자유게시판

요즘들어, 하루가 다르게 사이버 공격이 밤낮없이 발생하고 있다.

방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다.

더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다.

처음부터 완전한 보안 시스템은 없다.

간단(느슨)한 구성에서 시작해 더 복잡(견고)한 보안 시스템으로 진화하는 것이 중요하다.

 

날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한  시기다.

정보자산의 보안 강화를 위하여 무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 Windows, Mac, Linux/Unix 계열의 운영체제(OS, Operation System)가 가장 기본이다.

특히, 해커들이 다양한 운영체제에 우회/원격접속 차단 및 중간자 공격을 어떻게 차단하고 방어할 것인지가 중요하다.

그러기 위해서는 다양한 운영체제 시스템에 로그인 시 로그인-ID 및 비밀번호 이외에 반드시 별도의 추가인증 절차가 필요하다.


또한, 사용자가 웹사이트나 앱인 플리케이션에 로그인할 때 기본적인 로그인 외에 별도의 추가 인증인 다중 인증(MFA, Multi-Factor Authentication)으로 보안을 강화해야 한다. 다중 인증에는 아이디와 비밀번호 이외에 2차로 지문·홍채 등 생체인식, 인증서, 이메일, OTP 등이 사용되며, 로그인 시 별도의 비밀코드를 제공한다.

인증 방식으로 Gateway 방식(+Proxy 방식)은 접속하기 위한 통로를 별도로 설치한 후 사용자가 해당 통로를 통해서만 접근하도록 하는 방식이다. 예를 들어, 자동차를 타고 고속도로에 진입하기 위해서 반드시 톨게이트를 거쳐 통행료 징수를 위한 체크를 하듯이 서버나 네트워크, DB에 접속, 로그인하거나 로그인 한 후에 프로세스를 수행하기 위해서는 반드시 Gateway를 거치도록 구성하여 모든 로그인과 철저하게 통제하는 방식이다.

Proxy Gateway 방식은 별도의 서버(안전성을 위해 이중화 구성 필요)를 설치한 후에 독립적인 IP 및 포트를 부여하고, 접속 시 해당 IP 및 포트로 로그인 하도록 한다.

인증서버 방식인 Gateway 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회/원격 접속, 중간자 공격이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않는다. 

 20230920_114219.png

 

다양한 운영체제 및 애플리케이션의 보안을 강화하기 위해서 각각의 컴포넌트 하나하나를 보호하는 방안을 마련하여 선택이 아닌 반드시 필수로 2차 인증을 적용하여 보다 안전하게 정보자산을 보호할 수 있으며, 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 누구나 손쉽게 곧바로 적용하여 사용할 수 있고, 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없는 솔루션을 적용하여 시너지 효과를 발생할 수 있다.

 

 

 다운로드.png

 

무엇보다도 2차 인증에 사용되는 인증키는 본인이 소유하고 있는 인증키 생성매체를 사용해서 본인이 직접 인증키를 생성하여 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

 

결론은 다양한 운영체제 및 애플리케이션에 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

  • profile
    똥가리 2023.09.22 18:52

    요즘 스마트폰으로 은행의  각종 조회나 입출금 등 가능한데 비밀번호가 7자리 숫자로 로그인 하는데

    이게 안전한가 라는 생각이 들더군요 비록 숫자가 임의로 배치되긴 하지만 이용할 때 마다 의구심이 듭니다


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
44 비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1 file 1 BaroPAM 2024.01.07 1288
43 정보자산의 보안 강화를 위한 2차인증 도입의 필요성 및 도입 시 검토사항 file 0 BaroPAM 2024.05.15 220
42 누리아이티, 정보자산 보안 강화를 위한 인증 솔루션 ‘BaroPAM’ 조달 등록 file 0 BaroPAM 2021.07.22 5925
41 [긴급] 자동 로그인 기능 악용한 로그인 정보 탈취 범죄 급증…주의 1 file 0 BaroPAM 2024.03.09 229
40 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건 file 0 BaroPAM 2023.03.31 1784
39 정보자산의 보안을 강화하기 위하여 주목해야 할 것들 file 0 BaroPAM 2023.04.05 1793
38 웹 애플리케이션 서버(WAS) 로그인 시 보안의 취약점을 개선하기 위한 사용자 식별ㆍ인증을 위하여 2차 인증의 필요성 file 0 BaroPAM 2023.03.21 1722
37 다중인증(MFA)에 대한 인식의 대전환이 필요 file 0 BaroPAM 2023.06.27 1955
36 정보가 유출되어도 계정을 안전하게 보호할 수 있는 다중 인증(MFA) 도입이 시급하다. file 0 BaroPAM 2023.07.01 2049
35 망분리로 인한 보안이 강화된다는 것은 어불성설이며, 지금은 정보보안에 대한 인식의 대전환이 필요한 시대 file 0 BaroPAM 2023.09.15 1551
» 무엇 보다도 2차 인증을 우선적으로 도입해야 하는 곳은 바로 다양한 애플리케이션이 운영되는 운영체제(OS)가 가장 기본 1 file 0 BaroPAM 2023.09.22 1386
33 하모니카 OS의 보안 강화를 위하여 3단계 인증 솔루션인 BaroPAM 설치 가이드 file 0 BaroPAM 2023.11.24 1913
32 보안에 취약한 방식과 가장 중요한 기본 사항 2 0 BaroPAM 2023.11.25 1988
31 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다. file 0 BaroPAM 2023.11.29 1834
30 강력한 MFA도 무력화하는 MFA 피로공격과 MFA 우회기술 방어 file 0 BaroPAM 2023.12.14 1561
29 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것 2 file 0 BaroPAM 2024.02.14 411
28 '자동 로그인' 설정으로 인한 해킹의 피해를 예방할 수 있는 최선책은? file 0 BaroPAM 2024.02.20 365
27 정보자산의 관리 콘솔 접근 시 보안 강화를 위한 2차 인증(추가 인증) 적용 file 0 BaroPAM 2024.03.15 227
26 VPN 겨냥한 비밀번호 분사 공격을 방어하기 위한 방안 file 0 BaroPAM 2024.04.28 286
25 정보자산의 보안강화를 위한 2차 인증이란? file 0 BaroPAM 2024.05.12 244
Board Pagination Prev 1 2 3 Next
/ 3
CLOSE