피싱 방지 MFA 요구 사항을 충족하는 방법

피싱 방지 MFA 요구 사항을 충족하는 방법

MFA(Multi-factor Authentication)를 조직의 기본 보안 사항으로 통합하는 것은 이제 보편적인 사항이 되었습니다.

MFA를 활용하는 것이 현명한 결정이라 할 수 있습니다. 이보다 더 중요한 내용은 어떤 유형의 MFA가 조직에 가장 적합한지에 대한 것입니다. 최근의 사회 공학 MFA 폭파 공격(또는 미국 사이버 인프라 보안 기관인 CISA에서 정의한 푸시 폭격)은 어떤 MFA 비즈니스 방법을 FKI(Certificate)으로 선택해야 하는지에 대한 문제를 야기시켰습니다.

FIDO 및 PKI CBA(PKI 인증서 기반 인증)는 MFA에 대한 피싱 방지 접근 방식을 취하기 위한 옵션으로 등장했습니다. 다양한 지침과 규정에 따라 사용이 의무화됩니다.¹

​

그러나 이러한 요구 사항은 특히 PKI CBA만 지원하는 레거시 시스템과 FIDO를 지원하는 최신 애플리케이션을 유지 관리하고 보호해야 하는 조직에 더 큰 문제를 제기합니다. 어떻게 피싱에 강한 단일 MFA 솔루션에서 두 가지 장점을 결합할 수 있을까요?

​

MFA에서 피싱 방지 MFA로 전환

​

Reddit 또는 Uber에 대한 공격과 같은 MFA 폭파 공격은 MFA가 효과적이지 않다는 것을 의미하지 않습니다. 최근 CISA의 권고에서 강조했듯이 MFA가 없는 것보다 훨씬 낫습니다. MFA 폭파 또는 MFA 피로 공격은 단순한 2단계 또는 다단계 인증의 한계를 보여줍니다.

이러한 공격 시나리오에서 공격자는 누군가 알림에 지쳐서 자격 증명과 일회용 비밀번호 토큰을 포기할 때까지 직원에게 반복적으로 표적 피싱 공격을 보냅니다.

​

이러한 공격은 또한 기업이 MFA 방법을 선택할 때 주의해야 한다는 것을 의미합니다. 일부 MFA 구현은 입증된 기술적 결함(예: SMS의 SS7 프로토콜 취약성)이 존재합니다. 반면, 다른 방법들은 피싱 공격과 사람의 실수(예: SIM 스와핑 및 푸시 폭격)에 취약합니다.

​

MFA는 최고의 보안을 위해 암호키, 생체인식, 장치 수준의 보안 검사 등 피싱 시도로 손상되지 않는 안전한 방법을 구현해야 하며, 또한 암호 없는 인증과 인증 및 보안에 대한 제로 트러스트 접근이 필수적입니다.

​

이러한 고려 사항으로 인해 OMB, CISA 및 ENISA는 피싱 저항성 MFA의 구현을 요구하게 되었습니다. OMB 권한에는 데드라인도 있습니다. 모든 연방 기관은 2024 회계연도 말까지 피싱 방지 MFA를 구현해야 합니다.

​

¹미국의 사이버 보안 개선, 조직의 사이버 복원력 향상(유럽 연합)에 관한 14028 미 행정 명령, IAM, CISA 및 NSA의 관리자를 위한 권장 모범 사례

​

​

​

FIDO 및 PKI CBA에 대한 간략한 개요

​

피싱 방지 MFA는 공개 키 암호화를 사용하므로 공유 코드가 필요 없으며 공격자가 액세스 코드를 가로채거나 재생할 가능성이 크게 줄어듭니다. 또한 피싱 방지 기술은 소스와 대상의 진위 여부를 확인하여 의도한 사이트와 사용자 장치 사이에서만 인증 프로세스가 이루어질 수 있도록 보장합니다.

​

FIDO Alliance에서 개발하고 WebAuthn 프로토콜을 기반으로 하는 FIDO 표준은 사용자와 조직이 FIDO2 보안 키를 통해 온라인 서비스에 대한 인증을 할 수 있도록 해주며, FIDO는 사용자와 조직이 외부 보안 키를 사용하여 사용자 이름이나 암호 없이도 리소스에 액세스할 수 있도록 합니다. FIDO는 로그인 프로세스를 간소화하고 보안을 유지하는 표준입니다.

​

CBA(인증서 기반 인증)는 신뢰할 수 있는 디지털 인증서를 통한 신원 증명을 기반으로 사용자의 신원을 검증하고 확인하는 기능을 애플리케이션에 부여함으로써 작동합니다. 디지털 인증서는 전자 비밀번호 또는 파일 역할을 합니다. 암호화 및 PKI(공개 키 인프라)를 사용하여 리소스에 액세스하려는 모든 엔터티를 식별합니다. 대부분의 뱅킹 애플리케이션은 배후에서 CBA를 사용하고 지문이나 비밀번호를 사용하여 디지털 인증서를 추가로 보호합니다.

​

기업은 규정 준수 요구 사항을 충족하는 방법

​

기업과 조직은 CISA의 권장 사항에 따라 피싱 방지 MFA를 배포할 수 있습니다.

​

1. 피싱 방지 MFA 구현을 위한 우선 사용 사례를 결정합니다.

​

결정은 사용자와 IT 리소스가 사이버 공격의 대상이 될 위험 수준에 따라 이루어져야 합니다. CISA는 시스템 관리자 및 기타 고가치 대상 사용자(변호사, HR 직원, 최고 경영진...)에게 피싱 방지 MFA로의 마이그레이션을 구현하거나 계획할 것을 강력히 촉구합니다. 이메일 시스템, 파일 서버, 원격 액세스 시스템과 같이 고도로 표적화된 리소스는 피싱 방지 인증을 통해 우선적으로 보호되어야 합니다.

​

반면, IT 리더는 대안을 찾기 위해 피싱 방지 인증을 지원하지 않을 수 있는 모든 시스템을 식별해야 합니다. 예를 들어, 피싱 방지 MFA를 즉시 구현할 수 없는 중소기업은 번호 매칭과 같은 보안 기능을 갖춘 모바일 OTP(일회용 비밀번호)를 강화하여 MFA 폭격 피싱 공격의 성공 가능성을 제한하는 데 우선순위를 두어야 합니다.

​

2. IT 인프라와 사용자의 인증 여정을 조사하세요.

​

인프라와 생태계(OT(운영 기술), IT 시스템, 앱, 엔드포인트 등)에 대한 명확한 가시성을 확보하면 FIDO 및 PKI CBA 인증을 구현할 위치를 결정할 수 있습니다. 레거시 시스템과 앱에는 PKI CBA가 필요하지만 최신 앱은 FIDO와 호환된다는 점을 기억하는 것이 중요합니다.

​

또한 직원, 파트너 및 공급업체가 인증하는 위치를 매핑해야 합니다.

​

• 공유 장치에서 작업하고 있나요? 공기가 차단된 공간에서 작업하고 있습니까? 이러한 맥락에서 로밍 하드웨어 인증자는 노트북이나 모바일 장치에 내장된 "플랫폼" 인증자보다 더 적합합니다.

​

• 모바일 기기나 노트북을 사용하나요? 모바일 장치에는 USB-C 커넥터가 있으며 노트북은 USB-A와 USB-C를 모두 지원합니다. 이는 필요한 폼 팩터를 결정하는 데 중요합니다.

​

3. 현재와 미래의 비즈니스 요구 사항을 확인하십시오.

​

• 기존 시스템과 PKI CBA 인증을 변경할 계획이 있습니까?

• 귀하의 비즈니스는 적격 디지털 서명이나 데이터 암호화와 같은 사용 사례를 지원하기 위해 PKI 인프라를 유지해야 합니까?

• 프로세스와 데이터를 클라우드로 이동하고 API 또는 클라우드 기반 앱을 통해 액세스할 계획입니까?

• PKI CBA 및 FIDO와 같은 하이브리드 인증 환경 지원이 필요합니까?

​

4. 귀하의 필요에 맞는 피싱 방지 인증자를 선택하십시오.

​

MFA 솔루션을 제공하는 공급업체가 너무 많기 때문에 솔루션을 면밀히 검토하는 것이 중요합니다.

​

• 시장에서 요구하는 규제 기관의 인증을 받은 인증자가 있습니까? FIDO의 경우 FIDO 협회에서 인증받은 인증업체를 살펴보는 것이 중요합니다.

• PKI의 경우 규제 시장이나 기술 공급업체의 많은 조직은 Common Criteria, eIDAS 또는 FIPS와 같은 국제 보안 표준을 준수해야 합니다. NIST 또는 ANSSI와 같은 규제 기관에서 인증한 피싱 방지 인증자를 배포하는 것이 필수이며 이러한 표준 준수를 단순화합니다.

• FIDO 또는 PKI/CBA 옵션을 지원하는 인증업체를 선택하면 최종 사용자와 IT 팀의 도구 확장과 복잡성 증가 문제를 해결할 수 있습니다. 일부 공급업체는 FIDO와 PKI CBA를 모두 지원하는 융합 토큰을 제공합니다. 이는 적격 디지털 서명, 보안을 위한 데이터 암호화, 법률 및 규정 준수 목적과 같은 중요한 추가 사용 사례를 지원하는 이점을 제공합니다. 하이브리드 환경을 운영하는 경우 단일 인증자가 최적일 수 있습니다.

​

IT 리소스의 제약과 사용자의 상황에 맞게 인증 방법을 조정하고 보안과 사용자 경험 사이의 적절한 균형을 찾는 것이 중요합니다.

​

결론

​

목표는 제로 트러스트 인증을 달성하고, 의심할 여지 없이 신원을 확인하고, 마찰을 피하고, 조직의 가장 소중한 자산인 데이터와 중요 시스템을 보호하는 것입니다. 피싱 방지 MFA는 규정 준수 요구 사항을 충족하고 비즈니스 이해관계자와의 신뢰를 구축하는 방법입니다.

​

당사 웹사이트에서 자세한 내용을 확인하고 인포그래픽 "SafeNet eToken Fusion 시리즈를 선택하는 5가지 이유"를 다운로드하세요.

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.