1. 다단계 인증(MFA, Multi-Factor Authentication)
1.1. 개념
- 사용자 인증의 유형 중 3가지 이상의 인증 메커니즘을 사용하는 방법
1.2. 사용자 인증 유형
- 지식 기반 인증(Something you know)
- 사용자가 알고 있는 정보로 사용자를 인증하는 방법
- 패스워드, PIN
- 소유 기반 인증(Something you have)
- 사용자가 소유한 다양한 매체로 사용자를 인증하는 방법
- 도용의 위험으로 지식 기반 인증이나 생체 인증과 함께 사용
- 토큰, 스마트카드, OTP
- 존재 기반 인증(Something you are)
- 사용자의 생체정보로 사용자를 인증하는 방법
- 홍채, 지문, 망막, 얼굴, 정맥
- 위치 기반 인증(Something you are)
- 사용자의 현재 위치를 인증에 사용하는 방법
- GPS 위치, IP 주소
- 행동 기반 인증(Something you do)
- 사용자의 특정 행동 패턴으로 인증하는 방법
- 키보드 입력, 서명
2. 다크웹(Dark Web) 동향
- 기업 네트워크 접근 권한은 평균적으로 $1,000이하에 거래되고 있어 해커들이 기업 시스템에 침투할 수 있는 초기 진입점을 저렴한 비용으로 확보할 수 있다.
Dark Web Cybercrime Market Analysis: Pricing And Trends In 2024
The dark web marketplace ecosystem operates through a sophisticated combination of fixed-price listings and auction-based sales for premium tools. Transaction
cybersecurefox.com
- Facebook 계정은 평균 $50, Amazon Business Prime 계정은 $35, Twiter 및 Instagram 계정은 각각 $20에 판매되고 있다.
Inside the Dark Web Economy: Key Insights from SOCRadar's Annual Dark Web Report 2024 - SOCRadar® Cyber Intelligence Inc.
SOCRadar’s 2024 Annual Dark Web Report offers valuable insights for cybersecurity professionals, shedding light on the most significant...
socradar.io
3. 유출된 자격 증명의 사용
- 대형 기업을 대상으로 한 크리덴셜 스터핑(Credential Stuffing) 공격의 성공률은 2% 미만이지만 소규모 웹사이트에서는 최대 35%에 달한다.
- AI 기반의 자동화 도구(CUAs)는 크리덴셜 스터핑 공격을 더욱 정교하고 효율적으로 수행할 수 있게 하며 기존의 보안 방어 체계를 우회할 수 있는 잠재력을 가지고 있다.
Credential Stuffing 2024: Why AI-Powered Attacks Are the Cybercriminal's New Best Friend
Stolen credentials were the cybercriminal's weapon of choice in 2024, contributing to 80% of web app attacks. With billions of leaked credentials available for as little as $10, cyber attackers are like kids in a candy store, except the candy is your perso
thenimblenerd.com
4. 주안점
- 비밀번호가 유출되었더라도 계정 접근을 방지할 수 있는 MFA를 적극 사용해야 한다.
- 해커는 탈취한 자격 증명을 통해 A사이트만 공격하는 것이 아니라 그 외의 다양한 사이트에 크리덴셜 스터핑 공격을 시도한다.
- 이는 동일한 자격 증명을 사용할 시 MFA를 사용하는 A사이트는 안전할 수 있으나 MFA를 사용하지 않는 B사이트는 안전하지 못하다는 의미이다.
- B사이트가 안전하지 않다면 내 개인정보는 안전하지 않은 것이고 해커들의 먹잇감이 될 수 있다.
* 크리덴셜 스터핑(Credentail Stuffing)
- 유출된 ID/패스워드 조합을 자동화된 여러 사이트에 시도해서 로그인에 성공하는 공격 기법
** Computer-Using Agents(CUAs)
- AI 기술을 활용하여 브라우저나 운영체제를 실제 사용자처럼 조작하는 자동화 도구
- 크리덴셜 스터핑, CAPTCHA 우회 등에 사용
*** 딥웹(Deep Web)
- 일반적으로 접근은 가능하지만 검색엔진에 노출되지 않는 웹 영역
- 로그인해야 볼 수 있는 기업 내부 포털, 유로 구독 서비스 내부 자료, 이메일, 클라우드 저장소 등
**** 다크웹(Dark Web)
- 특수한 브러우저만 접근 가능한 익명성 기반의 웹 공간
- 익명성 보장을 최우선으로 설계되며 딥웹의 한 부분이지만 접근성과 사용 목적이 훨씬 제한적이고 위험도가 높음
- 마약, 무기, 위조문서, 해킹 툴, 유출된 개인정보 판매 등
'정보보안 > 끄적이는 공간' 카테고리의 다른 글
| 우리는 L4와 L7 로드 밸런서 중 무엇을 선택해야 하는가? (0) | 2025.04.01 |
|---|---|
| 멀티클라우드(Multi-Cloud)에 대하여 (0) | 2025.02.19 |
| 우리는 AWS와 Azure 중 무엇을 선택해야 하는가? (0) | 2025.02.15 |
| AWS와 Azure에 대하여 (2) | 2025.02.14 |