주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ BaroSolution 319

처음부터 완전한 보안 시스템은 없다.

강력한 보안을 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다. 처음부터 완전한 보안 시스템은 없으며, 느슨한 구성으로 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다. 간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것이다. 날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다. 무엇보다도 2차 인증에 사용되는 인증키는 본인..

퍼듀 모델(Purdue model)이란?

ICS 시스템들을 견고하게 연결하기 위해서는 이를 위한 네트워크 구조화 모델이 필요하며, 퍼듀 모델(Purdue model, 1990년대 기업 구조에 대한 참조 모델)은 이를 위해 ISA-99에서 PERA(Purdue Enterprise Reference Architecture)로부터 도입해 채택한 모델이다.  이 모델은 학계 및 ICS 보안 업계에서 ICS 보안 이론 배경과 보안 참조 모델로 널리 사용되고 있다.  레벨4,5의 엔터프라이즈 영역은 IT, 레벨0~3 영역은 OT로 구분되며 구체적인 역할은 아래와 같다. "Industrial Cyber Security" (저자: Pascal Ackerman) 참조 1. 엔터프라이즈 보안 영역 엔터프라이즈 영역은 ERP 및 SAP와 같은 비즈니스 시스템이 일..

망분리 했다고 외부 네트워크와 연결되지 않은 완전한 폐쇄망은 없다

"망분리"란 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.  외부 네트워크와 연결되지 않은 완전 폐쇄망 환경이라도 공격자는 얼마든지 침투할 수 있다.  가장 많은 취약점이 발견되는 곳은 엔터프라이즈 퍼듀모델의 레벨 1에서 3까지에 해당하는 시스템이다.  레벨 3는 IT 영역인 레벨 4~5와 연결되는 가교 역할을 하기 때문에 레벨2 이하로 침입하려는 공격자가 권한을 탈취하거나 잘못된 액세스 룰이 설정된 시스템을 통해 침투할 수 있다.  IT 시스템보다 부족한 보안 조치로 인해 공정 데이터와 레시피가 유출될 수 있으며, 서비스 중단, 랜섬웨어 감염 등의 사고가 일어날 수 있다. 공격자가 직접 침투하기 어려운 것으로 알려진 레벨 2..

비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점

"정적 보안의 시대에서 동적 보안으로 시대로!" 2024년 숙원 사업은 조직 내에서 정보자산의 로그인 시 정적인 비밀번호 만으로는 결코 안전하지 않기 때문에 비밀번호를 완전히 제거하는 것이다.  적어도 사용자들이 표면상 비밀번호를 가지고 로그인하는 일을 최소화 해야 한다.  비밀번호의 취약성은 이미 널리 알려진 사실이고, 많은 기업들이 이미 비밀번호를 대체할 수 있는 방법들을 모색하고 있다.  정보자산의 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 일회용 인증키로 대체 했을 때 이점은 다음과 같다. 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마..

OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안

가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.   OpenVPN이란 OpenVPN Technologies, Inc.에서 제작하고 배포하는 오픈소스 VPN 프로토콜과 그 접속 프로그램을 말한다.   TCP와 UDP 프로토콜을 모두 이용 가능한 오픈소스 VPN 프로토콜로서, TAP 또는 TUN 가상 네트워크 어뎁터를 이용해 VPN 연결을 수립한다.   SSL이나 TLS를 이용하여 패킷을 암호화하기 때문에 유효한 CA 인증서가 필요하다. 다만, 굳이 신뢰할 수 있는 CA를 이용하지 ..

한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 한 곳 털리니 딴 곳도 털렸다. 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다. 국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다. 특히 최근 침해..

강력한 MFA도 무력화하는 MFA 피로공격과 MFA 우회기술 방어

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다. MFA(Multi-Factor Authentication) 피로공격은, 공격자가 일부러 잘못된 MFA 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 MFA 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 MFA를 등록하는 방식으로 강력 인증을 무력화한다. MFA 설정이 되지 않은 휴면계정에 MFA를 무단으로 등록한..

비밀번호 없이 로그인하는 패스워드리스 인증으로 보안·편의성 강화

제로 트러스트의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중인증(MFA)를 사용해야 한다. ​ 아는 것은 비밀번호, 갖고 있는 것은 일회용 인증키나 소프트웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다. ​ 간편인증이 대세가 되면서 MFA의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이 로그인하는 패스워드리스 인..