Windows/Linux OS의 "커널 레벨(Kernel Level)"에 이상 인증 탐지 및 차단 기능을 추가하는 것은 시스템 보안을 가장 깊은 계층에서 강화하는 매우 강력한 접근 방식이다. 일반적으로 커널 기반 루트킷 방어(Kernel-Based Anti-Rootkit), 커널 무결성 모니터링(Kernel Integrity Monitoring) 또는 "호스트 침입 방지 시스템(HIPS)"의 일부로 간주될 수 있다. 이러한 기능을 커널 레벨에서 구현할 때 얻을 수 있는 주요 이점은 다음과 같다. 1. 최고 수준의 권한 (Ring 0) 커널은 OS의 핵심이며, 가장 높은 권한 레벨인 Ring 0(커널 모드)에서 실행된다. 이 위치에서 인증 메커니즘을 모니터링하고 제어하면, "사용자 ..

최근 국내 해킹 사고가 잇따르는 현상에 대해 "망분리에만 의존한 '보여주기'식 보안 환경"을 원인 중 하나로 꼽았다. 우리나라 기업과 기관은 지난 십수 년간 정부 보안인증 제도 아래 극단적 망분리를 하며 폐쇄망을 운영하는 방법으로 보안 조치를 해왔으나, 실제 지난 1년간 해킹 사고가 발생한 곳들을 보면 대부분 망분리와 인증을 받은 기업이었다. 과거로부터 이어진 해킹 조치는 더 이상 유효하지 않다. 특히, 실질적인 보안 향상 없이 사람들이 "안전하다고 느끼게 하는" 보안 조치만 하는 것을 일컫는 "보안 극장(Security Theater)" 개념을 예로 들며, 망 분리에 대한 맹신과 의존을 경계했다. 공격자들은 AI를 활용해 세계 최정상급 해킹을 하는데, 그에 맞춰 우리나라 기업의 사이버 ..

Windows Server는 기본적으로 관리 목적으로 최대 2개의 동시 원격 데스크톱 세션만을 허용한다. 이 제한을 해제하고 여러 사용자가 동시에 세션을 얻도록 하려면 원격 데스크톱 서비스(RDS) 역할을 설치하고 "클라이언트 액세스 라이선스(CAL)"를 구성해야 한다. 추가 라이선스 없이도 2개 이상의 세션 접속을 시도할 때 기존 세션을 끊지 않고 선택할 수 있게 하려면 로컬 그룹 정책 편집기에서 설정을 변경할 수 있다. 1. 로컬 그룹 정책 편집기(gpedit.msc) 실행 실행(Win + R) 창에 gpedit.msc를 입력하고 확인을 누릅다. 2. 경로 이동 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> 터미널 서비스 -> 원격 데스크톱 세션 호스트 -> 연결 3. 정책 설정..

최근 발생한 여러 보안 침해 사고에서, 공격자들이 제1 저지선인 네트워크 장비(방화벽, VPN, L2/L3 스위치 등)의 보안 취약점을 쉽게 뚫고 침입하는 사례가 빈번하게 나타나고 있다. 이는 그동안 우리가 간과하거나 잊고 지냈던 네트워크 장비 보안의 중요성을 다시 한번 상기시켜 준 사고다. 네트워크 장비의 보안이 미흡할 경우, 개인과 조직 모두에게 심각하고 광범위한 피해가 발생할 수 있습다. 해커는 이 장비를 발판 삼아 시스템에 무단으로 침입해 다양한 악의적인 활동을 수행할 수 있다. 네트워크 장비가 해킹당했을 때 발생할 수 있는 주요 피해는 다음과 같다. 첫번째로 가장 치명적인 피해로 시스템 및 서비스 마비다. 해커는 네트워크 장비에 연결된 다른 장비나 시스템에 악성 코드를 퍼뜨려 예상치 못한 재..

네트워크 장비(라우터, L2/L3 스위치, 방화벽, VPN, AP 등)의 접속 계정이 해킹되면, 공격자는 네트워크의 핵심 통제권을 확보하여 조직 전체에 치명적인 영향을 미치는 광범위한 침해사고를 일으킬 수 있다. 주요 침해사고 유형은 다음과 같다. 1. 네트워크 인프라 조작 및 서비스 마비 가장 직접적이고 위험한 피해다. 공격자는 장비의 관리자 권한을 이용하여 네트워크의 근본적인 작동 방식을 변경한다. 1) 보안 정책 무력화 방화벽의 "접근 제어 목록(ACL)"을 수정하거나 삭제하여, 외부에서 내부 서버로의 접근을 허용하거나 민감한 구역 간의 통신 장벽을 제거한다. 2) 트래픽 경로 조작 (MITM) 라우팅 테이블을 변경하여 모든 트래픽이 공격자가 지정한 경로를 경유하도록 만들고, 이 과정에서 데이터를 ..

방화벽(Firewall), VPN(Virtual Private Network), L2/L3 스위치 등 "네트워크 장비에 2차 인증(Multi-Factor Authentication, MFA)"이 필요한 주된 이유는 보안 강화와 무단 액세스 방지다. 이러한 장비들은 네트워크의 핵심적인 기능을 수행하고 민감한 데이터와 시스템을 보호하는 중요한 역할을 하므로, 만약 하나의 인증 요소(예: 비밀번호)만으로 접근이 허용되면 다음과 같은 심각한 위험이 발생할 수 있다. 2차 인증이 필요한 주요 이유는 다음과 같다. 1. 비밀번호의 취약성 보완 1) 자격 증명 도난(Credential Theft) 방어 사용자 이름과 비밀번호는 피싱(Phishing), 무차별 대입 공격(Brute-force attack), 또는 데이..

다계층 인증(Multi-layer authentication) 솔루션인 BaroPAM에 OS 커널 차원의 이상 접속 탐지 및 차단 기능이 추가되면, 보안 수준은 획기적으로 향상되며 다음과 같은 변화가 예상된다. 1. 보안 계층의 심층 방어 능력 강화 (Deep Layer Security) 기존 BaroPAM은 사용자 로그인 단계에서 "다계층 인증(ID/PW, 2차 인증/생체인식 등)"을 통해 '접근 시도' 자체를 통제한다. 여기에 OS 커널 차원의 기능이 추가되면, 인증을 우회하거나 사용자 권한을 탈취한 후의 "시스템 내부 행위"까지 감시하고 통제할 수 있게 됩니다. 인증-접근-행위에 이르는 전 과정을 보안 체계 내에 포괄하여, 해커가 인증을 뚫더라도 시스템의 "핵심부(커널)"에서 이상 행위를 즉시 탐..

관리규정 미비로 우리가 그동안 놓치고 있었던, 아니 잊고 있었던 네트워크 장비에 대한 보안의 중요성이 수면 위로 떠오르고 있다.네트워크 장비가 해킹되었을 때 발생할 수 있는 일들은 개인과 조직 모두에게 심각하고 광범위한 피해를 초래할 수 있다. 해커는 장비를 통해 시스템에 무단으로 침입하여 다양한 악의적인 활동을 수행할 수 있다. 1. 네트워크 장비 해킹 시 발생 가능한 주요 피해 1) 시스템 및 서비스 마비제일 무서운 것은 네트워크 장비에 물려 있는 장비에 대해 악성 코드를 유포하여 감염되어 상상할 수 없는 재앙이 발생하여 시스템 및 서비스가 마비 되어 상상할 수 없는 재앙이 발생할 수 있다. 2) 데이터 유출 및 손상 민감 데이터 탈취: 고객 정보, 영업 비밀, 금융 정보, 개인 신상 정보 등 중요..

시큐어키는 LG유플러스의 서버 접근 제어 솔루션을 담당하는 기업으로 해커 집단은 시큐어키를 해킹해 얻은 계정 정보로 LG유플러스 내부망에 침투해 8,938대의 서버 정보와 4만 2,256개의 계정 및 167명의 직원 정보를 빼돌린 것으로 전해졌다. 인재다. 터질게 터졌다. 서버 접근제어 솔루션의 보안 취약점으로 논리적인 망구성의 변경이나 우회경로가 쉽게 뚫릴 수 있다는 점 그리고 자칫 게이트웨어 서버의 접근 계정이 유출되면 더 큰 문제가 발생할 수 있다는 점 게다가 게이트웨어 서버의 장애 발생 시 전체서버에 접근이 불가능해지고 사용자들이 서버에 접근하기가 많이 불편해지는 점 등 이미 알려진 사항이다. 이러한 보안 취약점으로 서버 접근제어 솔루션은 본연의 기능 이외에 사용하는 것 자체가 해커들이..

"기본 보안부터 철저히 해야" 겉보기에 그럴듯한 보안 조치들이 그동안 우리 사회를 안심시켜 왔을 뿐이다. 현재의 보안체계로는 정보자산을 충분히 지킬 수 없다. 주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다. (2024년 IBM 보고서) MS의 조사에 따르면 "다중 인증(MFA)을 구현하면 계정 공격의 99.9%을 차단" 할 수 있다고 한다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다. (KISA, 데이터 백업 8대 보안수칙에서 백업 저장소는 백업 전담 인력을 제외하고는 접근을 차단하고, 가능할 경우 OTP 등 다단계 인증을 적용) 보안 솔루션 중 도입해야 할 1순위가 계정도용, ..