[10/12] 미국 정부, .gov 도메인 소유자들을 위한 2단계 인증 실시

  • 미국 정부는 DNS 도메인 탈취 공격을 막기 위한 조치로 .gov 도메인에 대한 새로운 보안 기능을 시행함
  • 10월 1일부터 *DotGov社는 .gov 도메인 등록기관 계정을 보호하기 위해 2단계 인증 시스템을 구축하기 시작함
    *DotGov : 미국 정부의 최상위 도메인 .gov 을 관리하는 업체
    – .gov 등록기관 계정은 연방 정부, 주정부 및 지방 정부의 시스템 관리자가 .gov 도메인을 등록하고 관리하는데 사용하는 계정임
  • 만약 공격자가 피싱 또는 *Brute-force 공격을 이용하여 .gov 도메인 등록기관 계정 중 하나를 탈취할 경우 도메인의 DNS 항목을 변경하고 사용자를 악의적인 사이트로 리다이렉션 할 수 있음
    *Brute-force : 조합 가능한 모든 경우의 수를 무작위 대입하는 공격
    – 따라서 .gov 도메인 등록기관 계정을 보호하는 것은 .gov 도메인 보안을 유지하는 중요한 단계임
  • DotGov社는 이러한 문제 해결을 위해 2018년 10월 1일부터 2019년 2월 13일 사이에 모든 .gov 도메인 등록기관들의 계정에 대해 2단계 인증 시스템을 설정하도록 요청할 것임
  • DotGov社가 구현하기로 선택한 2단계 인증 시스템 메커니즘은 *Google Authenticator임
    *Google Authenticator : 구글 모바일 앱 사용자들을 인증하기 위해 사용되는 다용도 소프트웨어 토큰
  • .gov 도메인 소유자들은 자신의 모바일 장치에 Google Authenticator 앱을 설치하라는 요청을 받게되며, domains.dotgov.gov에 로그인하여 자격을 증명하고 앱을 사용하여 바코드를 스캔해야함
    – 스캔 후 앱에서 로그인 프로세스의 두 번째 단계에 사용할 수 있는 일회성 코드를 생성함
  • DotGov社는 수 만개의 .gov 도메인에 2단계 인증 시스템을 적용하는데 문제없이 진행되도록 향후 5개월 동안 여러 단계로 롤아웃 프로세스를 분할함
  • 전체 일정은 다음과 같음
    – GSA 소유 도메인 : 10월 1일 – 31일
    – 연방기관 : 10월 8일 – 11월 7일
    – 원주민 통치 국가 : 10월 8일 – 11월 7일
    – 자치주 : 10월 22일 – 11월 21일
    – 주/지방 정부 : 11월 5일 – 12월 5일
    – 도시 : 사용자 이름의 첫 번째 문자를 기반으로 단계적으로 완료됨
    – A-D : 11월 9일 – 12월 19일
    – E-J : 12월 5일 – 2019년 1월 9일
    – K-P : 12월 17일 – 2019년 1월 23일
    – Q-Z : 2019년 1월 14일 – 2월 13일
  • DotGov社는 이러한 추가적인 보안 기능이 누군가가 사용자처럼 로그인하는 것이 더 어려워지며, .gov 도메인을 통해 대중이 이용할 수 있는 서비스를 보호한다고 말함

[출처] ZDNet

□ 시사점

  • 미국 정부 도메인(.gov)의 보안 기능을 향상시키기 위해 2단계 인증 시스템 도입이 본격화 됨을 시사하고 있음
  • KRNIC은 위의 내용을 참고하여 한국 정부 도메인의 보안 기능을 향상시킬 수 있는 방안을 모색하여야함