사이버 위협에 대비하는 것은 대부분의 조직이 끊임없이 직면하는 과제이며, 정부 기관이 지속적으로 가이드라인과 요건을 업데이트하는 이유이기도 합니다.
호주 신호국(ASD)이 최근 업데이트한 에센셜 에잇-가장 빈번하고 영향력이 큰 사이버 공격으로부터 조직을 방어하기 위한 '가장 효과적인' 8가지 방어 전략과 위협 행위자들과의 지속적인 전쟁에 도움이 되는 멀티팩터(MFA)에 대한 중요한 새 가이드라인을 발표했습니다.
많은 정부 기관이 에센셜 8을 준수해야 하는 것은 사실이지만, 이번 업데이트를 정부만의 규정 준수 활동으로 간주해서는 안 됩니다. 대신, 이번 업데이트는 다음과 같은 기회를 제공합니다. 모든 조직 이 가이드라인을 채택하여 사이버 보안 프레임워크를 강화할 계획입니다.
에센셜 8의 주요 변경 사항 중 하나는 조직이 FIDO2 디바이스와 같은 피싱 방지 MFA를 도입해야 한다는 새로운 요건입니다. 이는 중요한 변화이며 가장 빈번한 사이버 보안 위협인 피싱 공격에 대한 조직의 방어 메커니즘이 크게 향상되었음을 의미합니다. 가장 빈번한 침해의 원인이자 조직의 수익에 두 번째로 해로운 피싱 공격. 2024년 데이터 유출로 인한 IBM 보안 비용 보고서 에 따르면 피싱으로 인한 침해 사고로 인해 평균 488만 달러의 비용이 발생했습니다.
피싱 공격의 빈도와 영향력을 고려할 때 RSA는 '성숙도 2단계' 태세를 달성하고 조직에 대한 위험을 줄이는 것을 최종 목표로 모든 MFA 구현에 이를 요구사항으로 삼는 호주 사이버 보안 센터(ACSC)와 ASD를 강력하게 지지합니다.
FIDO2는 온라인 인증의 혁신을 위해 설계된 기술입니다. 웹사이트 로그인을 더욱 안전하고 편리하게 해주는 두 가지 시스템으로 구성되어 있습니다. FIDO2를 사용하면 기존 비밀번호 대신 지문과 같은 생체 인식, 보안 키 또는 휴대폰을 사용하여 로그인할 수 있습니다. 이 방법은 공격자가 FIDO2를 사용하여 사용자의 자격 증명을 해킹하거나 피싱하기 훨씬 어렵기 때문에 훨씬 더 안전합니다.
FIDO2는 하드웨어 장치가 온라인 서비스와 안전하게 통신할 수 있도록 하는 특수 프로토콜과 이 기술을 Chrome이나 Safari와 같은 웹 브라우저에 직접 통합하여 전체 과정을 사용자 친화적으로 만드는 웹 API로 구성됩니다. 온라인 신원과 데이터를 보호하는 더 스마트한 방법입니다.
또한 FIDO2를 통해 조직은 인프라 전반에서 암호를 단계적으로 제거할 수 있습니다. '비밀번호 없는 전환'은 대부분의 조직에서 오랫동안 외쳐온 구호였습니다. 그러나 FIDO2의 명백한 보안 및 사용 편의성 이점에도 불구하고 안타깝게도 호주에서의 채택률은 매우 저조합니다. 이는 레거시 인프라와 시스템이 FIDO2 프로토콜을 활용할 수 없기 때문에 더 광범위한 채택에 상당한 기술적, 재정적 장벽이 있기 때문입니다. 이러한 구형 시스템은 대부분 여전히 일회용 비밀번호(OTP)와 같은 구형 MFA 방식에 의존하고 있습니다.
이전 투자를 최대한 활용하고 새로운 필수 8가지 가이드라인을 충족하며 전반적인 사이버 보안 태세를 강화하려면 조직은 동일한 솔루션에서 가능한 가장 눈에 띄지 않는 방식으로 FIDO2와 OTP를 동시에 제공할 수 있는 기술을 검토해야 합니다.
RSA는 이러한 요구 사항을 뛰어넘는 비용 효율적이고 보안성이 높은 옵션을 조직에 제공합니다. 그리고 RSA Authenticat또는 앱 자체는 Android 및 iOS에서 FIDO 인증을 받았습니다. 또한 RSA DS100 하드웨어 인증기 는 FIDO 인증을 받은 하드웨어 장치이며 디스플레이 패널에 OTP를 제공합니다. 마지막으로 RSA iShield Key 2 시리즈, Swissbit가 제공하는 FIDO를 지원하는 FIDO 인증 장치2 및 TOTP 인증을 받았으며 FIPS 140-3 인증을 받았습니다.
에센셜 8 가이드라인에서는 생체인식(예: 휴대폰 지문)을 모든 성숙도 수준에서 유효한 인증 수단으로 제외했습니다. 이러한 유형의 기술을 권한 있는 액세스에 사용하려면 모든 요건을 검토해야 하며, 생체 인식을 유일한 액세스 권한 부여 수단으로 사용해서는 안 됩니다.
또한, 음성 인식은 사용자가 자신의 목소리를 사용하여 무언가에 액세스해야 하는 경우 액세스 권한을 부여하는 또 다른 접근 방식입니다. 오늘날의 생성 AI 기술을 사용하면 위협 행위자가 적은 샘플 세트로 모든 음성을 복제할 수 있으며, 그 결과는 매우 설득력이 있습니다. Verizon 2023 모바일 보안 지수 백서에 따르면 "7개의 단어만으로도 개인의 목소리를 사칭할 수 있는 샘플을 만들 수 있다"고 합니다.
이러한 발전에 비추어 볼 때, 음성 인식은 사실상 죽은 인증 기술이라고 해도 과언이 아닙니다. 필수 8가지 생체인식 업데이트는 조직이 빠르게 발전하는 AI 기술의 발전과 신원 및 보안과의 관계에 주의를 기울여야 하는 이유를 강조합니다. 경계를 늦추지 마세요!
이러한 변화를 수용하려면 전략적인 계획과 실행이 필요합니다. 첫 번째 단계는 예산 및 리소스 할당과 연계성을 확보하는 것입니다. 보다 정교한 MFA를 통합하려면 상당한 초기 리소스가 필요할 수 있지만 조직의 전반적인 디지털 보안에 대한 장기적인 투자입니다. 무언가가 무료일 때는 항상 지불한 만큼의 가치를 얻게 됩니다.
직원의 참여도 중요합니다. 새로운 보안 조치의 효과는 사용자의 이해와 '동의'에 따라 크게 달라집니다. 교육을 제공하고 사이버 보안 인식 문화를 지속적으로 조성하면 새로운 인증 수단으로 원활하게 전환할 수 있습니다.
조직에서 직원들에게 변화를 강요하기보다는 전환 과정에 직원을 참여시키고 새로운 리소스를 제공함으로써 직원들의 빠른 수용을 이끌어내는 것을 보았습니다. 다양한 동등한 MFA 방법 중에서 선택할 수 있는 사용자 셀프 서비스를 제공하면 도움이 될 수 있습니다.
또한 마찬가지로 중요한 것은 사이버 보안과 운영 효율성의 균형을 맞추는 것입니다. MFA 조치의 구현이 사용자 경험이나 비즈니스 운영을 방해해서는 안 됩니다. 엄격한 보안 프로토콜과 사용자 경험 사이에서 적절한 균형을 유지하는 것은 까다로울 수 있지만 성공적인 도입을 위한 핵심 요소입니다. 또한, 레거시 시스템을 염두에 두고 노후화된 리소스를 보호하는 동시에 최신 기술을 보호할 수 있는 공급업체를 선택해야 합니다.
업데이트된 에센셜 8 가이드라인은 위험 관리의 중요성을 강조합니다. 강력한 MFA 솔루션을 구현하면 무단 액세스 및 잠재적인 데이터 유출 가능성을 줄일 수 있습니다. 더 나아가 이러한 조치는 디지털 인프라에 대한 전반적인 위험을 크게 줄여줍니다.
그렇기 때문에 모든 조직이 개정된 에센셜 8 MFA 가이드라인을 정부 기관과 계열사만을 위한 규정 준수 요건이 아닌 전략적 강화를 위한 경로로 바라볼 것을 촉구합니다. any 사이버 위협으로부터 조직을 보호합니다.
