MFA 기능에 투자하려는 기업을 위한 최고의 선택이 되었습니다. 데이터 침해로 인한 상업 및 규제 비용으로부터 최고 수준의 보호를 제공하는 유일한 선택입니다. 표준 기반, 공급업체에 구애받지 않으며 미래 지향적입니다. 또한 입력 암호를 버튼을 쉽게 터치하거나 센서를 한 눈에 보는 것으로 대체하여 동급 최고의 사용자 경험과 호환됩니다. 이것이 바로 Google, Facebook, Microsoft, PayPal, eBay, T-Mobile, ING, Mastercard, Intuit 등과 같은 주요 서비스 제공업체가 증가하는 데이터 침해 비용으로부터 비즈니스를 보호하기 위해 FIDO 인증에 투자한 이유입니다.
