[Passkeys & 제로 트러스트] 사용 확대화: "비밀번호를 없애자"

1. Docker Joins Movement To Dump Passwords for Security

https://thenewstack.io/docker-joins-movement-to-dump-passwords-for-security/

Docker Joins Movement To Dump Passwords for Security

위 링크 기사 본문 사진: Steven J. Vaughan-Nichols 작성

 

 

 

[ 요약 ]

1. Docker가  CLI에서 패스워드 로그인하는 기능을 중단했다.

2. 9월 16일부터 CLI 액세스에 대해 Single-Sign-On(SSO)을 시행하고 SSO가 시행될 때 개인 액세스 토큰(PAT)을 선호하여 비밀번호 사용을 중단할 예정이다. Docker 플랫폼의 보안을 강화하고 인증 프로세스를 간소화하기 위한 이유다.

3. SSO를 사용하면 비밀번호가 필요 없다.(정확히는 사용할 수 없다) 이를 통해 보안 강화뿐만 아니라 비밀번호 사용의 번거로움을 없애 더 간편하다.

4. Docker 외에도 GitHub 또한 패스키를 사용한다. 실제 개발자 95%가 2단계 인증(2FA) 패스키를 사용한다. (나 또한 사용 중이다^^!)

그 외 사용 기업: Google-Gmail에서 Passkeys사용 / Amazon-브라우저 Passkeys 사용 및 Android, iOS 지원 진행 중 /  Shopify-Shop Pay / WhatsApp-Android Passkeys 지원출시 등 

5. 이처럼 비밀번호를 대체하는 더 강력하고 신뢰할 수 있는 보안을 도입하는 것이 활발히 그리고 쉽게 진행되고 있다. 

 

비밀번호가 레거시 기술?!

• Docker가 비밀번호 기반 인증에서 벗어나고 있다. 이는 제로 트러스트 보안 모델을 더 지향하는 산업 추세라고 볼 수 있다.
• 제로 트러스트는 모든 요청이 다 위험하다고 가정하고 모든 액세스 요청에 대한 엄격한 검증을 요구한다. 보안 취약 링크인 비밀번호를 제거함으로써 리소스/데이터를 더 잘 보호할 수 있게 된다.

 

결론

1. 플랫폼 보안 강화를 위해 Docker는 SSO로 전환하고 PAT를 선호하여 비밀번호 기반 CLI 액세스를 제거했다.

2. 이처럼 비밀번호를 대체하는 더 강력하고 신뢰할 수 있는 보안을 도입하는 것이 활발히 그리고 쉽게 진행되고 있다. 

 

 

➕

Passkeys?

• FIDO Alliance에서 개발한 Apple, Google, Microsoft와 같은 주요 회사들의 지원을 받아 기존 비밀번호보다 더 안전하고 사용친화적인 대안
• 비밀번호와 달리 패스키는 아무것도 기억하거나 입력할 필요 없음
• 암호화 키 쌍을 사용하여 피싱 및 기타 온라인 공격으로부터 사용자 보호
• 개인 키는 외부 노출 x, 로그인 중인 서비스에도 액세스 할 수 없다.
• 공격자가 비밀번호처럼 키를 가로채거나 오용할 수 없어 피싱에 대한 저항력이 매우 높다.

<패스 키 작동 방식>
1. 서비스에 대한 암호키 생성
2. 장치에 안전하게 저장되는 개인 키 + 서비스로 전송되는 공개 키 생성
3. 로그인 시, 서비스에서 개인 키가 서명하는 질문을 장치에 전송항 서비스에 저장된 공개 키로 체크
4. 서명이 정확할 경우, 인증 완료

 

 

제로 트러스트?

• "절대 신뢰하지 말고 항상 확인하라"는 원칙에 기반한 사이버 보안 프레임워크
• 네트워크 내부 사용자를 신뢰할 수 있다고 가정하는 기존 보안 모델과 달리 제로 트러스트는 네트워크 내/외부 모두 어떤 사용자나 시스템도 자동으로 신뢰되지 않도록 설계되어 있다.
• 리소스에 대한 액세스 권한을 지속적으로 확인한다.
• 사용자에게 작업을 수행하는 데 필요한 최소한의 액세스 권한이 부여된다.
• 네트워크는 각각 자체 보안 제어 기능을 갖춘 더 작고 격리된 세그먼트로 나누어진다. 작은 부분 내에 이를 포함시켜, 잠재적 공격 확산을 최소화한다.
• 제로 트러스트는 이미 보안 침해가 발생했거나 언제든지 발생할 수 있다는 가정하에 운영되어, 잠재적 위협에 대한 엄격한 모니터링 및 빠른 대응이 강점이다. 
• 데이터 저장 및 전송 중에 모두 암호화 처리하여, 민감한 데이터에 대한 접근을 엄격히 통제 및 모니터링한다.

 

 

 

---

 

🤔 이에 대한 나의 생각

요즘 "제로 트러스트"가 사회적으로 많이 언급된다. 이 기사를 통해 강력한 보안의 중요성, 이를 깨달은 기업들의 움직임을 이해할 수 있었다.

오늘날의 위협에 대해 "아무도 신뢰하지 않는다"는 원칙이 필요한 것 같다. 여러 기업들도 Docker와 같이 보안을 강화하고 사용자 인증을 단순화하기 위해 패스키, PAT, SSO 등 강력한 보안 모델을 도입하고 있는 것에 대해 긍정적 변화라고 생각한다.

 

Docker의 이러한 결정은 단순한 기술 업데이트가 아니라는 생각이 든다. 현대적이고 간편하고 안전하게 사용자친화적인 인증 방법을 도입하기 위한 더 크고 필수적인 변화의 일부라고 생각한다. 이러한 변화는 점점 더 복잡하고 위험해지는 사이버 환경을 계속 모니터링함에 따라 매우 중요하다는 것이 내 의견이다.