이 게시물은 2023년에 처음 게시되었으며 업데이트되었습니다.
최근 기억에 남는 가장 큰 데이터 유출 사고 중 일부는 멀티팩터 인증을 회피했습니다(MFA). 그렇다고 MFA가 비효율적이라는 뜻은 아닙니다. 공격자는 인증 요소 자체보다는 인증 주변의 빈틈을 노려 MFA를 우회하는 경우가 많다는 뜻입니다.
위협 행위자들은 MFA 구성 방식을 공격하거나 사용자를 프롬프트 폭격하거나 하청업체를 공격하는 등 ID 수명 주기의 취약점을 공격하고 데이터를 유출하는 방법을 찾아냈으며, MFA가 최후의 방어선이 아니라 첫 번째 방어선이 되어야 하는 이유를 드러냈습니다.
이것이 보안팀의 핵심 교훈입니다. MFA는 여전히 중요하지만 더 광범위한 ID 보안 전략의 일부로 사용하는 것이 가장 효과적입니다.
공격자는 환경에 따라 다른 방법을 사용하지만 몇 가지 패턴이 반복해서 나타납니다.
MFA 피로도 및 신속한 폭격
한 가지 일반적인 전술은 MFA 피로, 프롬프트 폭격이라고도 합니다. 공격자는 사용자가 실수나 좌절감으로 승인 요청을 수락할 때까지 반복적으로 승인 요청을 보냅니다. 이 접근 방식은 사용자가 주의가 산만하거나 급하거나 프롬프트가 정당한지 확실하지 않을 때 가장 효과적입니다.
이것이 바로 사용자 교육이 여전히 중요한 이유 중 하나입니다. 사람들은 예기치 않은 프롬프트가 일상적인 로그인 단계가 아니라 경고 신호로 취급되어야 한다는 점을 알아야 합니다.
취약한 MFA 구성
MFA는 구현한 만큼만 강력합니다. 관리자가 정책, 등록, 폴백 방법, 예외 처리 또는 단계별 요구사항에 공백을 남겨두면 공격자는 이를 찾아낼 것입니다. 대부분의 경우 취약점은 요소 자체가 아닙니다. 취약점은 요소 자체가 아니라 요소가 배포된 방식입니다.
타사 및 계약업체 노출
공격자는 내부 시스템에 액세스할 수 있는 공급업체, 계약업체 및 파트너도 표적으로 삼습니다. 제3자 ID에 권한이 과도하게 부여되거나, 모니터링이 제대로 이루어지지 않거나, 관리가 취약한 경우 강력한 제어가 실패할 수 있습니다. ID 위험은 직원에게만 국한되지 않습니다.
장애 개방형 아키텍처
“실패 열기” 시스템은 표준 작동 제어가 작동하지 않을 때 기본적으로 열리도록 설정된 시스템입니다. 이 원칙은 물리적 보안에서 의미가 있을 수 있지만 디지털 액세스 보안과 관련하여 심각한 위험을 초래할 수 있습니다.
시스템이 클라우드 기반 MFA 서비스와 연결이 끊어져 기본적으로 액세스 권한을 허용하는 경우, 공격자는 이 상태를 악용하여 MFA를 완전히 우회할 수 있습니다.
ID 수명 주기 격차
인증은 ID 보안의 한 부분일 뿐입니다. 위협 행위자들은 신원 관리보다 더 중요한 것이 있다는 것을 알고 있습니다. 프로비저닝, 복구, 위임 관리, 타사 액세스 및 권한 거버넌스에서 취약점을 찾습니다.
이러한 공격에서 얻은 가장 큰 교훈은 MFA가 실패했다는 것이 아닙니다. ID 방어가 로그인 화면 이상으로 확장되어야 한다는 교훈입니다.
조직이 인증 이벤트에만 집중하면 다른 중요한 영역이 노출될 수 있습니다. 복구 워크플로, 정책 예외, 오프라인 액세스, 권한 있는 역할, 과도한 권한이 모두 공격 경로가 될 수 있습니다.
예를 들어, 액세스를 프로비저닝하는 것만으로는 충분하지 않습니다. 조직은 사용자에게 액세스가 필요한지부터 물어야 합니다. 그렇다면 얼마나 오래 필요한가요? 너무 많은 액세스 권한을 제공했나요, 아니면 충분한 액세스 권한을 제공했나요? 이를 어떻게 알 수 있을까요? 이러한 질문은 침해 위험에 직접적인 영향을 미치는 실질적인 보안 질문입니다.
MFA 우회 위험을 줄이려는 조직은 전체 ID 수명 주기에서 더 강력한 가시성을 확보해야 합니다. 즉, 누가 로그인할 수 있는지뿐만 아니라 액세스 권한이 있는 이유, 액세스 가능한 대상, 시간이 지남에 따라 이러한 권한이 어떻게 변하는지를 이해해야 합니다.
최고의 방어는 단일 요소나 단일 제품이 아닙니다. 공격자가 이용하는 틈새를 좁히는 계층화된 접근 방식입니다.
인증 옵션 강화
모든 인증 방법이 동일한 수준의 보호 기능을 제공하는 것은 아닙니다. 모바일 사용자들에게 거의 보편화되고 있는 Apple Face ID와 같은 옵션으로 인해 생체 인식은 비밀번호 없는 인증의 인기 있는 형태이지만, 이것이 유일한 인증 방식은 아닙니다. 조직은 피싱 및 리플레이 기반 공격에 대한 노출을 줄일 수 있는 더 강력한 옵션을 평가해야 합니다. 다음을 지원할 수 있는 다양한 비밀번호 없는 솔루션의 우선순위를 정하세요. 모든 사용자, 모든 환경, 모든 시간.
사용자 추측에 대한 의존도 감소
푸시 기반 MFA는 편리하지만 사용자가 순간적으로 예상치 못한 메시지를 해석해야 하는 경우 편리함 때문에 위험이 발생할 수 있습니다. 인증 흐름이 압박감 속에서 사용자의 판단에 의존할수록 보안에 더 취약해질 수 있습니다.
그렇기 때문에 조직은 보안 인식, 적응형 정책 제어, 의심스러운 승인 패턴에 대한 모니터링과 함께 강력한 인증을 결합해야 합니다.
장애 시나리오에 대한 계획
이것이 이번 침해 사고에서 가장 명확하게 드러난 점 중 하나입니다. 사용자를 시스템에서 잠그지 않고도 이러한 공격을 피할 수 있는 몇 가지 방법이 있습니다. 첫 번째는 하이브리드 인증 시스템 인터넷 장애가 발생할 경우 로컬 온프레미스 노드로 백업할 수 있습니다. 두 번째는 오프라인에서 유효성을 검사할 수 있는 인증 시스템을 사용하는 것입니다.
고수준 보안 보장 환경에서는 복원력도 중요하지만 장애 동작도 중요합니다. 보안팀은 업스트림 서비스를 사용할 수 없을 때 어떤 일이 발생하는지 정확히 알고 있어야 합니다.
ID 가시성 향상
ID 보안에는 인증 요소 확인 이상의 것이 필요합니다. 또한 사용자 및 시스템 전반의 액세스, 권한, 수명 주기 변경, 위험 신호에 대한 인사이트가 필요합니다. 이러한 가시성이 없으면 조직은 인증을 보호하면서도 중요한 자산을 노출된 상태로 둘 수 있습니다.
비밀번호 없는 인증 는 조직이 피싱 가능한 자격 증명과 취약한 로그인 흐름에서 벗어나 MFA 우회 위험을 줄이는 데 도움이 될 수 있습니다.
생체인식 여부, FIDO2, QR코드, BLE, NFC 또는 기타 비밀번호 없는 폼 팩터를 사용하는 조직은 다양한 혼합 환경, 애플리케이션 및 사용자 그룹을 지원할 수 있는 솔루션을 사용해야 합니다.
비밀번호가 필요 없는 것은 단순히 편리함 때문만은 아닙니다. 또한 신원 공격에서 가장 일반적으로 악용되는 진입점 중 하나인 비밀번호에 대한 의존도를 줄일 수 있습니다.
OTP와 FIDO 인증서는 각각 고유한 장점이 있습니다. 일부는 최신 브라우저 기반 인증에 더 적합한 반면, 일부는 레거시 및 하이브리드 환경 전반에서 더 광범위한 적용 범위를 제공합니다. 하지만 OTP와 FIDO를 비교할 때 가장 좋은 답은 일반적으로 “AND”입니다. 많은 조직은 유연성과 강력한 보안을 모두 필요로 합니다.
MFA는 첫 번째 방어선이 되어야 하지만 마지막 방어선이 되어서는 안 됩니다. MFA 우회 위험을 줄이려면 조직은 더 강력한 인증 옵션, 탄력적인 아키텍처, 전체 ID 수명 주기에서 더 나은 가시성을 확보해야 합니다.
RSA ID Plus를 통해 조직은 비밀번호 없는 하이브리드 인증을 지원하고, 최신 및 레거시 환경에 대한 보호를 강화하며, 더욱 탄력적인 ID 보안 전략을 구축할 수 있습니다. RSA ID Plus 사용 방법 알아보기 는 MFA가 단독으로 존재할 때 공격자가 노리는 틈새를 방어하는 데 도움이 됩니다.
MFA는 광범위한 ID 보안 전략의 일부로 배포할 때 가장 효과적으로 작동하는 중요한 보안 제어입니다. 이번 웨비나에서는 공격자가 MFA를 우회하는 몇 가지 일반적인 방법(프롬프트 폭격, 취약한 설정, 타사 노출, ID 수명 주기 전반의 공백 등)에 대해 살펴보았습니다, 공격의 해부학: MFA의 흥망성쇠, 를 통해 참석자들의 사려 깊은 후속 질문을 이끌어냈습니다. 아래 FAQ는 그 대화에서 나온 가장 중요한 질문 중 몇 가지에 대한 답변입니다.
질문: 워크스테이션에 액세스하기 위한 암호보다 Windows Hello PIN이 더 안전하다는 Microsoft의 의견에 동의하나요?
A: 이 질문은 앞으로 수년 동안 논쟁의 대상이 될 흥미로운 질문입니다. 비밀번호와 PIN은 모두 '아는 것'이라는 인증 범주에 속하기 때문에 피싱 공격에 취약합니다. 비밀번호에 비해 PIN은 일반적으로 길이가 짧고 제한된 문자 집합을 사용합니다. 따라서 엔트로피 관점에서 볼 때 PIN은 다음과 같습니다. 약한 즉, 선택의 여지가 많을수록 비밀번호나 PIN을 무차별 대입하기가 더 어려워집니다.
하지만 이는 이야기의 일부일 뿐입니다. 비밀번호와 달리 PIN(또는 적어도 NIST SP800-63에서 정의한 PIN)은 다음과 같은 특징이 있습니다. 로컬 유효성 검사. 즉, 중앙 저장소에 전송되거나 저장되지 않습니다. 따라서 스매시 앤 그랩 공격에서 PIN이 가로채이거나 도난당할 가능성이 훨씬 적습니다.
종종 그렇듯이 프로토콜이나 기술보다 환경, 구성, 사용자 교육이 전반적인 사이버 보안 태세에 더 큰 영향을 미치는 경향이 있습니다.
질문: 실패한 열기 문제를 방지하기 위한 오프라인 인증 옵션에 대해 좀 더 자세히 알려주실 수 있나요? 아키텍처 또는 제품 제공의 예가 있나요?
A: '페일 오픈' 시스템은 표준 작동 제어가 작동하지 않을 때 기본적으로 열리도록 설정된 시스템입니다. 이는 물리적 보안에서 중요한 안전 원칙이지만(예: 화재 발생 시 모든 외부 문이 즉시 잠금 해제되어야 함), 중요 자산에 대한 접근을 보호하는 데는 그다지 유용하지 않습니다.
NGO 사용 사례에서 공격자는 로컬 시스템이 클라우드 기반 MFA 공급자와 통신하지 못하도록 하여 MFA 제어를 효과적으로 우회함으로써 자산에 대한 액세스 권한을 얻었습니다. 이는 사용 중인 ID 솔루션이 기본적으로 "열기 실패" 보안 태세).
사용자를 시스템에서 잠그지 않고도 이러한 상황을 피할 수 있는 몇 가지 방법이 있습니다. 첫 번째는 인터넷 장애 발생 시 로컬(온프레미스) 노드로 복구할 수 있는 하이브리드 인증 시스템을 사용하는 것입니다. 두 번째는 오프라인에서 유효성을 검사할 수 있는 인증 시스템을 사용하는 것입니다. RSA ID Plus는 두 가지 옵션을 모두 지원합니다.
Q: 귀하의 관점에서 볼 때 최고의 IDP(ID 공급자)는 무엇인가요?
A: 'RSA ID Plus'가 아닌 다른 답변을 하면 직장을 잃게 될 것 같습니다.
하지만 진지하게 고려해야 할 몇 가지 사항이 있습니다. 첫째, 공급업체가 입증된 실적을 보유하고 있나요? 둘째, 신원 확인이 비즈니스의 핵심인가, 아니면 여러 업무 중 하나일 뿐인가? 셋째, 벤더가 설계 결정을 내릴 때 보안보다 편의성을 우선시하는가? 넷째, 솔루션이 데이터센터 내부에 있는 털이 많은 레거시 앱을 포함하여 광범위한 사용자 및 사용 사례를 지원할 수 있는 유연성을 제공하나요? 마지막으로, 문제가 발생했을 때(그리고 실제로 발생하겠지만) 공급업체가 모든 것을 투명하게 공개하나요, 아니면 애매모호하게 책임을 전가하나요?
보안은 쉽지 않으며 위협 행위자 대상 신원 공격 표면의 다른 어떤 부분보다 더 많은 부분을 차지합니다. 조직은 이를 이해하는 IDP가 필요합니다.
질문: 현재 보안 공급업체가 제공하는 ZTNA 솔루션은 얼마나 신뢰할 수 있나요?
A: 제로 트러스트 네트워크 액세스(ZTNA)는 다음과 같은 원칙에 기반한 개념입니다. 가정 로컬 인트라넷에 대한 사용자의 연결만을 기반으로 하는 경우 사용자는 지속적으로 인증되어야 하고, 특정 리소스에 액세스할 수 있는 권한이 있어야 하며, 액세스해야 하는 정당한 이유가 있어야 합니다.
현재 시중에는 많은 '제로 트러스트' 제품이 있지만, ZTNA는 개념적 프레임워크이자 모범 사례의 집합이라는 점에 유의해야 합니다. 방법 기술을 도입하고, 정책을 정의하고, 생태계를 관리하는 방식에 따라 ZTNA 태세가 결정됩니다. 기술은 확실히 도움이 될 수 있지만, 어떤 공급업체가 자사 제품이 ZTNA 규정을 준수할 수 있다고 말한다면 다른 업체를 찾아보세요.
제로 트러스트에 대해 자세히 알아보려면 NIST SP800-207에 정의된 제로 트러스트의 7가지 원칙부터 시작하는 것을 추천합니다.
질문: 비밀번호 없는 인증은 전적으로 생체 인식에 기반하나요? 다른 어떤 방법을 사용할 수 있으며, 인증에 AI는 어떻게 사용되고 있나요?
A: Apple Face ID와 같은 옵션이 모바일 사용자에게 거의 보편화되면서 생체 인식이 비밀번호 없는 인증의 인기 있는 형태인 것은 분명하지만, 유일한 인증 방식은 아닙니다. FIDO2는 소비자 및 기업 사용 사례 모두에서 점점 더 일반적인 선택이 되고 있습니다. QR코드, BLE, NFC와 같은 비접촉식 방법도 덜 사용되기는 하지만 사용되고 있습니다. 스마트 규칙, 머신 러닝, 행동 분석과 같은 AI 원칙이 최종 사용자의 마찰을 거의 또는 전혀 일으키지 않는 보이지 않는 인증 요소로서 신원 신뢰도를 더욱 강화하는 데 점점 더 많이 사용되고 있습니다. RSA ID Plus는 현재 이러한 모든 옵션을 지원합니다.
Q: ID 및 액세스 관리의 미래는 어떻게 될까요?
A: 이 세 가지 공격은 모두 “ID 및 액세스 관리'가 낡은 용어는 아니더라도 불충분한 용어라는 것을 보여주는 사례라고 생각합니다.
이러한 공격은 ID를 단순히 관리하는 것이 아니라 '보안'해야 한다는 점을 강조합니다. 예를 들어, 액세스를 프로비저닝하는 것만으로는 충분하지 않습니다. '사용자에게 액세스가 필요한가'라는 질문부터 시작해야 합니다. 그렇다면 얼마나 오랫동안? 너무 많은 액세스 권한을 제공했나요, 아니면 충분한 액세스 권한을 제공했나요? 이를 어떻게 알 수 있을까요? 대부분의 경우 관리자는 어떤 식으로든, 심지어 어떻게 알 수 있는지도 모를 것입니다.
위협 행위자들은 신원에는 '관리' 이상의 것이 있다는 것을 알고 있습니다. 제가 검토한 공격은 사이버 범죄자들이 IAM이 고려하지 않는 틈새를 공격하는 방법을 보여줍니다. 저는 기업이 ID에 대한 이해를 확장하여 전체 ID 라이프사이클을 보호하고 아이덴티티를 보호해야 한다고 생각합니다.
좀 더 기술적인 측면에서는 방대한 양의 인증, 권한 및 사용 데이터를 처리하는 데 AI가 큰 역할을 할 수 있을 것으로 생각합니다. 세분화된 데이터를 신속하고 대규모로 평가할 수 있는 지능형 플랫폼은 조직의 보안을 유지하는 데 있어 진정한 자산이 될 수 있습니다.
Q: SecurID와 유비키를 어떻게 비교하나요?
A: SecurID와 YubiKey는 각각 해당 카테고리에서 동급 최고의 인증자입니다. 그리고 좋은 소식은, 다른 많은 인증 옵션 중, '두 가지'를 모두 지원한다는 점입니다.
공급업체의 특정 사항에서 한 발 물러나 OTP와 FIDO 인증에는 각각 고유한 이점이 있습니다. FIDO는 웹 기반 로그인을 위한 안전하고 편리한 옵션으로 인기가 높아지고 있지만, 소프트웨어 기반 FIDO 옵션은 여전히 범용성이 제한적이고 하드웨어 장치를 물리적으로 연결해야 하는 경우가 많으며 웹 브라우저 이외의 FIDO에 대한 진정한 지원은 거의 존재하지 않습니다. 반면 OTP는 특별한 클라이언트 소프트웨어나 물리적 연결 없이도 하드웨어나 소프트웨어 등 거의 모든 곳에서 작동한다는 장점이 있습니다.
그러나 OTP와 FIDO를 비교할 때 가장 좋은 답은 일반적으로 ‘AND'입니다. 하이브리드 장치와 같은 RSA DS100 인증기는 두 가지 장점을 결합하여 단일 폼 팩터에 OTP와 FIDO2를 제공하여 최대한의 유연성과 폭넓은 지원을 제공합니다. RSA는 또한 iShield Key 2 시리즈, 는 최고 수준의 보안 벤치마크에 따라 검증된 하드웨어 기반 인증을 제공합니다. FIPS 140-3 및 FIDO2 인증을 받은 이 솔루션은 FedRAMP, NIST, DORA, NIS2, HIPAA 및 PCI DSS를 포함한 프레임워크에 부합합니다.
