"망분리"란 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다. 외부 네트워크와 연결되지 않은 완전 폐쇄망 환경이라도 공격자는 얼마든지 침투할 수 있다. 가장 많은 취약점이 발견되는 곳은 엔터프라이즈 퍼듀모델의 레벨 1에서 3까지에 해당하는 시스템이다. 레벨 3는 IT 영역인 레벨 4~5와 연결되는 가교 역할을 하기 때문에 레벨2 이하로 침입하려는 공격자가 권한을 탈취하거나 잘못된 액세스 룰이 설정된 시스템을 통해 침투할 수 있다. IT 시스템보다 부족한 보안 조치로 인해 공정 데이터와 레시피가 유출될 수 있으며, 서비스 중단, 랜섬웨어 감염 등의 사고가 일어날 수 있다. 공격자가 직접 침투하기 어려운 것으로 알려진 레벨 2도 외부..

BaroPAM solution installation summary for 3-step authentication to enhance the security of information assets (FreeRADIUS)

"정적 보안의 시대에서 동적 보안으로 시대로!" 2024년 숙원 사업은 조직 내에서 정보자산의 로그인 시 정적인 비밀번호 만으로는 결코 안전하지 않기 때문에 비밀번호를 완전히 제거하는 것이다. 적어도 사용자들이 표면상 비밀번호를 가지고 로그인하는 일을 최소화 해야 한다. 비밀번호의 취약성은 이미 널리 알려진 사실이고, 많은 기업들이 이미 비밀번호를 대체할 수 있는 방법들을 모색하고 있다. 정보자산의 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 일회용 인증키로 대체 했을 때 이점은 다음과 같다. 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보..

가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다. OpenVPN이란 OpenVPN Technologies, Inc.에서 제작하고 배포하는 오픈소스 VPN 프로토콜과 그 접속 프로그램을 말한다. TCP와 UDP 프로토콜을 모두 이용 가능한 오픈소스 VPN 프로토콜로서, TAP 또는 TUN 가상 네트워크 어뎁터를 이용해 VPN 연결을 수립한다. SSL이나 TLS를 이용하여 패킷을 암호화하기 때문에 유효한 CA 인증서가 필요하다. 다만, 굳이 신뢰할 수 있는 CA를 이용하지 않아도 연결..

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 한 곳 털리니 딴 곳도 털렸다. 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다. 국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다. 특히 최근 침해..

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다. MFA 피로공격은, 공격자가 일부러 잘못된 MFA 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 MFA 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 MFA를 등록하는 방식으로 강력 인증을 무력화한다. MFA 설정이 되지 않은 휴면계정에 MFA를 무단으로 등록한 후 정상 권한계정 사용자로 위장하거나, 사용자 정보..

제로 트러스트의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중인증(MFA)를 사용해야 한다. ​ 아는 것은 비밀번호, 갖고 있는 것은 일회용 인증키나 소프트웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다. ​ 간편인증이 대세가 되면서 MFA의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이 로그인하는 패스워드리스 인..

2020년까지 공공기관 데스크톱 PC의 마이크로소프트 윈도우즈 운영 체제를 대체할 수 있도록 독자 운영 체제로 전환하기 위해 추진됐다. 구름 또는 구름 OS는 과학기술정보통신부와 한국전자통신연구원(ETRI) 산하 국가보안기술연구소(국보연)가 윈도우즈 독점 상황을 개선하기 위해 2015년도부터 개발해 온 오픈 소스 운영 체제다. 구름플랫폼은 안전한 클라우드 기반 업무를 위한 단말 플랫폼이다 경찰, 검찰, 군부대, 국방부 등 높은 보안성을 요구하는 기관에서는 구름을 사용하도록 하고, 공식 웹사이트 주소는 http://www.gooroom.kr이며, 구름이라는 이름처럼 클라우드(cloud)에 집중할 것으로 보인다.