Home > 전체기사

비밀번호가 없을 때 더 안전하다! MS, 패스워드리스 로그인 도입 확대

  |  입력 : 2021-09-16 11:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 사이버 공격자, 내부망 침투 위해 임직원 계정 비밀번호 알아내는 데 집중
대부분 기억하기 쉬운 비밀번호를 조금씩 변형하는 형태로 사용해 쉽게 노출
MS, 비밀번호 없이 생체인식, OTP, 스마트폰 앱 등으로 로그인하는 기능 확대 적용


[보안뉴스 이상우 기자] 마이크로소프트가 ‘패스워드리스(Passwordless Authentication)’ 적용 범위를 확대하고, 모든 사용자가 비밀번호 없이도 자사 계정에 안전하게 로그인할 수 있도록 한다. 최근 원격근무 확산 등으로 사이버 보안 위협은 더욱 증가하고 있으며, 여기에 이메일, 금융, 소셜 등 디지털 생활의 주요 보안 수단으로 사용되고 있는 비밀번호는 사이버 공격자의 주요 공격 표적이 되고 있다. 특히, 공격자는 보안 경계를 뚫는 것 보다는, 쉽게 구할 수 있는 사용자 계정으로 로그인 한 후 내부에서 더 높은 권한을 탈취하면서 공격 범위를 확장해 간다.

[사진=마이크로소프트]


마이크로소프트가 최근 실시한 조사에 따르면 사람들은 일반적으로 기억하기 쉬운 비밀번호를 만들기 위해 비밀번호에 가족의 이름, 생일 등의 단어와 숫자를 포함하고, 10명 중 1명은 모든 사이트에 동일한 비밀번호를 사용한다. 이는 해커들의 공격으로 이어지고 있으며, 실제로 매초 약 579건, 매년 180억 건의 비밀번호 해킹 발생의 원인이 되고 있다.

이에 마이크로소프트는 지난 3월 ‘기업용 패스워드리스’를 출시해 사용자가 비밀번호를 입력하는 대신 생체인식, 일회용 비밀번호, 모바일 앱을 이용한 푸시 알림 등으로 로그인이 가능하도록 했다. 그리고 오늘, 마이크로소프트는 사이버 공격자의 진입점이 될 수 있는 비밀번호를 완전히 제거하고자 이 기능을 일반 사용자에게까지 확대한다. 이제 마이크로소프트 계정을 보유한 일반 사용자는 누구나 아웃룩, 원드라이브, 패밀리 세이프티(Family Safety) 등과 같은 자사의 주요 앱과 서비스에서 간단한 설정만으로 비밀번호 없이 로그인할 수 있다.

먼저 마이크로소프트 계정 설정 사이트를 방문해 ‘고급 보안 옵션’, ‘비밀번호 없는 계정 켜기’ 등 간단한 과정을 거치면 일반 사용자들도 비밀번호가 아닌 다른 인증 방법으로 로그인할 수 있다. 휴대폰 등에 설치된 인증 앱이 개인 계정과 연결돼야 하며, 비밀번호 사용을 원할 경우 언제든지 계정에 비밀번호를 다시 추가할 수 있다.

마이크로소프트 바수 자칼(Vasu Jakkal) 보안 부문 부사장은 “차세대 로그인 방식은 패스워드리스이며, 마이크로소프트는 모든 사용자에게 비밀번호 없는 인증을 장려할 것”이라며, “친숙하고 편리한 인증 경험을 통해 다양한 디바이스와 서비스에 걸쳐 최고 수준의 보안을 제공하겠다”고 말했다.

한편, 마이크로소프트는 조사를 통해 15%의 사람들이 비밀번호에 반려동물의 이름을 활용하고, 40%는 기존 비밀번호에서 연결된 단어나 숫자만 바꾸는 등 단순한 규칙으로 비밀번호를 업데이트하고 있음을 확인했다. 이 때문에 해커들은 소셜 미디어를 통해 개인정보가 포함된 비밀번호와 패턴을 쉽게 파악할 수 있으며, 비밀번호를 자주 변경하더라도 해커의 공격에서 벗어나기 어렵다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)