S2W, FIDO 얼라이언스 합류…패스키 겨냥한 위협 분석
에스투더블유(S2W)는 패스키와 다중요소인증(MFA) 기술 표준을 개발하는 글로벌 인증 협의체 ‘FIDO 얼라이언스(FIDO Alliance)’에 가입했다고 22일 밝혔다.
FIDO 얼라이언스는 비밀번호 의존도를 낮추고 피싱 공격에 대응할 수 있는 인증 기술의 확산을 추진하는 국제 협의체다. 공개키 암호화 기술을 활용한 패스키와 상호 운용이 가능한 다중요소인증 표준을 개발하고 제품 시험·인증 프로그램을 운영한다.
공개키 암호화는 서로 다른 공개키와 개인키를 이용해 사용자를 인증하는 방식이다. 패스키는 사용자가 비밀번호를 직접 입력하는 대신 기기에 저장된 개인키를 이용해 로그인한다. 애플과 마이크로소프트(MS), 구글, 오픈AI, 삼성전자, SK텔레콤 등이 FIDO 얼라이언스 회원사로 참여하고 있다.
S2W는 다크웹을 비롯한 사이버범죄 환경에서 수집한 위협 정보를 분석해 FIDO 기반 인증 체계를 노리는 공격 수법을 추적할 계획이다. 패스키 도입이 확대되면서 공격자들은 인증 기술 자체를 우회하기 위해 로그인 세션 탈취, 계정 복구 절차 악용, 기기 등록 조작 등의 수법을 사용하고 있다.
회사는 사이버위협 인텔리전스(CTI)를 활용해 새로운 인증 우회 수법과 공격자 동향을 분석하고 회원사와 관련 정보를 공유할 방침이다. 사이버위협 인텔리전스는 공격자와 악성코드, 침해 수법 등의 정보를 수집·분석해 공격을 사전에 탐지하는 기술을 뜻한다.
앤드류 시키어(Andrew Shikiar) FIDO 얼라이언스 최고경영자(CEO)는 “패스키 도입이 확대되면서 새로운 공격 기법을 미리 식별하고 차단하는 역량이 중요해졌다”며 “S2W의 위협 인텔리전스 역량과 사이버범죄 환경에 대한 분석이 FIDO 커뮤니티에 새로운 관점을 제공할 것으로 기대한다”고 말했다.
서상덕 S2W 대표는 “FIDO의 인증 체계와 S2W의 사이버위협 인텔리전스 기술을 결합해 비밀번호 없는 인증 환경의 신뢰도를 높이겠다”며 “회원사와 협력해 새로운 공격에 대응하고 제로트러스트 보안 모델을 고도화하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


