MFA2 "아무도 믿지 마라": 디지털 성벽을 허무는 제로 트러스트(Zero Trust) 보안 실무 가이드 기업의 디지털 전환과 클라우드 확산, 재택근무의 일상화는 기존의 경계 기반 보안 체계를 근본적으로 흔들고 있습니다. 과거에는 내부 네트워크는 ‘신뢰(Trusted)’, 외부는 ‘불신(Untrusted)’이라는 이분법적 논리가 통용되었으나, 이제는 내부자에 의한 유출이나 이미 침투한 공격자의 횡적 이동(Lateral Movement)으로 인해 이러한 경계 기반 모델은 더 이상 유효하지 않습니다. 이를 대체하는 새로운 패러다임이 바로 제로 트러스트(Zero Trust) 보안 아키텍처입니다. “아무도 믿지 않는다(Trust no one, Always verify)”는 철학에 기반한 이 모델은, 접속하려는 사용자의 위치와 상관없이 신원과 디바이스를 지속적으로 검증하며 최소 권한 원칙을 적용합니다. 본 글에서는 .. 2026. 1. 7. TOTP, 푸시 인증, FIDO2는 어떻게 다를까? 한때는 “비밀번호를 복잡하게 설정하는 것”만으로도 계정 보안이 어느 정도 가능했습니다. 하지만 최근 공격 방식은 단순 비밀번호 유출 수준을 넘어섰습니다. 특히 최근에는 사용자의 인증 승인 습관을 노리는 MFA Fatigue 공격이나, 실시간으로 세션을 탈취하는 AiTM(Adversary-in-the-middle) 공격 사례가 빠르게 증가하고 있습니다. 실제로 최근 보안 사고 사례를 보면 기술적 취약점 자체보다 사용자의 반복 승인 습관이나 피싱 링크 클릭을 노리는 방식이 더 많이 활용되고 있습니다. 이 때문에 기업 환경에서는 단순 SMS 인증만으로는 관리자 계정을 보호하기 어렵다는 인식이 강해졌고, 최근에는 TOTP 기반 OTP 앱이나 FIDO2 기반 패스키(Passkey), 보안키 방식이 빠르게 확산되고.. 2025. 11. 19. 이전 1 다음
