[나트랑(베트남)=김윤희 기자]"패스워드를 탈취하기 위한 피싱 공격에 저항할 수 있는 기술이 패스트아이덴티티온라인(FIDO)입니다. 피싱 공격의 95%는 FIDO만으로 보호할 수 있습니다. 적은 금액을 들여 큰 돈을 지키는 방법이기도 합니다."
히에우 민 응오 베트남 국가사이버보안센터(NCSC) 위협헌터는 29일 개최된 'FIDO APAC 서밋 2023' 현장에서 만나 이같이 말했다.
피싱 공격은 해킹 시도가 아닌 것처럼 이메일이나 웹사이트, 문자 등을 보내 피해자가 계정 정보, 금융 정보 등 개인정보를 입력하게 유도하는 해킹 기법이다. 계정 인증 과정에서 패스워드 사용을 배제하는 FIDO 인증 방식을 사용해 피싱 공격에 따른 피해 상당 부분을 예방할 수 있다는 것이다.
응오 위협헌터는 특히 현재는 정부기관 보안 전문가로 활동 중이지만, 과거 미국 시민 2억명의 개인정보와 은행 계좌 정보를 해킹으로 탈취한 이력이 있다는 점이 주목된다. 이 해킹 때문에 미국에서 체포돼 수년간 징역형을 받았다. 출소한 뒤로는 베트남에 귀국한 뒤 NCSC 활동을 지속 중이다.
응오 위협헌터는 "당시엔 여러 데이터들이 취약하게 관리되고 있었다"며 "10년 전 해킹을 할 때는 SQL 인젝션 취약점을 사용해 해킹을 했다"고 했다.
방화벽 사용이 일반화된 현재는 SQL 인젝션 취약점 기반 해킹이 어려워졌다. 반면 소셜 엔지니어링 기법으로 대상을 공략하고, 피싱 공격과 아울러 랜섬웨어 감염을 유도하는 해킹 기법이 성행하게 됐다고 진단했다.
FIDO 인증 방식은 패스워드를 사용하지 않고, 생체인증 또는 외부 인증장치 등을 활용한다. 이를 통해 이용자가 피싱 공격에 노출돼 계정정보를 입력하고, 결과적으로 해킹 피해를 입는 상황을 방지할 수 있다는 의견이다.
관련기사
- "구글·애플·마이크로소프트 손잡고 패스워드 없는 시대 간다"2022.12.20
- "매번 털리는 패스워드 안녕…이젠 패스키로 가야 할 때"2022.12.11
- SK쉴더스 "급증하는 랜섬웨어 배후는 IAB"2023.06.21
- "재무·인사 직원 이메일 노린 사이버 범죄 급증"2023.05.22
응오 위협헌터는 "이용자 관점에선 (덜 익숙한) FIDO보다 계정, 패스워드를 입력하는 방식을 더 자주 쓰려 할 수 있다"며 "그러나 FIDO는 패스워드를 입력하는 절차를 없애주고, 여러 사이트에서 쓰이는 수많은 패스워드를 일일히 기억하고 관리할 필요가 없어진다는 점에서 사용자경험(UX) 측면에서도 더 편리한 기술"이라고 강조했다.
응오 위협헌터는 피싱 공격 피해를 예방할 목적의 비영리 이니셔티브도 운영 중이다. 인공지능(AI) 기반으로 자체 개발한 도구를 사용해 피싱 사이트 정보를 수집하고, 이를 데이터베이스 삼아 사전 차단하는 브라우저 확장 프로그램을 운영하고 있다. 현재까지 수집한 피싱 사이트는 1만7천여개에 이른다. 금융정보, SNS 계정정보를 탈취하기 위한 사이트들이 주를 이룬다.