야생에서는 취약점이 고급 공격이나 복잡한 악성 소프트웨어에 의해서만 악용되는 것이 아니라, 때때로 기본 비밀번호와 같은 단순한 문제로부터 비롯됩니다. 사이버보안 전문가들로부터 수년간의 경고에도 불구하고, 많은 시스템들이 여전히 기본 인증 정보에 의존하고 있어 공격자들에게 매우 쉬운 목표가 되고 있습니다. 이러한 위험을 해결하기 위해, 미국 사이버보안 및 인프라 보안국 (CISA)은 그들의 Secure by Design 프레임워크 내에서 가이드라인을 제시하였으며, 기업들에게 기본 설정을 버리고 처음부터 더 안전한 시스템을 구축하도록 촉구하고 있습니다.
왜 기본 비밀번호가 위협이 되는가
기본 비밀번호는 사용자의 초기 설정을 간편하게 하기 위해 제조사가 생산 과정에서 미리 설정합니다. 그러나 이러한 인증 정보는 종종 간단하고 많은 기기에서 동일하게 사용되어, 쉬운 타겟이 될 수 있습니다. 공격자들은 쉽게 추측할 수 있는 기본 인증 정보를 사용하거나 비밀번호를 빠르게 해독할 수 있는 프로그램을 사용하여 시스템에 접근하고, 소중한 데이터를 위협할 수 있습니다.
Publicly Available Credentials: 많은 기본 비밀번호들이 사용자 매뉴얼에 공개적으로 문서화되어 있거나 온라인에서 쉽게 검색할 수 있습니다. 이로 인해 악의적인 행위자들이 복잡한 해킹 기법 없이 인증을 우회할 수 있습니다.
접근의 일관성: 기본 비밀번호가 변경되지 않을 때, 공격자들은 그들의 노력을 여러 시스템에 확장시킬 수 있으며, 단일 약점에서 전체 네트워크에 접근할 수 있습니다.
Supply Chain Risk: 공급 체인에서 기본 비밀번호를 사용하는 제품은 특히 취약합니다. 이러한 약점은 시스템이 최종 사용자에게 도달하기 훨씬 전에 악용될 수 있어, 침해 위험이 확대됩니다.
CISA의 Secure by Design 원칙에 맞춰 Avant 정렬하기
CISA의 Secure by Design 이니셔티브는 보안이 사후적인 생각이 아니라 소프트웨어와 시스템이 처음부터 구축될 때부터 포함되어야 함을 강조합니다. 다음은 Avant에서 그 비전을 지원하기 위해 우리 시스템을 구축하는 방법입니다:
처음부터 인증 보안하기 ...
Avant는 계정 개설 초기에 강력하고 독특하며 잘 보호된 자격 증명을 우선시하고 있습니다. 이는 우리가 다음과 같다는 것을 의미합니다:
- 각 새 계정에 대한 고유한 비밀번호 강제
- 첫 사용시 즉시 비밀번호 변경을 요구하여 사용자가 기본 자격 증명으로 작동하지 않도록 합니다.
- 모든 새로운 자격 증명이 강력한 보안 표준을 충족하도록 비밀번호 강도 검사를 구현합니다.
사용자의 부담 줄이기
CISA의 지침은 사용자의 복잡성을 줄이면서 보안을 유지하도록 권장합니다. Secure by Design 원칙에 맞추어, Avant는 다음과 같이 작동합니다: ...
- 사용자가 수동으로 비밀번호를 재설정하거나 업데이트하는 것에 의존하지 않고, 자동 비밀번호 정책을 구현하여 모범 사례를 강제하는 것을 피하십시오. ...
- 비밀번호 생성기를 사용하여 각 계정에 대해 새롭고 독특한 비밀번호를 안전하게 생성합니다. ...
- 우리 팀 모든 구성원에게 비밀번호 관리자의 사용을 요구하고 강제하여, 내부 시스템에 대한 자격 증명의 안전한 저장을 보장합니다. ...
전진하는 길
기본 비밀번호를 제거하는 것은 Secure by Design 접근법에서 핵심 단계이지만, 우리는 인증의 미래를 대비해야 합니다. 우리는 학교들과 파트너십을 맺어, 조직들이 지원하는 경우 우리 시스템에 대한 단일 로그인을 구현하고 있습니다. 이는 비밀번호 피로를 줄이고 우리 제품의 사용을 용이하게 할 것입니다. 더 안전한 신원 확인 형태에 집중함으로써, 우리는 사용자와 그들의 데이터를 더 잘 보호할 수 있습니다.
Avant의 Secure by Design 약속
Avant는 최고의 사이버 보안 표준을 준수하는 데 전념하고 있습니다. 우리의 Secure by Design 약속의 일환으로, 모든 플랫폼에서 기본 비밀번호의 사용을 단계적으로 중단하고, 강력한 비밀번호 정책을 시행하며, 다중 요소 인증을 장려하고 있습니다. 또한 사이버 보안 환경이 어떤 모습인지를 미리 살펴보고, 시스템의 보안성과 편의성을 더욱 향상시키기 위해 비밀번호 없는 인증 솔루션과 같은 미래의 옵션을 탐색하고 있습니다.
이러한 조치를 받아들임으로써, 우리의 사용자들은 일반적이고 신흥 위협에 대해 더 잘 보호받을 수 있으며, 그들이 기대하는 원활한 경험을 제공합니다. 안전을 유지하는 것은 단순히 사건에 반응하는 것을 넘어서, 처음부터 적극적인 태도를 가지는 것을 의미합니다.
Avant의 사이버 보안에 대한 헌신에 대해 더 알아보려면 아래의 관련 게시물을 확인해 보세요.
