"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다. MFA 피로공격은, 공격자가 일부러 잘못된 MFA 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 MFA 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 MFA를 등록하는 방식으로 강력 인증을 무력화한다. MFA 설정이 되지 않은 휴면계정에 MFA를 무단으로 등록한 후 정상 권한계정 사용자로 위장하거나, 사용자 정보..

제로 트러스트의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중인증(MFA)를 사용해야 한다. ​ 아는 것은 비밀번호, 갖고 있는 것은 일회용 인증키나 소프트웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다. ​ 간편인증이 대세가 되면서 MFA의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이 로그인하는 패스워드리스 인..

2020년까지 공공기관 데스크톱 PC의 마이크로소프트 윈도우즈 운영 체제를 대체할 수 있도록 독자 운영 체제로 전환하기 위해 추진됐다. 구름 또는 구름 OS는 과학기술정보통신부와 한국전자통신연구원(ETRI) 산하 국가보안기술연구소(국보연)가 윈도우즈 독점 상황을 개선하기 위해 2015년도부터 개발해 온 오픈 소스 운영 체제다. 구름플랫폼은 안전한 클라우드 기반 업무를 위한 단말 플랫폼이다 경찰, 검찰, 군부대, 국방부 등 높은 보안성을 요구하는 기관에서는 구름을 사용하도록 하고, 공식 웹사이트 주소는 http://www.gooroom.kr이며, 구름이라는 이름처럼 클라우드(cloud)에 집중할 것으로 보인다.

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

인증서버 기반 인증, 서버·네트워크 장애 시 서비스 전체 마비 클라우드 시대, 서버 없이 플러그인 가능한 인증 기술 전환해야 ▲ 이종일 누리아이티 대표 [데이터넷] 사상 초유의 정부 행정망 마비 사건은 정부 인증시스템 네트워크 장비 오류가 원인으로 밝혀졌다. 이 사건이 시사하는 여러 의미가 있지만, 게이트웨이 방식의 인증서버가 갖는 근본적인 문제를 해결해야 한다는 점을 주의 깊게 살펴봐야 한다. 이번 사건 이전에도 기존 인증 방식의 한계가 분명하게 드러나는 사고가 여러 차례 있었다. 특히 랩서스 조직에 의해 기밀정보 유출 사고를 겪은 국내 글로벌 기업의 경우, 2차인증 우회, MFA 피로공격 등으로 내부정보에 접근할 수 있는 권한을 탈취당한 것으로 알려진다. 기존 인증 방식은 프록시·게이트웨이 서버를 통..

이번 사태의 원인과 관련해 정부에서는 아직 정확한 상황 파악을 하지 못하고 있다. 앞서 행정안전부에서는 공무원들이 업무 시스템에 접속하는 과정에서 사용하는 행정전사서명(GPKI)에서의 문제일 가능성을 시사했는데, 정작 행정전자서명 인증관리센터 측은 GPKI 문제가 아니라 국가정보자원관리원의 네트워크 단에서 생긴 문제라고 설명한 것으로 알려졌다. 이렇듯 사고 발생 원인을 두고서도 정부에서 혼선이 발생하고 있는 것이다. 금번 ‘정부24’ 먹통 사태뿐만 아니라 카카오톡 중단사태, 2차 인증의 우회기술 및 피로 공격으로 사이버 범죄에 악용된 삼성전자, MS, 우버, 레딧 등의 공통적으로 모두 별도의 인증서버(Gateway) 방식이라는 점이 IT 보안에 시사하는 바가 크다. 간편성과 편리성을 내세운 별도 인증 서..

대부분 기업에서 업무를 위한 정보시스템을 사용해 각종 업무를 디지털로 처리하고 있다. 그러다 보니 시스템 로그인 때 다양한 보안 절차를 구비, 인증을 하고 있는 상황이다. 최근에는 해커에 의한 시스템 침입이나 개인정보 유출도 비일비재, 더 이상 미룰 수 없는 문제로 대두되고 있다. 시스템이 고도화됨에 따라 보안 및 인증 수단도 발전하고 있지만 해킹 기술도 발전하고 있어 보안 시스템 담당자 고민은 늘어가고 있는 상황이다. 이러한 정보시스템 로그인 때 사용되는 인증수단에 대해 알아보고자 한다. 보통의 정보시스템은 아이디와 패스워드로 접근통제가 이뤄지고 있는 데 별도의 추가적인 인증 절차를 두는 방식을 2차 인증 방식이라고 한다. 이중 게이트웨이-프록시 방식이나, SMS 또는 이메일 등 문자기반 인증방식은 해..

요즘들어, 하루가 다르게 사이버 공격이 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없다. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다. 날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다. 정보자산의 보안 강화를 위하여 무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 Windows, Mac, Linux/Unix 계열의 운영체제(OS, Operation System)가..

목차 1. BaroPAM 연동 1.1 개 요 1.2 BaroPAM 모듈 설치 1.3 BaroPAM 환경설정 1.4 BaroPAM 앱 설치 및 정보 설정 2. BaroPAM 적용 2.1 BaroPAM 적용 프로세스 2.2 BaroPAM 적용 화면 2.3 Tomcat 관리자 콘솔 로그인 3. About BaroPAM 1. BaroPAM 연동 1.1 개 요 웹 애플리케이션 서버(WAS, Web Application Server)는 웹 애플리케이션과 서버 환경을 만들어 동작시키는 기능을 제공하는 소프트웨어 프레임워크이다. 인터넷 상에서 HTTP를 통해 사용자 컴퓨터나 장치에 애플리케이션을 수행해 주는 미들웨어(소프트웨어 엔진)로 볼 수 있다. 웹 애플리케이션 서버는 동적 서버 콘텐츠를 수행하는 것으로 일반적인 ..

목차 1. OpenVPN이란? 2. OpenVPN 설치 및 설정 2.1 OpenVPN 설치 2.2 Linux 클라이언트 구성 3. BaroPAM 설치 및 설정 3.1 BaroPAM 설치 전 준비사항 3.2 BaroPAM 설치 모듈 다운로드 3.3 BaroPAM 환경 설정 파일 생성 3.4 NTP(Network Time Protocol) 설정 4. OpenVPN 서버와 BaroPAM 구성 4.1 OpenVPN과 FreeRADIUS 연동 4.2 OpenVPN 서버 구성 4.2 BaroPAM 구성 5. OpenVPN 접속 테스트 5.1 신규 사용자 생성 5.2 BaroPAM 환경 설정 파일 생성 5.3 OpenVPN 접속 테스트 6. BaroPAM 적용 6.1 BaroPAM 적용 프로세스 6.2 BaroPAM..