글로벌 사이버 보안 기업 유비코(Yubico)가 발표한 ‘글로벌 기업 인증 현황 조사’에 따르면 비즈니스 계정의 59%는 여전히 계정을 인증하는 기본 방법으로 사용자 이름과 비밀번호를 사용하고 있다.

보다 강력하고 피싱 방지 인증 방법을 선택하는 것도 늦어지고 있는 상황이다. 생성AI의 확산으로 범죄자들은 보다 설득력 있는 비디오 및 오디오 딥 페이크는 물론 보다 확실한 정보를 생성하여 피싱 공격의 성공을 높이는 새로운 도구를 활용해 이메일로 피해자를 속이고 있다.

머신러닝 기반 기술을 활용하여 AI 기반 공격을 탐지할 수도 있지만, 인증의 패러다임 변화로 인해 사이버 범죄자가 직원 계정을 탈취할 기회가 근본적으로 제한될 것으로 보인다.

유비코가 온라인 사기, 특히 피싱을 막는 '기기 바인딩 암호 키' 기술을 선보였다. 이 기술은 기존의 비밀번호 및 다단계 인증(MFA)과 같은 레거시 인증보다 온라인 사기, 특히 피싱에 효과를 발휘한다.

암호 키는 컴퓨터나 기기에 저장된 암호화 보안 '키'를 사용하여 사용자를 원활하게 인증하며, 잊어버리거나 도난당하거나 가로챌 수 있는 비밀번호에 대한 대안으로 부상하고 있다.

시중에는 동기화 가능한 암호 키와 기기 바인딩된 암호 키라는 두 가지 형태의 패스키가 있다. 2018년부터 보안 키 형태로 등장한 후자는 높은 수준의 보호 기능을 제공하며 공격을 차단하는 검증된 기술이다.

기기 바인딩된 암호 키 사용자는 기기를 터치하여 실제 존재를 증명해야 하는 반면, 동기화 가능한 암호 키는 클라우드의 여러 계정에서 공유된다. 암호  키는 거의 모든 사용자 계정으로 설정할 수 있으며 자격 증명을 사전 등록할 수 있는 기업 사용자를 위한 고급 유형도 있다.

기기 바인딩된 암호 키를 사용하면 자격 증명이 기기 자체에 저장되므로 사용자가 모르는 사이에 사용자 이름과 암호를 다른 시스템으로 전송할 수 없다. 반면, 물리적 키를 도난당한 경우 기기에 연결된 PIN/로그인 자격 증명과 인증을 위해 설정된 계정을 모르면 키를 사용할 수 없다.

유비키(YubiKey)는 유비코가 계정 탈취를 방지하고 모든 사람이 보안 로그인을 쉽게 사용할 수 있게 만들어졌다. 이는 WebAuthn/FIDO2(Fast Identity Online) 보안 프로토콜을 기반으로 구축되어 사용자가 SIM 스와핑 공격을 통해 직접 SMS 인증 코드를 훔칠 수 있는 OTP와 같은 레거시 인증 방법보다 더 강력한 보안 기능을 제공한다.