사용자 삽입 이미지
시만텍(www.symantec.co.kr)은 아이폰 사용자들의 안전한 스마트폰 사용을 위한 3단계 보안수칙을 발표했다.


최근 할리우드 유명 여배우의 사생활 사진이 SNS를 통해 확산되는 사건이 발생함에 따라 애플 아이클라우드(iCloud)의 보안에 대해 걱정을 하는 사람들이 많아졌다. 이에 시만텍은 애플 계정과 기기를 사용하는 사람이라면 누구나 활용할 수 있는 쉽고 간단한 보안 수칙을 제시했다.

1단계: 터치 아이디 지문 인식 활성화

아이폰을 설정할 때 반드시 터치아이디(ID) 기능을 활성화한다. 아이폰 5S와 아이폰 6, 아이폰 6플러스에 내장돼 있는 터치아이디는 지문 인식을 통해 사용자를 인증한다. 이를 통해 아이폰 잠금을 해제하거나, 아이튠즈와 앱스토어, 애플페이에서 제품 및 서비스의 구매가 가능하다.

초기 아이폰 설정 시 터치아이디를 활성화하지 않았더라도, 이후 설정 메뉴에서 해당 기능을 이용할 수 있다.

최신 아이폰이 아니더라도 반드시 기기에 비밀번호(Passcode)를 설정한다. 시만텍 ‘스마트폰 허니 스틱(Honey Stick) 프로젝트’에서 강조했듯이, 비밀번호를 설정해야 아이폰을 분실했거나 도난 당했을 때 다른 사람이 쉽게 잠금을 해제할 수 없다.

참고기사 : 분실된 스마트폰을 주운 사람은 무슨 행동을 할까?


스마트폰 허니 스틱 프로젝트는 시만텍이 가상의 기업 및 개인 데이터를 저장한 스마트폰 50여개를 의도적으로 분실한 후, 이를 추적한 실험이다. 실험 결과, 습득자의 96%가 스마트폰에 저장된 데이터나 앱에 접속을 시도했으며, 분실된 스마트폰의 50%는 되찾지 못한 것으로 나타났다.
 
2단계: 강력하고 복잡한 애플 아이디 비밀번호 사용

아이튠즈와 애플의 앱스토어에서 구매 시 애플 아이디가 사용된다. 또한 아이폰과 아이패드에서 아이클라우드 기능을 사용할 때에도 아이디가 필요하다. 따라서 강력한 비밀번호를 사용하는 것이 매우 중요하다.

애플 아이디를 만들기 위한 기본 비밀번호 생성 조건으로 소문자와 대문자 그리고 숫자가 각각 한 자리 이상 포함돼야 하며, 최소 8자 이상의 문자로 이루어져야 한다. 비밀번호 구성 시 최소 8자 이상으로 구성하고, 무작위로 문자를 사용함으로써 보안을 강화할 수 있다.

예를 들어 ‘P@ssw0rd’와 같이 문자 대신 기호를 사용한 패스워드는 최소 보안 조건은 충족시킬 수 있지만 여전히 취약한 반면, ‘d*&Z0jWv7Y2E$e’와 같은 알파벳과 숫자, 특수 문자를 조합한 비밀번호는 더욱 강력하다.

또한 다양한 사이트와 서비스에 동일한 비밀번호를 사용하는 것은 매우 위험하다. 현관문과 자동차에 동일한 키를 사용하지 않는 것처럼 계정마다 다른 비밀번호를 사용해야 한다.

하지만, 사용자 입장에서 강력하고 복잡한 비밀번호를 생성하고 기억하는 것은 어려운 일이다. 이런 경우에는 노턴 아이디 세이프(Norton 아이디entity Safe), 라스트패스(LastPass), 1패스워드(1Password) 등과 같은 비밀번호 관리 프로그램을 사용하는 것도 좋은 방법이다.

3단계: 이중 인증 사용

비밀번호 사용보다 강력한 보안 수준을 위해서 시만텍은 이중 인증 사용을 권고한다. 공격자들은 애플 아이디와 비밀번호를 탈취하기 위해 일반적으로 피싱 사기수법으로 애플 기기 사용자를 공격한다. 하지만 이중 인증을 사용함으로써 공격자가 동일한 사용자 이름과 비밀번호로 애플 아이디와 아이클라우드 데이터에 접근하지 못하도록 보호해준다.

이중 인증은 애플 아이디를 보호하기 위한 추가적인 보안 단계이다. 기본적으로 계정에 로그인하고 수정하기 위해 단순한 비밀번호 외에도 피셔(Phisher)들이 접근할 수 없는 신용 단말기로 전송되는 인증 번호가 필요하다.

이중 인증을 사용하려면 애플 아이디로 로그인한 후 암호 설정(Password and Security option)에서 스마트폰이나 태블릿을 신용 단말기로 등록한다. 이때 반드시 애플 암호 키 복구(Recovery key)를 준비해둬 스마트폰의 분실 또는 즉각적인 접근이 불가능하거나, 계정에 로그인이 필요한 경우에 대비해야 한다.

2014/09/23 13:32 2014/09/23 13:32
사용자 삽입 이미지

이번 아이클라우드의 정보 유출 사고 경의에 대해 아직 명확하게 밝혀지지는 않았지만, 누군가 계정 접근에 대한 권한을 얻어 특정 계정으로부터 민감한 사진을 유출시켰다는 것은 명백한 사실이다.

이번 사고는 클라우드 사용이 점차 증가함에 따라 공격에 노출된 부분들을 더욱 철저하게 감시하고, 계정 접근 관리에 민감하게 대응해 보안 위험성을 최소화해야 할 필요성을 여실히 보여줬다.

‘버라이즌 데이터 침해 조사 2014’ 보고서에 따르면, 15번의 스피어 피싱 공격을 한 경우 공격 대상의 90 %가 유해 사이트로 연결되는 ‘클릭’을 하는 것으로 나타났다.

일단 공격자들이 피해 대상의 이메일 주소를 확인한 경우, 보안에 대해 굉장히 민감한 이들을 제외하고는 이와 같은 공격에 속수무책일 수 밖에 없는 것이다.

<딜라이트닷넷>는 보메트릭의 엘런 케슬러(Alan Kessler) 최고경영자(CEO)에게 이번 아이클라우드 사태로 인해 클라우드 서비스에 대한 예상되는 공격 유형과 이에 대한 대응방안을 물어봤다.

Q.계정 탈취가 일어나는 이유는 무엇인가?

케슬러. 클라우드 서비스에서는 클라우드 관리자, 스토리지 관리자, 시스템 관리자 등 권한 있는 사용자 계정이 주요 공격 대상이 된다.

공격자는 사용자의 링크드인, 페이스북 및 기타 미디어를 통해 이러한 계정을 보유하고 있는 사람들을 찾아내고, 이들의 계정을 도용해 시스템 리소스에 대한 접근 권한을 얻는다. 때때로 공격자들은 사용자들이 자주 사용하는 사이트를 통해 데이터를 훔쳐낸다.

이러한 방식을 ‘워터 홀링(Water Holing)’이라고 부르며, 게임 사이트가 주요 공격의 대상이 되는 이유기도 하다. 공격자들은 일명 ‘워터홀(Water hole)’ 공격으로 권한을 훔쳐내고, 그와 같은 권한이 VPN이나 보안 사이트에 대한 액세스 권한으로도 사용될 수 있음을 유추해낸다.

일반적으로 많은 이들이 하나의 아이디/패스워드를 여러 업무 (또는 모든 업무)에 걸쳐 동일하게 사용하고 있기 때문이다.

2014 보메트릭 내부자 위협 보고서에 따르면, 이러한 내부 위협 요소의 2/3가 IT 관리자 계정 및 특정 권한 계정과 관련이 있으며, 또한 내부 네트워크에서 임무를 수행하는 협력업체 인력의 계정과 관련이 있다고 확인됐다.
사용자 삽입 이미지

Q.계정을 잘 보호한다고 모든 문제가 해결되는가? 시스템통합 과정이나 협업에서는 공동으로 사용되는 계정도 있다. 이는 어떻게 해야 하는가


케슬러. 암호화뿐 아니라 중요 데이터에 대한 섬세한 접근 제어 정책 설정이 필요하다.


이러한 정책을 통해 관리자 계정도 암호화된 데이터에 대한 접근을 제한시켜야 하며, 이때 해당 사용자는 아무런 문제 없이 작업 수행은 할 수 있다. 이로써 실제 계정이 도용 당하는 경우에도 ‘공격에 노출되는 면’을 최대한 좁힐 수 있다.

또한, 특정 계정을 통해 확인 가능한 데이터 엑세스 정보도 보호할 수 있다. 기존의 사용 패턴 기록을 통해 각 계정 별로 전형적인 사용 유형을 분석할 수 있으며, 평소와 다른 사용 패턴이 감지되는 경우에 계정 도용에 대한 조사를 실시할 수 있다.

이를 통해 업무상 볼 필요가 없는 정보에 대한 접근이 발생하는 경우, 해당 계정을 즉각 식별함으로써 신속한 대응이 가능하다.
사용자 삽입 이미지

Q.이번 아이클라우드 사태와 관련 나는 멀티팩터인증이 공격을 차단하는데 효과적일 것이라는 컬럼을 쓴 적이 있다. 당신의 생각은 어떠한가.

케슬러. 멀티팩터인증은 ‘공격 범위’를 좁히는 데에 큰 도움이 된다. 계정 정보 탈취를 막기 위해서는  뭔가를 ‘가지고 있는가’뿐만 아니라 뭔가를 ‘알고 있는가’도 중요한 고려 대상이 된다.

뭔가를 ‘알고 있다’는 것은 사용자의 패스워드 및 로그인 정보에 해당하며, ‘가지고 있다’는 것은 보안을 원하는 정보의 양에 따라 매우 다양하게 나타난다. 일부 보안 액세스는 접근을 위해 특정 키를 요구한다.

예를 들어 정부 및 국방 조직에서는 일반적으로 CAC 카드를 사용한다. 또 다른 보호 전략으로는 특정 머신에 로그인하는 방법이 있다. 오직 특정 계정이 특정 머신에서 로그인 된 경우에만 접근 권한을 부여하는 것이다. 또한 오프라인 보안 툴을 통해 액세스를 위한 질문·응답을 요구할 수도 있다.


2014/09/05 14:23 2014/09/05 14:23
사용자 삽입 이미지

제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.

애플, 아이클라우드 해킹 사고 자체 조사 시작



1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.

일부 IT, 보안업계에서는 이번 해킹이 브루트포스 수법을 통한 해킹으로 유추하고 있다. 브루트포스에 취약한 점이 확인됐기 때문이다.

먼저 브루트포스 수법을 알아보자. 이 수법은 가장 난이도가 낮으나 강력한 힘을 갖고 있다. 계정 암호값을 알아내기 위해 가능한 모든 값을 대입해 매칭되는 값을 알아내는 방식이다.

가령 4자리 비밀번호의 경우 0000에서부터 9999까지 1만개의 비밀번호를 일일히 암호폼에 입력해 일치하는 값을 알아내는 방법이다. 과거 영화에서 볼 수 있었던 '암호를 알아내기 위해 수많은 숫자들이 스크롤링 되는 장면'이 바로 브루트포스를 이용한 해킹인 것이다.

하지만 브루트포스 공격은 이미 널리 알려진 상황이기 때문에 대응하는 방법도 널리 나와있는 상태다. 가장 일반적인 방법은 캡챠(Capcha)코드를 사용하는 법이다.

일정 횟수 이상 비밀번호를 틀릴 경우 임의의 코드를 입력하도록 새로운 폼을 하나 더 생성해 노출하게 된다. 아직까지 캡챠코드를 읽을 수 있는 애플리케이션이 없기 때문에 브루트포스를 막기에는 최적의 방법이다. 실제로 국내 포털사이트들은 5회 이상 로그인 실패 시 캡챠코드를 보여주며 자동화된 공격을 차단한다.

애플은 디바이스에 대해서는 이를 적용했다. 10회 이상 비밀번호를 틀릴 경우 디바이스에 저장된 모든 데이터를 삭제하도록 하는 기능을 아이폰, 아이패드, 맥 등에 탑재했다.

하지만 아이클라우드에는 이를 적용하지 않았는데, 이 때문에 이번 해킹 사고가 발생하지 않았나하는 지적도 나오고 있는 상황이다.

실제 아이클라우드에서 자신의 계정으로 브루트포스를 시행해보라. 캡챠코드는 커녕 이를 저지하는 팝업하나 뜨지 않음을 확인할 수 있다.
사용자 삽입 이미지

브루트포스 공격을 차단하는 두번째 방법은 멀티팩터인증을 도입하는 것이다. 멀티팩터 인증은 금융회사들이 사용하는 일회용비밀번호(OTP) 생성기나 보안카드 등을 통해 추가로 접근 권한을 부여하는 방법이다.

사용자 본인만 알 수 있는 인증 수단을 통해 제3자의 접근을 통제하는 효율적인 방법이다. 페이스북, 드롭박스, 구글, 에버노트 등 대부분의 서비스 제공자들은 이를 지원하고 있다.

애플도 지난해 북미를 시작으로 멀티팩터인증을 도입했으나 사용하지 않는 사람이 많은 것으로 보인다. 이는 아이클라우드 등록시 멀티팩터인증을 안내하는 절차가 없었기 때문으로 추정된다.  애플의 멀티팩터 인증은 문자메시지를 통해 이뤄진다. 국내 소액인증과 같은 방식이다.

Apple ID의 2단계 확인에 대한 자주 묻는 질문


브루트포스 공격이 사실로 드러난다면 애플에 대한 사용자와 셀럽들의 비난이 집중될 것으로 보인다.
2014/09/02 09:52 2014/09/02 09:52