자유게시판

요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다.

방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.

더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.

처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다.

날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다.

정보자산의 보안 강화를 위하여 무엇 보다도 다양한 운영체계나 애플리케이션에 로그인 시 로그인-ID 및 비밀번호 이외에 별도의 추가인증 절차가 필요한데, 이를 2차 인증이라 일컷는다.

2차 인증은 2 팩터 인증과 2 채널 인증으로 구분한다.

2 팩터 인증은 "지식기반 인증"인 로그인-ID와 비밀번호 인증에 다른 요소 즉 사용자가 가진 OTP, 스마트폰, 보안카드, 보안 토큰 등을 들 수 있으며, 오늘날 스마트 폰과 전용 애플리케이션을 흔히 사용하여 인증하는 “소유기반 인증" 및 지문이나 안면, 정맥, 홍채 같은 사람의 고유한 특징을 통해 인증하는 “속성기반 인증” 요소를 추가한 인증 기법으로 서비스 채널과 인증 채널이 하나로 결합된 형태를 말한다.

2 채널 인증은 2 팩터 인증을 포함한다고 보는 것이 일반적이며, 인증과 서비스를 수행하는 통신망을 서비스 채널과 인증 채널로 물리적으로 분리한 형태를 말한다.

어찌 보면 2 팩터 인증을 포함한 2 채널 인증이 서비스 채널과 인증 채널이 분리되어 있어서 보안에 강할 줄 알았는데, 2 채널 인증은 통신망을 사용하기 때문에 보안지역이나 통신장애에 영향을 받아서 서비스 중단되는 현상이 발생할 수 있다.

요즘 들어서 해커들이 2 채널 인증에 대하여 리버스 프록시와 같은 기술을 적용하여 인증을 우회하는 우회기술 및 푸시 알림을 계속 보내 상대방을 지치게 만들어 우발적으로 승인 버튼을 누르게 만드는 피로공격으로 사이버 범죄가 증가하고 있는 게 현실이다.

2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 윈도우, 리눅스/유닉스 계열의 운영체제가 가장 기본이다.

중요한 것은 해커들이 다양한 운영체제나 애플리케이션에 우회 접속이나 원격접속 및 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격을 어떻게 차단하고 방어할 것인지가 매우 중요하다.

다양한 운영체제 및 애플리케이션의 보안을 강화하기 위해서 각각의 컴포넌트 하나하나를 보호하는 방안을 마련하여 선택이 아닌 반드시 필수로 2차 인증을 적용하여 보다 안전하게 정보자산을 보호할 수 있으며, 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 누구나 손쉽게 곧바로 적용하여 사용할 수 있고, 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없는 솔루션을 적용하여 시너지 효과를 발생할 수 있다.

무엇보다도 2차 인증에 사용되는 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

아직도 보안에 취약한 이런 방식이 사용되고 있다는 현실이 안타깝다.

▶2차 인증 중 해커들의 가장 좋아하는 적용 방식: Gateway(+Proxy) 방식

▶2차 인증 중 가장 취약한 인증 방식: SMS, 이메일 등 문자기반의 인증

▶2차 인증 중 해커들이 가장 애용하는 우회 기술과 피로공격에 취약한 인증 방식: 2 채널 인증

▶피싱 공격에 잘 속는 링크 방식: QR 코드 방식

정보자산의 보안 강화를 위해서는 가장 중요한 기본 사항이다.

▶우회접속을 어떻게 차단할 것인지?

▶원격접속을 어떻게 차단할 것인지?

▶중간자 공격을 어떻게 방어할 것인지?

▶2차인증의 우회기술을 어떻게 차단할 것인지?

▶2차인증의 피로공격을 어떻게 방어할 것인지?

결론은 다양한 운영체제 및 애플리케이션에 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

Atachment
첨부 '2'	20230930_113846.png, 20230930_114418.png,

List of Articles
번호	제목	추천 수	글쓴이	날짜	조회 수
25	보안 강화를 위한 개방형OS인 하모니카OS에 다중인증 솔루션인 BaroPAM 연동	0	BaroPAM	2024.04.13	198
24	2차 인증: 기업의 ERP 시스템을 해커로부터 지키는 방법	0	BaroPAM	2024.04.07	69
23	정보자산의 관리 콘솔 접근 시 보안 강화를 위한 2차 인증(추가 인증) 적용	0	BaroPAM	2024.03.15	50
22	'자동 로그인' 설정으로 인한 해킹의 피해를 예방할 수 있는 최선책은?	0	BaroPAM	2024.02.20	179
21	간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것 2	0	BaroPAM	2024.02.14	239
20	비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1	1	BaroPAM	2024.01.07	770
19	OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안	0	BaroPAM	2023.12.19	827
18	한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격	0	BaroPAM	2023.12.17	731
17	주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다.	0	BaroPAM	2023.11.29	1397
16	‘정부24’ 먹통 사태가 우리에게 시사하는 의미	0	BaroPAM	2023.11.18	1284
15	[디지털문서 인사이트]디지털시대 정보시스템 보안 및 인증 수단	0	BaroPAM	2023.10.05	1199
»	정보자산의 보안 강화를 위한 2차 인증이란?	0	BaroPAM	2023.09.30	1154
13	무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 운영체제(OS)가 가장 기본 1	0	BaroPAM	2023.09.22	1024
12	정보가 유출되어도 계정을 안전하게 보호할 수 있는 다중 인증(MFA) 도입이 시급하다.	0	BaroPAM	2023.07.01	1515
11	Tomcat 관리자 콘솔의 보안 취약점	0	BaroPAM	2023.05.25	1154
10	비밀번호를 매번 사용할 때마다 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적보안 솔루션으로 대체 했을 때 이점	0	BaroPAM	2023.05.21	1337
9	누리아이티 "정보자산의 보안강화를 위한 3단계 인증시대 열겠다"	0	BaroPAM	2023.04.15	1417
8	정보자산의 보안을 강화하기 위하여 주목해야 할 것들	0	BaroPAM	2023.04.05	1327
7	"2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건	0	BaroPAM	2023.03.31	1300
6	웹 애플리케이션 서버(WAS) 로그인 시 보안의 취약점을 개선하기 위한 사용자 식별ㆍ인증을 위하여 2차 인증의 필요성	0	BaroPAM	2023.03.21	1254

글쓴이

보안 강화를 위한 개방형OS인 하모니카OS에 다중인증 솔루션인 BaroPAM 연동 file

커뮤니티

정보자산의 보안 강화를 위한 2차 인증이란?

단축키

단축키

Who's BaroPAM