사샤 피퍼와의 Cybernews 인터뷰

비밀번호가 손상된 것을 알아차리기에는 이미 늦은 경우가 많고, 눈에 띄는 실마리를 찾기란 쉽지 않습니다.

보안되지 않은, 재사용된, 그리고 약한 비밀번호는 소셜 미디어 사용자뿐만 아니라 대기업과 정부 기관에도 영향을 미치는 주요 사이버 보안 위협 중 하나입니다. 노출된 비밀번호는 신원 도용, 금전적 손실, 그리고 더 많은 장기적인 결과를 초래합니다.

이제 사회는 비밀번호 관리자의 중요성을 인식하고 있습니다. 그러나 가장 중요한 기능을 찾는 것은 꽤 어렵고, 추가적인 조치가 온라인 보안을 향상시킨다는 사실을 아는 것이 중요합니다. Psono 비밀번호 관리자의 관리 이사인 사샤 피퍼는 Cybernews 팀과 사이버 보안에 대한 자신의 견해를 나누었습니다.

처음으로 돌아가 보겠습니다. Psono의 개발은 어떻게 시작되었나요?

2015년에 Psono를 프로그래밍하기로 결정했습니다. 그 당시에는 클라이언트 측에서 모든 저장된 비밀을 암호화하여 관리할 수 있는 서비스를 회사가 자체 서버에 호스팅할 수 있는 솔루션이 존재하지 않았습니다. 저는 친구들과 그것이 어떻게 작동해야 하는지, 나의 암호화 접근 방식이 어떤지에 대해 많이 이야기했으며, 어떤 면에서는 그들을 지루하게 만들었을지도 모릅니다. 첫 공개 버전은 2017년에 출시되었고 시간이 지나면서 확장되었습니다. 처음에는 확장 기능, 파일, iOS 및 Android용 앱으로 시작되었습니다. 이 모든 것은 기본적으로 나의 여가 시간, 주말, 그리고 휴일을 비롯한 사이드 프로젝트로 진행되었습니다. 2020년에 나는 이 프로젝트를 추구하기로 결심했고, 그 당시로서는 어려운 결정이었던 esaqa GmbH를 설립했습니다. 그 때는 COVID가 최고조에 달했고 화장지가 부족했죠… 그러나 그 결정은 성과를 거두었고, 실제 마케팅이 없었음에도 불구하고 우리의 커뮤니티 에디션을 사용한 사람들이 기업 제품을 구매하기 시작했습니다. 새 독일 정부가 사용자에게 암호화 권리를 제공하기로 약속한 것이 큰 안도감이었습니다. 이전에는 독일 정부가 소프트웨어 공급업체에게 백도어를 구현하도록 요구할 수 있을 것처럼 보였지만, 이제는 완전히 사라졌습니다.

당신의 비밀번호 관리자에 대해 소개해 주세요. 주요 기능은 무엇인가요?

Psono는 동료 및 가족 구성원과 비밀번호를 안전하게 저장하고 공유할 수 있게 해줍니다. Psono를 돋보이게 하는 여러 가지 요소가 있습니다. 첫째, 귀하의 서버에 데이터를 호스팅할 수 있습니다. 이 분산적 접근 방식은 중앙에서 데이터를 관리하는 공급업체에 비해 공격에 매우 강합니다. 중앙 집중형 서버의 단일 취약점이 모든 클라이언트의 비밀번호를 노출시킬 수 있기 때문입니다. Psono의 스택은 오픈 소스로, 취약점과 백도어에 대해 감사할 수 있습니다. 독일 공급업체로서 우리는 사용자 프라이버시를 보호하는 대안을 제공합니다. 모든 비밀번호 및 기타 비밀은 사용자의 장치를 떠나기 전에 암호화되며, 사용자만이 해독할 수 있습니다. 모든 항목은 다른 사용자와 공유할 수 있으며, 그룹을 사용하는 광범위한 권한 개념으로 인해 매우 유연한 구성이 가능하여 회사에 이상적인 선택이 됩니다.

오픈 소스로 Psono를 개발한 이유는 무엇이었나요? 오픈 소스 보안 소프트웨어의 장단점에 대해 설명해 주세요.

오픈 소스는 우리의 보안 모델의 일부입니다. 감사할 수 없는 소프트웨어는 신뢰해서는 안 됩니다. 이는 특히 비밀번호 관리자와 같은 중요한 소프트웨어에 해당합니다. 물론 오픈 소스 소프트웨어에 대한 내재하는 사랑이 있습니다. 내 첫 번째 우분투가 내 노트북에서 부팅되었을 때의 느낌을 떠올리면 매우 향수를 느낍니다. 그래서 우리는 모두 거인의 어깨에 서 있으며, 오픈 소스 소프트웨어 없이는 IT 석기 시대에 살고 있을 것입니다. 오픈 소스는 또한 오픈 소스 공급업체에만 독점적으로 제공되는 일부 마케팅 채널에 접근할 수 있는 장점이 있습니다.

일부 전문가들은 비밀번호 없는 미래로 나아가고 있다고 말합니다. 이 접근 방식에 대해 어떻게 생각하시나요?

이 트렌드는 보통 이 문제에 대한 해결책으로 자신의 소프트웨어를 판매하려는 공급업체에 의해 반복됩니다. 저는 비밀번호가 앞으로 30년 내에 사라지지 않을 것이라고 믿습니다. 문제는 적절한 해결책이 아직 등장하지 않았다는 것입니다. 보통 여러 가지 단점이 있습니다. 레거시 도구는 보통 연결할 수 없습니다. 모든 장치, 소프트웨어, 시스템에 이 솔루션을 구현하는 것은 어렵습니다. OAuth 서비스와 같은 공공 옵션은 서비스가 귀하의 계정을 폐쇄하거나 어떤 이유로 액세스를 거부하여 모든 연결된 계정을 잃을 위험이 있습니다. 비밀번호에는 많은 문제가 있지만, 현재 알려진 대안은 모두 문제점을 가지고 있습니다.

최근의 전 세계적인 사건으로 인해 새로운 위협이 발생하는 것을 보신 적이 있나요?

조심스러워야 하겠지만, 솔직히 현재의 전 세계적인 사건과 관련하여 새로운 위협이 발생했다고 생각하지 않습니다. 더 많은 보안과 보호에 대한 욕구는 분명히 존재하지만, IT 보안 측면에서는 적당히만 혜택을 볼 수 있습니다. 새로운 해킹이 공개되면 상황은 빠르게 변할 수 있습니다.

보안 침해가 발생했을 때, 회사가 업무 부하 및 고객 데이터를 보호하기 위한 첫 번째 단계는 무엇이어야 하나요?

첫 번째 단계는 완화입니다. 인터넷, 네트워크를 연결 해제하고 서버와 서비스를 종료시켜 추가 피해를 방지하세요. 두 번째 단계는 서비스를 격리된 상태에서 다시 시작하고, 어떤 일이 발생했는지, 어떻게 발생했는지를 식별하는 것입니다. 이 때 전문가의 도움을 받을 수 있습니다. 세 번째 단계는 영향을 받은 고객을 알리는 것입니다. 상세 내용과 잠재적 위험을 설명하세요. 서비스를 다시 시작할 때 자격 증명을 회전시키고, 공격자가 시스템에 다시 접속할 수 있는 백도어를 남기지 않았는지 확인하세요. 비슷한 성격의 문제를 방지하기 위한 방법을 조사하고, 그 방어책을 구현하세요. 회사가 아직 비밀번호 관리자를 사용하고 있지 않다면, 이 시점에서 비밀번호 관리자가 도움이 됩니다.

자신의 비밀번호가 손상되었는지 어떻게 알 수 있나요? 자주 간과되는 조기 경고 신호가 있나요?

손상된 비밀번호를 식별하는 것은 보통 매우 어렵습니다. 의심스러운 활동, 비밀번호 변경 또는 알 수 없는 위치에서의 로그인에 대한 이메일 알림, 승인되지 않은 은행 이체 등 모호하고 명백한 것들을 찾을 수 있습니다. Psono는 haveibeenpwned.com과 같은 공공 서비스를 확인하여 알려진 비밀번호 침해를 감지하는 멋진 기능을 포함하고 있어, 사용자의 비밀번호가 손상되었는지 감지할 수 있습니다. 보통 사전 예방적 조치를 생각하는 것이 더 나을 수 있습니다. 비밀번호가 손상되지 않도록 하는 방법은 진정으로 무작위인 비밀번호를 사용하고 비밀번호를 재사용하지 않는 것입니다. 비밀번호 관리자가 유일한 선택입니다.

강력한 인증 외에, 모든 사람의 생활 속에 포함되어야 한다고 생각하는 다른 보안 도구가 있다면 무엇인가요?

많은 도구들이 있지만 대부분의 공격이 이메일을 통해 이루어지기 때문에 적절한 이메일 서비스 제공자가 첫 번째 방어선이라고 할 수 있습니다. Gmail과 Outlook은 스팸, 피싱 방지 및 의심스러운 콘텐츠 차단에 매우 뛰어납니다. 두 번째로 중요한 도구는 이중 인증입니다. 가능한 곳마다 사용하세요. 우리는 Yubico와 협력하여 Psono에 Yubikey 지원을 구현했고 (Google Authenticator 등 다른 대안도 함께) 이중 인증 요소는 비밀번호의 대부분의 단점을 방지합니다.

Psono의 다음 목표는 무엇인가요?

어디서부터 시작해야 할지 모르겠습니다. 제품 측면에서는 완전히 새로 작성된 웹 클라이언트의 새로운 버전을 현재 작업 중입니다. 앱도 또 다른 주요 작업 현장으로, 암호를 위한 최고의 앱을 만드는 것이 목표입니다. 사업 측면에서는 아직 말할 수 없지만, 고객에게 비밀번호 관리자에 대한 광범위한 접근을 제공할 대기업들이 있습니다.