주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

2팩터인증 8

강력한 MFA도 무력화하는 MFA 피로공격과 MFA 우회기술 방어

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책" 안전한 사용자와 기기 인증 기술은 사용자 계정이 탈취돼 공격자가 정상 계정 정보를 이용해 접근을 시도하는 것도 막을 수 있다. 그런데 인증에 필요한 정보까지 모두 공격자가 입수한다면 아무리 강력한 인증도 소용없게 된다. MFA 피로공격은, 공격자가 일부러 잘못된 MFA 정보를 입력해 사용자가 실수로, 혹은 귀찮아서 MFA 설정 초기화 확인 버튼을 누르게 한 후, 공격자 정보로 MFA를 등록하는 방식으로 강력 인증을 무력화한다. MFA 설정이 되지 않은 휴면계정에 MFA를 무단으로 등록한 후 정상 권한계정 사용자로 위장하거나, 사용자 정보..

정보자산의 보안 강화를 위한 2차 인증이란?

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다. 날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다. 정보자산의 보안 강화를 위하여 무엇 보다도 다양한 운영체계나 애플리케이션에 로그인 시 로그인-ID 및 비밀번호 이외에 별도의 추가인증 절차가 필요한데, 이를 2차 인증이라 일컷는다. 2차 인증은 ..

"2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건

SMS, 이메일 등 문자 기반의 메시지로 인증코드를 전송 했을 때 발생하는 방식은 해커들이 좋아하는 방식으로 사이버 범죄에 이미 악용되고 있다. 리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조 및 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"은 2차 인증 중 해커들이 좋아하는 2 채널 인증 방식에서 발생(삼성전자, MS, 우버, 레딧 등)하고 있다. 고로 2차 인중 중 해커들이 좋아하는 2 채널 인증 방식을 사용하지 말고, 제로트러스트(Zero Trust) 보안 모델을 적용한 별도의 인증서버가 필요 없는 모듈 인증 방식인 BaroPAM 솔루션 같이 다양한 O..

2차 인증의 우회 기술을 방어할 수 있는 방안(2 Factor 인증 + 중간자 공격 방어)

2023년 전망하는 해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태 및 침해 사고에 자주 사용되는 매우 효과적인 방법으로 다중인증에 대한 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 크게 증가하는 것로 발전할 것으로 전망한다. 회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID/PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려..

2차 인증을 도입했다는 것이 아니라 어떤 2차 인증을 도입했느냐가 관건

랩서스가 전세계적으로 알려진 건 올해 2월 삼성전자, LG전자, 마이크로소프트(MS), 엔비디아 등 글로벌 기업들을 잇따라 해킹해 내부 정보를 유출하면서다. 이들은 글로벌 기업 내부 시스템에 접근할 때 가상사설망(VPN)과 2차 인증(추가 인증) 등 보안시스템을 우회해 주목을 받았다. 랩서스는 실제로 MS를 해킹할 때 직원들의 VPN 계정을 통해 접속할 수 있었으며, 접속 당시 누구도 알아채지 못했다고 주장했다. 또 계정 접속 후 2번이나 2차 인증을 다시 등록할 수 있었다고 밝혔다. 랩서스는 또 2차 인증(추가 인증)을 우회하기 위해 안내창구 연락, 직원 메일 계정 접근, 내부 직원 또는 관계자로부터 자격증명 구매 등과 같은 다양한 전략을 시도하는 것으로 드러났다. 또한, 개발자의 다수가 아직도 2차 ..

보안강화를 위하여 네트워크 장비에 대한 다중인증의 필요성

인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있다. 그리고 웹 서버, DB서버, 백본 및 스위치 장비 등 수 십에서 수 백 대의 서버/네트워크 장비를 관리하는 IT 기업의 운영자들은 웹 사이트의 계정 이외에도 서버/네트워크 장비의 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 한다. 개인 사용자들의 계정과 비밀번호와는 달리 서버/네트워크 장비에 대한 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 한다. 비밀번호의 관리 문제로 인해 여러 비밀번호(통합계정관리) 관리 솔루션 들이 출시 되었지만 비밀번호가 복호화 가능한 암호화 기법으로 DB에 저장된다..

개인정보보호법의 비밀번호 일방향 암호화 및 패스워드 관리 솔루션

인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있다. 그리고 웹 서버, DB서버 등 수 십에서 수 백 대의 서버를 관리하는 IT 기업의 운영자들은 웹 사이트의 계정 이외에도 서버 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 한다. 개인 사용자들의 계정과 비밀번호와는 달리 서버 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 한다. 1. 패스워드의 일방향 암호화에 사용되는 Hash함수 개인정보보호법에서는 웹 사이트에서 사용되는 비밀번호는 물론 서버의 운영체제 관리자 계정, DB 관리자 계정, 어플리케이션 관리자 계정 등 주요 시스템 관리자 계정의 비..