편의성을 앞세워 질주하던 비대면 금융 거래에 '비상등'이 켜졌다.
휴대폰 개설부터 본인신원 확인, 범용공인인증서 발급까지 보안 시스템 곳곳에 허점이 있는 것으로 나타났다.
자신도 모르게 위조된 신분증으로 계좌에서 거액이 빠져나가고, 각종 민원 서류와 개인정보가 줄줄이 새나기도 꼼짝없이 당할 수 밖에 없는 실정이다.
간편성을 위해 보안성을 희생하면서 사기대출 사건까지 이미 발생한 상황이다.
지금 이 글을 읽고 있는 보통의 평범한 사람들도 스마트폰을 사용하고 있다면 "보안"이라는 두 글자를 반드시 기억해야 한다. 일반 사용자들까지 "보안"에 신경 써야 하는 이유는 온라인 상에서 "나"를 나타내는 작은 정보들이 내가 아닌 다른 사람에게 노출(유출) 되는 순간 온라인상에서의 "나"는 "내가 아닌 나"로써 스스로 제어할 수 없게 되기 때문이다.
강력한 보안을 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다.
컴퓨터는 대개의 경우 나의 명령을 수행해주는 기기이지만 때때로 나에게 반강제적인 요구를 해오기도 한다. "비밀번호를 변경하세요"가 대표적이다. 그러나 그 필요성을 익히 알고 있음에도 비밀번호를 변경할 때마다 이제 내가 기억할 수 있는 비밀번호의 가짓수가 한계에 다다랐다는 딜레마에 빠진다.
기기마다, 플랫폼마다, 계정마다 각기 다른 비밀번호를 설정하고 주기적으로 변경할 것을 권장한다. 하지만 여러 개의 비밀번호를, 그것도 특수문자와 대문자를 포함하고 생년월일과 무관하며 연속성이 없는 최소 8자 이상의 글자 조합을 외우는 것은 좀체 만만한 일이 아니다. 그렇다고 컴퓨터 앞에 적어 둘 수도 없는 노릇이다. 그러니 기존에 사용한 적이 없으면서도 잊어버리지 않을 만한 비밀번호의 조합을 만들어내는 것은 이제 창의성의 영역에 있는지도 모르겠다.
해외 보안 전문 업체의 발표에 따르면, 2020년에 가장 많이 사용된 패스워드는 "123456"이다. 2019년 1위는 "12345"였으니, 겨우 숫자 한 자리가 늘어났을 뿐이다. 2위는 "123456789", 4위는 무려 "password"다. 비밀번호 입력을 통해 접근할 수 있는 정보의 양은 점점 방대해진다. 과거에는 메일 수신함 정도였다면, 이제는 핸드폰의 사진과 문자 기록, 계좌 정보와 같은 긴밀한 개인 정보까지 접근이 가능하다. 그리고 앞에서 열거한 비밀번호를 전문 해커가 풀어내는 데는 1초의 시간도 채 걸리지 않는다.
개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요하다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말한다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문이다.
정보자산이 해커에게 노출될 경우 이와 연결된 정보자산에 미칠 영향은 그 동안 발생한 서버 해킹보다 상상할 수 없이 큰 피해를 발생시킬 수 있다. 그러므로 정보자산의 보안에 대한 중요성을 자각하는 데서 그치지 않고 보안강화를 위한 조치가 신속하게 취해져야 한다.
중앙에 집중화 되어 있는 인증서버 방식인 Gateway 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회접속 및 원격 접속이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
보안 솔루션은 내가 접속하고자 하는 장비에 설치가 되어야 하며, 접속하고자 하는 장비에서 인증을 해야 한다.
현재 정보자산(H/W, S/W)에 대한 보안은 반대로 되어 있다.
예를 들어, 아파트를 출입하는 1층에 Lock이 있고, 실제 집의 출입문에는 Lock이 없는 구조로 되어 있다.
이 구조로는 도둑이 1층 출입문만 통과하면 실제 집의 출입문에는 열러 있는 구조라 얼마든지 이집 저집 다니면서 생명과 재산에 피해를 볼 수 밖에 없다.
생명과 재산을 그나마 보호 받을려면 1층 출입문 뿐만 아니라 각 집마다 Lock를 해야 한다.
결론은 인증서버 방식인 Gateway 방식은 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것이다.
최근 들어, 정보자산에 대한 보안의 중요성을 인지하고 이에 대비하기 위하여 스스로 정보자산에 2차 인증(추가 인증)을 도입하여 시행하는 업체가 늘어나고 있다.
이는 업체들이 내부적으로는 정보자산의 계정도용 방지, 정보자산 보호, 해킹 및 정보유출을 방지하고 이용자들에게는 비밀번호를 주기적으로 변경하고 기억해야 하는 불편함을 해소시키고, 대외적으로는 업체의 신뢰도를 높이기 위해서다.
모든 정보자산에 대한 2차 인증(추가 인증) 정책은 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다.
이처럼 정보보안을 위하여 각종 정보자산에 대한 2차 인증(추가 인증)은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 정보자산에 대한 해킹 위협으로부터 안전해질 것이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
인터넷 끊어놔도 계속되는 해킹..'비밀번호 잠금' 태블릿까지 뚫려 (0) | 2020.07.25 |
---|---|
보안상 분기마다 한번씩 서버 암호를 변경하는 것에 대한 생각의 전환이 필요 (0) | 2020.07.24 |
사물 인터넷(IoT) 보안 취약성과 보호대책 (0) | 2020.03.12 |
BaroPAM은 불법적인 정보자산에 접근하는 상황을 제한하여 정보자산의 보안을 강화하는 솔루션 (0) | 2020.03.04 |
이상금융거래탐지시스템(FDS, Fraud Detection System)란? (0) | 2020.02.25 |