최근 원격근무 확산 등으로 사이버 보안 위협은 더욱 증가하고 있으며, 여기에 이메일, 금융, 소셜 등 디지털 생활의 주요 보안 수단으로 사용되고 있는 비밀번호는 사이버 공격자의 주요 공격 표적이 되고 있다. 특히, 공격자는 보안 경계를 뚫는 것 보다는, 쉽게 구할 수 있는 사용자 계정으로 로그인 한 후 내부에서 더 높은 권한을 탈취하면서 공격 범위를 확장해 간다.
기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 다중 인증을 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다.
보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는 게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.
최근의 보안 사고들을 보면 대부분이 내부의 보안규정 위반으로 인한 문제에서 비롯되는 경우가 많다.
예를 들면 동일한 패스워드를 사용하거나 교체 주기를 위반하거나 별도의 계정 및 패스워드, 백신을 사용하지 않는 경우가 많은 것. 또한, 개인단말 이탈 시 화면보호기 및 패스워드 미사용, 보안규정의 위반이나 부주의, 악성코드 감염, 원격 데스크탑 사용 등으로 인해 보안문제가 발생하기도 한다.
1. 보안 전략
기업 및 개인의 정보자산에 설정된 비밀번호 만으로는 결코 안전하지 않다. 만약, 정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?
이에 대한 대안으로 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용한다.
예를 들면, 2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 한다.
정보자산의 중간자 공격(Man-in-the-middle attack)은 2자간의 통신에 누군가가 개입하여, 도청이나 변경을 행하는 수법으로 로그 인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용된다.
이러한 중간자 공격을 막는 데에는 암호화와 일회용 인증키(OTA, One-Time Authentication key)가 하나의 대책이 된다. 중간자 공격이 수행되게 되면, 진품 그대로의 피싱 사이트에 접속되거나, 정상 접속처에 도착하기 전에 통신 내용이 누설된다.
따라서, 중간자 공격을 알아차리는 것은 상당히 어렵기 때문에 일회용 인증키를 사용하여 2차 인증(추가 인증) 시 한번 사용한 일회용 인증키를 인증키 생성주기에 재사용 못하게 하면 중간자 공격을 예방할 수 있다.
① Windows
Windows 환경에 대한 BaroPAM의 보안 전략은 3단계로 구성되며, 1단계는 전형적인 기본 보안(지식기반 인증: ID/Password), 2단계는 스마트 폰의 생체인식 기능을 BaroPAM 앱에 적용하여 인증하는 생체인식 보안(속성기반 인증: 생체정보), 3단계는 BaroPAM 앱에서 생성한 일회용 인증키(소유기반 인증)를 적용하여 보안 강화에 최적화되게 구성되어야 한다.
② 개방형OS(하모니카OS, 구름OS, TmaxOS)
개방형 OS에 대한 BaroPAM의 보안 전략은 3단계로 구성되며, 1단계는 전형적인 기본 보안(지식기반 인증: ID/Password), 2단계는 스마트 폰의 생체인식 기능을 BaroPAM 앱에 적용하여 인증하는 생체인식 보안(속성기반 인증: 생체정보), 3단계는 BaroPAM 앱에서 생성한 일회용 인증키(소유기반 인증)를 적용하여 보안 강화에 최적화되게 구성되어야 한다.
2. 우회 및 원격 접속 차단
악의적인 목적으로 만들어진 프로그램인 악성코드를 탐지 및 제거하는 백신 솔루션과 정보자산 접근제어 2차 인증을 통한 불법적인 우회/원격 접속을 차단하는 솔루션이 결합하여 Desktop의 보안을 강화하는 시너지 효과를 낼 수 있다.
3. 화면보호기 적용
개인 PC의 정보보안을 위하여 화면차단 5분, 화면보호기 10분, 강제 종료 4시간으로 설정하는 등 단말기 보안과 절전을 동시에 시행하고 있다.
화면보호기는 직원들이 자리에 있으면서 잠깐 컴퓨터를 사용하지 못한 경우가 발생하는데, 이때 자동으로 화면 보호기가 실행되어 불편함이 이만 저만이 아니었다.
이러한 필요성에 의해서 Desktop에 정보 보호를 위하여 화면 보호기를 설정하는데, 보안은 강화하고 불편함을 최소화하면서 화면 보호기 화면의 잠금을 방지 및 해제하는 기능을 적용할 필요가 제기되는 이유다.
BaroPAM은 기존의 기능에 화면 보호기 화면의 잠금을 방지 및 해제하는 기능을 선택적으로 적용할 수 있도록 추가 했다.
이렇게 함으로써 Desktop과 BaroPAM 앱간의 통신연결 시 일회성 인증체계를 통해 서비스에 대한 보안인증을 제공한다. 일반적으로 블루투스(BLE) 등의 초기 연결 시, 보안에 취약한 고정형 비밀번호로 연결하지 않고 일회용 인증키를 활용해 통신의 유효성을 검증해 보안을 강화한다.
결론적으로 기업 및 개인의 정보 유출을 방지하기 위하여 Desktop의 정보보호 및 보안 강화를 위한 방안은 다음과 같다.
① 피싱 메일에 주의하고 본문 링크 클릭, 첨부파일 다운로드, 실행에 주의
② 매월 운영체제 및 주요 프로그램(웹 브라우저, Java 등)의 보안 업데이트 확인 적용
③ 사용 메일을 통한 주요 업무 자료 송수신 금지
④ 불가피한 경우 OTP 설정 및 허가된 사용자 단말기 추가 등을 통해 인증 강화
모든 정보자산에 대한 인증 정책은 어느 한 구간이 아니 단계별 모든 구간에 적용해야 되며, 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책이다. 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
다중 인증(MFA)의 사용을 꺼리는 이유 (0) | 2021.10.23 |
---|---|
VMI(Virtual Mobile Infrastructure : 모바일 가상화) 솔루션에 BaroPAM 적용한 보안강화 (0) | 2021.10.17 |
Windows, 개방형OS의 Desktop PC에 화면 보호기 잠금 방지 및 해제 기능의 필요성 대두 (0) | 2021.08.30 |
게임 업계가 사이버 공격에 대응하기 위한 방법인 다중 인증 설정으로 보안강화 (0) | 2021.08.17 |
생체인식 시장 성장, 어떤 걸림돌 있나? (0) | 2021.08.15 |