그리고 Verizon 2024 데이터 유출 조사 보고서 에 따르면 80%의 침해 사고가 도난된 인증정보로 인해 발생한다고 합니다. 그렇기 때문에 61% 의 조직이 2025년에 비밀번호 없이 전환할 계획입니다.
비밀번호 도난은 정말 나쁜 문제이지만, 비밀번호 도난이 유일한 문제는 아닙니다. 사이버 범죄자들은 공격을 산업화했습니다:
- 서비스형 멀웨어(MaaS)가 4,000%로 급증했습니다. 아웃사이더, 에 따르면 모바일 뱅킹 트래픽이 디지털 뱅킹 거래의 85%를 차지할 정도로 금융 서비스가 주요 타깃이 되고 있습니다.
- AI 기반의 신원 위협이 증가하고 있습니다. In 일본, 공격자들은 딥페이크와 소셜 엔지니어링을 사용하여 유창한 일본어 사용자를 사칭하고 헬프 데스크를 속여 자격 증명을 재설정하도록 유도하고 있습니다.
- 다르큘라 피싱 키트는 서비스형 피싱(PhaaS)에 대한 새로운 해석을 제공하며, 사이버 범죄자들이 "단순히 URL을 복사하여 인터페이스에 붙여넣기만 하면... 플랫폼이 완전한 피싱 키트를 뱉어낼 수 있습니다." 라고 설명합니다. 다크 리딩.
멀티팩터 인증(MFA)의 도입이 여러 분야에서 증가하고 있지만 공격은 줄어들지 않고 있습니다. Gartner의 앤트 앨런은 "MFA는 점점 더 시대에 뒤떨어지는 사고 방식입니다. 중요한 것은 자격 증명을 인식, 확인 및 위험 신호와 결합하여 신원 주장에 충분한 신뢰를 제공할 수 있는 방법입니다."라고 말합니다.
MFA는 공격을 막아야 했습니다. 그래서 무슨 일이 일어나고 있을까요?
최근의 침해 사고는 기존의 MFA만으로는 공격자를 막을 수 없음을 보여줍니다:
- MGM 리조트 보고 $100 백만 공격자들이 훔친 Okta 인증 정보를 사용하여 MFA를 통과하는 소셜 엔지니어링을 통해 호텔 업계 역사상 가장 큰 사이버 혼란을 일으킨 후 피해액이 3억 달러에 달했습니다.
- 해커들은 안전하지 않은 API를 악용하여 다음과 같은 인증 제어를 우회했습니다. S. 재무부.
- 의 결함 Microsoft Azure MFA 는 인증 우회 취약점을 일으켜 "수백만 개의 계정이 무단 액세스에 취약한 상태"가 되었습니다. 정보 보안 매거진.
그렇다면 답은 무엇일까요? 바로 최신 인증입니다.
최신 인증 는 기본적으로 비밀번호가 없으며, 위험을 인식하고 지속적으로 적응합니다. 사용자 및 액세스 정보, 컨텍스트, 위험 신호를 통합하여 로그인 시뿐만 아니라 전체 세션에 걸쳐 사용자를 동적으로 인증합니다.
레거시 및 기존 MFA와 달리 최신 인증은 다음과 같이 정의된 제로 트러스트의 최적 성숙도 수준을 충족하도록 설계되었습니다. NIST. 최신 인증은 이러한 기준을 충족해야 합니다:
- 비밀번호 없이 더 강력한 보안-공격자가 악용하는 공유 비밀 제거
- 지속적인 신원 확인-위험 신호, 디바이스 컨텍스트 및 행동 분석 활용
- 어디서나, 모든 사람을 위해 작동-온프레미스, 클라우드, 하이브리드에 관계없이 최신 인증은 모든 사용자, 모든 디바이스, 모든 환경을 보호해야 합니다.
1. 엔드투엔드 보안:
피싱 방어만으로는 충분하지 않습니다. 최신 인증 솔루션은 멀웨어, 사기, 무차별 대입 공격, 우회 기술, 서비스 중단에 대한 내성이 있어야 하며, 이 모든 것이 최근 침해 사고의 원인이 되었습니다.
주요 고려 사항
- 인증 방법이 세션 하이재킹 및 세션 토큰 도난으로부터 보호하나요?
- MFA 프롬프트 폭탄과 크리덴셜 스터핑을 방지할 수 있나요?
- 정전이 발생했을 때 복구가 가능한가요, 아니면 조직이 잠기게 되나요?
2. 엔드투엔드 암호 없는
대부분의 경우 기존 MFA는 여전히 설정, 자격증명 복구 또는 기타 ID 수명 주기의 단계에서 비밀번호 기반 방법으로 돌아갑니다. 사용자는 MFA 챌린지를 시작하고, 처음에 MFA에 등록하고, 필요한 경우 MFA를 재설정하기 위해 먼저 비밀번호를 입력하는 경향이 있습니다. 멀웨어, 비밀번호 스프레이, MFA 폭격과 같은 위협이 여전히 더 깊은 루트 비밀번호를 악용할 수 있기 때문에 이는 문제입니다.
비밀번호 없는 인증은 정확히 그런 의미여야 합니다. 최신 인증 방식은 비밀번호를 완전히 없애야 하며, 여기에는 다음이 포함되어야 합니다:
- 모든 사용자를 위한 하드웨어 및/또는 모바일 패스키
- 서버, 메인프레임 및 IT 인프라를 위한 최신 인증
- Windows 및 macOS에 대한 데스크톱 로그온을 위한 다양한 암호 없는 옵션
- 비밀번호 없는 OTP는 다른 모든 용도로 사용할 수 있습니다.
그렇다면 인증 솔루션이 실제로 비밀번호를 제거할 수 있나요, 아니면 비밀번호 위에 보안을 계층화할 뿐인가요?
3. 어디서나, 누구나 사용 가능
기업은 클라우드, 하이브리드, 온프레미스 환경 전반에서 운영됩니다. 인프라에 구애받지 않는 인증 전략은 보안 공백을 발생시킵니다.
궁금한 점이 있으면 질문하세요:
- 귀사의 인증 솔루션이 모든 플랫폼(Windows, macOS, Linux, 모바일, 온프레미스 서버)에서 작동하나요? 레거시 애플리케이션은 어떤가요?
- 복원력이 있나요? 중요한 시나리오에서 하이브리드 장애 조치 및 오프라인 액세스를 지원할 수 있나요?
- 직원, 계약자 및 권한 있는 관리자를 포함한 모든 사용자에게 확장할 수 있나요?
인증의 미래는 단순히 피싱에 강한 MFA가 아닙니다. 그 대신 전체 ID 수명 주기에서 비밀번호가 필요 없고 복원력이 뛰어나며 안전합니다.
미션 크리티컬한 업무를 수행하는 조직은 AI 기반 위협, 딥페이크, 인증정보 우회 기법으로부터 보호하고, 타사 중단에도 가용성을 유지하며, 전체 ID 수명 주기 동안 인증 정책을 유지할 수 있는 솔루션이 필요합니다. 즉, 최신 비밀번호 없는 인증이 필요합니다.
인증 전략을 재고할 준비가 되셨나요? 이제 현대적인 엔드투엔드 접근 방식을 도입할 때입니다.
