"망분리" 했다고 해커들을 침투를 100% 막을 수 없다! ICS 시스템들을 견고하게 연결하기 위해서는 이를 위한 네트워크 구조화 모델이 필요하며, 퍼듀 모델(Purdue model, 1990년대 기업 구조에 대한 참조 모델)은 이를 위해 ISA-99에서 PERA(Purdue Enterprise Reference Architecture)로부터 도입해 채택한 모델이다.  이 모델은 학계 및 ICS 보안 업계에서 ICS 보안 이론 배경과 보안 참조 모델로 널리 사용되고 있다.  레벨4,5의 엔터프라이즈 영역은 IT, 레벨0~3 영역은 OT로 구분되며 구체적인 역할은 아래와 같다. "Industrial Cyber Security" (저자: Pascal Ackerman) 참조 1. 엔터프라이즈 보안 영역 엔터프..

"망분리"란 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.  외부 네트워크와 연결되지 않은 완전 폐쇄망 환경이라도 공격자는 얼마든지 침투할 수 있다. "망분리" 했다고 해커들을 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다.   이게 어디까지 갔냐면, "사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다"가 보안의 명제가 됐다. 가장 많은 취약점이 발견되는 곳은 엔터프라이즈 퍼듀모델의 레벨 1에서 3까지에 해당하는 시스템이다.  레벨 3는 IT 영역인 레벨 4~5와 연결되는 가교 역할을 하기 때문에 레벨2 이하로 침입..

BaroPAM solution installation summary for multi-layer authentication to enhance the security of information assets (FreeRADIUS)

인증서버 없이 플러그인 가능한 인증모듈로 제공 바로팜 이용 VPN 로그인 화면/ 누리아이티 [데이터넷] 누리아이티(대표 이종일)는 VPN 2차인증을 지원하는 ‘바로팜(BaroPAM)’을 출시했다고 10일 밝혔다. 바로팜은 별도의 인증서버가 필요 없이 다중 인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 곧바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM)로 제공된다. 이종일 누리아이티 대표는 “지능화된 사이버 공격에 대응하기 위해서는 VPN에 2차 인증이 필요하다. 바로팜은 VPN의 2차 인증을 무력화시키기는 우회 기술 및 피로 공격을 방어해 2차 인증 취약점을 보완하고 안전하게 VPN을 사용할 수 있게 한다. VPN의 관리 및 운영 비용을 절감할 수 있다”고 말했다. 김선애 기자 출처..

"정적 보안의 시대에서 동적 보안으로 시대로!" 2024년 숙원 사업은 조직 내에서 정보자산의 로그인 시 정적인 비밀번호 만으로는 결코 안전하지 않기 때문에 비밀번호를 완전히 제거하는 것이다.  적어도 사용자들이 표면상 비밀번호를 가지고 로그인하는 일을 최소화 해야 한다.  비밀번호의 취약성은 이미 널리 알려진 사실이고, 많은 기업들이 이미 비밀번호를 대체할 수 있는 방법들을 모색하고 있다.  정보자산의 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 일회용 인증키로 대체 했을 때 이점은 다음과 같다. 정보자산의 보안강화를 위해서는 무엇보다도 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안인 일회용 인증키는..

가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.   OpenVPN이란 OpenVPN Technologies, Inc.에서 제작하고 배포하는 오픈소스 VPN 프로토콜과 그 접속 프로그램을 말한다.   TCP와 UDP 프로토콜을 모두 이용 가능한 오픈소스 VPN 프로토콜로서, TAP 또는 TUN 가상 네트워크 어뎁터를 이용해 VPN 연결을 수립한다.   SSL이나 TLS를 이용하여 패킷을 암호화하기 때문에 유효한 CA 인증서가 필요하다. 다만, 굳이 신뢰할 수 있는 CA를 이용하지 ..

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 한 곳 털리니 딴 곳도 털렸다. 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다. 국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다.  크리덴셜 스터..

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다. 다중인증(MFA, Multi-Factor Authentication, ) 피로공격은, 공격자가 일부러 잘못된 다중인증(MFA) 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 다중인증(MFA) 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 다중인증(MFA)을  등록하는 방식으로 강력 인증을 무력화한다. 다중인증(..

제로 트러스트(Zero trust)의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중인증(MFA)를 사용해야 한다. ​아는 것은 비밀번호, 갖고 있는 것은 일회용 인증키나 소프트웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다.​간편인증이 대세가 되면서 다중인증(MFA)의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이..