주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

MFT 10

정보자산의 보안 강화를 위한 2차 인증 솔루션 도입 시 검토사항

2차 인증은 정보자산의 보안 강화를 위하여 로그인-ID 및 비밀번호(지식기반 인증) 이외에 별도의 추가인증(소유기반/속성기반/행위기반/장소기반 인증)절차를 의미하며, 2 Factor 인증과 2 Channel 인증으로 구분한다. ​ ​ 1. 제로 트러스트(Zero Trust) 개념이 적용되어 있는지? ​ 2. 인증서버 방식인지, 모듈인증 방식인지? ​ 3. 통합인증인지 분산인증인지? ​ 4. 인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? ​ 5. 제한된 시간 내에 횟수 제한을 할 수 있는지? ​ 6. 적용 및 관리가 단순한지? ​ 7. 간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지? ​ 8. 인증 폭주 시 인증 속도는 얼마나 저하되는지? ​ 9. 통신망을 ..

Linux/Unix 서버보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -각 서버별 OTP인증 방식 (별도 추가 인증서버 불필요) -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공(이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공(모바일, 응급 일회용 인증키 입력, Web OTP 등) -서버별 (리눅스, 유닉스 등)로 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공 -2차 인증을 허용 / 제외할 수 있는 계정에 대한 ACL 기능 제공 -서버 접속 시 시간 및 회수를 제한하는 기능 제공 -환경..

정보자산의 보안 강화를 위한 3단계 인증의 적용방안: 추가 인증, 비밀번호 대체, 새로운 비밀번호

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다. Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 ..

PC, Notebook, 개방형OS 등 Desktop의 보안을 강화하기 위한 2차 인증 솔루션 적용 요구사항 기술

* 요구사항 상세 설명(세부규격) -각 데스크탑별 OTP인증 방식 (별도 추가 인증서버 불필요) -전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수 -OTP인증은 시간동기방식으로 제공 (이벤트 및 질의응답 방식 불가) -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능 -OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공 (모바일, 응급 일회용 인증키 입력, Web OTP 등) -데스크탑 (윈도우계열, 개방형OS, 리눅스 계열, 제로 및 씬 클라이언트 환경 등)에 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공 -2차 인증을 허용 / 제외할 수 있는 계정에 대한 ACL 기능 제..

현재 정보자산의 보안강화를 위하여 2차 인증이 어느 정도로 적용되어 있는가?

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 보안 업계에서 몇 년 전부터 유행하기 시작한 말이 있다. 아이덴티티는 새로운 외곽(identity is the new perimeter)이라는 말이다. 너무나 많은 사용자가, 더 많은 장비들을 가지고, 다양한 장소에서 회사 네트워크에 접속하는 게 일상인 시대에 보안강화를 위한 정보자산의 인증 절차를 강화하는 것만큼 중요한 건 없다. 그리고 현재 정보자산의 보안강화를 위하여 가장 강력하다고 여겨지는 최상의 방법은 2차 인증(추가 인증)이다. 가장 민감한 부분과 데이터에 2차 인증 기능을 마련하고, 각종 접근점에 2차 인증 옵션을 걸어두는 건 그리 어려운 일이 아니다. 하지만 대단히 효과적이다. 구글이 지난 해(2021..

정보자산의 비밀번호를 BaroPAM 같은 동적보안 솔루션의 일회용 인증키로 대체 했을 때 이점

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 사이버 보안(Cyber security)이란 인터넷상의 해킹, 정보의 유출, 사이버 테러, 금융 사고 따위의 위험으로부터 사용자의 자산을 지키기 위하여 시행하는 모든 일을 의미한다. 사이버 환경에서 네트워크 운영상의 위험으로부터 조직과 사용자 자산을 보호하기 위해 사용하는 기술적 수단, 보안 정책, 개념, 보안 안전 장치, 가이드 라인, 위기 관리 방법, 보안 행동, 교육과 훈련, 모범 사례, 보안 보증, 그리고 보안 기술 등의 집합. 사이버 보안은 사이버 환경에서 다양한 보안 위협으로부터 조직과 사용자 자산의 운영 영속성을 보장한다. 일반적인 보안 목표는 가용성, 메시지 인증, 부인 방지를 포함한 무결성, 그리고 ..