'전직 해커' 보안 전문가의 조언 "FIDO, 피싱 95% 예방"

김윤희 기자 2023. 8. 30. 08:36
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

"패스워드를 탈취하기 위한 피싱 공격에 저항할 수 있는 기술이 패스트아이덴티티온라인(FIDO)입니다. 피싱 공격의 95%는 FIDO만으로 보호할 수 있습니다. 적은 금액을 들여 큰 돈을 지키는 방법이기도 합니다."

계정 인증 과정에서 패스워드 사용을 배제하는 FIDO 인증 방식을 사용해 피싱 공격에 따른 피해 상당 부분을 예방할 수 있다는 것이다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[인터뷰] 히에우 민 응오 NCSC베트남 위협헌터

(지디넷코리아=김윤희 기자)[나트랑(베트남)=김윤희 기자]"패스워드를 탈취하기 위한 피싱 공격에 저항할 수 있는 기술이 패스트아이덴티티온라인(FIDO)입니다. 피싱 공격의 95%는 FIDO만으로 보호할 수 있습니다. 적은 금액을 들여 큰 돈을 지키는 방법이기도 합니다."

히에우 민 응오 베트남 국가사이버보안센터(NCSC) 위협헌터는 29일 개최된 'FIDO APAC 서밋 2023' 현장에서 만나 이같이 말했다.

피싱 공격은 해킹 시도가 아닌 것처럼 이메일이나 웹사이트, 문자 등을 보내 피해자가 계정 정보, 금융 정보 등 개인정보를 입력하게 유도하는 해킹 기법이다. 계정 인증 과정에서 패스워드 사용을 배제하는 FIDO 인증 방식을 사용해 피싱 공격에 따른 피해 상당 부분을 예방할 수 있다는 것이다.

히에우 민 응오 베트남 NCSC 위협 헌터

응오 위협헌터는 특히 현재는 정부기관 보안 전문가로 활동 중이지만, 과거 미국 시민 2억명의 개인정보와 은행 계좌 정보를 해킹으로 탈취한 이력이 있다는 점이 주목된다. 이 해킹 때문에 미국에서 체포돼 수년간 징역형을 받았다. 출소한 뒤로는 베트남에 귀국한 뒤 NCSC 활동을 지속 중이다.

응오 위협헌터는 "당시엔 여러 데이터들이 취약하게 관리되고 있었다"며 "10년 전 해킹을 할 때는 SQL 인젝션 취약점을 사용해 해킹을 했다"고 했다.

방화벽 사용이 일반화된 현재는 SQL 인젝션 취약점 기반 해킹이 어려워졌다. 반면 소셜 엔지니어링 기법으로 대상을 공략하고, 피싱 공격과 아울러 랜섬웨어 감염을 유도하는 해킹 기법이 성행하게 됐다고 진단했다.

FIDO 인증 방식은 패스워드를 사용하지 않고, 생체인증 또는 외부 인증장치 등을 활용한다. 이를 통해 이용자가 피싱 공격에 노출돼 계정정보를 입력하고, 결과적으로 해킹 피해를 입는 상황을 방지할 수 있다는 의견이다.

응오 위협헌터는 "이용자 관점에선 (덜 익숙한) FIDO보다 계정, 패스워드를 입력하는 방식을 더 자주 쓰려 할 수 있다"며 "그러나 FIDO는 패스워드를 입력하는 절차를 없애주고, 여러 사이트에서 쓰이는 수많은 패스워드를 일일히 기억하고 관리할 필요가 없어진다는 점에서 사용자경험(UX) 측면에서도 더 편리한 기술"이라고 강조했다.

응오 위협헌터는 피싱 공격 피해를 예방할 목적의 비영리 이니셔티브도 운영 중이다. 인공지능(AI) 기반으로 자체 개발한 도구를 사용해 피싱 사이트 정보를 수집하고, 이를 데이터베이스 삼아 사전 차단하는 브라우저 확장 프로그램을 운영하고 있다. 현재까지 수집한 피싱 사이트는 1만7천여개에 이른다. 금융정보, SNS 계정정보를 탈취하기 위한 사이트들이 주를 이룬다.

김윤희 기자(kyh@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?