|
Github, SSH Git 작업에 FIDO2 보안키 사용 지원 침해사고분석팀 2021.05.11 |
|
|
GitHub는 계정 탈취 시도로부터 보호를 강화하기 위해 FIDO2 보안 키를 사용하여 SSH Git 작업을 보호하는 지원을 추가했다.
2년 전, North Carolina 주립 대학(NCSU)의 연구원들은 약 6개월 동안 GitHub public 저장소의 약 13%를 스캔했고, 그 결과 100,000개 이상의 GitHub 저장소에서의 API토큰과 암호화(SSH, TLS)키가 유출됐다는 사실을 발견했다.
GitHub의 새로 추가된 기능을 사용하면 이제 SSH 인증에 휴대용 FIDO2 장치를 사용하여 Git 작업을 보호할 수 있다. 예를 들어, 실수로 인한 개인 키 노출과 승인없이 요청을 시작하는 맬웨어를 방지 할 수 있다.
GitHub 선임 보안 엔지니어 Kevin Jones는 "새 키가 생성되면 다른 SSH 키와 마찬가지로 새 키를 계정에 추가한다. 생성된 키는 이전처럼 공개 및 개인 키 쌍으로 구성되지만, 비밀 bit가 생성되어 보안 키에 저장되며, 공개 부분은 다른 SSH 공개 키와 마찬가지로 컴퓨터에 저장된다."라고 말했다. 개인 키는 컴퓨터에 저장되지만 실제 장치에 액세스하지 않고는 쓸모가 없는 보안 키에 대한 참조 일뿐이다. Jones는 "보안 키와 함께 SSH를 사용할 때, 민감한 정보가 보안 키 장치를 벗어나지 않는다."라고 덧붙였다.
[ 그림1. Git의 FIDO 보안키 기사와 관련된 트위터 내용 ]
계정 탈취 시도에 대한 GitHub 계정의 복원력을 높이려면 이전에 등록된 모든 SSH키를 보안키가 지원되는 SSH키로 교체해야 한다. 보안키가 지원되는 SSH키를 사용하면 사용자가 FIDO2 보안키를 관리하는 동안에는 해당 사용자만이 Git 데이터를 SSH를 통해 관리할 수 있다.
FIDO2 장치가 지원되는 SSH키만을 사용하면 해당 SSH키가 페어링된 보안키에 접속할 때만 사용가능하기 때문에 사용자가 생성한 모든 SSH 키를 추적해야 하는 불편함이 줄어든다. 또한 GitHub은 계정에서 비활성 SSH키(1년 이상 사용되지 않음)를 자동으로 제거하므로 여러 장치에서 작업하거나 그 중 하나를 분실한 경우 키 관리가 훨씬 쉬워진다.
새로운 SSH Git 작업 워크 플로로 전환하려면 GitHub계정에 로그인하고 하드웨어 보안 키에 대한 새로운 SSH 키를 생성한 다음, 생성된 SSH 키를 계정에 추가해야한다.
GitHub는 이외에도 지난 12월 2021년 8월부터 토큰 기반 인증으로 전환한다고 발표했다. 토큰 기반 인증으로 전환한 후에는 Git 작업 인증에 계정 암호가 허용되지 않는다.
출처 https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf |
