2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미한다. 2차 인증 도입 시 다른 건 몰라도 이것 만큼은 반드시 검토해야 할 사항은 다음과 같다. 1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지? 2. 별도의 인증서버 방식인지, 모듈인증 방식인지? 3. 통합인증인지 분산인증인지? 4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 5. 제한된 시간 내에 횟수 제한을 할 수 있는지? 6. 다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지? 7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지? 8. 인증 폭주 시 인증 속..

피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다. 피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(Spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 업급하거나 고위 경영진의 이메일을 스푸팅(Spoofing)해 수행한다. 피싱 공격은 일반적으로 긴급성을 강조하거나 기꺼이 도와 주려는 의지에 따라 행해진다. 피싱 공격은 심각한 결과를 경고함으..