피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다. 피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(Spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 업급하거나 고위 경영진의 이메일을 스푸팅(Spoofing)해 수행한다. 피싱 공격은 일반적으로 긴급성을 강조하거나 기꺼이 도와 주려는 의지에 따라 행해진다. 피싱 공격은 심각한 결과를 경고함으..

하루가 멀다하고 떠지는 계정정보 유출 및 도용 사고가 끊이질 않고 있다. 그래서, 기기마다, 플랫폼마다, 계정마다 각기 다른 비밀번호를 설정하고 주기적으로 변경할 것을 권장한다. 하지만 여러 개의 비밀번호를, 그것도 특수문자와 대문자를 포함하고 생년월일과 무관하며 연속성이 없는 최소 8자 이상의 글자 조합을 외우는 것은 좀체 만만한 일이 아니다. 그렇다고 컴퓨터 앞에 적어 둘 수도 없는 노릇이다. 그러니 기존에 사용한 적이 없으면서도 잊어버리지 않을 만한 비밀번호의 조합을 만들어내는 것은 이제 창의성의 영역에 있는지도 모르겠다. 해외 보안 전문 업체의 발표에 따르면, 2020년에 가장 많이 사용된 패스워드는 "123456"이다. 2019년 1위는 "12345"였으니, 겨우 숫자 한 자리가 늘어났을 뿐이다..

목차 1. BaroPAM 연동 API 1.1 연동 API 함수 1.2 인증키 검증 부분 2. BaroPAM 적용 2.1 BaroPAM 적용 프로세스 2.2 BaroPAM 적용 화면 2.3 본인확인 적용 프로세스 2.4 본인확인 적용 화면 2.5 BaroPAM 웹 설치 및 정보 설정 3. NTP(Network Time Protocol) 설정 3.1 Linux 환경 4. About BaroPAM 1. BaroPAM 연동 API PHP 환경에서 어플리케이션 로그인 시 비밀번호를 대체 또는 2차 인증(추가 인증)하기 위하여 일회용 인증키(OTA key, One-Time Authentication key)를 검증하는 기능을 제공한다. 1.1 연동 API 함수 1) system() 함수를 사용하는 경우 - NAME..

목차 1. BaroPAM 연동 API 1.1 연동 API 구성 1.2 연동 API 함수 1.3 인증키 검증 부분 2. BaroPAM 적용 2.1 BaroPAM 적용 프로세스 2.2 BaroPAM 적용 화면 2.3 본인확인 적용 프로세스 2.4 본인확인 적용 화면 2.5 BaroPAM 웹 설치 및 정보 설정 3. NTP(Network Time Protocol) 설정 3.1 Windows 환경 4. About BaroPAM 1. BaroPAM 연동 API asp.net와 asp 환경에서 어플리케이션 로그인 시 비밀번호를 대체 또는 2차 인증(추가 인증)하기 위하여 일회용 인증키(OTA key, One-Time Authentication key)를 검증하는 기능을 제공한다. 1.1 연동 API 구성 BaroP..

"2단계 인증도 약하다. 3단계 인증의 시대로!" 스피어피싱(특정 대상 공격)·조용한 해킹(사용자 모르게 단말 정보 탈취) 등 다양한 사이버 공격 수법이 나오면서 해킹 경로도 복잡해지고 있다. 그러므로, 외부의 해커나 내부의 사용자가 불법적으로 정보자산에 접근하는 것을 제한하기 위하여 우회.원격 접속 차단 및 중간자 공격, MFA 우회.피로 공격을 어떻게 방어할 것인지가 어느 때보다도 그만큼 중요하다. BaroPAM 솔루션의 3단계 인증 체계는 날로 지능화된 사이버 공격에 대응하기 위한 최적의 보안 대책으로 기존의 지식기반 인증(ID/비밀번호)과 소유기반 인증(일회용 인증키)에 지문이나 안면 같은 사람의 고유한 특징인 생체인식을 통해 인증하는 속성기반 인증을 추가하여 정보자산의 보안 강화에 최적화된 방안..

현상: Windows용 BaroPAM 설치 후 로그온 시 로그온 화면이 나타나지 않고 오작동되는 현상 발생. 원인: "컴퓨터 이름" 또는 "PC의 이름"은 한글이 포함되어 있어서 발생. 조치: "탐색기 -> 내 PC -> 마우스 오른쪽 버튼 클릭 -> 속성"을 클릭하여 "컴퓨터 이름" 또는 "PC의 이름"은 한글이 포함되어 있는지 확인한 후 반드시 "영문자, 하이픈, 숫자를 조합해서 사용"해야 한다.

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트’ 전략이 주목을 받고 있다. 제로 트러스트(Zero Trust)는 말 그대로 신뢰가 없다, 즉 '아무도 믿지 마라'라는 뜻이다. 기본적인 컨셉은 사용자, 단말기가 네트워크나 데이터에 접근을 요청할 때 처음부터 아무것도 신뢰하지 않는 보안 전략이다. 앞서 전통적인 보안 시스템에서는 성문, 관문이라 불리는 보안 시스템을 통과해서 IT 시스템에 들어오게 되면 해당 사용자나 단말기는 보안 시스템을 통과했기 때문에 신뢰하는 사용자, 단말기로 인식을 하게 된다. 하지만 제로 트러스트의 개념에서는 보안 시스템을 통과해서 IT 시스템에 접속한 사용자나 단말기라도 신뢰하지 않는다는 것이 기본 전제이다. 제로 트러스트 개념에서는 IT 시스템..

보안은 어렵고 적용하면 불편하다는 편견에 사로 잡혀 있는게 현실이며, 이런 고정 관념을 탈피하여 외부의 해커 또는 내부 사용자가 불법적으로 정보자산에 접근하는 상황을 제한(정보자산의 우회/원격접속을 차단)하여 정보자산의 보안을 강화하는 것이 최상의 보안전략으로 정보 보안은 단순해야 하며, 누구나 손쉽게 적용할 수 있어야 하며, 운영 및 관리도 간편하면서 보안성은 강하게 해야 한다. ​ Windows/개방형OS같은 데스크탑의 정보보안은 강화하고, 사용자의 불편함을 최소화하면서 Windows나 개방형OS(하모니카OS, 구름OS, TMaxOS)의 자동 로그인 및 화면보호기의 잠금방지/자동잠금/자동해제 기능으로 정보보안을 위하여 화면차단 5분, 화면보호기 10분, 강제 종료 4시간으로 설정하는 등 단말기 보안과..

1. 개요 □ 도입의 필요성 ○ 정보자산의 불법적인 접근을 제한하여 2차 인증으로 보안을 강화할 필요(추세) * OTP(One Time Password) : 일회용 비밀번호 ○ 기존 ID와 비밀번호는 사용자의 지식인증 방식으로 예측 가능하고 유출 가능성 큼 ○ 개인정보보호법 “개인정보의 안전성 확보 조치 기준” 제6조(접근통제) 의 안전한 접속수단을 적용하거나 안전한 인증수단을 적용 대응 ○ 금융감독원 전자금융감독규정 제14조 9항(정보시스템의 운영체제 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차 의무화 시행 ○ 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안( 망분리 대체 정보보호 통제) -원격접속에 대한 인증은 이중 인..