1. 일회용 인증키 개요 전자거래 중에 교환되는 데이터가 변경되지 않고 허가되지 않은 제3자에 의해 간섭받지 않도록하기 위해 사용되는 디지털(전자) 키로 그것은 인증 및 보안 트랜잭션의 고유 한 정보(양, 날짜, 시간)를 기반으로하는 디지털(전자) 코드 세트로 구성된다. 일명 디지털 키 또는 전자 키라고도 불린다. 고정된 비밀번호 대신 무작위로 생성한 일회성 인증키로 사용자를 인증하는 방법으로, 보안을 강화하려고 도입한 시스템이다. 로그인 할 때마다 일회성 인증키를 생성한다. 동일한 일회성 인증키가 사용되지 않아 보안을 강화할 수 있다. 주로 전자 거래에서 사용된다. 사용자는 "일회용 인증키"를 생성하는 하드웨어인 일회성 인증키의 생성기(Authentication key Token)를 이용한다. 별도 일..

1. Credential Provider 개요 Windows 로그온 화면을 커스터마이징 할 때, Windows XP까지는 GINA(Graphical Identification and Authentication) DLL이 사용되었는데, 인터페이스가 어렵고 복잡하며, 디버깅도 매우 어려워서 소수 일부 전문가들만 사용했다. Windows 7(Vista 이상)부터는 CP(Credential Provider)라는 개념으로 비교적 쉽게 수정할 수 있는 API 인터페이스를 제공하고 있다. Credential Provider는 Plugin처럼 여러 개 병렬로 등록 가능하며, 각각 한 가지 인증 처리를 할 수 있는데, 이와 같이 추가 Credential Provider를 만들어 할 수 있는 일은, -로그온 화면에 Tex..

3단계 인증 지원 ‘바로팜’, 사용자 편의성 보장하며 인증 강화 [데이터넷] 누리아이티(대표 이종일)는 생체인식, ID/PW, 일회용 인증키까지 결합한 3단계 인증을 지원하는 ‘바로팜(BaroPAM)’을 출시했다고 26일 밝혔다. 바로팜은 별도의 인증서버가 필요 없이 다중 인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 곧바로 적용할 수 있는 플러그인 가능한 인증 모듈로 제공된다. 바로팜의 3단계 인증은 지문·안면인식 등 속성을 기반으로 한 생체인식, ID/PW 등을 이용한 지식기반 인증, 바로팜 일회용 인증키를 이용한 소유기반 인증으로 구성된다. 한국인식산업의 AI안면인식 기술과 결합해 윈도우 자동 로그인, 화면 보호기를 자동해제해 사용 편의성과 보안성을 강화했다. 이종일 누리아이티 대표는..

웹용 Outlook 또는 OWA(Outlook Web Access)는 온-프레미스 전자 메일 및 작업 관리 응용 프로그램인 Microsoft Outlook에 대응하는 브라우저 기반이다. 엔터프라이즈 사용자가 웹 브라우저에서 직접 Microsoft Exchange의 전자 메일, 일정, 작업 및 연락처에 액세스할 수 있도록 하는 솔루션에서는 OWA에 대한 로그인 보안이 매우 중요하다.  기존 사용자 이름 및 암호 기반 인증 프로세스는 충분히 안전한 것으로 간주되지 않는다.  사용자의 OWA 인터페이스에 대한 무단 액세스는 민감한 비즈니스 정보와 사용자 간의 기밀 이메일 서신이 노출될 위험이 있다. 보안 외신 SC미디어에 의하면 중국 APT 단체가 MS 클라우드 이메일 계정 공격을 실시하고 있고, MS가 나서..

과기정통부, 제로트러스트 가이드라인1.0 발표 국산 제로트러스트 기술 실증으로 국가적 보안수준 높인다 [보안뉴스 원병철 기자] 과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 작년 10월 국내 산･학･연･관 전문가로 구성된 ‘제로트러스트포럼(간사기관 : 한국인터넷진흥원)’을 구성하고 미국, 유럽, 일본 등의 동향 분석, 자료검토, 토론회 등을 통해 의견을 모아 국내 환경에 적합한 ‘제로트러스트 가이드라인 1.0’을 마련했다고 밝혔다. 또한, 대통령 직속 디지털플랫폼정부위원회(위원장 고진)와 함께 지난 4월 ‘디지털플랫폼정부 실현계획’을 발표하면서 새로운 디지털환경에서의 정보보안을 위하여 국가적 차원의 제로트러스트 도입을 추진하겠다고 밝힌 바, 이번에 마련된 ‘제로트러스트 가이드라인 1.0’을 각 ..

"다중 인증(MFA)에 대한 인식의 대전환이 필요" 멀티 클라우드와 하이브리드 업무 환경으로 인해 강력한 적응형 인증이 필요해지면서 다중 인증(MFA)의 도입률이 크게 높아지고 있다. 다중 인증(MFA)을 가장 많이 도입한 5대 산업은 보험(77%), 컨설팅(75%), 건설(74%), 미디어 및 커뮤니케이션(72%)이며, 의외로 규제가 심한 산업들이 뒤쳐지는 경향이 있었다. 다중 인증(MFA)은 악용될 가능성이 큰 비밀번호 같은 크리덴셜 위에 추가적인 보안 레이어를 더하는 인증 전략이다. 비즈니스 웹 애플리케이션 공격의 80% 이상, 모든 비즈니스 이메일 침해 공격의 절반 가량이 도난 당한 사용자-ID와  비밀번호 때문에 발생한다. 다중 인증(MFA)은 다양한 운영체제/애플리케이션이나 온라인 계정에 접근..

결론은 "다중인증(MFA)을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중인증(MFA)을 도입했느냐"가 관건. 사용자들은 다른 형태의 인증 방식으로 본인의 데이터가 안전한지 확인하려고 한다. 약 50%의 소비자는 소셜 로그인, 40%의 소비자는 다중인증(MFA)을 선호한다. 의외로 생체인식 방식은 다중인증(MFA)보다 선호도가 낮은 세 번째 옵션으로, 20% 정도의 지지를 받았다. 가장 사적인 상호작용을 위해 생체인증을 승인한 응답자는 15%가 채 되지 않았다.  다중인증(MFA) 우회 공격 키트 사용 피싱, 매월 100만건 발견되는 등 날로 지능화된 사이버 공격에 대응하기 위하여 정보자산의 보안강화를 위한 다중인증(MFA)의 인증키는 무엇보다도 본인이 소유하고 있는 인증키 생성매체를 사용해서..

하루가 멀다하고 떠지는 계정정보 유출 및 도용 사고가 끊이질 않고 있다. 그래서, 기기마다, 플랫폼마다, 계정마다 각기 다른 비밀번호를 설정하고 주기적으로 변경할 것을 권장한다. 하지만 여러 개의 비밀번호를, 그것도 특수문자와 대문자를 포함하고 생년월일과 무관하며 연속성이 없는 최소 8자 이상의 글자 조합을 외우는 것은 좀체 만만한 일이 아니다. 그렇다고 컴퓨터 앞에 적어 둘 수도 없는 노릇이다. 그러니 기존에 사용한 적이 없으면서도 잊어버리지 않을 만한 비밀번호의 조합을 만들어내는 것은 이제 창의성의 영역에 있는지도 모르겠다. 해외 보안 전문 업체의 발표에 따르면, 2020년에 가장 많이 사용된 패스워드는 "123456"이다. 2019년 1위는 "12345"였으니, 겨우 숫자 한 자리가 늘어났을 뿐이다..

‘갈수록 정교해지는 클라우드 인프라 공격’이다. 아마존(Amazon), 마이크로소프트(Microsoft), 구글(Google) 등에 대한 클라우드 인프라 공격이 증가하고 있다. 다중인증(MFA), 프록시 침투, API 실행을 활용한 더욱 정교한 공격이 지속되고 있지만, 가장 흔한 공격 기법은 유효한 계정을 악용하는 것이다. 이 같은 공격은 다른 공격 기법보다 2배 더 많이 탐지되고 있다. 특히, 원격근무 환경에서 사용자 계정의 비정상적인 접근은 심각한 수준으로 드러났다.날로 지능화된 사이버 공격에 대응하기 위하여 정보자산의 보안강화를 위한 다중인증(MFA)의 인증키는 무엇보다도 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 보안 사고를 예방할 ..

목차 1. BaroCRYPT 1.1 BaroCRYPT 개요 1.2 BaroCRYPT 특/장점 2. BaroCRYPT 연동 API 2.1 연동 API 사용 전 준비사항 2.2 BaroCRYPT 연동 API 3. BaroCRYPT 연동 API(DB) 3.1Stored Function이란? 3.2 Java 모듈(barocrypts.class) 4. About BaroCRYPT 1. BaroCRYPT 1.1 BaroCRYPT 개요 BaroCRYPT 솔루션은 Feistel 암호를 사용하여 크기가 작고 구현이 쉬운 블록 암호화 알고리즘인 XXTEA (Extended Extended Tiny Encryption Algorithm)를 기반으로 하는 가볍고 가장 빠른 암호화 알고리즘이다. 1.2 BaroCRYPT 특/장..