진보한 패스워드리스 기술로 사용 편의성·보안성 강화
[데이터넷] 연말이 다가오자 피싱 주의보가 울렸다. 연말에는 다양한 공연·엔터테인먼트 행사, 대규모 할인 이벤트, 휴가·여행 등의 내용으로 위장한 피싱 공격이 급증한다. 피싱은 개인뿐만 아니라 기업에게도 큰 피해를 입히는데, 공격자가 직원을 감염시키거나 피싱으로 계정을 탈취해 중요 시스템으로 잠입하는 수단으로 사용하기도 한다. 신입사원이 이러한 공격에 특히 취약한다. 공격자는 링크드인으로 이직이나 신규입사 상황을 파악하고, 출근하지 지 얼마되지 않아 회사 생태계를 잘 알지 못하는 사람을 상대로 회사의 관리직원, 임원, 파트너·협력업체 등으로 위장해 접근해 계정과 비밀번호를 탈취하는 수법이 많이 사용된다.
버라이즌의 ‘2022년 데이터 침해 조사 보고서’에 따르면 사회공학 기법을 이용한 데이터 침해의 60% 이상이 크리덴셜을 이용하는 것으로 나타났다. 안티피싱워킹그룹 조사에서는 올해 1분기 피싱 공격이 최고로 높은 수치를 기록했고, 금융·클라우드 서비스가 가장 집중적인 공격을 당한 것으로 보인다.
토드 맥키넌(Todd McKinnon) 옥타 CEO 겸 공동 창업자는 “광군제, 블랙프라이데이 등 연말을 맞아 진행되는 대규모 이벤트와 공연 등의 이슈를 이용하는 피싱 공격이 여전히 문제가 되고 있으며, 최근에는 링크드인 등 SNS에서 신뢰를 확보한 후 이를 교묘하게 이용하는 공격도 늘고 있다. 이러한 위협을 막기 위해 임직원에게 주의를 요구하는 것에 머물러서는 안된다. 공격자는 공격 대상 생태계의 가장 약한 부분을 노리기 때문”이라고 말했다.
패스워드리스로 보안·편의성 강화
옥타가 아시아 태평양 지역 기자를 대상으로 온라인으로 연 기자간담회에서 토드 맥키넌 CEO는 “지난 5년간 기업은 많은 변화를 겪어왔다. 기술이 널리 보급되고 재택·원격근무가 일반화되면서 기업은 더 많은 리스크를 감당해야 했다. 특히 중요한 침해의 어느 부분에서는 언제나 계정 침해가 발생하기 때문에 기업의 모든 환경에 걸쳐 아이덴티티를 보호해야 한다”며 “옥타의 플랫폼은 기업·기관이 아이덴티티를 보호하고 비즈니스를 개선하며, 리스크를 완화할 수 있다”고 설명했다.
옥타는 단일 플랫폼에서 아이덴티티와 관련된 기술을 제공하는 기업으로, 기업 임직원을 위한 ‘워크포스 아이덴티티 클라우드(WIC)’와 ‘고객 아이덴티티 클라우드(CIC)’의 두 제품으로 구성된다. 아이덴티티 관리, 접근·권한관리, 거버넌스, 규제지원 등의 기능이 포함돼 있으며, MFA, SSO, 비밀번호 관리·특권권한관리 등의 기술이 통합돼 있다.
옥타는 최근 열린 글로벌 컨퍼런스 ‘옥테인22(Oktane22)’에서 강화된 패스워드리스 기술을 선보이기도 했다. 패스워드리스는 비밀번호를 없앤 인증 방식으로, 가장 흔하게 사용되는 것은 MFA다. MFA는 사용자 휴대폰에 인증을 위임하는 방식이 가장 많이 사용되며, 스마트폰의 생체인식 기술로 본인인증을 한 후 이 인증정보로 필요한 서비스에 접근할 수 있게 한다.
MFA, 완벽하지 않아
사용자들이 사용하는 기기가 많아지고 업무용 앱이 증가하면서 MFA의 허점도 드러나기 시작했다. MFA가 설정되지 않은 휴면계정에 공격자가 임의로 MFA를 등록해 접근하거나, 스마트폰 등 인증매체를 분실했다며 관리조직에 재설정을 요청해 공격자가 MFA를 무단으로 바꿀 수 있다. 또 MFA는 구축과 운영이 복잡하며, 사용 편의성이 높으면서 강력한 보안이 유지될 수 있어야 한다는 과제도 있다.
옥타는 기업이 사용하는 계정을 모니터링 해 휴면계정을 삭제하도록 안내할 수 있고, 적응형 MFA로 비정상적인 MFA 변경 요청이나 평소와 다른 인증 시도, 민감한 애플리케이션에 보호되지 않은기기가 사용자 계정·권한으로 접근하는 이상정황을 파악해 제어할 수 있다.
맥키넌 CEO는 “보안 강화를 위해 비밀번호를 없애야 한다고 강조하지만, 여전히 대부분의 업무가 비밀번호를 기반으로 한다. 최근 스마트폰을 이용한 간편한 인증이 보편화되면서 FIDO 표준의 생체인증 기술을 널리 사용할 수 있게 됐는데, 이를 다종다양한 애플리케이션과 데이터베이스, 서버, 플랫폼에 자동으로 적용, 연계하면서 보안 수준에 따른 정책 적용과 관리가 가능한 플랫폼이 필수”라며 “옥타는 패스워드리스를 가장 빠르게 도입할 수 있는 완벽한 기술을 제공한다”고 강조했다.
분산ID 신원 발행 기관 위한 기술 제공
한편 옥타는 아이덴티티에 대한 요구가 매우 복잡해짐에 따라 이를 지원하는 다양한 기술을 제공하기 위해 적극적으로 노력하고 있다고 설명한다.
예를 들어 우리나라에서 높은 관심을 갖는 분산ID를 위해 검증 가능한 크리덴셜(VC)이라는 W3C의 표준을 ‘고객 아이덴티티 클라우드’에서 지원할 계획이다. VC 표준은 웹사이트가 크리덴셜을 발행하는 방법을 정의하기 때문에 사용자가 발생기관의 추가 확인 없이 인증이 필요할 때 사용할 수 있다. 옥타는 크리덴셜 발행 기관에게 고객보호 기술을 지원하면서 분산ID 생태계에서 고객의 정보를 안전하게 보호할 수 있게 할 예정이다.
맥키넌 CEO는 “옥타는 고객의 다양한 기술 지원 이슈에 대응하기 위해 기술 개발에 적극적으로 나서고 있다. 옥타 단독 기술만으로 모든 문제를 해결할 수 있다고 보지 않으며, 아이덴티티 생태계 내에서의 협업으로 고객에게 가장 좋은 기술을 제공할 수 있다고 자신한다”며 “옥타는 아이덴티티를 중심으로 한 개방형 생태계를 만들고 있으며, 이를 통해 공격자의 침투 속도를 늦추고 탐지·대응 역량을 강화할 수 있게 한다”고 말했다.
한편 이 날 간담회에서 호주 풋볼리그(AFL)가 옥타 플랫폼을 활용한 성공사례를 소개하기도 했다. 롭 피커링 AFL CTO는 “옥타의 WIC를 이용해 AFL은 직원과 관리조직 모두의 편의성을 개선할 수 있었다. WIC는 SSO를 이용해 사용 편의성을 높였으며, 직원 온보딩도 한 번에 모든 과정을 마무리할 수게 한다. AFL은 곧 CIC를 이용해 고객 편의성을 향상시킬 게획으로, 한 번의 로그인으로 AFL의 모든 서비스에 로그인 할 수 있게 할 것”이라며 “옥타 특권접근 기술로 특권관리자를 관리하고, 고객이 원하는 수준의 보안을 적용한 적응형 인증을 적용해 보안과 편의성을 모두 봦ㅇ하도록 할 것”이라고 설명했다.
