주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

누리아이티 1255

정보자산의 보안 강화를 위한 인증 솔루션의 보안 취약점

국가 사이버안전센터에서 인증 우회 취약점 점검 관련하여 국가기관의 각 시스템 내에 사용하는 인증 솔루션 사용 시 인증절차 시 데이터를 변조하여 우회 인증절차에 대한 문제가 없는지 기술적인 문서를 요구하였습니다. 국가 사이버안전센터에서 다음으로 인증 솔루션에 대한 보안 취약점으로 예상되는 내용은 다음과 같습니다. 첫번째로 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지? 두번째로 모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지? 세번째로 리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 ..

다른 건 몰라도 2차 인증 도입 시 검토사항

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미한다. 2차 인증 도입 시 다른 건 몰라도 이것 만큼은 반드시 검토해야 할 사항은 다음과 같다. 1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지? 2. 별도의 인증서버 방식인지, 모듈인증 방식인지? 3. 통합인증인지 분산인증인지? 4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 5. 제한된 시간 내에 횟수 제한을 할 수 있는지? 6. 다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지? 7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지? 8. 인증 폭주 시 인증 속..

처음부터 완전한 보안 시스템은 없다.

강력한 보안을 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다. 처음부터 완전한 보안 시스템은 없으며, 느슨한 구성으로 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다. 간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것이다. 날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다. 무엇보다도 2차 인증에 사용되는 인증키는 본인..

퍼듀 모델(Purdue model)이란?

ICS 시스템들을 견고하게 연결하기 위해서는 이를 위한 네트워크 구조화 모델이 필요하며, 퍼듀 모델(Purdue model, 1990년대 기업 구조에 대한 참조 모델)은 이를 위해 ISA-99에서 PERA(Purdue Enterprise Reference Architecture)로부터 도입해 채택한 모델이다.  이 모델은 학계 및 ICS 보안 업계에서 ICS 보안 이론 배경과 보안 참조 모델로 널리 사용되고 있다.  레벨4,5의 엔터프라이즈 영역은 IT, 레벨0~3 영역은 OT로 구분되며 구체적인 역할은 아래와 같다. "Industrial Cyber Security" (저자: Pascal Ackerman) 참조 1. 엔터프라이즈 보안 영역 엔터프라이즈 영역은 ERP 및 SAP와 같은 비즈니스 시스템이 일..

망분리 했다고 외부 네트워크와 연결되지 않은 완전한 폐쇄망은 없다

"망분리"란 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.  외부 네트워크와 연결되지 않은 완전 폐쇄망 환경이라도 공격자는 얼마든지 침투할 수 있다.  가장 많은 취약점이 발견되는 곳은 엔터프라이즈 퍼듀모델의 레벨 1에서 3까지에 해당하는 시스템이다.  레벨 3는 IT 영역인 레벨 4~5와 연결되는 가교 역할을 하기 때문에 레벨2 이하로 침입하려는 공격자가 권한을 탈취하거나 잘못된 액세스 룰이 설정된 시스템을 통해 침투할 수 있다.  IT 시스템보다 부족한 보안 조치로 인해 공정 데이터와 레시피가 유출될 수 있으며, 서비스 중단, 랜섬웨어 감염 등의 사고가 일어날 수 있다. 공격자가 직접 침투하기 어려운 것으로 알려진 레벨 2..

[데이터넷] 누리아이티, VPN 2차인증 지원 ‘바로팜’ 출시

인증서버 없이 플러그인 가능한 인증모듈로 제공 바로팜 이용 VPN 로그인 화면/ 누리아이티 [데이터넷] 누리아이티(대표 이종일)는 VPN 2차인증을 지원하는 ‘바로팜(BaroPAM)’을 출시했다고 10일 밝혔다. 바로팜은 별도의 인증서버가 필요 없이 다중 인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 곧바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM)로 제공된다. 이종일 누리아이티 대표는 “지능화된 사이버 공격에 대응하기 위해서는 VPN에 2차 인증이 필요하다. 바로팜은 VPN의 2차 인증을 무력화시키기는 우회 기술 및 피로 공격을 방어해 2차 인증 취약점을 보완하고 안전하게 VPN을 사용할 수 있게 한다. VPN의 관리 및 운영 비용을 절감할 수 있다”고 말했다. 김선애 기자 출처..

비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점

"정적 보안의 시대에서 동적 보안으로 시대로!" 2024년 숙원 사업은 조직 내에서 정보자산의 로그인 시 정적인 비밀번호 만으로는 결코 안전하지 않기 때문에 비밀번호를 완전히 제거하는 것이다.  적어도 사용자들이 표면상 비밀번호를 가지고 로그인하는 일을 최소화 해야 한다.  비밀번호의 취약성은 이미 널리 알려진 사실이고, 많은 기업들이 이미 비밀번호를 대체할 수 있는 방법들을 모색하고 있다.  정보자산의 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 일회용 인증키로 대체 했을 때 이점은 다음과 같다. 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마..

OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안

가상사설망(VPN, Virtual Private Network)는 별도의 사설 전용망 없이도 암호 기술에 기반한 터널링(tunneling) 프로토콜(통신규약)을 이용해 지점간을 연결함으로써, 저렴한 비용으로 원거리 통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미한다.   OpenVPN이란 OpenVPN Technologies, Inc.에서 제작하고 배포하는 오픈소스 VPN 프로토콜과 그 접속 프로그램을 말한다.   TCP와 UDP 프로토콜을 모두 이용 가능한 오픈소스 VPN 프로토콜로서, TAP 또는 TUN 가상 네트워크 어뎁터를 이용해 VPN 연결을 수립한다.   SSL이나 TLS를 이용하여 패킷을 암호화하기 때문에 유효한 CA 인증서가 필요하다. 다만, 굳이 신뢰할 수 있는 CA를 이용하지 ..