현재의 비밀번호로는 계정을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다.
주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다.
랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다.
보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 2차 인증 솔루션이이다.
기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다.
또한, "망분리"는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이이다.
"망분리" 했다고 해커들의 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했습니다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다.
이게 어디까지 갔냐면, "사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다"가 보안의 명제가 되었다.
외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한하고, 보안의 위험을 분산함으로써 피해를 최소화해야 한다.
최근 들어, 중앙 집중식 관리 서버의 운영체제(OS) 및 관리자 계정이 해킹되어, 관리 서버를 장악하고 정보를 유출하여 도용 및 악용하거나, 악성코드 삽입, 정보를 삭제한 후 관리 서버를 무력화시켜 서비스를 불능 상태로 만드는 "단일 지점 공격"의 침해사고가 발생하여 기업에 많은 피해를 주고 있다.
이젠 중앙 집중식에서 벗어나 탈중앙화 방식으로 보안의 위험은 분산 시키는 것이 기본이다.
침해 사고가 발생한 기업의 특징은 다음과 같다.
▶OS 최신패치 및 업데이트 하지 않음.
▶2차 인증(추가 인증)을 사용하지 않음.
▶기본 포트를 그대로 사용함.
예) SSH/SFTP:22, VPN: 4433, RDP: 3389, SMB: 139, 445 등
▶불필요한 서비스를 비활성화 하지 않음.
▶정기적인 보안 감사를 하지 않음.
▶직원들의 보안에 대한 인식 결여(보안 교육 미비).
사이버 보안은 현대 기업의 IT 환경에서 복잡하고 중요한 문제다.
최근 해커들은 중앙 집중식 시스템에 침투(단일 지점 공격)하여 시스템을 장악, 정보를 유출하여 도용 및 악용하거나, 악성코드 삽입, 정보를 삭제한 후 시스템을 무력화시켜 서비스를 불능 상태로 만든다.
그러면, 2차 인증 적용 순서는 다음과 같다.
1) 운영체제(OS)
최우선적으로 Windows, Windows server, Linux, Unix, MacOS 등의 다양한 운영체제(OS)와 VPN이다.
해커들은 2차 인증이 적용되어 있지 않은 OS의 원격접속에 주로 사용되는 RDP나 SSH 등을 이용하여 서버에 침투하여 서버를 장악한 후 불능 상태로 만든다.
또한, VPN은 사용자와 전체 네트워크로 접근 권한을 부여하기 때문에 내부 시스템에 보안 경계를 설정하기 어려워 해커들의 집중 공략 대상이다.
2) 관리자 계정이나 관리 콘솔
다양한 애플리케이션, WAS, 가상화, 클라우드 등의 관리자 계정이나 관리 콘솔에 대한 2차 인증 설정이다.
계정 정보를 유출하여 도용 및 악용하거나, 관리콘솔에 악성코드 삽입 또는 계정정보 또는 VM을 삭제한 후 시스템을 무력화시켜 서비스를 불능 상태로 만든다. 이는 기업에 커다란 피해를 준다.
3) 일반 사용자 계정
회사 내에서 업무를 위해 사용하는 애플리케이션(ERP, 포탈, 그룹웨어, 웹메일), 가상화, 클라우드 등의 일반 사용자 계정에 대한 2차 인증 설정이다.
특히, 외부에서 접속할 수 있는 시스템에 2차 인증을 설정해 보안을 강화할 수 있도록 해야 한다.
아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝다.
▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식
정보자산의 보안 강화를 위해서는 가장 중요한 기본 사항은 다음과 같다.
▶보안 관점에서 위험을 얼마나 분산 시킬 것인지?
▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶단일 지점 공격을 어떻게 방어할 것인지?
▶우회/원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?
무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 접근하고자 하는 정보자산에 직접 입력 및 검증해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
