"블록체인은 분산 데이터 처리 기술이지 사용자 식별.인증 기술이 아니다." 암호·인증 분야 보안 전문가들을 주축으로 블록체인을 사용자 인증 기술로 오해하면 안된다는 지적이 나오고 있다. ‘블록체인이 마치 공인인증서를 대체하는 인증기술’로 비춰지고 있다는 것이다. 블록체인은 그 자체로 개인을 식별·인증할 수 있는 기능은 없다. 인증에 사용되는 데이터, 예를 들어 공개키 유효성을 조회하거나 무결성을 검증하고 자격증명 발급이력을 기록하고 조회하는 데 활용할 수 있다고 전문가들은 설명한다. 개인 인증 수단은 널리 사용되고 있는 인증서나 생체인증·FIDO(Fast IDentity Online), 일회용비밀번호(OTP) 등이 담당한다. 2단계 보안 인증(2차 인증, 추가 인증)은 모바일 환경의 확산과 함께 비교적 ..

국내 인터넷 관련 전문가 10명 중 4명, 온라인 계정 탈취 당한 경험 ‘있다’. 인터넷 보안 전문가는 “사용 중인 웹사이트에 비슷한 비밀번호를 적용해 오다가 해킹으로 탈취돼 비밀번호를 변경했으나, 나 자신 조차도 변경한 비밀번호를 기억하지 못하고 있다”고 말했다. 이어 “특수문자를 포함하라는 기준이 생겼지만, 기존에 수많은 곳에 적용한 비밀번호와 다르고, 가입하는 웹사이트마다 허용하는 특수문자의 제한이 있어서 이에 대한 기억을 일일이 하지 못한다. 자신이 변경한 비밀번호를 기억 못해 해당 비밀번호 재설정에 시간과 비용 낭비를 빈번하게 경험하고 있다”고 비밀번호 기반 로그인 기능 사용의 불편함을 토로했다. 미국립표준기술연구소(NIST)가 최근 발표한 패스워드 가이드라인에 따르면 주기적으로 비밀번호를 변경..

정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐? 정보자산에 대한 2차 인증(추가 인증) 솔루션인 BaroPAM은 "보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용"과 "분실.도용.해킹으로 인한 비밀번호 초기화"에 적합하다. -2차 인증 적용 프로세스 -2차 인증 적용 데모 화면 정보자산에 대한 2차 인증(추가 인증) 솔루션인 BaroPAM을 도입해야 하는 이유는 다음과 같다. 1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용 2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다..

1. 어느 장치에서나 업무 환경에 액세스 할 수 있는 VDI의 개요 ​ 가. VDI의 정의 - Virtual Desktop Infrastructure - 중앙 데이터센터의 서버자원을 이용해 데스크탑 환경을 개별 사용자에게 네트워크 상에서 제공하는 컴퓨팅 환경 ​ 나. 등장배경 등장배경 설명 정보보안 - Process Kill, OS Format 등을 통한 통제 기능 무력화 - PC 반출 후 하드 디스크의 분리를 통한 대량 정보 유출 - 유무선 네트워크 연결을 통한 파일 대량 복사 - VPN을 통한 불특정 다수 PC로의 다운로드 TCO - Total Cost of Ownership - 전통적 PC 운영 비용 매년 동일 수준으로 발생 - 하드웨어와 소프트웨어를 합친 지출은 전체 비용의 20~30%, 나머지 ..

모든 네트워크가 차단된 상태라면 의심이 드는 건 스마트폰을 통한 해킹이라고 분석하고 있다. 스마트폰에 악성코드를 심어서 주변 기기에 블루투스를 켜는 등 조작이 가능하다는 건데. 사실 흔치 않은 일이고 전문가들에게도 매우 어려운 일이라고 설명했다. 인터넷 공유기, 무선AP가 감염돼서 해당 네트워크를 사용했던 모든 컴퓨터, 노트북 그리고 스마트폰, 태블릿PC까지 조작이 가능해졌다. 인터넷 공유기, 무선AP는 최초 구입 뒤 펌웨어 그러니까 보안프로그램을 업데이트하는 경우가 거의 없고 비밀번호도 거의 바꾸지 않아서 보안에 취약한 경우가 많다. 전문가는 인터넷 공유기 펌웨어를 주기적으로 업데이트하고 해킹이 의심될 경우 공유기부터 교체한 다음에 컴퓨터 등을 초기화해야 한다고 조언한다. 결론은 스마트폰에 악성코드를 ..

지금까지 보안상 분기마다 한번씩 주기적으로 암호 변경 규정에 따른 복잡한 암호를 변경(비밀번호 증후군/리셋 증후군 호소)하는 것 보다 생각의 전환이 필요한 것 같다. BaroPAM 같은 2-factor 인증 솔루션을 Linux/Unix 서버에 적용하면 암호와 같이 일회용 일증키를 입력할 경우, 암호를 먼저 입력하고 공백 없이 이어서 일회용 인증키를 입력하면 된다. 예를 들어, 암호가 "baropam" 이고, 일회용 인증키가 "123456" 이라면 암호 입력란에 "baropam123456"으로 입력하면 된다. 일회용 인증키 생성 주기가 30초 이면 30초 마다 일회용 인증키가 바뀌기 때문에 고정된 암호와 결합하면 일회용 인증키 생성 주기 마다 새로운 암호가 생성되기 때문에 고전적 방법인 주기적으로 서버의 ..

편의성을 앞세워 질주하던 비대면 금융 거래에 '비상등'이 켜졌다. 휴대폰 개설부터 본인신원 확인, 범용공인인증서 발급까지 보안 시스템 곳곳에 허점이 있는 것으로 나타났다. 자신도 모르게 위조된 신분증으로 계좌에서 거액이 빠져나가고, 각종 민원 서류와 개인정보가 줄줄이 새나기도 꼼짝없이 당할 수 밖에 없는 실정이다. 간편성을 위해 보안성을 희생하면서 사기대출 사건까지 이미 발생한 상황이다. 지금 이 글을 읽고 있는 보통의 평범한 사람들도 스마트폰을 사용하고 있다면 "보안"이라는 두 글자를 반드시 기억해야 한다. 일반 사용자들까지 "보안"에 신경 써야 하는 이유는 온라인 상에서 "나"를 나타내는 작은 정보들이 내가 아닌 다른 사람에게 노출(유출) 되는 순간 온라인상에서의 "나"는 "내가 아닌 나"로써 스스로..

사물인터넷(IoT)은 가트너(Gartner)가 선정하는 10대 전략기술에 2012년부터 매년 선정되어 ICT 시장의 신산업을 이끌어가는 핵심 부가가치 산업으로 급부상하고 있다. 특히, 모바일 등 스마트 기기의 확산으로 인해 스마트 센서 증가와 함께 기기 간의 융합 및 연결성을 확보하면서 ICT 융합 분야 전반에 걸쳐 급속도로 사물인터넷 환경에 대한 관심이 고조되고 있는 추세이다. 현재 ICT 산업에서 가장 이슈가 되고 있는 ICBM(IoT, Cloud, Big Data, Mobile)이 차세대 성장동력으로 주목받고 있는 가운데 인터넷 기반의 융합중심에서 사물인터넷이 실제 생활영역에 적용되면서 다양한 경제적 가치와 더불어 효율성 및 편의성이 한층 높아질 것으로 기대되고 있다. 사물인터넷(IoT)은 가정, ..

악의적인 목적으로 만들어진 프로그램인 악성코드를 탐지 및 제거하는 백신 솔루션과 정보자산 접근제어 2차 인증을 통한 불법적인 우회/원격접속을 차단하는 BaroPAM 솔루션이 결합하여 정보자산 보안의 시너지 효과를 낼 수 있다. 해커가 사물 인터넷 디바이스(IoT) 공격 시에 최초 시도하는 비밀번호 "admin/12345/qwerqwer/default/password/root" 등이 있다. 가장 많이 사용하는 비밀번호는 다음과 같다. Password-1234 / Br0nc0$2012 / Password123$ / Password1234 / Summ3rSun2020! / 0rlando_0000 / Password1234! / ChangeIt123 / 1234password$ / ChangeItN0w! / a..