자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것!"

 

웹 사이트에 로그인하는 경우 아이디(ID)와 비밀 번호(PW)를 최초에 입력해 놓으면 차후 이를 다시 입력하지 않아도 곧바로 로그인이 되도록 한 것이다. 

 

이 방식은 자주 방문하는 사이트를 이용할 때는 편리하지만, 최초 접속자와 다음 접속자가 동일하지 않을 경우 주민 등록 번호 등 개인 정보가 누출될 수도 있어 보안에 취약한 단점이 있다.

 

특히, 편리하다는 이유로 아이디·비밀번호 자동 저장기능을 자주 사용하는 이용자들은 더욱 주의가 요망된다. 해당 기능 사용자가 ‘인포스틸러’에 감염되면, 웹 브라우저에 저장된 아이디·비밀번호 등 로그인 정보가 탈취될 수 있다.

 

해커는 아이디·비밀번호 등 개인정보 탈취를 위해, 악의적인 ‘정보 탈취형’ 악성코드인 ‘인포스틸러’(Infostealer)를 활용한 것으로 나타났다. 각종 불특정 콘텐츠·파일이 오가는 웹하드 등 P2P 사이트나 블로그에 ‘인포스틸러’를 은닉한 ‘불법 소프트웨어’를 유통하는 방식이다.

 

온라인 쇼핑몰에서 백여 명이 구매한 4천만 원 상당의 '상품권'이 사라지고, 게임이 출시되자마자 구매했던 '게임머니'가 사라지는 사고가 발생했다.

 

아이디와 비밀번호 등 인터넷 계정 정보를 탈취하는 일명 '크리덴셜 스터핑' 해킹의 피해 사례들로 피해자들은 대개 계정 정보를 웹브라우저에 저장하고 '자동 로그인'하는 이용자들이다.

 

한 해커가 계정 정보들을 빼내 '다크웹' 등에 올리면 다른 해커들이 해당 정보를 가져가 범죄에 이용하기 때문에 피해는 순식간에 커진다.

 

공공기관 계정 정보도 상당수 발견됐다.  'go.kr' 또는 'korea.kr'의 이메일 계정을 분류해봤더니 만여 개나 되는 것으로 파악 되었다.

 

특히 교육기관 계정이 많았는데 경기도 교육청 관련 계정이 가장 많았다.

 

전문가들은 인터넷 개인 정보는 한번 유출되면 돌이킬 수 없는 피해가 발생하기 때문에 될 수 있으면 웹브라우저에 계정 정보를 저장하지 말고, 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 2차 인증(추가 인증)을 적용해서 피해를 예방하는 최상의 방법이라고 강조했다.

 

만약, 웹브라우저에 계정 정보를 저장 했더러도 2차 인증(추가 인증)이 적용되어 있으면 2차 인증(추가 인증) 때문에 자동 로그인에 실패하게 된다.

 

웹 애플리키에션 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적인 보안 솔루션인 BaroPAM의 일회용 인증키로 대체 했을 때 이점은 다음과 같다.

 

20231118_164503.png

 

 

무엇보다도 2차 인증(추가 인증)의 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 일회용 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
» '자동 로그인' 설정으로 인한 해킹의 피해를 예방할 수 있는 최선책은? file 0 BaroPAM 2024.02.20 179
20 정보자산의 보안 강화를 위한 인증 솔루션의 보안 취약점 file 0 BaroPAM 2024.01.24 571
19 한 곳 털리니 딴 곳도 털렸다-크리덴셜 스터핑(Credential Stuffing) 공격 file 0 BaroPAM 2023.12.17 731
18 비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1 file 1 BaroPAM 2024.01.07 770
17 비밀번호 없이 로그인하는 패스워드리스 인증으로 보안·편의성 강화 file 0 BaroPAM 2023.12.09 978
16 보안강화를 위한 3단계 인증이란? file 0 BaroPAM 2023.06.19 1111
15 Tomcat 관리자 콘솔의 보안 취약점 file 0 BaroPAM 2023.05.25 1154
14 웹 애플리케이션 서버(WAS) 로그인 시 보안의 취약점을 개선하기 위한 사용자 식별ㆍ인증을 위하여 2차 인증의 필요성 file 0 BaroPAM 2023.03.21 1254
13 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건 file 0 BaroPAM 2023.03.31 1300
12 "다중인증(MFA)을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 다중인증(MFA)을 도입했느냐"가 관건 file 0 BaroPAM 2023.07.05 1301
11 정보자산의 보안을 강화하기 위하여 주목해야 할 것들 file 0 BaroPAM 2023.04.05 1327
10 다중 인증(MFA) 방식은 현재 사용 중인 인증 방식 중 매우 높은 보안 수준을 보장한다. file 0 BaroPAM 2023.07.08 1393
9 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다. file 0 BaroPAM 2023.11.29 1397
8 하모니카 OS의 보안 강화를 위하여 3단계 인증 솔루션인 BaroPAM 설치 가이드 file 0 BaroPAM 2023.11.24 1409
7 누리아이티 "정보자산의 보안강화를 위한 3단계 인증시대 열겠다" file 0 BaroPAM 2023.04.15 1417
6 다중인증(MFA)에 대한 인식의 대전환이 필요 file 0 BaroPAM 2023.06.27 1427
5 보안에 취약한 방식과 가장 중요한 기본 사항 2 0 BaroPAM 2023.11.25 1457
4 정보가 유출되어도 계정을 안전하게 보호할 수 있는 다중 인증(MFA) 도입이 시급하다. file 0 BaroPAM 2023.07.01 1515
3 크리덴셜 스터핑에 당하지 않으려면 웹사이트와 앱에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션 file 0 BaroPAM 2021.01.09 1866
2 정보자산의 보안 강화를 위하여 2차 인증(추가 인증)을 도입해야 하는 이유 file 0 BaroPAM 2021.03.25 2199
Board Pagination Prev 1 2 Next
/ 2
CLOSE