오늘:
110
어제:
557
전체:
3,207,095

자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

다운로드.png

 

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다.
 
방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.
 
더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.
 
처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.
 
날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.

 

1. 도입의 필요성

"정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?"

첫번째, 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용.

2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 한다.

두번째, 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 우회/원격접속을 차단

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 우회/원격으로 접속하는 것을 차단 해야 한다.

세번째 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용

사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 한다.

 

 

2. 도입 시 검토사항

 

정보자산의 보안 강화를 위하여 2차 인증 도입 시 최소한 다음과 같은 사항은 반드시 검토해야 한다.


▶제로 트러스트(Zero Trust) 개념이 적용되어 있는지?
▶별도의 인증서버 방식인지, 모듈인증 방식인지?
▶통합인증인지 분산인증인지?
▶인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 
▶제한된 시간 내에 횟수 제한을 할 수 있는지?
▶다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지?
▶간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지?
▶인증 폭주 시 인증 속도는 얼마나 저하되는지? 
▶통신망을 사용하는지?
▶보안시스템의 우회 및 원격접속을 차단할 수 있는지?
▶보안지역이나 통신장애에 영향을 받는지?
▶인증절차 시 데이터를 위변조하여 우회 인증절차에 대한 문제가 없는지?
▶로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?
▶모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?
▶리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조인지?
▶푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"을 방어할 수 있는지?

 

망분리나 접근제어 솔루션으로 인하여 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대이다.

아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝기만 하다.


▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식

정보자산의 보안 강화를 위해서는 고려해야 할 가장 중요한 기본 사항은 다음과 같다.


▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶우회접속을 어떻게 차단할 것인지?
▶원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?

정보자산의 보안강화를 위하여 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

 

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
1884 비밀번호에 사용되는 '특수문자' 사실은 의미없다? 대안은 "2단계 인증" 설정 file 0 BaroPAM 2024.05.22 438
1883 혹시 와우리눅스 기억나시는 분이 있으신가요? 1 1 빅파이프 2024.05.21 353
1882 중고차 최근 트렌드에 대하여 0 포릉이 2024.05.21 236
» 정보자산의 보안 강화를 위한 2차인증 도입의 필요성 및 도입 시 검토사항 file 0 BaroPAM 2024.05.15 375
1880 당뇨병 초기증상을 아시나요? 0 모모 2024.05.13 255
1879 정보자산의 보안강화를 위한 2차 인증이란? file 0 BaroPAM 2024.05.12 363
1878 [하이서울기업협회]2024 서울시 뉴딜 일자리 2차_ AI활용 퍼포먼스 마케팅 실무 과정 모집중(~06.02) file 0 아니그웃 2024.05.10 201
1877 [SeSAC/휴마인] 영등포 SW 6기 _ 현직 개발자에게 사수처럼 코칭받는 "데이터 AI 개발자 과정" 모집중(~06/09) file 0 아니그웃 2024.05.10 147
1876 고혈압? 일상에서혈압 낮추는 방법 0 모모 2024.05.10 167
1875 본인인증이란? file 0 BaroPAM 2024.05.08 202
1874 친한친구 조의금 얼마가 적당 할까요? 0 모모 2024.05.06 254
1873 예전에 모질라폰이 있었는데, 리눅스를 운영체제로 하는 모바일폰은 안 나오나요? 1 0 자유의지 2024.05.04 248
1872 테무에서 산 텐트 후기 file 0 닝니니 2024.04.29 316
1871 진짜 덥네요 0 다꾸네스 2024.04.28 177
1870 컴퓨터 새로 구입했습니다 0 고고고고고 2024.04.28 281
1869 VPN 겨냥한 비밀번호 분사 공격을 방어하기 위한 방안 file 0 BaroPAM 2024.04.28 493
1868 제3회 ETRI 휴먼이해 인공지능 논문경진대회 file 0 인공지능팩토리1 2024.04.22 177
1867 오픈 소스로 셀프 호스팅이 가능한 온라인 채팅 서비스인 Mattermost의 보안을 강화하기 위한 방안 file 0 BaroPAM 2024.04.20 390
1866 서버 접근제어 솔루션(SAC)은 과연 보안 솔루션일까? file 0 BaroPAM 2024.04.18 227
1865 Intel에서 Dev Cloud 세미나 한다네요 (기프티콘) file 0 한컴아카데미 2024.04.17 160
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 99 Next
/ 99
CLOSE