2024-03-29 09:15 (금)
[연재-2] 무료 OTP로 구축하는 철옹성 보안
상태바
[연재-2] 무료 OTP로 구축하는 철옹성 보안
  • 홍석범
  • 승인 2016.04.22 01:07
이 기사를 공유합니다

무료로 사용할 수 있는 상용 OTP 솔루션도 있다
지난 시간에는 구글OTP 활용 방안에 대해 살펴보았는데, 이는 경제적인 것 뿐만 아니라 안전하고 편리하지만 보안적인 측면에서 다음과 같은 몇 가지 아쉬운 점이 있다.

(1) OTP인증 성공,실패에 대한 로그 기록이 지원하지 않는다.
OTP인증 과정에서 pass/fail에 대한 로그 기록이 있어야 brute force나  부정한 사용에 대한 모니터링 및 추적이 가능한데, 구글OTP는 이러한 기능에 대한 로깅이 제한적이다.

(2) OTP코드 재사용이 가능하다.
구글OTP는 하나의 QR코드를 사용할 수 있는 모바일 단말기의 개수에 대한 제약이 없기 때문에, 하나의 OTP를 여러 유저들이 공유하여 사용할 수도 있고, 실제로 얼마나 많은 유저들이 공유하고 있는지 알 수 없다. 따라서, 백업을 위해 복사해 둔 QR코드를 공격자가 발견하여 등록 후 사용을 하게 되면 알 수 있는 방법이 없는데, 이는 마치 복제폰을 사용하는 것과 같은 위험성이 있다고 할 수 있다.

(3) PC에 설치해 사용할 수도 있다.
구글OTP는 브라우저 플러그인이나 별도의 Application 형태로 데스크탑에 설치하여 사용할 수도 있다. 이는 편리한 기능이기는 하지만, 보안의 입장에서는 권장하지 않는 방법이다. 즉, Multi Factor 인증의 주요한 원칙 중 하나는 주로 업무를 위해 사용하는 랩탑/데스크탑과 물리적으로 분리된 스마트폰과 같은 별도의 device를 이용한 인증이어야 한다는 것인데, 랩탑/데스크탑을 통해 ID/PW를 입력하면서 OTP역시 같은 디바이스에서 사용한다는 것은 Multi Factor인증의 의미가 없어진다는 것이다.

(4) 다양한 어플리케이션에 활용이 어렵다.
구글OTP는 지난 번에 살펴본 SSH외에도 OpenVPN이나 Github, Wordpress나 webmain등을 지원하지만 이외 상용 VPN이나 MS의 Remote desktop 또는 내부의 관리웹사이트에 적용하는 것은 매우 어렵다.
 
이러한 한계를 극복하기 위해 다시 고가의 상용 솔루션을 찾아야 하는 걸까? 이에 대한 대안으로 Cloud 서비스를 검토해 볼 수 있는데, 그 중에서 특히 듀오시큐리티(https://duo.com/)에서 제공하는 OTP는 상용 서비스를 제공하면서도 10개 계정까지는 비용 지불 없이 무료로 사용할 수 있어 10명이내의 소규모 팀에서는 부담 없이 사용할 수 있는데, 다음과 같은 특징이 있다.

-DUO는 웹관리 대쉬보드를 통해 OTP인증에 대한 성공, 실패에 대한 로그 정보 및 접속IP, 단말기종류에 대한 정보를 보여주어 이 정보를 토대로 audit이 가능하다.


  [그림] OTP 사용에 대한 로그

-인증 방식은 구글과 같이 30초마다 변하는 숫자 6개를 입력할 수도 있고 아래와 같이 touch 방식으로 인증을 할 수도 있다. 또한, 2G등 구형 폰 사용자를 위해 일정 횟수까지는 단문메시지(SMS) 기능도 사용할 수 있도록 지원하고 있다.


[그림] OTP 앱을 이용한 인증예

-한 OTP 코드에 대한 활성화는 1개 또는 2개등 관리자가 지정한 Device에서만 될 수 있도록 제한할 수도 있다.

-SSH외에도 RDP, 각종 VPN, wiki/jira 외에도 각종 Appliance, SDK를 이용한 일반 웹사이트에 대한 적용 등이 쉽게 가능하여 다양한 어플리케이션에 대한 적용이 가능하다.
특히 다양한 API를 제공하여, 각 Application에 OTP를 적용하는 것이 10분~15분이면 된다고 할 정도로 쉽게 적용이 가능한 장점이 있다. 


[그림] DUO OTP 작동 work flow

이처럼 DUO OTP는 쉬우면서도 편리한 서비스를 제공하지만, 이는 클라우드 서비스이므로 기본적으로 폐쇄망에서는 특정 IP를 허용해야 한다는 제약이 있다.
참고로, Duo OTP는 스위치 환경에서도 스니핑이 가능한 dsniff라는 툴을 개발한 dugsong(한글명 송덕준, https://www.monkey.org/~dugsong/dsniff/)이라는 유명한 한국계 미국인이 창업자라는 점이 흥미있는 특징 중 하나이다.

   
 [그림] duo 창업자이자 dsniff 해커인 송덕준(dugsong)

그 동안 비용이나 기술적 어려움으로 인해 내부의 주요 Application에 OTP 도입을 주저했다면, 이번 기회에 도입을 검토해 보는 것은 어떨까?

[연재-1] 무료 OTP로 구축하는 철옹성 보안
http://dailysecu.com/news_view.php?article_id=13643 

★정보보안 대표 미디어 데일리시큐!★

[글. 홍석범 씨디네트웍스 시스템 UNIT 부장 / antihong@gmail.com]
 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사