사람들은 매일 알림에 시달리고 있습니다. 이걸 클릭하고, 저걸 누르고, 삐 소리, 알람, 벨소리 등 그 목록은 끝도 없이 이어집니다. 가끔은 어떻게 일을 해낼 수 있는지 의문이 들기도 합니다.
어떤 일을 반복적으로 하다 보면 더 이상 주의를 기울이지 않을 정도로 습관이 되어 버립니다. 누군가가 "생각 없이" 무언가를 한다는 말을 몇 번이나 들어본 적이 있는지 생각해 보세요. 그리고 모든 사이버 범죄자들은 사람들이 주의가 산만하거나 압도당할 때를 기회로 삼는다는 것을 알고 있습니다. 의식적인 감정이나 숙고 없이 자동으로 취하는 행동은 악용하기 쉽습니다.
다단계 인증 (MFA)는 보안을 개선하기 위한 중요한 단계로 널리 알려져 있습니다. MFA는 리소스에 액세스하는 데 사용자 이름과 비밀번호만 요구하는 대신, 패스키, 푸시 투 승인, 일회용 비밀번호(OTP), 생체 인식 또는 하드웨어 토큰과 같이 사용자를 식별할 수 있는 또 다른 '요소'를 추가합니다. MFA는 하나의 자격 증명이 유출되더라도 이론적으로 권한이 없는 사용자는 두 번째 인증 요건을 충족할 수 없기 때문에 보안이 향상됩니다.
MFA의 문제점은 성가실 수 있다는 것입니다. 다른 모든 유형의 알림과 마찬가지로 MFA 알림을 많이 받으면 주의를 기울이지 않을 수 있습니다. 위협 행위자들은 바로 이 점을 노리고 있습니다. 공격자들은 사용자의 주의를 분산시켜 보안 환경에 인증하는 데 필요한 MFA 자격 증명을 제공하도록 유도합니다. 이러한 전술을 'MFA 피로'라고 하며, 다음과 같은 기업에서 발생한 유명한 침해 사고로 인해 더욱 주목받고 있습니다. Uber, Cisco, 트위터, Robinhood, Okta, 및 Office 365 사용자.
MFA 피로는 피싱 공격의 한 유형입니다. 피싱 공격은 MITRE ATT&CK 프레임워크, 는 "멀티팩터 인증(MFA) 메커니즘을 우회하고 사용자에게 전송된 MFA 요청을 생성하여 계정에 액세스하는 방법"으로 정의됩니다.
공격의 작동 방식은 해커가 직원의 사용자 이름과 비밀번호에 액세스한 다음 로그인을 시도하는 데 사용하는 것입니다. 그러면 멀티팩터 푸시 알림이 트리거되는데, 이는 MFA 피로도 공격에 가장 취약한 경향이 있습니다. 이 알림은 스마트폰에 새 창이나 팝업 상자로 나타나며, 직원에게 요청을 승인하거나 거부하도록 요청하는 경우가 많습니다. 이러한 "정말 본인이 맞습니까?"라는 화면은 너무 흔해서 사람들은 그냥 클릭하여 사라지게 하고 업무를 계속할 수 있는 경우가 많습니다.
위협 행위자는 사용자의 부주의한 순간을 노리고 이러한 암기식 확인을 몇 번 모방할 것입니다. 몇 번의 요청이 성공하지 못하면 해커는 수위를 높일 것입니다. 때로는 사용자의 인증 프로그램에 알림을 여러 번 전송하여 사용자의 휴대폰에 스팸을 퍼붓기도 합니다. 그래도 효과가 없으면 IT 직원이나 다른 기관을 사칭하여 전화를 걸거나 문자를 보내는 등 다른 사회 공학 전술을 사용하여 사용자가 MFA 알림을 수락하도록 유도할 수 있습니다.
피싱 이메일이나 멀웨어 사이트의 링크를 클릭하는 것과 마찬가지로 MFA 알림을 승인하는 것은 치명적인 결과를 초래할 수 있습니다. 해커는 일단 네트워크에 침투하면 일반적으로 다른 중요한 시스템으로 이동하여 액세스할 수 있는 방법을 찾기 위해 최선을 다합니다. 기업이 최소 권한 액세스, 엔드포인트 모니터링, ID 거버넌스 등 다양한 제로 트러스트 보안 조치를 구현했다면 자격 증명 유출 가능성을 줄이고 공격자가 큰 피해를 입히는 것을 방지할 수 있습니다. 하지만 대부분의 기업에는 공격자가 접근하는 데 사용할 수 있는 보안 허점이 존재합니다. Uber 공격의 경우, 침입자는 회사의 권한 있는 액세스 관리(PAM) 플랫폼에 액세스할 수 있는 스크립트를 찾을 수 있었습니다.
교육
흥미로운 첨단 기술 솔루션은 아니지만 사용자 교육은 이러한 유형의 '즉시 폭격' 공격이 성공하는 것을 방지하는 데 가장 중요한 요소입니다. 이는 누군가 문을 두드리거나 부저를 사용하여 아파트 건물에 침입하는 것과 매우 유사합니다. 창밖을 보거나 "누구야?"라고 묻지 않고는 들여보내지 않습니다. 푸시 알림을 받으면 클릭하기 전에 생각하세요. 로그인하지도 않았는데 로그인 요청을 승인하는 이유는 무엇일까요? 정답은 절대 승인해서는 안 된다는 것입니다.
올바른 기술 보유
MFA 위험에 대해 사용자를 교육하는 것도 중요하지만, 기술도 도움이 될 수 있습니다. MFA 알림에 추가 컨텍스트를 제공하면 사용자는 정보에 입각하여 승인 여부를 결정할 수 있습니다. 예를 들어, 일부 MFA 솔루션은 알림에 타임스탬프, 애플리케이션 및/또는 위치를 표시합니다. 다른 솔루션은 웹 로그인 페이지에 고유한 로그인 코드를 표시하며, 이 로그인 코드는 알림의 동일한 코드와 일치해야 합니다. 또는 이러한 공격에 대해 더 탄력적인 경향이 있는 푸시 대신 OTP 비밀번호를 사용하는 것도 고려해 보세요. 어떤 솔루션을 선택하든 이러한 기술은 최종 사용자가 자신이 시작하지 않은 요청을 실수로 승인할 가능성을 줄여줍니다.
적응형 액세스 참여
공격자가 의심하지 않는 사용자에게 스팸을 보내는 기능을 제한하여 MFA 피로도 공격을 완화하는 데 컨텍스트를 사용할 수도 있습니다. 적응형 접속 및 위험 기반 인증 는 로그인 요청을 신뢰할 수 있는 특정 위치 또는 알려진 디바이스로 제한하고, 행동 분석을 통해 비정상적인 로그인 활동을 감지하며, 속도 제한을 통해 연속적인 로그인 실패 시도를 제한할 수 있습니다.
비밀번호 없이 이동
가능하면 알림 기반 MFA의 대안으로 비밀번호 없는 방법을 고려하세요. 예를 들어 FIDO2는 인증자와 웹 애플리케이션 간에 직접 암호화 연결을 요구하여 피싱 및 '중간자(MitM)' 또는 '중간 공격자(AitM)' 공격에 저항하도록 특별히 설계되었습니다. 하지만 FIDO와 같은 피싱 방지 방법을 사용하더라도 MFA는 자격증명 수명 주기만큼만 안전합니다. 이 수명 주기는 다음과 같이 시작됩니다. MFA 등록, 뿐만 아니라 다음을 포함합니다. 장치와 같은 이벤트 교체 및 자격 증명 재설정. 이러한 활동은 공격자가 무단으로 액세스할 수 있는 가장 가능성이 높은 사례 중 일부입니다.
지속적인 모니터링
마지막으로, 조직은 예방이 해결책의 절반에 불과하다는 점을 인식해야 합니다. ID 시스템은 진행 중인 공격을 탐지하고 해결하는 데도 도움을 주어야 합니다. 연속적인 로그인 실패 또는 과도한 로그인 시도는 의심스러운 활동을 나타내는 잠재적 지표의 두 가지 예입니다. 이 정보는 보안 운영 담당자의 추가 조사를 위해 보안 정보 및 이벤트 관리(SIEM) 솔루션에 제공되거나 계정 검토를 트리거하는 데 사용될 수 있습니다. ID 거버넌스 및 관리 (IGA) 플랫폼입니다.
사용자를 교육하고 MFA 프로세스에 대한 보다 강력한 제어 기능을 구현함으로써 조직은 MFA 피로의 위험을 낮출 수 있습니다. 또한 협력하는 회사가 시스템에 보호 기능을 갖추고 있는지 확인하는 것도 중요합니다. RSA는 백서 에서 보안 정책에 대한 개요와 함께 ID Plus에 대한 관행, 운영 및 제어를 포함한 보안 조치에 대한 정보를 확인할 수 있습니다. 또한 시스템 성능 및 보안 권고에 대한 실시간 정보를 확인하려면 다음을 방문하세요. 보안 페이지.
보안을 최우선으로 생각하는 조직이 비즈니스 보호를 위해 저희를 선택하는 이유도 바로 이 때문입니다. 인증 위험에 대한 자세한 내용과 RSA가 비밀번호에 의존하는 보안에서 벗어나는 데 어떻게 도움이 되는지 알아보려면 솔루션 개요를 확인하세요: 비밀번호 없는 인증: 지금이 바로 그 때, 도움이 여기 있습니다.
