1. 정보보안의 정의 정보보안에 대한 정의는 정보보안을 다루는 주체나 기관에 따라 다양하게 정의를 내리고 있다. ① "정보의 기밀성, 무결성, 가용성의 보존. 추가적으로 진정성(authenticity), 책임성(accountability), 부인방지(non-repudiation), 그리고 신뢰성(reliability)와 관계가 있을 수 있다." (ISO/IEC 27000:2009) ② "인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 정보 시스템을 보호해 기밀성, 무결성, 가용성을 제공하는 것." (CNSS, 2010) ③ "인가된 사용자만이(기밀성) 정확하고 완전한 정보로(무결성) 필요할 때 접근할 수 있도록(가용성) 하는 일련의 작업." (ISACA, 2008) ④ "조직의 지적 ..

개인정보 유출 사고, 기업·기관 관리 실패로 인해 발생 최소권한 원칙 강력한 접근통제와 인증 및 인가로 개인정보 보호해야 [데이터넷] 개인정보 유출 사고가 끊임없이 일어나고 있다. 개인정보 유출은 피싱, 보이스피싱을 비롯한 각종 사기사건으로 이어질 수 있으며, 지하시장에서 반복적으로 재판매돼 장기간 피해를 입을 수 있다. 사고가 발생하면 유관기관은 개인이 계정보안에 적극적으로 나설 것을 당부하지만, 개인의 노력으로 기업·기관에서 발생하는 개인정보 유출 사고를 막을 수 없다. 개인정보 유출 사고의 대부분은 관리 책임이 있는 기업·기관의 보안 실패로 인해 발생하기 때문이다. 챗GPT 사용이 늘어나면서 개인정보 보호 문제는 더 위험해졌다. 공격자들은 챗GPT를 이용해 타깃 사용자를 위한 맞춤형 공격을 진행한다..

2차 인증 설정 시 타인에게 ID와 비밀번호 노출돼도 계정 접근 불가능 타인에 의한 로그인 시도 시 2차 인증 관련 메시지로 이를 인지하고 비밀번호 변경 등 대응 가능 ​ 타인이 로그인을 시도했다는 것은 결국 ID와 비밀번호 같은 계정정보가 노출돼 있다는 의미다. 이에 즉시 비밀번호를 변경하고, 동일한 계정정보를 쓰는 타사 서비스 역시 모두 찾아 변경했다. 2차 인증을 활성화해둔 덕분에 타인의 무단 접근 시도를 인지해 차단하는 등 신속하게 대응할 수 있었던 셈이다. ​ 오늘날 우리가 사용하는 ID와 비밀번호는 안전하지 않다. 이미 다크웹에서는 쇼핑몰, 온라인 게임 사이트, 기업 이메일 등 수많은 인터넷 서비스에서 유출된 사용자 계정과 비밀번호가 유통되고 있다. 공격자는 이렇게 획득한 ID와 비밀번호를 해..

"정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?" 1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용 가장 중용한 것은 정보자산의 보안 강화를 위하여 "사용자 식별.인증을 위한 OTP 등을 활용한 2단계 인증체계를 설정"하는 것임. 2단계 인증은 정보자산에 로그인 시 아이디/비밀번호 외에 도 추가적인 인증(2차 인증) 수단을 이용하기 때문에 단순히 계정 정보가 유출된 것만으로는 공격자는 이를 악용할 수 없음. 2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 함..

현재, 정보자산(H/W, S/W)에 대한 정보자산의 보안은 반대로 되어 있다. 예를 들어, 아파트를 출입하는 1층에 Lock이 있고, 실제 집의 출입문에는 Lock이 없는 누구나 맘대로 들낙거릴 수 있는 오픈되어 있는 구조이다. 이 구조로는 도둑이 1층 출입문만 통과하면 실제 집의 출입문에는 열러 있는 구조라 얼마든지 이집 저집 다니면서 생명과 재산에 피해를 볼 수 밖에 없다. 생명과 재산을 그나마 보호 받을려면 1층 출입문 뿐만 아니라 각 집마다 출입문에 Lock이 설치 되어 있어야 한다. 결론은 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것이다. 정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐? 정보자산에 대한 2차 인증(추가 인증) 솔루션인 Ba..