2022년 3월 15일, 미국 사이버 보안 및 인프라 보안국(CISA)은 다음을 발표했습니다. 알림 비정부기구(NGO)에 대한 러시아의 사이버 공격에 대해 자세히 설명합니다.
러시아 공격자는 무차별 암호 대입 공격을 사용하여 비활성화된 NGO 사용자 계정을 손상시켰습니다. 그런 다음 위협 행위자는 새로운 디바이스를 NGO의 다단계 인증 (MFA) 공급업체에 침입하여 손상된 계정을 사용했습니다. 그런 다음 '실패 열기' 설정을 악용하여 위협 행위자는 인터넷에서 디바이스의 연결을 끊음으로써 MFA를 효과적으로 끌 수 있었습니다.
결국, 위협 행위자는 취약한 비밀번호, 비활성 사용자 계정, 보안보다 편의성을 우선시하는 기본 설정, 이전 Windows 취약점을 연결했습니다. 이를 통해 "문서 유출을 위한 클라우드 및 이메일 계정에 대한 액세스"가 가능했다고 CISA는 설명합니다.
이 블로그 게시물은 다른 서비스 제공업체를 공격하기 위한 것이 아닙니다. 저는 거의 20년 동안 RSA에서 근무했습니다. 그 기간 동안 저는 사이버 보안의 최고점과 최저점을 직접 경험했습니다. 그래서 제가 말씀드리고 싶은 것은 샤덴프라우데는 누구에게도 도움이 되지 않는다는 것입니다.
내가 will 는 최근 CISA의 경고 이후 RSA가 고객에게 제공한 몇 가지 조언을 자세히 설명합니다. 또한 이 조언이 모든 MFA 솔루션에 어떻게 적용되는지 설명하겠습니다.
약간의 스포일러 경고: 이 글의 나머지 부분에서 언급된 모든 기능 또는 요구 사항은 RSA의 일부입니다.
MFA는 인증 방법 그 이상입니다.
이와 같은 공격을 방지하려면 조직은 MFA가 무엇인지, 사용자가 처음에 MFA에 등록하는 방법과 사용자의 수명 주기 동안 이러한 등록을 유지하는 방법을 다시 고려해야 합니다.
항상 명심해야 할 점은 MFA는 그냥 에 대한 일회용 비밀번호 (OTP) 토큰, 인증 앱 또는 FIDO 스틱을 사용하여 로그인할 수 있습니다. 사용자나 사용자가 스마트폰에서 생체 인증을 사용하여 클라우드 애플리케이션에 로그인한다고 해서 안전하다고 생각한다면, 이는 MFA가 아니라는 나쁜 소식이 있습니다.
이는 최소한의 조치일 뿐입니다. 예, 컴플라이언스 감사에 'MFA 사용' 확인란을 선택할 수 있지만 보안 관점에서 보면 시간과 비용 낭비입니다.
대부분의 인증서는 인증을 위해 일부 암호화 시드 또는 키를 사용합니다. 하드웨어 인증서는 일반적으로 소프트웨어 기반 인증서에 비해 해당 시드를 더 강력하게 보호하기 때문에 더 높은 수준의 보안을 제공합니다. 기업은 보안 요구 사항을 이해하고 하드웨어 또는 소프트웨어 기반 인증자 중 개별 요구 사항을 충족할 수 있는 충분한 보안을 제공하는 인증자를 선택해야 합니다.
그러나 하드웨어든 소프트웨어든 인증자의 등록이 적절한 신뢰를 구축하지 못하면 방법 자체는 거의 무의미합니다. 조직에서 최고의 인증자를 사용하고 있더라도 잘못된 방식으로 관리한다면 공격을 예방하거나 속도를 늦추는 데 거의 쓸모가 없습니다. 자동차를 생각해보세요. 강력한 엔진을 장착하고 브레이크 패드를 노란색으로 칠했다고 해서 갑자기 경주용 자동차의 운전대를 잡을 수 있는 것은 아닙니다. 브레이크, 서스펜션, 타이어도 교체해야 하고 운전자에게 실제 레이스에서 경쟁하는 방법을 교육해야 합니다. 고려해야 할 사항이 훨씬 더 많습니다.
일반적인 ID 수명 주기를 검토하여 MFA 솔루션을 최대한 활용하고 사용자를 보호하고 디지털 자산을 보호하는 본연의 업무를 수행하는 방법을 설명합니다.
등록은 ID 수명 주기의 첫 번째 단계로, 등록하는 동안 인증자가 ID(사용자)에 할당됩니다. 하지만 조직은 특정 사용자를 등록하기 전에도 몇 가지 질문을 고려해야 합니다:
- 누가 MFA에 등록할 수 있나요?
- 사용자가 MFA에 등록하려면 어떻게 해야 하나요?
첫 번째 질문에는 쉬운 답이 있다고 생각할 수 있습니다: 모든 사람이 MFA를 사용해야 합니다!
그러나 등록해서는 안 되는 사용자 또는 그룹이 있을 수 있습니다. 육아 휴직 중인 직원이나 특정 사용자에게 할당된 적이 없거나 더 이상 할당되지 않는 고아 계정처럼 존재하지만 활성화되어 있지 않은 계정을 생각해 보세요. 이러한 계정에 대한 신규 또는 변경된 인증자 등록은 알림을 받지 못할 가능성이 높으므로 보안팀은 이러한 계정이 MFA에 등록하도록 허용해서는 안 됩니다. 예를 들어, 변경된 설정을 알리는 알림 이메일은 모니터링되지 않는 받은 편지함에 그냥 놓이게 됩니다.
두 번째 질문은 두 가지 관점에서 해결해야 하기 때문에 더 중요합니다:
- 조직의 등록이 원하는 신뢰 수준에 도달하려면 어떻게 해야 하나요?
- 사용자와 관리팀/헬프데스크 모두에게 편리하고 효율적인 방법으로 원하는 신뢰 수준을 충족하려면 어떻게 등록해야 할까요?
인증서에 대한 신뢰는 인증서를 처음 등록한 방법에 따라 결정됩니다. 사용자가 등록할 때의 보안 수준에 따라 해당 인증서를 계속 사용하는 동안의 신뢰 한도가 정해집니다.
다시 말해, 하드웨어를 사용하든 소프트웨어를 사용하든 인증자는 초기 등록이 충분히 강력한 경우에만 MFA 로그인 또는 단계별 인증에 필요한 수준의 신뢰를 제공할 수 있습니다. 기초가 흔들리면 집은 항상 불안정할 수밖에 없습니다.
보안과 편의성을 모두 충족하는 방식으로 등록할 수 있는 사람과 등록 절차를 완료하는 방법을 결정하는 방법은 여러 가지가 있습니다. 하지만 조직에서 어떤 결정을 내리든 다음과 같은 사항은 반드시 지켜야 합니다. 만 비밀번호를 사용하여 등록합니다.
왜 안 될까요? 비밀번호가 편리합니다. 사용자는 이미 자신의 자격 증명을 알고 있으므로 관리자는 MFA 솔루션을 Active Directory로 지정하는 것 외에는 아무것도 걱정할 필요가 없습니다. 그렇죠?
틀린 생각입니다. MFA 등록을 완료하는 쉬운 방법이지만, 비밀번호만 사용하면 조직은 모든 종류의 공격에 노출됩니다. 최악의 시나리오는 공격자가 이미 계정을 탈취한 후 해당 계정을 MFA에 등록하는 경우입니다. MFA에 계정을 등록하는 경우 하지 않아야 합니다. 에 등록하는 것은 사실상 MFA를 완전히 우회하는 것과 마찬가지입니다.
이 글의 맨 처음에 언급했던 NGO에 대한 공격이 바로 이러한 방식으로 성공했습니다. 공격자가 액세스 권한을 높이기 위해 사용한 추가 단계가 있었지만, 등록 자체가 치명적인 결함이었습니다.
인증자를 등록하는 더 스마트하고 안전한 방법이 있습니다. SecurID는 조직이 MFA 등록에 대한 추가적인 기술 및 절차적 제어를 계층화할 것을 강력히 권장합니다. 실제로 SecurID에서는 기본적으로 비밀번호로만 등록할 수 없습니다. 이러한 유형의 등록을 사용하려면 고객이 직접 설정해야 하며, 저희는 모든 단계에서 이를 권장하지 않습니다.
적절한 등록을 결정하는 것은 사용 가능한 인증자, 필요한 신뢰 수준, 조직의 MFA 솔루션의 기능, 회사에서 사용할 수 있는 도구 및 절차에 따라 달라집니다.
비밀번호를 사용하지 않고도 등록 프로세스를 보호하고 간소화할 수 있는 많은 기술적 제어 기능이 있습니다. 예를 들어, 조직은 다음과 같이 할 수 있습니다:
- 등록 전에 미리 등록한 전화번호로 SMS 또는 Voice-OTP를 발송합니다.
- 사용자가 헬프 데스크에 연락하여 등록 코드를 받도록 요구하기
- 사용자에게 등록 코드를 이메일로 배포합니다.
- PIN 문자를 인쇄하고 공유하여 사용자가 고유한 PIN을 사용하여 등록하도록 강제합니다.
- 사용자에게 하드웨어 토큰 할당 및 전송 (이 시나리오에서 조직은 토큰을 비활성화한 상태로 유지하고 사용자가 헬프데스크에 전화하여 하드웨어 토큰을 사용하도록 해야 합니다).
- 회사 네트워크 내에서만 등록 허용
물론 더 많은 제어 기능을 사용할 수 있으며 다양한 조합도 가능합니다. 사용자 수가 많고 다양한 조직에서는 사용자의 역할에 따라 신뢰 수준이 달라질 수 있으므로 등록 방법을 두 가지 이상 제공하는 것을 고려해야 합니다.
이러한 모든 제어는 등록 서비스 자체에 보안 계층을 추가합니다. 이러한 계층을 설정하고 유지하는 데는 많은 노력이 필요하지만, 이러한 투자에는 신뢰할 수 있는 인증자라는 큰 보상이 따릅니다.
하지만 이는 사용자의 ID 수명 주기를 보호하는 첫 번째 단계일 뿐입니다. 위협 행위자에게 상당한 기회를 제공하는 더 많은 시나리오와 조직이 대비해야 하는 더 많은 상황이 있습니다. 이 시리즈의 다음 파트에서는, 에서는 조직이 자신과 팀을 보호하기 위해 우선순위를 두어야 하는 재설정, 안전장치 및 기타 ID 수명 주기에 대한 사항을 검토합니다.
