랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다.
이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 2차 인증(추가 인증) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 2차 인증을 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 2차 인증(추가 인증)을 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다.
또한, 개발자의 다수가 아직도 2차 인증과 같은 기본적인 보안 장치들을 활용하지 않는다는 것도 지적되고 있다. "하지만 이 부분에 있어서는 문화가 가시적으로 변하는 중이다. 여러 오픈소스 소프트웨어 패키지 생태계들에서 일정 규모 이상의 프로젝트에서는 2차 인증을 필수로 구축하라고 요구하고 있기 때문이다. 수년 안에 2차 인증이 모든 사람의 기본이 될 수 있을 거라고 본다."
우버 해킹 사건으로 2차 인증에 대한 기본적인 오해가 드러났다. "분명 2차 인증은 보안 장치를 겹겹이 쌓는 데에 있어 중요한 부분을 차지하는 요소이다. 하지만 문제는 2차 인증 안에서도 여러 가지 기술들이 존재하고, 보안성이 각기 다르다는 것이다. 강력한 2차 인증이 있고 비교적 약한 2차 인증이 있다. 즉 2차 인증을 도입했다는 것이 아니라 어떤 2차 인증을 도입했느냐가 문제라는 것이다.”
2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미하며, 2 Factor 인증과 2 Channel 인증으로 구분한다.
2차 인증 중 2 Channel 인증이 2 Factor 인증 보다 보안성은 강하나 통신망을 사용하기 때문에 보안지역이나 비번하게 발생하는 통신장애에 영향을 받아서 서비스가 중단되는 상황이 발생한다.
특히, 우리가 흔히 접하고 있는 Naver, 통신사 Pass가 대표적으로 적용하고 있는 2 Channel 인증은 스마트 폰의 심 스와핑으로 인하여 중간자 공격, 피싱 키트의 피싱 공격, 크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등에 취약하여 사이버 범죄에 악용된다는 것이다.
우버 해킹 사건을 통해서 중간자 공격에 취약한 2 Channel 인증을 채택했다는 점에서 우버의 실수를 지적하며, 2차 인증 도입 시 2 Channel 인증 보다는 중간자 공격에 강력한 2 Factor 인증을 선택하는 게 중요하다.
2차 인증 솔루션인 BaroPAM은 초창기에 서비스 채널과 인증 채널이 분리된 2 Channel 인증을 적용하였는데, 장애 및 사이버 범죄에 취약한 점이 파악되어 2 Channel 인증을 포기하고 서비스 채널과 인증 채널이 하나로 결합된 2 Factor 인증이 적용되어 있다.
0개의 댓글이 있습니다.