비밀번호 없이 로그인하는 패스워드리스 인증으로 보안·편의성 강화

제로 트러스트의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중인증(MFA)를 사용해야 한다. ​ 아는 것은 비밀번호, 갖고 있는 것은 일회용 인증키나 소프트웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다. ​ 간편인증이 대세가 되면서 MFA의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이 로그인하는 패스워드리스 인..

2020년까지 공공기관 데스크톱 PC의 마이크로소프트 윈도우즈 운영 체제를 대체할 수 있도록 독자 운영 체제로 전환하기 위해 추진됐다. 구름 또는 구름 OS는 과학기술정보통신부와 한국전자통신연구원(ETRI) 산하 국가보안기술연구소(국보연)가 윈도우즈 독점 상황을 개선하기 위해 2015년도부터 개발해 온 오픈 소스 운영 체제다. 구름플랫폼은 안전한 클라우드 기반 업무를 위한 단말 플랫폼이다 경찰, 검찰, 군부대, 국방부 등 높은 보안성을 요구하는 기관에서는 구름을 사용하도록 하고, 공식 웹사이트 주소는 http://www.gooroom.kr이며, 구름이라는 이름처럼 클라우드(cloud)에 집중할 것으로 보인다.

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

2020년까지 공공기관 데스크톱 PC의 대다수를 독자 운영 체제로 전환하기 위해 추진됐다. 2016년 시점에는 국가에서 하는 프로젝트 연속성은 없어졌고 하모니카 커뮤니티(https://hamonikr.org) 참여자들 중심으로 자발적으로 수정, 배포 활동을 하고 있다. 자바, 플래시 웹 플러그인이 포함돼 있어 설치가 쉬운 리눅스 민트 17 마테 버전을 기반으로 개발된 리눅스 민트의 배포판이다. 하모니카는 한글화 서비스, 사용자 인터페이스, 사용자 경험 등을 중점적으로 개선하여 별도의 한글 설정 없이 바로 설치해 사용할 수 있다는 장점이 있다. 또한 하모니카는 오픈 소스이며, 개방형 운영 체제임을 중시하고 있다.

인증서버 기반 인증, 서버·네트워크 장애 시 서비스 전체 마비 클라우드 시대, 서버 없이 플러그인 가능한 인증 기술 전환해야 ▲ 이종일 누리아이티 대표 [데이터넷] 사상 초유의 정부 행정망 마비 사건은 정부 인증시스템 네트워크 장비 오류가 원인으로 밝혀졌다. 이 사건이 시사하는 여러 의미가 있지만, 게이트웨이 방식의 인증서버가 갖는 근본적인 문제를 해결해야 한다는 점을 주의 깊게 살펴봐야 한다. 이번 사건 이전에도 기존 인증 방식의 한계가 분명하게 드러나는 사고가 여러 차례 있었다. 특히 랩서스 조직에 의해 기밀정보 유출 사고를 겪은 국내 글로벌 기업의 경우, 2차인증 우회, MFA 피로공격 등으로 내부정보에 접근할 수 있는 권한을 탈취당한 것으로 알려진다. 기존 인증 방식은 프록시·게이트웨이 서버를 통..

이번 사태의 원인과 관련해 정부에서는 아직 정확한 상황 파악을 하지 못하고 있다. 앞서 행정안전부에서는 공무원들이 업무 시스템에 접속하는 과정에서 사용하는 행정전사서명(GPKI)에서의 문제일 가능성을 시사했는데, 정작 행정전자서명 인증관리센터 측은 GPKI 문제가 아니라 국가정보자원관리원의 네트워크 단에서 생긴 문제라고 설명한 것으로 알려졌다. 이렇듯 사고 발생 원인을 두고서도 정부에서 혼선이 발생하고 있는 것이다. 금번 ‘정부24’ 먹통 사태뿐만 아니라 카카오톡 중단사태, 2차 인증의 우회기술 및 피로 공격으로 사이버 범죄에 악용된 삼성전자, MS, 우버, 레딧 등의 공통적으로 모두 별도의 인증서버(Gateway) 방식이라는 점이 IT 보안에 시사하는 바가 크다. 간편성과 편리성을 내세운 별도 인증 서..

가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다. VPN은 한마디로 사용자 기기와 서버를 연결하는 암호화 터널 기술이다. 사용자 기기에서 서버로 전송되는 데이터를 안전하게 보호하는 방법이기 때문이다. VPN(가상 사설망)은 안전한 원격 액세스 방법으로 알려져 있다. 그러나 VPN 전화 앱과 기업용 솔루션에 알려진 취약점이 존재한다. 공격자는 VPN 비밀번호를 훔친 다음, RDP(Remote Desktop Protocol)을 사용해 네트워크 내부 더 깊숙이 침투한다. 또 Mimika..

보안 부팅은 신뢰할 수 있는 소프트웨어로만 시스템을 부팅할 수 있도록 하는 안전 기능이다. Windows 8 이상에서만 사용할 수 있다. 보안 부팅은 신뢰할 수 있는 펌웨어로 시스템을 부팅하여 바이러스나 맬웨어로 부터 시스템을 보호할 수 있다. 이 글에서는 문제가 발생할 경우 Windows 보안 부팅 설정을 끄는 방법에 대해 설명한다. 또한 이 가이드에 설명된 방법은 모든 PC 브랜드에 적용된다. ▶파트 1: 보안 부팅이란 무엇인가? 보안 부팅은 확인된 프로그램만 시작 시 실행되도록 허용하는 보안 도구이다. 또한 악성 루트킷과 같은 비공식 프로그램의 실행을 중지한다. 이 기능은 BIOS/UEFI 전제 조건이므로 최신 Windows 버전을 설치하는 데 매우 중요하다. 보안 부팅은 어떻게 작동하나? 보안 부..

대부분 기업에서 업무를 위한 정보시스템을 사용해 각종 업무를 디지털로 처리하고 있다. 그러다 보니 시스템 로그인 때 다양한 보안 절차를 구비, 인증을 하고 있는 상황이다. 최근에는 해커에 의한 시스템 침입이나 개인정보 유출도 비일비재, 더 이상 미룰 수 없는 문제로 대두되고 있다. 시스템이 고도화됨에 따라 보안 및 인증 수단도 발전하고 있지만 해킹 기술도 발전하고 있어 보안 시스템 담당자 고민은 늘어가고 있는 상황이다. 이러한 정보시스템 로그인 때 사용되는 인증수단에 대해 알아보고자 한다. 보통의 정보시스템은 아이디와 패스워드로 접근통제가 이뤄지고 있는 데 별도의 추가적인 인증 절차를 두는 방식을 2차 인증 방식이라고 한다. 이중 게이트웨이-프록시 방식이나, SMS 또는 이메일 등 문자기반 인증방식은 해..