주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

일회용인증 25

BaroPAM이 추구하는 보안전략은 한마디로 제로트러스트 보안모델이다.

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트’ 전략이 주목을 받고 있다. 제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻이다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략이다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 된다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제이다. 제로 트러스트 개념에서는 IT 시스템..

2차 인증을 도입했다는 것이 아니라 어떤 2차 인증을 도입했느냐가 관건

랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다. 이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 2차 인증(추가 인증) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 2차 인증을 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 2차 인증(추가 인증)을 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다. 또한, 개발자의 다수가 아직도 2차 ..

앞으로 정보보안의 흐름(추이)은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로!

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다. ​ Windows/개방형OS같은 데스크탑의 정보보안은 강화하고, 사용자의 불편함을 최소화하면서 Windows나 개방형OS(하모니카OS, 구름OS, TMaxOS)의 자동 로그인 및 화면보호기의 잠금방지/자동잠금/자동해제 기능으로 정보보안을 위하여 화면차단 5분, 화면보호기 10분, 강제 종료 4시간으로 설정하는 등 단말기 보안과..

정보자산의 보안강화를 위한 2차 인증 솔루션의 도입의 필요성 및 기대 효과

1. 개요 □ 도입의 필요성 ○ 정보자산의 불법적인 접근을 제한하여 2차 인증으로 보안을 강화할 필요(추세) * OTP(One Time Password) : 일회용 비밀번호 ○ 기존 ID와 비밀번호는 사용자의 지식인증 방식으로 예측 가능하고 유출 가능성 큼 ○ 개인정보보호법 “개인정보의 안전성 확보 조치 기준” 제6조(접근통제) 의 안전한 접속수단을 적용하거나 안전한 인증수단을 적용 대응 ○ 금융감독원 전자금융감독규정 제14조 9항(정보시스템의 운영체제 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차 의무화 시행 ○ 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안( 망분리 대체 정보보호 통제) -원격접속에 대한 인증은 이중 인..

유선 LAN 기반의 업무를 5G 기반 무선AP으로의 전환에 따른 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용

세계 최초로 5G 상용화('19.4월) 이후 B2C 가입자는 증가되고 있으나 B2B/B2G 분야의 대표적인 성공사례는 부족한게 현실이다. ​ 5G는 초기 시장으로 중소기업 등 개별기업 차원의 투자가 어려워 국가적 차원의 전략적인 투자 필요하며, 정부 주도로 공공분야에 유선 기반의 인프라 환경을 무선 5G 기반 환경으로 전환하여 가장 앞선 정부업무망 모바일화 레퍼런스 모델 확보 및 B2G/B2B 분야 수요 창출 필요하다. ​ 지자체는 사무실 내 업무환경은 업무망/인터넷망이 물리적으로 분리된 유선 LAN 환경을 5G 기지국 등으로 대체하고, 네트워크슬라이싱 기술을 적용하여 인터넷망과 업무망을 분리(업무단말 대상)한다. ​ 우선, 상용망의 5G 코어, 5G 기지국 및 네트워크 슬라이싱 기술 등을 적용하여 상용..

[데이터넷]누리아이티 ‘바로팜’, TTA ‘하모니카 OS 5.0’ 상호운용성 시험 통과

플러그인 가능한 인증모듈…유연성 높고 보안성 강해 다양한 환경 지원 ▲누리아이티 ‘바로팜’ 구성도 [데이터넷] 누리아이티(대표 이종일)는 2차인증 솔루션 ‘바로팜(BaroPAM)’이 한국정보통신기술협회(TTA) 소프트웨어시험인증연구소에서 수행한 개방형 OS ‘하모니카OS 5.0’와의 상호운용성 시험을 통과했다고 4일 밝혔다. 바로팜은 별도의 인증서버가 필요 없는 모듈형 인증 방식을 지원하며, 다양한 OS와 애플리케이션에 쉽게 적용할 수 있다. 플러그인 가능한 인증 모듈(PAM)로 유연성이 높고 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 누구나 손쉽게 곧바로 적용해 사용할 수 있다. 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없다. 이종일 누리아이티 대표는 “신종 해..

스마트 폰의 심 스와핑으로 인하여 중간자 공격의 대안은 바로 2차인증 체계를 적용

"스마트 폰의 심 스와핑으로 개인 정보가 유출이 되어도 대안이 있느냐?" 스마트 폰의 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 스마트 폰에 꽂아 쓰는 일종의 스마트카드다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 스마트 폰 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 스마트 폰로 바꿔 꽂아도 사용할 수 있다. 본래 유심칩 인증은 가입자만 가능하기에 보안성이 높다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있다는 것이다. 이 같은 방식을 "심 스와핑(SIM Swapping)"이라 일컫습니다. 신종 해킹 위협..