콜로니얼 파이프라인(Colonial Pipeline)과 솔라윈즈(SolarWinds), 마이크로소프트 익스체인지(Microsoft Exchange) 모두 지난 몇 년 사이에 대규모 기업 네트워크와 기반 시설의 사이버 공격 사례로, 패스워드 관리 관행이 매우 형편없었다는 사실에 주목하는 사례가 되었다. 기본적으로 훌륭한 데이터 보안과 패스워드 원칙을 갖추어도 패스워드 유출이나 탈취, 추측 등으로 심각한 피해가 발생할 수 있다. 기업 데이터와 시스템 보안 침해는 물론이고, 공급망 전반에 피해가 파급효과처럼 확산돼, 고객과 공급사에도 심각한 피해를 줄 수 있다. 그리고 결과적으로 기업 명예가 실추될 것이다.
패스워드가 사라지는 추세가 임박했다는 예측이 제기되었으나 다음과 같은 반대 상황이 발생하기도 한다. 지난 몇 년간 온라인으로 이관한 서비스와 기기가 배로 증가하면서 패스워드 사용량이 급증했다. 즉, 그 어느 때보다 직원이 패스워드 과중 문제를 겪을 확률이 높아, 결과적으로 패스워드 재사용이나 간단하면서 손쉽게 추측할 수 있는 코드를 사용하는 등의 행동 전략을 채택하게 된다.
일반적으로 기관은 패스워드 정책을 시행하면서 패스워드 유출 위험성을 관리했다. 그러나 기업 단위 패스워드 매니저는 직원의 패스워드 관리 부담을 덜면서 훨씬 더 효율적인 기업 안전을 지원한다.
패스워크(Passwork)와 같은 기업 단위 패스워드 매니저는 IT 관리자라면 누구나 익숙할 만한 문제를 해결하도록 돕는다. 기업 전체 영역에 걸쳐 올바른 패스워드를 적용할 방법을 찾느라 애먹던 때나 직원이 휴가를 떠나는 때, 기업이 우수한 상태로 돌아올 수 없는 때는 사라질 것이다.
패스워크는 관리자에게 매우 높은 수준으로 조직 패스워드를 보고 관리할 권한을 부여한다. 이 덕분에 관리자는 별다른 어려움 없이 기업 전반의 패스워드 접근 및 활용 현황을 추적할 수 있다. 직원 여러 명이 패스워크를 사용해 높은 보안을 유지한 채로 팀원의 기업 자산 금고나 공유 폴더에 초대하는 협력 작업이 수월하게 진행되도록 돕는다. 더불어 자동화된 보안 감사를 시행하면서 추가 소프트웨어 요구사항의 필요성이 사라진다. 패스워크는 자체 2단계 인증 앱인 ‘Passwork 2FA’를 사용해, 단 한 번의 클릭만으로 사용자 인증을 완료하도록 돕는다. 인증 시 시간 기반 일회용 패스워드(TOTP)를 입력할 필요가 없다.
패스워크 매니저는 패스워크와 같은 단일 로그인(SSO) 기능을 지원한다. 즉, 기기가 자동으로 적절한 포털을 인식해, 가장 보편적인 기업 보안 공격인 피싱 방어 기능을 지원한다는 의미이다. 피싱 공격에는 직원이 패스워드를 포함한 민감 정보를 공개하도록 설계한 소셜 엔지니어링 공격이 동원된다. 최근 영국 디지털 문화 미디어 및 스포츠부는 조직 10곳 중 8곳꼴로 피싱 공격 시도를 겪었다는 최신 데이터를 공개했다.
[사진=Pixabay]
패스워크의 SSO 기능은 많은 직원이 자동 패스워드 입력에 상대적으로 더 익숙하다는 의미이다. 잘못된 정보 입력 요청 시에는 즉시 의심을 제기하게 된다. 공격에 대한 또 다른 방벽에는 ‘액션 히스토리(action history)’ 기능이 있다. 액션 히스토리 기능은 인증되지 않은 접근 시도를 모두 추적하고 잠재적인 공격을 경고하도록 한다. 패스워크의 온프레미스(on-premise) 솔루션은 민감한 데이터를 인터넷으로 전송할 일이 없다. 따라서 외부 사이버 공격 세력으로부터 안전하다.
2022년 6월 자로 출시된 패스워크 최신 버전은 TOTP로 2단계 인증을 적용한다. 최고급 기술 표준이기도 한 패스워크의 2단계 인증 표준은 알고리즘을 사용해 일회성 고유 패스워드를 생성한다. 2단계 인증은 민감한 정보를 다루는 시스템과 정보를 제대로 보호할 적합한 방법이다. 만약, 이를 활용했다면, 2021년, 미국 주요 기반 시설을 공격한 콜로니얼 파이프라인 랜섬웨어 피해를 예방할 수 있었을 것이다.
영국 사이버 보안 센터(National Cyber Security Centre)는 가급적이면 보안을 갖춘 데이터 저장을 위해 패스워드 매니저를 활용할 것을 권고한다. 특히, 조직 내 직원에게는 임의 패스워드 생성 프로그램을 활용하도록 독려한다. 패스워크는 여러 기관이 최첨단 데이터 보안 표준을 활용하도록 지원한다.
많은 기업이 디지털 시대에 더 빠른 속도로 접어들면서 사이버 보안 성공이 그 어느 때보다 더 중요해졌다. 전체론에 따른 전략과 인간의 불완전성에 책임을 저야 하지만, 기술적 방어가 디지털 시대의 기업 보안의 중요한 초석이 될 것이다.
조직 규모를 떠나 어느 기업에나 적합한 보안 관리 솔루션을 제시하는 패스워크는 웹 버전과 모바일 애플리케이션, 브라우저 확장 프로그램 모두 지원한다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202209/4196_5568_3049.jpg)
뉴스레터 신청