주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

심스와핑 5

정보자산의 보안을 강화하기 위하여 주목해야 할 것들

새해들어 한달도 지나지 않았는데, 사이버 공격이 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없다. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다. 느슨한 결합으로 이뤄진 플러그인 가능한 인증모듈(PAM, Pluggable Authentication Module) 기반의 아키텍처는 예상치 못한 스파이크가 발생했을 때에도 유연하게 대응할 수 있고 자연스런 스케일링도 가능하다. 이런 아키텍처가 더 쉽게 진화할 수 있다. '아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스..

2차 인증의 우회 기술을 방어할 수 있는 방안(2 Factor 인증 + 중간자 공격 방어)

2023년 전망하는 해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태 및 침해 사고에 자주 사용되는 매우 효과적인 방법으로 다중인증에 대한 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 크게 증가하는 것로 발전할 것으로 전망한다. 회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID/PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려..

정보자산의 보안 강화를 위한 2차 인증 솔루션 도입 시 검토사항

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미하며, 2 Factor 인증과 2 Channel 인증으로 구분한다. ​ ​ 1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지? ​ 2. 인증서버 방식인지, 모듈인증 방식인지? ​ 3. 통합인증인지 분산인증인지? ​ 4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? ​ 5. 제한된 시간 내에 횟수 제한을 할 수 있는지? ​ 6. 적용 및 관리가 단순한지? ​ 7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지? ​ 8. 인증 폭주 시 인증 속도는 얼마나 저하되는지? ​ 9. 통신망을 ..

스마트 폰의 심 스와핑으로 인하여 중간자 공격의 대안은 바로 2차인증 체계를 적용

"스마트 폰의 심 스와핑으로 개인 정보가 유출이 되어도 대안이 있느냐?" 스마트 폰의 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 스마트 폰에 꽂아 쓰는 일종의 스마트카드다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 스마트 폰 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 스마트 폰로 바꿔 꽂아도 사용할 수 있다. 본래 유심칩 인증은 가입자만 가능하기에 보안성이 높다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있다는 것이다. 이 같은 방식을 "심 스와핑(SIM Swapping)"이라 일컫습니다. 신종 해킹 위협..

피싱 키트의 피싱 공격에 대한 대안은 바로 다중인증 체계를 적용

피싱 키트(Phishing kits)의 개념은 보안과 관련한 사람이 아니라면 다소 어려울 수 있다. 피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다. 피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(Spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 업급하거나 고위 경영진의 이메일을 스푸팅(Spoofing)해 수행한다. 비싱(Vishing,..