주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서 105

유선 LAN 기반의 업무를 5G 기반 무선AP으로의 전환에 따른 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용

세계 최초로 5G 상용화('19.4월) 이후 B2C 가입자는 증가되고 있으나 B2B/B2G 분야의 대표적인 성공사례는 부족한게 현실이다. ​ 5G는 초기 시장으로 중소기업 등 개별기업 차원의 투자가 어려워 국가적 차원의 전략적인 투자 필요하며, 정부 주도로 공공분야에 유선 기반의 인프라 환경을 무선 5G 기반 환경으로 전환하여 가장 앞선 정부업무망 모바일화 레퍼런스 모델 확보 및 B2G/B2B 분야 수요 창출 필요하다. ​ 지자체는 사무실 내 업무환경은 업무망/인터넷망이 물리적으로 분리된 유선 LAN 환경을 5G 기지국 등으로 대체하고, 네트워크슬라이싱 기술을 적용하여 인터넷망과 업무망을 분리(업무단말 대상)한다. ​ 우선, 상용망의 5G 코어, 5G 기지국 및 네트워크 슬라이싱 기술 등을 적용하여 상용..

스마트 폰의 심 스와핑으로 인하여 중간자 공격의 대안은 바로 2차인증 체계를 적용

"스마트 폰의 심 스와핑으로 개인 정보가 유출이 되어도 대안이 있느냐?" 스마트 폰의 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 스마트 폰에 꽂아 쓰는 일종의 스마트카드다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 스마트 폰 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 스마트 폰로 바꿔 꽂아도 사용할 수 있다. 본래 유심칩 인증은 가입자만 가능하기에 보안성이 높다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있다는 것이다. 이 같은 방식을 "심 스와핑(SIM Swapping)"이라 일컫습니다. 신종 해킹 위협..

ERP/그룹웨어/전자결제/포탈/이메일 등의 애플리케이션 보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -별도의 추가적인 인증서버가 필요 없는 소프트웨어(모듈) 인증 방식 -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공 (이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공 (모바일, 응급 스크래칭 코드 입력, Web OTP 등) -사용자별 동적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공 -OTP 인증 시 시간 및 회수를 제한하는 알고리즘 제공 -중간자 공격(Man-in-the-middle attack)에 대비하는 기능 제공..

Linux/Unix 서버보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -각 서버별 OTP인증 방식 (별도 추가 인증서버 불필요) -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공(이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공(모바일, 응급 스크래칭 코드 입력, Web OTP 등) -서버별 (리눅스, 유닉스 등)로 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공 -2차 인증을 허용 / 제외할 수 있는 계정에 대한 ACL 기능 제공 -서버 접속 시 시간 및 회수를 제한하는 기능 제공 -환경..

정보자산의 보안 강화를 위한 다중인증의 적용방안: 추가 인증, 비밀번호 대체, 새로운 비밀번호

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

PC, Notebook, 개방형OS 등 Desktop의 보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -각 데스크탑별 OTP인증 방식 (별도 추가 인증서버 불필요) -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공 (이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공 (모바일, 응급 스크래칭 코드 입력, Web OTP 등) -데스크탑 (윈도우계열, 개방형OS, 리눅스 계열, 제로 및 씬 클라이언트 환경 등)에 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공 -2차 인증을 허용 / 제외할 수 있는 계정에 대한 ACL 기능 제..

현재 정보자산의 보안강화를 위하여 2차 인증이 어느 정도로 적용되어 있는가?

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 보안 업계에서 몇 년 전부터 유행하기 시작한 말이 있다. 아이덴티티는 새로운 외곽(identity is the new perimeter)이라는 말이다. 너무나 많은 사용자가, 더 많은 장비들을 가지고, 다양한 장소에서 회사 네트워크에 접속하는 게 일상인 시대에 보안강화를 위한 정보자산의 인증 절차를 강화하는 것만큼 중요한 건 없다. 그리고 현재 정보자산의 보안강화를 위하여 가장 강력하다고 여겨지는 최상의 방법은 2차 인증(추가 인증)이다. 가장 민감한 부분과 데이터에 2차 인증 기능을 마련하고, 각종 접근점에 2차 인증 옵션을 걸어두는 건 그리 어려운 일이 아니다. 하지만 대단히 효과적이다. 구글이 지난 해(2021..

앞으로 정보보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로!

"정보자산에 대한 보안은 강화하고 사용자의 불편함을 최소화하는 BaroPAM 솔루션의 전략" 보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다. BaroPAM 솔루션은 정보자산의 보안 강화를 위하여 본인인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 곧바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module)..

삼성, LG, MS 공격한 랩서스 해킹조직에 대한 대응방안 및 보안전략

기업 및 개인의 정보 유출에 대한 해킹 피해보도는 잊혀질 만 하면 계속 발생되고 있으며, 이에 대한 피해는 심각한 수준이다. 보다 근본적으로 해킹에 안전한 다중 인증을 사용하여 대응하여야 한다는 인식이 사회적으로 확산되고 있는 실정이다. 또한, 공공기관 및 일반기업이 서버, PC, 어플리케이션, 이메일 등에 정보자산의 보안 강화를 위한 다중 인증 솔루션을 도입한 이유이기도 하다. 정보자산의 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 다중 인증 솔루션의 적용은 선택이 아닌 필수로 보다 더 안전하게 정보자산을 보호할 수 있다. "2차 인증 설정 시 타인에게 ID와 비밀번호 노출돼도 계정 접근 불가능" 타인이 로그인을 시도했다는 것은 결국 ID와 비..

크리덴셜 스터핑, 클라우드 재킹, 멜웨어나 피싱, 스팸 메시지, 해킹, 사이버 공격 등으로 비밀번호가 유출되어도 로그인을 차단하는 방법

"스마트 워크, 재택근무(WFA), 모바일 가상화(VMI), MS Azure, 클리우드 환경 등에 보안강화를 위한 다중인증 체계 도입 절실!" 클라우드 서비스 제공 업체들은 일반 기업들보다 더 강력한 보안 기능을 제공할 것이라는 기대감이 사용자들 사이에 존재한다. 보기에 따라 맞는 말일 수도, 틀린 말일 수도 있다. 분명한 건 클라우드 서비스를 제공하는 대기업들이라고 하더라도 완전하지는 않다는 것이다. 이제는 클라우드가 온라인 생활의 필수 요소가 되었다. 애플리케이션과 DB를 사용해서 하는 모든 일들이 이런 저런 방법으로 클라우드와 엮이게 되어 있다. 또한, 최근 DB가 설정 오류와 관리 부실로 고스란히 노출되는 사건이 너무나 많이 일어나고 있고, 이 때문에 다크웹에서는 추가 범죄에 활용할 수 있는 자원..