"2차 인증을 구현하는 것이 사고의 영향을 예방하거나 최소화할 수 있는 최선의 방안"
[지티코리아] 지난 1년 동안 조직의 90%가 ID 관련 사고를 경험했으며, 84%는 직접적인 비즈니스 영향을 받았다.
ID 관련 사고는 오늘날의 헤드라인을 지속적으로 장식하고 있다.
클로록스(Clorox), MGM, 시저스(Caesars)는 소셜 엔지니어링의 희생양이 되었고, 23앤드미(23andMe)는 자격 증명 스터핑이라는 해킹 방법의 결과로 침해를 당했으며, 유나이티드헬스(UnitedHealth)는 2차 인증(추가 인증)이 부족했다.
이러한 기업들의 막대한 침해로 뉴스거리였지만 최근 지난 12개월 동안 응답자의 10%만이 ID 관련 사고가 없었다고 한다.
ID 이해 관계자의 84%는 사고가 비즈니스에 직접적인 영향을 미쳤다고 말했는데, 이는 2023년 68%에서 증가한 수치이다.
가장 중요한 영향은 올해 현저한 증가세를 보이며 핵심 비즈니스에서 주의를 분산시키는 것(52%)이었고, 그 다음으로는 침해에서 복구하는 비용이 올해 1위에서 떨어졌지만 33%에서 47%로 증가했다.
바로 뒤를 이어 3위를 유지하고 있는 것은 회사 평판에 대한 부정적인 영향으로, 25%에서 45%로 크게 증가했다.
기업의 22%는 디지털 ID 관리 및 보안을 보안 프로그램의 최우선 과제로 보고 있으며, 이는 2023년 17%에서 증가한 수치이다.
또한 기업의 89%는 직원이 소셜 미디어에 기업 자격 증명을 사용하는 것에 대해 우려하고 있다.
조직의 91%가 사고 대응 계획을 발동했으며, 이는 2023년의 두 배이며 32%는 사고 대응 계획을 3~5회 이상 발동했다.
2024년 동향이 ID 보안에 미치는 영향을 살펴보면, 2023년과 일관되게 기업의 89%는 새로운 개인 정보 보호 규정이 ID 보안에 영향을 미칠 것이라고 다소 또는 매우 우려하고 있다.
응답자의 96%는 AI/ML이 ID 관련 과제를 해결하는 데 유용할 것이라고 보고했으며, 71%는 이상 행동을 식별하는 것이 가장 중요한 사용 사례라고 말했다. ID 이해 관계자의 81%는 패스워드 없는 인증을 ID 문제 해결을 위한 견고한 기술로 보고 있다.
보안 결과는 여전히 진행 중인 작업이다.
약간 감소한 ID 이해 관계자의 93%는 보안 결과가 사고의 비즈니스 영향을 완화할 수 있었을 것이라고 말했다.
응답자의 37%는 모든 사용자에 대해 2차 인증을 구현하는 것이 사고의 영향을 예방하거나 최소화할 수 있었다고 말했으며, 민감한 데이터 액세스에 대한 적시 검토(42%), 권한 있는 액세스(50%)가 뒤를 이었다.
기업의 99%는 향후 12개월 동안 보안 결과에 추가로 투자할 계획이라고 보고했다.
ID 관련 사고가 증가하고 있어 강력한 ID 보안 조치의 필요성이 강조되고 있다.
오늘날의 주요 침해 중 상당수는 정교한 피싱 및 소셜 엔지니어링 공격 또는 2차 인증이 없어서 발생한다.
이러한 사고는 운영에 영향을 미칠 뿐만 아니라 엄청난 비용이 든다.
유나이티드헬스는 체인지 헬스케어(Change Healthcare) 사이버 공격으로 8억 7200만 달러의 손실을 입었다.
또한 주가가 크게 하락하고 평판이 오래 손상될 수 있다.
ID 위협이 심각해짐에 따라 조직은 이러한 증가하는 과제로부터 더 잘 보호하기 위해 ID 보안 프레임워크를 강화하는 것이 중요하다.
정보자산의 보안강화를 위하여 무엇보다도 일회용 인증키는 본인이 소유하고 있는 일회용 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"