MFA

비밀번호도, 문자 인증도 피싱에 털리는 세상 – YubiKey 같은 보안키가 왜 ‘기본 옵션’이 되어 가는지1. YubiKey는 정확히 뭐 하는 물건인가YubiKey는 USB·NFC 형태의 작은 하드웨어 보안키로, 계정 로그인 시 비밀번호 대신 또는 비밀번호와 함께 쓸 수 있는 피싱 저항 인증 수단입니다. 이 키 안에는 웹사이트·서비스별로 생성된 비공개 키(private key)가 저장돼 있고, 사이트에 로그인할 때 FIDO2/WebAuthn 같은 표준을 통해 공개키 기반 인증을 수행합니다. 중요한 건 이 비공개 키를 키 밖으로 꺼낼 수 없다는 점으로, Reddit 사용자 설명처럼 “키가 없어지면 비밀도 같이 사라지는 구조”라 복제·탈취가 사실상 어려운 방식입니다.2. 왜 SMS·OTP보다 강력한가 – ..

사내망에만 들어오면 다 믿어주던 시대는 끝 – “Never trust, always verify”를 현실적으로 풀어보면1. 제로 트러스트, 한 문장 정의NIST 800-207 문서와 여러 보안 단체 정의를 종합하면, 제로 트러스트(Zero Trust)는 “아무 것도 기본적으로 신뢰하지 않고, 모든 접근을 매번 검증하는 보안 전략”입니다. Cloud Security Alliance와 NordLayer는 이를 “네트워크 안에 있다고 해서 안전하다고 가정하지 않는, ‘Never trust, always verify’ 프레임워크”라고 설명합니다. 핵심은 예전처럼 사내망/VPN 안에만 들어오면 ‘우리 사람’이라고 보는 게 아니라, 사용자·기기·애플리케이션·요청 하나하나를 그때그때 확인하고 필요한 만큼만 허용하는 ..