주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

정보보안 31

망분리된 공공기관서 잇달아 개인정보 유출 사고 발생...망분리도 무용지물

[데이터넷] 5월 한달간 보안사고는 끊이지 않았다. ​매일이 사고의 연속으로, ‘역대급’, ‘최대규모’라는 수식어가 붙는 사고가 연이어 일어났다. ​망분리도 무용지물 ··· 공공기관 개인정보 비상​법원이 2021년부터 2023년까지 2년간 해킹을 당해 1TB 이상 개인정보가 유출된 것으로 확인되면서 공공기관의 개인정보 보호에 비상이 걸렸다. ​이 사고에서 주목해야 할 점이 몇 가지 있는데, 그 중 하나가 망분리의 맹점이다. ​2년동안 1TB 분량이면, 1초에 17KB씩 빠져나갔다. ​즉 망분리를 해도 소량의 정보가 장기간 유출되는 것은 막지 못하며, 망분리 돼 있기 때문에 안전하다는 믿음은 버려야 한다는 것을 단적으로 보여준다.  망분리된 공공기관에서 쉴새없이 보안사고가 일어난다. ​5월 한달만해도 경기..

주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다.

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

보안 강화를 위해서 가장 중요한 다중인증(MFA)의 기본적인 사항

요즘들어, 하루가 다르게 사이버 공격이 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없다. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다. 도래하는 무선 네트워크 환경에는 망분리 의미가 없어 진다. 지금은 정보보안에 대한 인식의 대전환이 필요한 시대인 것 같다.   특히 다중인증(MFA) 중 SMS, 이메일 등 문자기반 인증 및 휴대폰으로 인증 확인 요청이나 인증키를 전송하는 방식이나 전송된 인증키를 요구하는 것은 사이버 범죄의 1순위로 이것만 개선해도 미연에 정보보안 ..

정보보안(Information Security)

1. 정보보안의 정의 정보보안에 대한 정의는 정보보안을 다루는 주체나 기관에 따라 다양하게 정의를 내리고 있다. ① "정보의 기밀성, 무결성, 가용성의 보존. 추가적으로 진정성(authenticity), 책임성(accountability), 부인방지(non-repudiation), 그리고 신뢰성(reliability)와 관계가 있을 수 있다." (ISO/IEC 27000:2009) ② "인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 정보 시스템을 보호해 기밀성, 무결성, 가용성을 제공하는 것." (CNSS, 2010) ③ "인가된 사용자만이(기밀성) 정확하고 완전한 정보로(무결성) 필요할 때 접근할 수 있도록(가용성) 하는 일련의 작업." (ISACA, 2008) ④ "조직의 지적 ..

기억할 필요 없는 비밀번호를 위한 BaroPAM 솔루션의 API 가이드(ASP)

목차 1. BaroPAM 연동 API 1.1 연동 API 구성 1.2 연동 API 함수 1.3 인증키 검증 부분 2. BaroPAM 적용 2.1 BaroPAM 적용 프로세스 2.2 BaroPAM 적용 화면 2.3 본인확인 적용 프로세스 2.4 본인확인 적용 화면 2.5 BaroPAM 웹 설치 및 정보 설정 3. NTP(Network Time Protocol) 설정 3.1 Windows 환경 4. About BaroPAM 1. BaroPAM 연동 API 1.1 연동 API 구성 BaroPAM 관련 COM Dll은 ASP 환경에서 일회용 인증키를 검증하는데 사용된다. API구분 설명 비고 barokey.h barokey_asp.dll BaroPAM 관련 Header 파일과 ASP용 COM dll libcry..

기억할 필요 없는 비밀번호를 위한 BaroPAM 솔루션의 API 가이드(Delphi)

목차 1. BaroPAM 연동 API 1.1 연동 API 구성 1.2 연동 API 함수 1.3 인증키 검증 부분 2.BaroPAM 연동 API 2.1 BaroPAM 적용 프로세스 2.2 BaroPAM 적용 화면 2.3 본인인증 적용 프로세스 2.4 본인인증 적용 화면 2.5 BaroPAM 앱 설치 및 정보 설정 3. NTP(Network Time Protocol) 설정 3.1 Windows 환경 4. About BaroPAM 1. BaroPAM 연동 API 1.1 연동 API 구성 BaroPAM 관련 VC++ 방식의 Dynamic linking library는 일회용 인증키를 검증하는데 사용된다. API구분 설명 비고 barokey.h libbarokey.dll BaroPAM 관련 Header 파일과 d..

[데이터넷]누리아이티, 인증 모듈 ‘바로PAM’에 2차 인증 기능 추가

기존 WAS 계정 비밀번호에 일회용 인증키 덧붙여…계정 정보 유출돼도 ‘안심’ ▲ 톰캣 콘솔 로그인 화면 [데이터넷] 누리아이티(대표 이종일)는 아이리스인포테크(대표 조광희)와 협력해 웹 애플리케이션 서버(WAS)의 콘솔 로그인 시 보안 취약점을 개선하고자 사용자 식별·인증을 위해 2차 인증을 추가한 플러그인 가능한 인증 모듈 ‘바로PAM(BaroPAM)’을 출시했다고 10일 밝혔다. 이 제품은 정보자산 보안 강화를 위해 인증이 필요한 다양한 운영체제와 애플리케이션에 적용할 수 있는 인증 솔루션이다. 웹로직(Weblogic), 제우스(JEUS), 톰캣(Tomcat) 등과 같은 WAS 콘솔의 포트 및 로그인 계정 정보는 중요한데, 대부분의 기업에서 설치 시 설정한 정보를 그대로 사용하고 있는 것이 현실이다..

"2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건

SMS, 이메일 등 문자 기반의 메시지로 인증코드를 전송 했을 때 발생하는 방식은 해커들이 좋아하는 방식으로 사이버 범죄에 이미 악용되고 있다.  리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조 및 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"은 2차 인증 중 해커들이 좋아하는 2 채널 인증 방식에서 발생(삼성전자, MS, 우버, 레딧 등)하고 있다.   고로 2차 인중 중 해커들이 좋아하는 2 채널 인증 방식을 사용하지 말고, 제로트러스트(Zero Trust) 보안 모델을 적용한 별도의 인증서버가 필요 없는 모듈 인증 방식인 BaroPAM 솔루션 같이 다양..

앞으로 정보보안의 흐름(추이)은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로!

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다.​Windows/개방형OS같은 데스크탑의 정보보안은 강화하고, 사용자의 불편함을 최소화하면서 Windows나 개방형OS(하모니카OS, 구름OS, TMaxOS)의 자동 로그인 및 화면보호기의 잠금방지/자동잠금/자동해제 기능으로 정보보안을 위하여 화면차단 5분, 화면보호기 10분, 강제 종료 4시간으로 설정하는 등 단말기 보안과 절..