새해들어 한달도 지나지 않았는데, 사이버 공격이 밤낮없이 발생하고 있다.
▶中 해커조직, 교육관련 협회 70여개 해킹...,KISA 및 정부·공공 해킹공격 주의
▶2억 트위터 사용자들의 프로필 정보, 잘 정리된 채 무료로 풀려
▶유명 패스트푸드 프랜차이즈 칙필레, 사용자 계정 해킹 당해
▶북한 김수키 해킹조직, 다음 메일 사칭해 카카오 계정 탈취 공격
▶신라호텔, 신라리워즈 회원 개인정보 10만여건 유출... 열흘만에 또?
▶중국 해커조직, 한국 정부부처 데이터 54.2GB 탈취 주장
▶여수언니 봄날엔 약과, 개인정보 유출
▶페이팔 사용자 3만 5천 명, 크리덴셜 스터핑 공격으로 개인정보 잃어
▶바이스소사이어티 랜섬웨어 그룹, 두이스부르크에센대학 정보 유출
▶명함관리 앱 ‘리멤버’, 개인정보 유출... 365명 이메일 주소 일괄 발송
▶대만 국영항공사 중화항공 해킹... 주요 인사 개인정보 유출 피해
▶국세청 위장 피싱 메일 공격... 카드정보 등 개인정보 탈취 시도
▶LG유플러스, 고객 개인정보 유출... 최소 18만명 정보 털렸다
▶인터파크, 크리덴셜 스터핑 추정 공격 받아... 개인정보 유출 추정 계정 차단 등 긴급 조치 완료
▶대형 ERP 업체, 입사 지원자들의 개인정보 노출시켜
방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.
더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.
첫번째는 출처가 불분명한 문자 혹은 메일을 열람하지 않는다.
두번째는 PC, 스마트폰 등 자주 사용하는 정보자산의 소프트웨어를 최신으로 업데이트해 보안의 위협에 대비해야 한다.
마지막으로 계정 로그인 시 추가 인증(2차 인증)을 설정한다. 계정정보의 탈취를 막기 위해서는 비밀번호 보안만이 아닌 추가 인증(2차 인증)을 설정해 계정브오의 접근을 차단해야 한다.
처음부터 완전한 보안 시스템은 없다.
간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다.
느슨한 결합으로 이뤄진 플러그인 가능한 인증모듈(PAM, Pluggable Authentication Module) 기반 아키텍처는 예상치 못한 스파이크가 발생했을 때에도 유연하게 대응할 수 있고 자연스런 스케일링도 가능하다.
이런 아키텍처가 더 쉽게 진화할 수 있다.
'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트’ 전략이 주목을 받고 있다.
제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻이다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략이다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 된다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제이다.
제로 트러스트 개념에서는 IT 시스템에 접근을 하기 위해서, 즉 접근 허가를 받기 위해서 먼저 사용자가 누구인지, 혹은 단말기가 안전한 허가를 받은 단말기인지, 그리고 어떤 접근 권한을 갖고 있는지 등 모든 유효성을 다 입증한 다음에 권한을 받아서 접근 허가를 수락하게 된다. IT 시스템에 접근하기 위해서만도 아니고 IT 시스템에 접속한 이후에 IT 시스템 안에서도 여러 시스템들이 존재하는데 각 시스템에 접근할 때마다 앞서 언급한 모든 유효성을 다 입증해야 한다. IT 시스템 안에 존재하는 데이터를 사용할 때도 마찬가지다. 즉, IT 시스템에 들어왔다고 하더라도 그것으로 끝나는 것이 아니라는 얘기다.
과거 강력한 보안시스템을 자랑하는 글로벌 기업들조차 내부 직원들의 계정 관리 허점을 타고 들어오는 공격에 속수무책으로 당하면서다.
제로트러스트는 아주 믿을만한 직원의 계정이라도 시스템마다 접근 권한을 달리 부여하고, 실제 접근이 이뤄질 때마다 상대를 검증하는 보안 모델로 날로 지능화된 사이버 공격에 대응하기 위한 최적의 보안 대책으로 꼽히고 있다.
제로트러스트는 간편성과 편리성을 내세워 적용하기 쉽지만 보안이 느슨한 Gateway 방식인 통합접근제어/통합계정관리/통합인증 방식과 반대 개념의 보안 모델이다.
참고로 Gateway 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회/원격 접속, 중간자 공격이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다.
정보자산의 보안 강화를 위하여 2차 인증(추가 인증)이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 곧바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반으로 하는 보안에 최적화된 생체인식이 적용된 3단계 인증 솔루션인 BaroPAM이 추구하는 보안전략은 한마디로 제로트러스트 보안모델이다.
BaroPAM 솔루션은 별도의 인증서버가 필요 없는 모듈인증 방식으로 중앙 집중식에서 벗어나 탈중앙화 방식의 다계층 인증을 지원하며, 보안성이 강하고, 단순하고, 관리도 필요 없고, 장애도 없고, 누구나 손쉽게 곧바로 적용하여 사용할 수 있고, 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없는 저비용 고효율의 솔루션이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
"2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건 (0) | 2023.02.15 |
---|---|
정보자산의 보안을 강화하기 위하여 주목해야 할 것들 (0) | 2023.01.27 |
‘전자금융감독규정’ 개정 등 법제도 이슈에 따른 클라우드 보안시장 전망 (0) | 2023.01.02 |
2차 인증의 우회 기술을 방어할 수 있는 방안(2 Factor 인증 + 중간자 공격 방어) (0) | 2022.12.29 |
NIST, 27년 된 암호화 알고리즘 SHA-1 폐기...역사 속으로 (0) | 2022.12.28 |