동료의 노트북이 책상에서 사라진 날, 그제서야 저는 사이버 보안의 심각한 현실을 인지했습니다. 방위산업체에서 근무했었는데 그 동료는 사이버 위협에 관한 정부 보고서를 다운로드했습니다. 그곳에는 눈치채지 못할 정도로 은밀하게 백도어가 숨겨져 있었습니다. 출장에서 돌아왔을 때는 보안 팀에서 동료의 컴퓨터와 유일한 석사 학위 논문 사본을 압수하여 사라진 상태였습니다. 위협 환경이 추상적인 개념에서 눈에 보이는 현실로 바뀌는 순간이었습니다. 이 중요한 교훈을 통해 추상적인 개념을 구체화할 수 있었습니다. 바로 사이버 스파이 활동의 최전선이 제 책상의 바로 옆을 지나갔다는 사실입니다.
그때는 그때, 지금은 지금
그 경험은 그 이후로 제 관점을 형성했습니다. 오늘날의 최전선은 책상 하나에서 전 세계의 모든 홈 오피스, 커피숍, 공항 라운지로 확장되었습니다. 클라우드 애플리케이션, 타사 공급업체, 분산된 인력으로 구성된 유동적인 경계 없는 에코시스템으로 인해 기존의 오프라인 사무실이라는 경계가 무너지고 쓸모가 없게 되었습니다.
이 새로운 현실은 리더들에게 중대한 과제를 안겨줍니다. 벽이 사라지면 보안은 어디에서 시작될까요? 답은 바로 신원입니다. 명확한 경계가 없는 경우, 사용자 신원은 모든 액세스 요청이 통과해야 하는 유일하고 지속적인 단일 컨트롤 플레인이 됩니다. 이는 모든 최신 엔터프라이즈 보안 전략의 핵심이 되었습니다.
주요 표적은 신원
공격자들은 이러한 변화를 놓치지 않았습니다. 직원들이 원격 근무를 시작하자 그에 맞춰 전술을 조정했습니다. 그렇게 새로운 기회를 명확하게 발견했습니다. 사용자들은 집에서 보안이 취약한 네트워크를 사용하는 경우가 많았고 본인의 신원이 가장 취약한 연결 고리였습니다. 그 결과 신원이 가장 공격을 많이 받는 벡터가 되었습니다. 자격 증명 도용과 정교한 피싱 공격은 심각하지 않은 부차적 위협에서 공격자들의 최신 핵심 전술로 진화했습니다.
어디서나 합법적인 업무를 수행할 수 있는 환경에서는 이제 보안팀이 승인되지 않은 위치에서의 액세스를 차단하는 것만으로는 충분하지 않습니다. 사이버 범죄자가 합법적인 자격 증명을 도용하면 별다른 마찰 없이 중요한 리소스에 자유롭게 액세스할 수 있기 때문입니다. 이는 CIO와 CISO가 밤잠을 못 이루게 하는 시나리오 중 하나입니다. 누군가가 말했듯이 공격자가 왕국 전체를 여는 열쇠를 손에 넣으면 네트워크, 엔드포인트, 클라우드 등 다른 모든 보안 제어가 무의미해지므로 피싱은 궁극적인 위협이 될 수 있습니다. 그저 정문으로 걸어 들어가는 것입니다.
사용자를 위한 보안
이러한 현실에 맞서기 위해서는 공격자의 속도에 맞춰 우리의 방어 체계도 발전해야 합니다. 몇 년 전만 해도 다중 인증(MFA)와 같이 어떤 형태의 인증이라도 도입한다면 문제가 해결된다는 일반적인 통념이 있었습니다.1 2019년에 발표된 한 연구에서는 MFA가 피싱 시도의 99%를 차단할 수 있다고 주장하여 큰 주목을 받았습니다. 하지만 이는 빠르게 변화하는 사이버 보안 환경에서 위험할 정도로 시대에 뒤떨어진 조언이 되었습니다. 오늘날 공격자들은 이를 우회하는 정교한 기술을 개발했기 때문에 기존의 푸시 알림과 SMS 기반 MFA로는 전적으로 불충분하다는 것을 알고 있습니다.
MFA는 여전히 보안의 필수적 계층이지만, 이제는 인증 방법의 품질과 보증 수준에 초점을 맞춰야 합니다. Okta는 보다 지능적이고 결정적으로 훨씬 더 원활한 최신 접근 방식으로 전략을 집중했습니다. 제 경력 이래 처음으로 보안 수준을 크게 높이는 동시에 최종 사용자 경험을 개선할 수 있다고 자신 있게 말씀드릴 수 있습니다. 핵심은 번거롭고 마찰이 많은 인증 방식에서 벗어나 사람들이 이미 매일 사용하고 있는 피싱 방지 기능을 갖춘 생체 인식 기술을 도입하는 것입니다.
많은 사람들은 단순한 얼굴 인식 또는 터치 인식으로 사실상 이미 다중 인증 방식을 사용하고 있다는 점을 모르고 있습니다. 사용자 본인(생체 인식)과 사용자가 소유한 것(등록된 디바이스)을 결합하여 마찰 없이 단 한 번의 작업으로 높은 수준의 신뢰도를 제공합니다. 목표는 보안이라는 과속 방지턱이 마치 캐리지 리턴처럼 느껴지도록 한 번 시도하여 바로 로그인하는 경험을 만드는 것입니다.
사용자 보안을 엔터프라이즈로 확장
엔터프라이즈의 경우, 한층 더 발전시킬 수 있습니다. 피싱 방지 인증을 넘어 디바이스 자체에서 풍부한 컨텍스트 정보를 수집하고 다음과 같이 질문해볼 수 있습니다. 관리형 디바이스입니까? 올바른 보안 태세를 갖추고 있습니까? XDR 솔루션과 통합됩니까? 등의 질문을 통해 풍부한 컨텍스트 신호를 수집할 수 있습니다. 이렇게 하면 위험에 대한 완전한 그림을 그리고 이면에서 더욱 스마트한 액세스 결정을 내릴 수 있습니다. 이것이 바로 Okta에서 일하는 방식에 담긴 핵심적 철학입니다. 암호가 필요 없는 안전한 인증을 제공하여 보안을 차단하는 요소에서 지원하는 요소로 전환하여 문화적 이점을 극대화합니다.
이 주제에 대해 더 자세히 알고 싶으신가요? Threat Vector 팟캐스트에서 Jamie와의 대화 전문을 무삭제본으로 들어보세요.
1’One simple action you can take to prevent 99.9 percent of attacks on your accounts’, Microsoft Security, 2019년 8월 20일.
