주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서 111

정보자산의 보안강화를 위하여 다중인증을 위한 BaroSolution

가볍고 가장 빠른 암호화 알고리즘을 위한 "BaroCRYPT 솔루션" BaroCRYPT 솔루션은 XXTEA(일명 Corrected Block TEA) 암호화 알고리즘을 기반으로 사용 가능한 RAM의 양이 최소인 레거시 하드웨어 시스템(임베디드)과 같이 극한의 제약이 있는 상황에서도 빠르게 데이터 암복호화를 실행 가능한 최적의 솔루션이다. -작고 구현이 쉬운 블록 암호화 알고리즘으로 페이스텔 암호를 기반으로 하여 크기가 작고 빠르면서 구현이 쉬움 -페이스텔 암호를 기반으로 한 작은 크기의 알고리즘으로 그 크기에 비해서 암호화 강도가 높음 -알고리즘의 크기는 작지만 현존하는 가장 빠르고 안전한 알고리즘 -다른 블록 암호화 알고리즘에 비해 구현이 용이하고 하드웨어 사양 제약 조건이 큰 환경에 적용이 용이하며 ..

PKI, OTP, DB암호화, 키보드보안 솔루션 등 암호기술이 주기능인 정보보호보안제품에 ‘암호검증’은 필수

공개키기반구조(PKI), 일회용비밀번호(OTP), DB암호화, 키보드보안 솔루션 등 암호기술이 주기능인 정보보호제품을 국가기관에 공급할 때에는 앞으로 국가정보원으로부터 CC(국제공통기준)인증 대신에 암호검증을 받아야 할 것으로 보인다. 국가정보원은 28일 한국과학기술회관에서 개최한 상용 암호모듈 검증제도 설명회에서 지난 2005년 1월부터 실시하고 있는 암호검증제도 활성화를 위한 개선방향을 이같이 마련하고 있으며, 1분기 중 확정할 예정이라고 밝혔다. 국정원은 이 제도 활성화하기 위해, 앞으로 국가기관에 암호 관련 제품을 적용할 경우 CC평가인증 대신에 암호모듈 검증을 받고 보안적합성 검증을 거치도록 하는 도입절차를 변경하는 한편, 이미 사용중인 암호모듈이 탑재된 제품의 처리절차도 확정하기로 했다. 또 ..

보안강화를 위한 네트워크 장비 운영체제 계정 접속 시 다중인증의 필요성

개인정보보호 및 정보유출 피해 최소화를 위해서는 주기적인 서버의 비밀번호 변경이 중요하다. 그러나 이에 못지 않게 중요한 게 바로 비밀번호를 어떻게 설정하고 관리하느냐라는 게 보안전문가들의 의견이다. 개인정보 유출사고 피해를 입은 업체들 중에서 외우기 쉬운 비밀번호 또는 쉽게 유추가 가능하도록 비밀번호를 설정하는 경우가 많기 때문이다. 더욱이 여러 서버에 대해 동일한 비밀번호를 사용하는 경우도 많기 때문이다. 현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목에서 서버의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 ..

보안강화를 위하여 네트워크 장비에 대한 다중인증의 필요성

인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있다. 그리고 웹 서버, DB서버, 백본 및 스위치 장비 등 수 십에서 수 백 대의 서버/네트워크 장비를 관리하는 IT 기업의 운영자들은 웹 사이트의 계정 이외에도 서버/네트워크 장비의 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 한다. 개인 사용자들의 계정과 비밀번호와는 달리 서버/네트워크 장비에 대한 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 한다. 비밀번호의 관리 문제로 인해 여러 비밀번호(통합계정관리) 관리 솔루션 들이 출시 되었지만 비밀번호가 복호화 가능한 암호화 기법으로 DB에 저장된다..

개인정보보호법의 비밀번호 일방향 암호화 및 패스워드 관리 솔루션

인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있다. 그리고 웹 서버, DB서버 등 수 십에서 수 백 대의 서버를 관리하는 IT 기업의 운영자들은 웹 사이트의 계정 이외에도 서버 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 한다. 개인 사용자들의 계정과 비밀번호와는 달리 서버 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 한다. 1. 패스워드의 일방향 암호화에 사용되는 Hash함수 개인정보보호법에서는 웹 사이트에서 사용되는 비밀번호는 물론 서버의 운영체제 관리자 계정, DB 관리자 계정, 어플리케이션 관리자 계정 등 주요 시스템 관리자 계정의 비..

정보자산의 보안강화를 위하여 다중인증 솔루션인 BaroPAM v1.0 GS인증(1등급) 획득

누리아이티(http://www.nurit.co.kr)에서 개발한 정보자산의 보안강화를 위하여 다중인증 솔루션인 바로팜 v1.0(BaroPAM v1.0) 솔루션이 TTA 소프트웨어시험인증연구소에서 인증하는 GS인증(1등급)을 획득했습니다. (1등급이 2등급 보다 높은 등급의 인증입니다.) GS인증은 소프트웨어산업진흥법 제13조에 의거한 소프트웨어의 품질을 인증하는 것입니다. 다시 말하면 누리아이티가 정보자산의 보안강화를 위하여 다중인증 솔루션인 BaroPAM이 국가로 부터 좋은 소프트웨어라고 기술력을 인증 받은 것입니다. 이번 GS인증(1등급) 획득으로 한단계 더 도약할 수 있는 계기를 마련하였습니다. 앞으로 더욱 진화하는 누리아이티를 지켜 봐 주셨으면 합니다.

해쉬함수(Hash function)란?

해쉬 함수는 임의의 길이를 갖는 메시지를 입력 받아 고정된 길이의 해쉬 값을 출력하는 함수이다. 암호 알고리즘에는 키가 사용되지만, 해쉬 함수는 키를 사용하지 않으므로 같은 입력에 대해서는 항상 같은 출력이 나오게 된다. 이러한 함수를 사용하는 목적은 입력 메시지에 대한 변경할 수 없는 증거 값을 뽑아 냄으로서 메시지의 오류나 변조를 탐지할 수 있는 무결성을 제공하는 목적으로 주로 사용된다. 해쉬 함수는 전자 서명과 함께 사용되어 효율적인 서명 생성을 가능하게 한다. 긴 메시지에 대해 서명을 하는 경우, 전체 메시지에 대해 직접 서명을 하는 것이 아니고, 짧은 해쉬 값을 계산해 이것에 대해 서명을 하게 된다. 공개키 연산은 많은 계산량을 필요로 하기 때문에 전체 메시지를 공개케 길이의 블록 단위로 나누어..

서버접근제어 및 감사시스템 구축

서버접근제어 및 감사시스템 구축 농협을 비롯한 1,2금융권과 SK 컴즈 등의 개인정보유출사고 이후 강화된 개인정보보호법이 발효되었다. 그리고 많은 공공기관과 금융기관 그리고 IT 서비스 업체들이 새로운 개인정보보호법의 규정을 준수하기 위해 보안솔루션 도입과 적용을 시작했다. 하지만 개인정보보호법을 가만히 들여다 보면 정말 애정 남을 불러 물어보고 싶을 만큼 그 규정을 실제 시스템에 적용하기가 까다롭다. 적용 대상이 어플리케이션인지 운영체제이지, 계정이 어플리케이션의 서비스 계정인지 운영체제의 계정인지 등 보안강화 대상이 명확하게 구분되어 적시되어 있지 않았기 때문이다. 예를 들자면 그냥 "시스템" 이라고만 명시되어 있기 때문에 그 시스템이 운영체제, 데이터베이스, 웹 서버, 기타 어플리케이션을 모두 포함..

개인정보보호법의 비밀번호 일방향 암호화 및 비밀번호 관리 솔루션

개인정보보호법의 비밀번호 일방향 암호화 및 비밀번호 관리 솔루션 인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있다. 그리고 웹 서버, DB서버 등 수 십에서 수 백 대의 서버를 관리하는 IT 기업의 운영자들은 웹 사이트의 계정 이외에도 서버 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 한다. 개인 사용자들의 계정과 비밀번호와는 달리 서버 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 한다. 1. 비밀번호의 일방향 암호화에 사용되는 Hash함수 개인정보보호법에서는 웹 사이트에서 사용되는 비밀번호는 물론 서버의 운영체제 관리자 계정, DB 관리자 ..

2채널 인증과 2팩터 인증의 차이점과 네트워크 기반 서버접근제어 2팩터 인증의 취약점

KT의 개인 정보 유출과 여러 신용 카드 사의 개인 정보 유출 등 끊임없이 발생하는 보안 사고는 기존의 보안 솔루션들이 보안 솔루션 답지 않게 보안 취약성을 제대로 제거해 주지 못한다는 것을 의미한다. 특히 인터넷을 통한 서버로의 직접 침투는 많이 줄었지만 (사실 그리 줄지도 않았지만...발견되지 않거나 은폐될 뿐...) 정보가 저장되어 있는 서버에 접근 권한을 가진 내부 관리자 및 개발자 그리고 외주 인력에 의한 보안 사고는 오히려 더 늘고 있다. (신용카드 3사의 개인정보 대량 유출이 가장 대표적인 사례다.) 공공 기관과 기업의 전산실에서는 오래 전부터 내부자의 서버 접근을 통제하기 위해 여러 방안들이 적용하고 있긴 하다. 하지만 그 내부 접근 통제의 개념과 적용 범위를 제대로 결정하지 못하고 있고 ..