질문) 일회용 인증키는 처음 듣습니다. 도대체 어떤 것 입니까? 답변) 단방향 암호 기반의 해시 알고리즘에 따라 매 생성주기마다 변경되는 추정 할 수 없는 인증 키(OTA key, One-Time Authentication key)를 말합니다. 한마디로 "동일한 알고리즘, 동일한 키, 동일한 시간(UTC)"이면 생성모듈이든 검증 모듈이든 서로 통신을 하지 않아도 동일한 일회용 인증키를 생성합니다. 질문) 별도의 인증서버가 필요 없는게 맞습니까? 답변) 맞습니다. BaroPAM 솔루션은 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반하기 때문에 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 솔루션을 도입할 ..

화면보호기 잠금 방지·해제 기능 추가나라장터 조달 등록…공공시장 공략OTP카드에 지문인식 탑재 '바로카드'산업·국방·의료계 보안 시설 최적화  “최근 출시한 '바로PAM'(BaroPAM)은 개인 PC 화면보호기 잠금 방지·해제 기능을 추가한 플러그인 방식 인증 모듈(Pluggable Authentication Module)입니다. 최근 시스템·인프라 발전에 발맞춰 출시한 제품인 만큼 철통 보안을 보장합니다.”누리아이티(대표 이종일)는 보안 소프트웨어(SW) 전문 기업이다. 회사 인증 솔루션 바로PAM은 다양한 운용체계(OS)와 지능형 폐쇄회로(CCTV), 클라우드 데스크톱 가상화(VDI), SSL 가상사설망(VPN), MS 애저 환경에서 쓰인다. 공공기관 700여곳 데이터가 집계되는 범정부 데이터 플랫폼..

보안 취약한 VPN 악용 공격 늘어…쉽고 안전한 재택근무 지원 통합 솔루션 등장   코로나19로 재택·원격근무가 본격 확산됐으며, 가장 강력한 보안을 요구하는 공공·금융기관도 재택·원격근무가 가능해졌다.   공공·금융기관의 재택근무 허용은 많은 변화를 일으키게 했는데, 망분리 환경을 유지하기 위해 회사에서 지급한 기기로 VPN을 이용해 사내 시스템이나 자신의 업무 PC에 접속하게 했다.   VPN이 연결되지 않으면 해당 기기로는 아무 작업도 할 수 없으며, VPN을 통해 업무 PC에 접속한 후 사내 환경과 동일한 보안 정책을 적용받으면서 일하게 됐다.  부득이 개인 기기를 사용할 때에는 보안 에이전트를 설치하고 회사 엔드포인트 보안 정책을 적용해야 한다.   업무 형태가 자유로워진 만큼 공격자도 자유로워..

현상 : Oct 14 10:09:43 baropam sshd[18075]: PAM unable to dlopen(/usr/baropam/pam_baro_auth.so): /usr/baropam/pam_baro_auth.so: undefined symbol: curl_easy_setopt 원인 : 웹 개발 툴인 cURL(Client for URLs) 관련 라이브러리가 존재하지 않아서 발생. 조치 : Redhat, CentOS는 "yum install curl" 그외는 "sudo apt-get install curl" 명령어로 설치

현상 : 일회용 인증키가 생성하지 못하고 다음과 같은 오류 메시지 발생. java.lang.NullPointerException: Attempt to invoke virtual method 'byte[] java.lang.String.getBytes()' on a null object reference at com.barokey.barokey.str2Hex(barokey.java:241) at com.barokey.barokey.generateKEYP(barokey.java:293) at com.baro.pam.info.PAMCreateACT.onAuthKey(PAMCreateACT.java:223) at com.baro.pam.info.PAMCreateACT.getIntentData(PAMCreateA..

오픈 소스 Google OTP 또는 Google Authenticator는 시간 기반 일회용 비밀번호 알고리즘(TOTP)와 HMAC 기반 일회용 비밀번호 알고리즘(HOTP)를 사용하여 다중 인증(MFA, Multi Factor Authentication) 서비스를 구현하는 소프트웨어 토큰의 하나로, 구글의 모바일 애플리케이션 사용자들을 인증하기 위해 사용된다. 오픈소스 Google OTP는 제품화된 인증솔루션이 아니다.  이는 여러 보안취약점을 제거한 여타 유상 솔루션에 대비하여 많은 취약점을 가지고 있을 수밖에 없고, 구글에서도 Google OTP를 실제 서비스에 적용하는 것은 위험하다라고 인터뷰 한적이 있다.  하지만 무상이라는 이유로 암호화폐 거래소, 게임사 등에서 2차 인증(추가 인증) 수단으로 ..

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 다중 인증(MFA, Multi-Factor Authentication)은 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증한다. 또한, 다중 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behavio..

모바일 가상화 플랫폼(VMI)은 서버에 있는 모바일 가상(개인사용자)영역에 접근하여, 개인 모바일 영역과 물리적으로 완전히 분리된 모바일 업무환경을 제공하는 플랫폼으로 사용자 식별ㆍ인증을 위하여 2단계 인증(다중인증, 추가인증, 2차인증, 일회용 인증)체계 솔루션인 BaroPAM을 적용하여 정보자산의 보안을 강화한다.  1. Virtual Mobile Platform?   Android 기반의 가상화 환경을 제공하여 안전하고 편리한 BYOD를 실현할 수 있는 보안 솔루션이다.   ▶데이터 분리   개인 모바일 영역과 업무 영역이 물리적으로 완전히 분리 ▶하나의 APP   하나의 Android 앱 개발로iOS/Andorid 사용자 모두 업무앱 사용가능 ▶중앙 집중 관리   관리자가 중앙 관리 콘솔을 통해 ..

누리아이티(대표 이종일)가 개인 PC 화면보호기 잠금 방지·해제 기능을 추가한 플러그인 방식 인증 모듈(Pluggable Authentication Module) 'BaroPAM(바로PAM)'을 출시했다. 이를 계기로 올해를 '글로벌 보안 소프트웨어 기업'으로 도약한다는 복안이다. 급변하는 IT 환경 변화에 정보자산 관리에 어려움을 겪는 국내외 고객사를 대상으로 바로PAM을 제공, 사이버 보안 능력 제고에 기여할 방침이다.회사 관계자는 “정보 보호를 위해 사용하는 개인 PC 화면보호기 기능을 강화했다”며 “최근 시스템·인프라 발전에 발맞춰 다중인증과 2차 인증을 기반으로 한 차세대 보안솔루션을 적용했다”고 말했다. 이어 “여타 솔루션 대비 보안성과 편리성을 강화한 제품”이라며 “고객사의 사이버 보안 대응..