코드 저장소 깃허브(GitHub)는 2024년 1월 19일 00시(UTC)까지 GitHub.com에서 코드를 기여하는 사용자에게 2단계 인증(이하 2FA)을 도입하도록 의무화했다. 이와 동시에 인스타그램 사용자를 노리는 새로운 피싱 공격이 백업 코드를 악용하는 것으로 드러나면서 깃허브 생태계를 넘어선 강력한 보안 관행의 중요성이 강조되고 있다.

마이크로소프트가 소유한 플랫폼인 깃허브는 증가하는 위협 환경에 대해 선제적인 조치를 취하고 있다. 2FA를 시행하려는 움직임은 잠재적인 사이버 위협, 특히 공급망 공격과 관련된 위협으로부터 플랫폼을 강화하는 데 중요한 역할을 한다. 사용자에게 2FA를 도입하도록 요구함으로써 깃허브는 계정을 보호하고 코드 리포지토리의 무결성을 보호하는 것을 목표로 한다.

GitHub.com 사용자는 정해진 기한 내에 2FA를 활성화하지 않으면 플랫폼의 기능이 제한될 수 있다. 깃허브는 사용자 로그인 시 표시되는 이메일 알림과 경고를 통해 이 조치의 심각성을 강조하며 적시에 규정을 준수하는 것이 중요하다는 것을 알리고 있다.

깃허브는 2FA를 활성화하기 위해 사용자 친화적인 지침을 제공하고 있다. 사용자는 보안 키, 깃허브 모바일, 인증 앱(TOTP), SMS 문자 메시지 등 다양한 방법 중에서 선택할 수 있다. 플랫폼에 대한 지속적인 액세스를 보장하기 위해 이 중 최소 두 가지 방법을 활성화할 것을 권장한다.

마감일 전에 2FA를 활성화한 사용자의 경우 추가 조치가 필요하지 않다. 하지만 자격 증명 분실 시 문제를 방지하기 위해 2단계 인증 방법을 두 개 이상 설정하는 것이 중요하다고 깃허브는 강조한다. 기한이 지나면 사용자는 2FA를 비활성화할 수 없으며, 2FA 옵션 분실 시 계정 복원을 위해 복구 코드가 필요하다.

깃허브의 이번 조치는 온라인 계정, 특히 민감한 정보와 코드 저장소를 다루는 계정의 보안을 위한 적절한 조치로 평가받고 있다. 사이버 보안 전문가들은 무단 액세스 및 코드 조작을 완화하는 데 있어 다단계 인증의 중요한 역할을 강조하며 이번 결정에 찬성하고 있다.

한편 인스타그램 사용자를 노리는 새로운 피싱 공격이 등장했다. 공격자는 인스타그램의 모회사인 메타를 사칭해 '저작권 침해' 이메일을 보내고 긴박감을 조성해 사용자가 이의 제기 버튼을 클릭하도록 유도한다.

이 피싱 공격은 특히 2단계 인증 문제 발생 시 계정 복구를 위해 인스타그램에서 제공하는 백업 코드를 표적으로 삼는다. 이러한 코드를 탈취함으로써 위협 행위자는 계정에 구성된 2단계 인증을 우회할 수 있으며, 이는 사용자가 백업 코드를 비밀번호와 마찬가지로 철저히 보호해야 한다는 점을 강조하고 있다.

인스타그램 사용자들은 이메일에 포함된 의심스러운 링크를 클릭하지 않도록 주의를 기울여야 한다. 피싱 공격에 대해 사용자는 백업 코드를 비공개로 유지하고 공식 인스타그램 웹사이트 또는 앱 내에서만 입력해야 한다.

사용자와 조직은 진화하는 사이버 위협으로부터 디지털 자산과 데이터를 보호하기 위해 2단계 인증과 같은 보안 조치를 우선적으로 도입해야 하고 이를 우회하려는 공격에 대비해 사용자도 백업 코드를 비공개로 유지하는 등의 노력이 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★