오늘:
127
어제:
727
전체:
3,212,491

자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책"

 

한 곳 털리니 딴 곳도 털렸다. 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다.

 

국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다.

 

특히 최근 침해사고 조사결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나고 있어, 각 기업․기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다.

 

또한, 공격자들은 DDoS Bot, CoinMiner 등의 악성코드들을 설치하기 이전에 공격 대상에 대한 정보 즉 IP 주소와 SSH 자격 증명 정보를 획득할 필요가 있다. 이를 위해 IP를 스캐닝 하면서 SSH 서비스 즉 22번 포트가 활성화된 서버를 찾고 이후에는 ID / PW 정보를 알아내기 위해 무차별 대입 공격(또는 사전 공격)을 수행한다.

 

만약, ID/PW 이외에 플러그인 가능한 인증방식인 누리아이티의 BaroPAM 같은 별도의 추가 인증을 적용하면  ID/PW가 유출되어도 추가 인증 때문에 로그인할 수가 없어서 다양한 운영체제(OS)나 애플리케이션의 보안을 강화할 수 있는 서버 보안의 최선책이다.

 

모든 정보자산에 대한 인증 정책은 제로 트러스트 보안 모델로 다양한 공격에 대비하여 통합해 보호하는 방법이 아니라 각각의 컴포넌트 하나하나를 보호하는 방안을 마련하여 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다. 

 

20231118_164503.png

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

 

결론은 "다중인증(MFA)을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중인증(MFA)을 도입했느냐"가 관건.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
1770 오늘 종업식하네요!! 모두 한해 마무리 잘하세요 1 0 용소야 2023.12.28 611
1769 재직자 대상으로 진행하는 리눅스 무료교육 공유 드려봐요 0 RedHat 2023.12.26 656
1768 저는 개인적으로 좋아하는 리눅스 데스크톱환경은 2 0 Moordev 2023.12.25 808
1767 와 세상이 하야네요 1 0 용소야 2023.12.25 648
1766 크리스마스 이브날 1 0 다찌마와 2023.12.23 668
1765 HamoniKR 7.0 (kumkang) 미디어 매체 의 출시 홍보 보도 자료 가 안보이네요 ? 1 0 새벽별빛 2023.12.22 683
1764 햇빛좋은날. 1 0 용소야 2023.12.22 600
1763 코가 훌쩍 0 다찌마와 2023.12.21 669
1762 { 운전질문 ] 스노우타이어 효과 0 메타몽실 2023.12.20 582
1761 [★고용노동부 5년인증 우수훈련기관] 전액국비지원 IT 전문가 양성 모집 0 아이티윌부산 2023.12.19 572
1760 저도 AI 기사 봤네요 인생은 실전ㅠㅠㅠ 0 메타몽실 2023.12.19 615
1759 AI가 만든 대규모 해고 3 1 용소야 2023.12.19 741
1758 OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안 file 0 BaroPAM 2023.12.19 1877
1757 날씨가 왜이렇게 추운지... 0 메타몽실 2023.12.18 611
1756 이제 연말도 얼마 남지 않았네요 1 0 이영훈 2023.12.18 606
» 한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격 file 0 BaroPAM 2023.12.17 1664
1754 추날 날씨 진짜 추워지네요 1 용소야 2023.12.16 646
1753 스텐 연마제 제거 방법 0 오하요 2023.12.16 620
1752 주말이 오네요 0 메타몽실 2023.12.15 706
1751 하모니카 7.0에서 카카오톡 설치하기 삽질(하모니카 환영합니다 앱에서 안깔려) 4 file 0 하모니체계 2023.12.14 1325
Board Pagination Prev 1 ... 6 7 8 9 10 11 12 13 14 15 ... 99 Next
/ 99
CLOSE