새해들어 한달도 지나지 않았는데, 사이버 공격이 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없다. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다. 느슨한 결합으로 이뤄진 플러그인 가능한 인증모듈(PAM, Pluggable Authentication Module) 기반의 아키텍처는 예상치 못한 스파이크가 발생했을 때에도 유연하게 대응할 수 있고 자연스런 스케일링도 가능하다. 이런 아키텍처가 더 쉽게 진화할 수 있다. '아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스..

새해들어 한달도 지나지 않았는데, 사이버 공격이 밤낮없이 발생하고 있다. -中 해커조직, 교육관련 협회 70여개 해킹...,KISA 및 정부·공공 해킹공격 주의 -2억 트위터 사용자들의 프로필 정보, 잘 정리된 채 무료로 풀려 -유명 패스트푸드 프랜차이즈 칙필레, 사용자 계정 해킹 당해 -북한 김수키 해킹조직, 다음 메일 사칭해 카카오 계정 탈취 공격 -신라호텔, 신라리워즈 회원 개인정보 10만여건 유출... 열흘만에 또? -중국 해커조직, 한국 정부부처 데이터 54.2GB 탈취 주장 -여수언니 봄날엔 약과, 개인정보 유출 -페이팔 사용자 3만 5천 명, 크리덴셜 스터핑 공격으로 개인정보 잃어 -바이스소사이어티 랜섬웨어 그룹, 두이스부르크에센대학 정보 유출 -명함관리 앱 ‘리멤버’, 개인정보 유출... ..

클라우드 이용절차 합리화 및 망분리 규제 완화를 위해 금융위원회에서 의결한 ‘전자금융감독규정’ 개정안이 2023년 1월 1일부터 시행된다. 이번 개정안은 금융업무의 디지털 전환이 가속화됨에 따라 클라우드, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요를 반영했다. 개정안의 주요 내용은 첫째, 클라우드 이용 업무의 중요도 평가 기준이 마련됐다. 둘째, 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가항목이 정비됐다. 셋째, 클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화했다. 넷째, 연구·개발 분야의 망분리 규제가 완화됐다. 비중요 업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록 규제 샌드박스를 통한 망분리 규제 완화를 2023년 상반기에 검토..

2023년 전망하는 해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태 및 침해 사고에 자주 사용되는 매우 효과적인 방법으로 다중인증에 대한 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 크게 증가하는 것로 발전할 것으로 전망한다. 회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID/PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려..

미국 상무부 산하 기관인 NIST(National Institute of Standards and Technology)는 목요일 SHA-1 암호화 알고리즘을 공식적으로 폐기한다고 발표했다. ​ 더해커뉴스에 따르면, 보안 해쉬 알고리즘(Secure Hash Algorithm) 1의 줄임말인 SHA-1은 암호화에 사용된지 27년 된 해시 함수로 충돌 공격(collision attack)의 위험으로 인해 손상된 것으로 간주되었다고 보도했다. ​ 해시는 되돌릴 수 없도록 설계되었지만(즉, 고정 길이의 암호화된 텍스트에서 원래 메시지를 재구성하는 것이 불가능해야 함) SHA-1의 충돌 저항이 부족하여 두 개의 다른 입력에 대해 동일한 해시 값을 생성할 수 있다. ​ 2017년 2월 CWI 암스테르담과 구글의 연구..

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미하며, 2 Factor 인증과 2 Channel 인증으로 구분한다. ​ ​ 1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지? ​ 2. 인증서버 방식인지, 모듈인증 방식인지? ​ 3. 통합인증인지 분산인증인지? ​ 4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? ​ 5. 제한된 시간 내에 횟수 제한을 할 수 있는지? ​ 6. 적용 및 관리가 단순한지? ​ 7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지? ​ 8. 인증 폭주 시 인증 속도는 얼마나 저하되는지? ​ 9. 통신망을 ..

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트’ 전략이 주목을 받고 있다. 제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻이다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략이다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 된다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제이다. 제로 트러스트 개념에서는 IT 시스템..

랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다. 이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 2차 인증(추가 인증) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 2차 인증을 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 2차 인증(추가 인증)을 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다. 또한, 개발자의 다수가 아직도 2차 ..

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다. ​ Windows/개방형OS같은 데스크탑의 정보보안은 강화하고, 사용자의 불편함을 최소화하면서 Windows나 개방형OS(하모니카OS, 구름OS, TMaxOS)의 자동 로그인 및 화면보호기의 잠금방지/자동잠금/자동해제 기능으로 정보보안을 위하여 화면차단 5분, 화면보호기 10분, 강제 종료 4시간으로 설정하는 등 단말기 보안과..

1. 개요 □ 도입의 필요성 ○ 정보자산의 불법적인 접근을 제한하여 2차 인증으로 보안을 강화할 필요(추세) * OTP(One Time Password) : 일회용 비밀번호 ○ 기존 ID와 비밀번호는 사용자의 지식인증 방식으로 예측 가능하고 유출 가능성 큼 ○ 개인정보보호법 “개인정보의 안전성 확보 조치 기준” 제6조(접근통제) 의 안전한 접속수단을 적용하거나 안전한 인증수단을 적용 대응 ○ 금융감독원 전자금융감독규정 제14조 9항(정보시스템의 운영체제 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차 의무화 시행 ○ 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안( 망분리 대체 정보보호 통제) -원격접속에 대한 인증은 이중 인..