기사 한줄요약(22.5.10.):
회사들에서 보안 강화를 위해서 기존의 한번의 암호 입력으로 로그인 되는 방식 대신 추가적인 인증을 더 하는 다중인증(MFA) 또는 이중인증(2FA)을 도입하려고 하고 있다. 하지만 관리자나 직원들은 이런 추가적 단계의 번거로움 때문에 다양한 핑계를 대면서 거부하고 있다.
* 관리자/사용자들의 핑계
1. “내 비밀번호는 충분히 강력하다”
> 사이버 공격이 정교해지고 있기 때문에, 비밀번호가 강력한 것만으로는 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난을 방지할 수 없다.
2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다”
> 전화번호/이메일 주소 정보 없이도 MFA 로그인을 할 수 있는 방법은 많다.
인증 앱/ QR코드를 스캔 등의 여러가지 방법 존재.
3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다”
> 엄격한 정책을 수립 또는 엄격한 규칙을 따르는 서드파티 MFA 업체를 사용하면 된다.
4. “MFA는 너무 새롭고 검증되지 않았다”
> 다중인증은 새로운 게 아니다. PIN 번호가 있는 카드가 바로 다중인증의 예이다.
5. “IT는 우선순위가 더 높은 문제를 해결하느라 일이 너무 많다”
> 엔터프라이즈 시스템이 랜섬웨어 공격을 받아 피해를 입는다면 일은 훨씬 더 많아질 것이다.
6. “MFA 설정이 너무 번거롭다”
> 과거에는 여러 단계를 거쳐야 하는 숨은 기능이었다만 지금은 버튼 하나만 클릭하면 설정된다.
ex) ‘푸시 인증, 시간 기반 일회용 암호(TOTP), 이메일 인증, SMS 인증 등을 활성화하시겠습니까?’와 같은 질문에 예/아니오만 답하면 되는 간단한 토글을 제공하는 API가 대부분의 애플리케이션과 웹 사이트에 적용돼 있다.
7. “MFA 솔루션이 구형 애플리케이션을 지원하지 않는다”
> 최근 솔루션은 구형 시스템에서도 대부분 작동.
8. “MFA에 투자할 만큼 위험이 크지 않다”
> 코로나19 등으로 재택근무와 클라우드 워크로드로의 수요가 늘어나면서 네트워크 경계가 예전과 같지 않다. MFA를 통해 강력한 인증을 제공하는 것은 계층화된 보안 전략의 핵심이다. MFA를 사용하지 않는 조직은 내부자 위협이나 외부 침해가 발생하면 위험에 노출될 수밖에 없다.
9. “MFA가 무엇인지 잘 모르겠다”
> 교육은 모든 기업의 책임.
10. “훔칠 만한 게 없기 때문에 더 이상의 보안이 필요 없다”
> 구차한 변명에 불과하다.
모든 소비자가 공격의 잠재적인 타깃이다. 본인 생각에 훔칠 만한 게 없다 하더라도 악의적인 행위자는 스마트 홈 기기, 개인 은행 계좌 등을 노리고 있어, 개인정보가 있는 모든 계정이 사기 행각에 악용될 수 있다.
악용사례 : 이퀴팩스(Equifax), 메리어트(Marriott), 페이스북(Facebook) 침해 사건 등이 일반 소비자를 노린 최근 공격 사례다. 2FA가 적용되었다면 위의 사례들의 사건이 일어나지 않았다.
James Careless CSO, "훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?, CIO Korea, https://www.ciokorea.com/news/235264
"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은? - CIO Korea
CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다. IT가 ‘다중인증(MFA)’ 또
www.ciokorea.com
