오늘:
42
어제:
627
전체:
3,206,470

자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

다운로드.png

 

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다.
 
방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.
 
더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.
 
처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.
 
날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.

 

1. 도입의 필요성

"정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?"

첫번째, 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용.

2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 한다.

두번째, 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 우회/원격접속을 차단

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 우회/원격으로 접속하는 것을 차단 해야 한다.

세번째 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용

사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 한다.

 

 

2. 도입 시 검토사항

 

정보자산의 보안 강화를 위하여 2차 인증 도입 시 최소한 다음과 같은 사항은 반드시 검토해야 한다.


▶제로 트러스트(Zero Trust) 개념이 적용되어 있는지?
▶별도의 인증서버 방식인지, 모듈인증 방식인지?
▶통합인증인지 분산인증인지?
▶인증키 생성 및 검증 시 사용되는 키는 정적인지, 동적인지? 
▶제한된 시간 내에 횟수 제한을 할 수 있는지?
▶다양한 운영체제와 애플리케이션에 손쉽게 적용 및 관리가 단순한지?
▶간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화할 수 있는지?
▶인증 폭주 시 인증 속도는 얼마나 저하되는지? 
▶통신망을 사용하는지?
▶보안시스템의 우회 및 원격접속을 차단할 수 있는지?
▶보안지역이나 통신장애에 영향을 받는지?
▶인증절차 시 데이터를 위변조하여 우회 인증절차에 대한 문제가 없는지?
▶로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있는지?
▶모바일 문자 메시지로 인증코드를 전송 했을 때 발생하는 심스와핑(SIM-swapping) 공격을 방어할 수 있는지?
▶리버스 프록시(Reverse Proxy)와 같은 기술을 적용하여 인증을 우회할 수 있는 구조인지?
▶푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인 승인 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"을 방어할 수 있는지?

 

망분리나 접근제어 솔루션으로 인하여 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대이다.

아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝기만 하다.


▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식
▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증
▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증
▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식

정보자산의 보안 강화를 위해서는 고려해야 할 가장 중요한 기본 사항은 다음과 같다.


▶인증 절차 시 데이터 위변조를 어떻게 방어할 것인지?
▶계정 정보 도용 및 악용은 어떻게 차단할 것인지?
▶브라우저 자동 로그인은 어떻게 방어할 것인지?
▶우회접속을 어떻게 차단할 것인지?
▶원격접속을 어떻게 차단할 것인지?
▶중간자 공격을 어떻게 방어할 것인지?
▶다중인증(MFA)의 우회기술을 어떻게 차단할 것인지?
▶다중인증(MFA)의 피로공격을 어떻게 방어할 것인지?

정보자산의 보안강화를 위하여 무엇보다도 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

 

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
1904 다큐 샤먼 재밌네요잉 2 0 돈불씨 2024.07.22 192
1903 탈중앙화하는 분산/개별 인증 시스템이 필요 file 0 BaroPAM 2024.07.20 109
1902 한국관광공사는 스마트관광 신규사업 [공모전 참고] 0 leaveoiop 2024.07.20 78
1901 [무료 세미나] [BICGCC] 나만의 AI 인플루언서, ‘예린이'의 탄생과 그 여정 0 인공지능팩토리1 2024.07.16 98
1900 [BICGCC] 이미지를 넘어 비디오 생성의 시대로 - MetaAI 김피디 0 인공지능팩토리1 2024.07.13 123
1899 차세대 BaroPAM 솔루션이 가고자 하는 방향 file 0 BaroPAM 2024.07.07 164
1898 하기싫은 운동 계속 하는법 입니다 0 이종하 2024.07.04 349
1897 컴퓨터 새로 샀는데 0 고고고고고 2024.06.23 406
1896 [K-디지털 트레이닝] NVIDIA AI ACADMEY 교육생 모집 (~07.12) file 0 한컴아카데미 2024.06.17 159
1895 DebConf24 소식 0 세벌 2024.06.12 177
1894 서버보안 솔루션의 적용방식에 따른 차이점 file 0 BaroPAM 2024.06.11 408
1893 대만서 TSMC 만난 최태원…"인류 도움 AI 시대 초석 함께 열자" 0 내지 2024.06.07 172
1892 위험에 빠진 ID 보안, 조직의 90%가 피해 경험, 2차 인증 구현이 최선의 방안 file 0 BaroPAM 2024.06.07 337
1891 모기가 나타났습니다.. 0 민지렁이 2024.06.06 205
1890 오랜만에 집에서 0 다찌마와 2024.06.02 205
1889 망분리된 공공기관서 잇달아 개인정보 유출 사고 발생...망분리도 무용지물 file 0 BaroPAM 2024.06.01 487
1888 오늘 날씨 진짜 좋네요 0 포릉이 2024.05.31 159
1887 여름이 시작된듯 하네요 0 닝니니 2024.05.28 152
1886 5월인데 덥네용.. 0 닝니니 2024.05.23 207
1885 오늘 몇시간 동안 웹사이트에 접속이 안 되었네요... 3 0 빅파이프 2024.05.23 192
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 99 Next
/ 99
CLOSE