자유게시판

새해들어 몇달도 지나지 않았는데, 사이버 공격이 밤낮없이 발생하고 있다.

방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.

더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.

처음부터 완전한 보안 시스템은 없다.

간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다.

느슨한 결합으로 이뤄진 플러그인 가능한 인증모듈(PAM, Pluggable Authentication Module) 기반의 아키텍처는 예상치 못한 스파이크가 발생했을 때에도 유연하게 대응할 수 있고 자연스런 스케일링도 가능하다.

이런 아키텍처가 더 쉽게 진화할 수 있다.

'아무 것도 신뢰하지 않는다'는 것을 전제로 보안 시스템을 구성하는 ‘제로트러스트(Zero Trust)’ 전략이 주목을 받고 있다.

작년에는 해커들이 여기저기 다양한 방법을 적용하여 간을 봤다고 하면 이를 바탕으로 올해는 해커들의 활동이 왕성해질 것 같다. 이로 인하여 기업의 피해는 눈덩이 처럼 커질 것으로 예상한다.

이에 무엇보다도 정보자산의 보안을 강화하기 위하여 주목해야 할 것들은 다음과 같다.

1. 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용

2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 한다.

2. 제한된 시간에 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단

시스템 접속 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 시스템의 사용을 제한해야 함.

3. 악성코드에 의한 불법적인 우회/원격접속 차단

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 우회/원격으로 접속하는 것을 차단 해야 함.

4. 중간자 공격(Man-in-the-middle attack)에 대한 방어

로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격(Man-in-the-middle attack)을 방어할 수 있도록 2차 인증을 적용해야 함.

5. 2차 인증 기술을 우회하는 것에 대한 방어

해커의 주요 공격 유형 5가지 중 하나인 피싱, 단순 피싱 페이지 사용에서 벗어나 클라이언트 요청을 대신 받아 내부 서버로 전달해 주는 리버스 프록시(Reverse Proxy) 기술을 적용하여 2차 인증(추가인증) 수단인 다중인증(MFA, Multi Factor Authentication)까지 우회할 수 있는 형태의 2-채널 인증 방식을 방어하기 위하여 2-팩터 인증을 모색해야 함.

6. MFA 피로 공격(fatigue attacks)에 대한 방어

푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 로그인에 대한 "승인" 버튼을 누르게 만드는 공격인 "MFA 피로 공격(fatigue attacks)"이 활용되지 않토록 2-채널 인증 방식을 방어하기 위하여 2-팩터 인증을 모색해야 함.

7. 분실.도용.해킹으로 인한 사용자 비밀번호 초기화를 사용자 본인 스스로 변경

떠들썩하게 했던 N번방 사건도 "비밀번호 찾기" 기능을 이용하여 계정에 대한 비밀번호를 알아내서 벌어진 사건이다. 앞으로 비밀번호 변경은 사용자 본인 스스로 로그인-ID, 특정항목, 2차 인증 등으로 맞으면 새로운 비밀번호를 등록하여 사용하게 함.

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

Atachment
첨부 '1'	optimize.jpeg,

List of Articles
번호	제목	추천 수	글쓴이	날짜	조회 수
24	비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1	1	BaroPAM	2024.01.07	770
23	크리덴셜 스터핑에 당하지 않으려면 웹사이트와 앱에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션	0	BaroPAM	2021.01.09	1866
22	클라우드 계정을 훔치는 공격인 클라우드 재킹에 대비하여 클라우드에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션	0	BaroPAM	2021.01.25	1890
21	정보자산의 보안 강화를 위하여 2차 인증(추가 인증)을 도입해야 하는 이유	0	BaroPAM	2021.03.25	2199
20	"2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건	0	BaroPAM	2023.03.31	1300
»	정보자산의 보안을 강화하기 위하여 주목해야 할 것들	0	BaroPAM	2023.04.05	1327
18	누리아이티 "정보자산의 보안강화를 위한 3단계 인증시대 열겠다"	0	BaroPAM	2023.04.15	1417
17	2단계 인증도 약하다. 3단계 인증의 시대로!	0	BaroPAM	2023.05.14	1371
16	비밀번호를 매번 사용할 때마다 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적보안 솔루션으로 대체 했을 때 이점	0	BaroPAM	2023.05.21	1337
15	Tomcat 관리자 콘솔의 보안 취약점	0	BaroPAM	2023.05.25	1154
14	보안강화를 위한 3단계 인증이란?	0	BaroPAM	2023.06.19	1111
13	정보가 유출되어도 계정을 안전하게 보호할 수 있는 다중 인증(MFA) 도입이 시급하다.	0	BaroPAM	2023.07.01	1515
12	"다중인증(MFA)을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중인증(MFA)을 도입했느냐"가 관건	0	BaroPAM	2023.07.05	1301
11	다중 인증(MFA) 방식은 현재 사용 중인 인증 방식 중 매우 높은 보안 수준을 보장한다.	0	BaroPAM	2023.07.08	1393
10	정보자산의 보안 강화를 위해서 가장 중요한 다중인증(MFA)의 기본적인 사항	0	BaroPAM	2023.08.28	1127
9	OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안	0	BaroPAM	2023.12.19	827
8	정보자산의 관리 콘솔 접근 시 보안 강화를 위한 2차 인증(추가 인증) 적용	0	BaroPAM	2024.03.15	50
7	새로운 정보보호 패러다임(제로 트러스트 보안)의 보안 강화를 위해서는 가장 중요한 기본 사항	0	BaroPAM	2024.03.23	61
6	오픈 소스로 셀프 호스팅이 가능한 온라인 채팅 서비스인 Mattermost의 보안을 강화하기 위한 방안	0	BaroPAM	2024.04.20	62
5	보안 강화를 위한 개방형OS인 하모니카OS에 다중인증 솔루션인 BaroPAM 연동	0	BaroPAM	2024.04.13	198

글쓴이

비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1 file

커뮤니티

정보자산의 보안을 강화하기 위하여 주목해야 할 것들

단축키

단축키

Who's BaroPAM