2023년 전망하는 해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태 및 침해 사고에 자주 사용되는 매우 효과적인 방법으로 다중인증에 대한 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 크게 증가하는 것로 발전할 것으로 전망한다. 회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID/PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려..

인증서버 없이 2차인증 구축하는 플러그인 가능한 인증모듈 ‘바로팸’ 공공기관 재택근무 용 노트북·금융기관 스마트워크 용 씬클라이언트에 탑재 ​ [데이터넷, 김선애 기자] 누리아이티(대표 이종일)은 금융·공공기관의 스마트워크 환경에 플러그인 가능한 인증 모듈(PAM) '바로팸(BaroPAM)'을 제공했다고 15일 밝혔다. ​ 또한 여러대의 데스크톱 장비를 블루투스를 이용해 자동 로그인, 화면보호기 잠금방지·자동잠금·자동해제 기능을 제공하는 '바로BLE'도 금융기관에 시범적용했다고 설명했다. ▲바로BLE 작동 방법 ​ 바로팸은 별도의 인증서버 없이 플러그인 방식으로 인증 모듈을 적용할 수 있어 재택근무 및 스마트워크 환경에서 편리하고 안전하게 2차 인증을 구현할 수 있다. ​ 이 솔루션은 국내 대형 금융기관..

보안 취약한 VPN 악용 공격 늘어…쉽고 안전한 재택근무 지원 통합 솔루션 등장 코로나19로 재택·원격근무가 본격 확산됐으며, 가장 강력한 보안을 요구하는 공공·금융기관도 재택·원격근무가 가능해졌다. 공공·금융기관의 재택근무 허용은 많은 변화를 일으키게 했는데, 망분리 환경을 유지하기 위해 회사에서 지급한 기기로 VPN을 이용해 사내 시스템이나 자신의 업무 PC에 접속하게 했다. VPN이 연결되지 않으면 해당 기기로는 아무 작업도 할 수 없으며, VPN을 통해 업무 PC에 접속한 후 사내 환경과 동일한 보안 정책을 적용받으면서 일하게 됐다. 부득이 개인 기기를 사용할 때에는 보안 에이전트를 설치하고 회사 엔드포인트 보안 정책을 적용해야 한다. 업무 형태가 자유로워진 만큼 공격자도 자유로워졌다. 거의 대부..

Google OTP 또는 Google Authenticator는 시간 기반 일회용 비밀번호 알고리즘(TOTP)와 HMAC 기반 일회용 비밀번호 알고리즘(HOTP)를 사용하여 다요소 인증 서비스를 구현하는 소프트웨어 토큰의 하나로, 구글의 모바일 애플리케이션 사용자들을 인증하기 위해 사용된다. Google OTP는 제품화된 인증솔루션이 아니다. 이는 여러 보안취약점을 제거한 여타 유상 솔루션에 대비하여 많은 취약점을 가지고 있을 수밖에 없고, 구글에서도 Google OTP를 실제 서비스에 적용하는 것은 위험하다라고 인터뷰 한적이 있다. 하지만 무상이라는 이유로 암호화폐 거래소, 게임사 등에서 2차 인증 수단으로 적용했고, 이미 여러 해킹 사례가 발생하여 피해를 입은 사용자들이 많다. 물론 Google에서는..

세계 최초로 5G 상용화('19.4월) 이후 B2C 가입자는 증가되고 있으나 B2B/B2G 분야의 대표적인 성공사례는 부족한게 현실이다. 5G는 초기 시장으로 중소기업 등 개별기업 차원의 투자가 어려워 국가적 차원의 전략적인 투자 필요하며, 정부 주도로 공공분야에 유선 기반의 인프라 환경을 무선 5G 기반 환경으로 전환하여 가장 앞선 정부업무망 모바일화 레퍼런스 모델 확보 및 B2G/B2B 분야 수요 창출 필요하다. 지자체는 사무실 내 업무환경은 업무망/인터넷망이 물리적으로 분리된 유선 LAN 환경을 5G 기지국 등으로 대체하고, 네트워크슬라이싱 기술을 적용하여 인터넷망과 업무망을 분리(업무단말 대상)한다. 우선, 상용망의 5G 코어, 5G 기지국 및 네트워크 슬라이싱 기술 등을 적용하여 상용망과 분리된..