인터넷서비스를 이용하는 사용자가 평소와는 다른 단말기와 위치에서 액세스할 때 추가 확인하는 방법을 위험기반 인증(RIBA)이라고 합니다. Apple은 새로운 개인정보 보호기능으로 'Private Relay'를 발표했습니다만, Private Relay는 사용자의 IP주소를 암호화하는 것이기 때문에 IP주소를 사용하는 RIBA를 무력화시킨다고 디지털전문가인 플로리안 포스터 씨가 지적합니다.
IMO - Risk Based Authentication is broken
https://zitadel.ch/blog/imo-rba-is-broken/
IMO - Risk Based Authentication is broken
Apple's “iCloud Private Relay” breaks risk based authentication (RIBA). You should get rid of your RIBA process and start towards the passwordless journey.
zitadel.ch
Apple은 2021년 6월 8일에 열린 개발자 이벤트 'WWDC 2021'에서 새로운 개인정보 보호기능 'Private Relay'를 발표했습니다. Private Relay는 사용자의 웹브라우징 행동을 익명화하는 기능입니다.
Apple's new 'private relay' feature will not be available in China | Reuters
https://www.reuters.com/world/china/apples-new-private-relay-feature-will-not-be-available-china-2021-06-07/
Apple's new 'private relay' feature will not be available in China
Apple Inc (AAPL.O) on Monday said a new "private relay" feature designed to obscure a user's web browsing behavior from internet service providers and advertisers will not be available in China for regulatory reasons.
www.reuters.com
iCloud Private Relay and other Apple WWDC privacy features
https://www.fastcompany.com/90643627/apple-privacy-wwdc-private-relay-vpn-icloud-plus-macos-monterey
Exclusive: Apple’s Craig Federighi on WWDC’s new privacy features
We talk to Apple’s software chief about iCloud Private Relay and other upcoming protections—and why regulation alone won’t help consumers defend their data.
www.fastcompany.com
Apple의 Private Relay에서는 먼저 사용자의 IP주소와 '암호화된 액세스 할 URL'이 Apple에 전송됩니다. 그 다음 Apple이 사용자의 IP주소를 암호화하여 암호화된 URL과 함께 제휴 콘텐츠제공자가 운영하는 릴레이스테이션에 보냅니다. 그리고 릴레이스테이션은 암호화된 URL을 디코딩하여 사용자에게 원하는 웹사이트에 대한 액세스를 제공하는 구조입니다.
Private Relay의 구조에서 중요한 것은 'Apple은 사용자의 IP주소를 알고 있지만, 방문한 사이트를 알 수 없다', '제휴 콘텐츠제공자는 방문하는 사이트를 알고 있지만, 사용자의 IP주소를 알 수 없다'는 점입니다. 사용자의 정확한 IP주소와 접속하는 사이트를 모두 알고 있는 사업자가 존재하지 않기 때문에 사용자의 데이터가 악용될 가능성이 매우 낮아집니다.
그러나 Apple의 Private Relay가 활성화됨으로써 우려되고 있는 것이 RIBA의 무력화입니다. RIBA는 사용자가 로그인을 필요로 하는 인터넷서비스를 이용할 때 IP주소와 OS, 브라우저 등의 정보가 평상시와 다른 경우 스푸핑 가능성이 있다고 판단하여 추가로 본인확인을 요구하는 구조를 말합니다. RIBA에서는 IP주소 등을 이용하여 본인확인을 하므로 콘텐츠제공자 측에 제공된 IP주소가 암호화되어 있으면 RIBA 자체가 기능하지 않게 되어 버리는 것입니다.
포스터 씨가 검토한 결과 Private Relay의 설정화면에는 'IP주소 · 위치'항목이 있고 이 설정화면에서는 'Private Relay는 사용자의 인터넷활동을 비공개로 하고 안전을 확보할 수 있습니다. 완벽한 IP마스킹 및 웹트래픽의 암호화를 통해 Safari에서의 웹브라우징을 보호합니다. 또 앱을 사용할 때에도 사용자를 보호할 수 있으며, ISP가 사용자의 프로파일을 생성하는 것을 방지할 수 있다'고 설명되어 있습니다.
또한 IP주소에 관한 항목에서는 '웹사이트가 Safari에서 로컬콘텐츠를 제공할 수 있도록 'Approximate Location(대략적인 위치)'을 사용할 것을 권장합니다. 'Broader Location(광범위한 위치 정보)'을 사용할 수 있지만, 이 경우 콘텐츠의 검색결과에 영향을 줄 수 있다'고 기재되어 있으며, 선택에 따라 검색결과에 영향을 미친다는 것을 알립니다.
사용자의 지문을 이용하면 RIBA를 계속 이용하는 것이 가능하다는 주장도 있지만, Cookie 및 기타 지문은 규제되고 있습니다. 따라서 해결책은 RIBA에서 벗어나 암호를 사용하지 않는 새로운 세션 관리방법을 고려할 것을 포스터 씨는 제안합니다. 앞서 Apple은 암호가 불필요한 Face ID와 Touch ID만으로 웹서비스에 로그인할 수 있는 '암호' 기능을 개발하고 있다고 보도되었습니다.
Move beyond passwords - WWDC 2021 - Videos - Apple Developer
https://developer.apple.com/videos/play/wwdc2021/10106/
Move beyond passwords - WWDC21 - Videos - Apple Developer
Despite their prevalence, passwords inherently come with challenges that make them poorly suited to securing someone's online accounts...
developer.apple.com
Connecting to a Service with Passkeys | Apple Developer Documentation
https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication
'IT' 카테고리의 다른 글
| Amazon, Facebook의 위성인터넷 부문을 인수...SpaceX의 Starlink와 경쟁 (0) | 2021.07.17 |
|---|---|
| 총 4500억 원 상당의 비트코인을 단 한 명의 여성에게서 압수 (0) | 2021.07.14 |
| Discord가 SNS 공격으로부터 사용자를 보호하는 'Sentropy'를 인수...무엇은 목적인가? (0) | 2021.07.14 |
| 인플루언서를 노려 공격하는 악덕 패션브랜드의 봇 운용 수법이란? (0) | 2021.07.13 |
| 훔친 iPhone으로 은행계좌에서 돈을 인출하는 방법 (0) | 2021.07.09 |
| 아동 성착취물 근절을 위해 Google · Twitter · Facebook 등의 IT기업이 '해시리스트'를 공유 (0) | 2021.07.08 |
| Google, AI를 활용하여 인터넷상에서 '아동 성착취물'을 자동으로 찾아내는 도구를 개발 (0) | 2021.07.08 |
| SNS의 커뮤니케이션에 아동포르노가 존재하는지를 사업자가 체크하도록 하는 법률이 EU에서 통과 (0) | 2021.07.08 |
