오늘:
2,393
어제:
2,285
전체:
3,222,454

자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

"무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책"

 

한 곳 털리니 딴 곳도 털렸다. 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다.

 

국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다.

 

특히 최근 침해사고 조사결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나고 있어, 각 기업․기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다.

 

또한, 공격자들은 DDoS Bot, CoinMiner 등의 악성코드들을 설치하기 이전에 공격 대상에 대한 정보 즉 IP 주소와 SSH 자격 증명 정보를 획득할 필요가 있다. 이를 위해 IP를 스캐닝 하면서 SSH 서비스 즉 22번 포트가 활성화된 서버를 찾고 이후에는 ID / PW 정보를 알아내기 위해 무차별 대입 공격(또는 사전 공격)을 수행한다.

 

만약, ID/PW 이외에 플러그인 가능한 인증방식인 누리아이티의 BaroPAM 같은 별도의 추가 인증을 적용하면  ID/PW가 유출되어도 추가 인증 때문에 로그인할 수가 없어서 다양한 운영체제(OS)나 애플리케이션의 보안을 강화할 수 있는 서버 보안의 최선책이다.

 

모든 정보자산에 대한 인증 정책은 제로 트러스트 보안 모델로 다양한 공격에 대비하여 통합해 보호하는 방법이 아니라 각각의 컴포넌트 하나하나를 보호하는 방안을 마련하여 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다. 

 

20231118_164503.png

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

 

결론은 "다중인증(MFA)을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중인증(MFA)을 도입했느냐"가 관건.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
279 [★고용노동부 5년인증 우수훈련기관] 전액국비지원 기업형 실무 인재 양성 자바웹개발자 과정! file 0 아이티윌부산 2023.12.12 811
278 오늘도 공부하고갑니다~~ 1 0 메타몽실 2023.12.12 844
277 가입합니다 1 0 로케트박 2023.12.12 817
276 ai공부해보려하는데요. 1 0 용소야 2023.12.13 910
275 참 쉽지 않은 공부 입니다. file 0 재여이 2023.12.13 914
274 질문있는데 혹시 아시는 분 있으신가요? 1 0 wkek2nk2 2023.12.13 911
273 실행문의 1 0 메타몽실 2023.12.13 776
272 5년간 사용한 컴퓨터 처분기 1 0 다찌마와 2023.12.13 1037
271 강력한 MFA도 무력화하는 MFA 피로공격과 MFA 우회기술 방어 file 0 BaroPAM 2023.12.14 2089
270 비가내리네요 0 메타몽실 2023.12.14 852
269 하모니카 7.0에서 카카오톡 설치하기 삽질(하모니카 환영합니다 앱에서 안깔려) 4 file 0 하모니체계 2023.12.14 1336
268 주말이 오네요 0 메타몽실 2023.12.15 708
267 스텐 연마제 제거 방법 0 오하요 2023.12.16 621
266 추날 날씨 진짜 추워지네요 1 용소야 2023.12.16 648
» 한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격 file 0 BaroPAM 2023.12.17 1671
264 이제 연말도 얼마 남지 않았네요 1 0 이영훈 2023.12.18 610
263 날씨가 왜이렇게 추운지... 0 메타몽실 2023.12.18 611
262 OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안 file 0 BaroPAM 2023.12.19 1877
261 AI가 만든 대규모 해고 3 1 용소야 2023.12.19 748
260 저도 AI 기사 봤네요 인생은 실전ㅠㅠㅠ 0 메타몽실 2023.12.19 619
Board Pagination Prev 1 ... 83 84 85 86 87 88 89 90 91 92 ... 101 Next
/ 101
CLOSE