오늘:
1,694
어제:
2,104
전체:
3,219,470

자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

다운로드.png

 

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다.
 
방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.
 
더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.
 
처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.
 
날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.

 

1. 도입의 필요성

"정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?"

첫번째, 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용.

2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 한다.

두번째, 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 우회/원격접속을 차단

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 우회/원격으로 접속하는 것을 차단 해야 한다.

세번째 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용

사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 한다.

 

 

2. 도입 시 검토사항

 

정보자산의 보안 강화를 위하여 2차 인증 도입 시 최소한 다음과 같은 사항은 반드시 검토해야 한다.


▶제로 트러스트(Zero Trust) 개념이 적용되어 있는지?
▶별도의 인증서버 방식인지, 모듈인증 방식인지?
▶통합인증인지 분산인증인지?
▶인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 
▶제한된 시간 내에 횟수 제한을 할 수 있는지?
▶다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지?
▶간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지?
▶인증 폭주 시 인증 속도는 얼마나 저하되는지? 
▶통신망을 사용하는지?
▶보안시스템의 우회 및 원격접속을 차단할 수 있는지?
▶보안지역이나 통신장애에 영향을 받는지?
▶인증절차 시 데이터를 위변조하여 우회 인증절차에 대한 문제가 없는지?
▶로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?
▶모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?
▶리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조인지?
▶푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"을 방어할 수 있는지?

 

망분리나 접근제어 솔루션으로 인하여 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대이다.

아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝기만 하다.


▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식

정보자산의 보안 강화를 위해서는 고려해야 할 가장 중요한 기본 사항은 다음과 같다.


▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶우회접속을 어떻게 차단할 것인지?
▶원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?

정보자산의 보안강화를 위하여 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

 

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
» 정보자산의 보안 강화를 위한 2차인증 도입의 필요성 및 도입 시 검토사항 file 0 BaroPAM 2024.05.15 380
116 중고차 최근 트렌드에 대하여 0 포릉이 2024.05.21 237
115 혹시 와우리눅스 기억나시는 분이 있으신가요? 1 1 빅파이프 2024.05.21 356
114 비밀번호에 사용되는 '특수문자' 사실은 의미없다? 대안은 "2단계 인증" 설정 file 0 BaroPAM 2024.05.22 443
113 오늘 몇시간 동안 웹사이트에 접속이 안 되었네요... 3 0 빅파이프 2024.05.23 193
112 5월인데 덥네용.. 0 닝니니 2024.05.23 209
111 여름이 시작된듯 하네요 0 닝니니 2024.05.28 152
110 오늘 날씨 진짜 좋네요 0 포릉이 2024.05.31 162
109 망분리된 공공기관서 잇달아 개인정보 유출 사고 발생...망분리도 무용지물 file 0 BaroPAM 2024.06.01 492
108 오랜만에 집에서 0 다찌마와 2024.06.02 211
107 모기가 나타났습니다.. 0 민지렁이 2024.06.06 205
106 위험에 빠진 ID 보안, 조직의 90%가 피해 경험, 2차 인증 구현이 최선의 방안 file 0 BaroPAM 2024.06.07 339
105 대만서 TSMC 만난 최태원…"인류 도움 AI 시대 초석 함께 열자" 0 내지 2024.06.07 174
104 서버보안 솔루션의 적용방식에 따른 차이점 file 0 BaroPAM 2024.06.11 413
103 DebConf24 소식 0 세벌 2024.06.12 177
102 [K-디지털 트레이닝] NVIDIA AI ACADMEY 교육생 모집 (~07.12) file 0 한컴아카데미 2024.06.17 159
101 컴퓨터 새로 샀는데 0 고고고고고 2024.06.23 408
100 하기싫은 운동 계속 하는법 입니다 0 이종하 2024.07.04 352
99 차세대 BaroPAM 솔루션이 가고자 하는 방향 file 0 BaroPAM 2024.07.07 173
98 [BICGCC] 이미지를 넘어 비디오 생성의 시대로 - MetaAI 김피디 0 인공지능팩토리1 2024.07.13 126
Board Pagination Prev 1 ... 90 91 92 93 94 95 96 97 98 99 100 Next
/ 100
CLOSE