자유게시판

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부



101642_82553_4155.jpg

 

<이종일 누리아이티 대표>

 

 

대부분 기업에서 업무를 위한 정보시스템을 사용해 각종 업무를 디지털로 처리하고 있다. 그러다 보니 시스템 로그인 때 다양한 보안 절차를 구비, 인증을 하고 있는 상황이다. 최근에는 해커에 의한 시스템 침입이나 개인정보 유출도 비일비재, 더 이상 미룰 수 없는 문제로 대두되고 있다.

 

 

시스템이 고도화됨에 따라 보안 및 인증 수단도 발전하고 있지만 해킹 기술도 발전하고 있어 보안 시스템 담당자 고민은 늘어가고 있는 상황이다.

 

 

이러한 정보시스템 로그인 때 사용되는 인증수단에 대해 알아보고자 한다. 보통의 정보시스템은 아이디와 패스워드로 접근통제가 이뤄지고 있는 데 별도의 추가적인 인증 절차를 두는 방식을 2차 인증 방식이라고 한다. 이중 게이트웨이-프록시 방식이나, SMS 또는 이메일 등 문자기반 인증방식은 해커 공격에 취약하다고 할 수 있고, QR코드 방식은 피싱 공격의 수단으로 활용될 우려가 있는 방식이다.

 

 

또한 2차 인증은 2팩터 인증과 2채널 인증으로 구분할 수 있다.

 

 

우선, 2팩터 인증은 소위 '지식기반 인증'이라고 하는 데 기존의 아이디와 패스워드와 더불어 OTP, 스마트폰, 보안카드, 보안토큰 등을 사용해 인증하는 방식이다.

 

 

2채널 인증은 2팩터 인증을 포함한다고 보는 것이 일반적이며, 인증과 서비스를 수행하는 통신망을 서비스 채널과 인증 채널로 물리적으로 분리한 형태를 말한다. 2채널 인증은 2팩터 인증을 포함하고 서비스 채널과 인증 채널이 분리되어 있어서 보안에 강한 것 같으나 인증할 때 마다 통신망을 사용하기 때문에 보안지역이나 통신장애로 서비스가 안될 수도 있다.

 

 

정보시스템 보안에서 중요한 것은 해커의 우회 접속이나 원격접속 및 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격을 어떻게 차단하고 방어할 것인가라고 할 수 있다. 최근 해커들은 리버스 프록시나 지속적 푸시 알림으로 상대방을 지치게 만드는 피로공격 등을 활용하고 있다.

 

 

정보시스템 보안을 강화하기 위해 각각의 컴포넌트를 보호하는 방안의 일환으로 2차 인증을 적용해 보다 안전하게 보호할 수 있으며, 높은 보안성과 관리의 편의성, 장애발생률도 낮아 누구나 손쉽게 곧바로 적용해 사용할 수 있으므로 정보시스템의 신규 도입 때 적용해 시너지 효과를 볼 수 있다.

 

 

무엇보다도 2차 인증에 사용되는 인증키는 본인이 소유하고 있는 수단을 사용해 본인이 직접 인증키를 생성해 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.

 

 

필자는 정보자산의 보안 강화를 위한 기본적인 확인 사항을 제시하고자 한다.

 

 

첫째, 우회접속을 어떻게 차단할 것인지?

둘째, 원격접속을 어떻게 차단할 것인지?

셋째, 중간자 공격을 어떻게 방어할 것인지?

넷째, 2차인증의 우회기술을 어떻게 차단할 것인지?,

마지막으로 2차인증의 피로공격을 어떻게 방어할 것인지를 스스로 질문하고 이를 기반으로 보안 인증체계를 마련해야 할 것이다.

 

 

단순히 다양한 정보시스템에 “2차 인증을 도입했다”는 것이 아니라 기술 및 보안성 등을 고려해 “어떤 2차 인증을 도입했느냐”가 관건이라고 할 수 있다.

 

 

이종일 누리아이티 대표 mc529@nurit.co.kr

출처: 전자신문 https://www.etnews.com/20231004000019




List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
40 비밀번호를 일회성/휘발성 같은 동적인 보안 솔루션으로 대체 했을 때 이점 1 file 1 BaroPAM 2024.01.07 774
39 클라우드 계정을 훔치는 공격인 클라우드 재킹에 대비하여 클라우드에 2차 인증의 활용은 선택이 아닌 필수로 적용해야 할 솔루션 file 0 BaroPAM 2021.01.25 1891
38 정보자산의 보안 강화를 위하여 2차 인증(추가 인증)을 도입해야 하는 이유 file 0 BaroPAM 2021.03.25 2200
37 누리아이티, ‘2021 보안솔루션(SECaaS) 공급 Pool 등록 솔루션’ 공급 기업 선정 1 file 0 BaroPAM 2021.07.15 2385
36 누리아이티, 정보자산 보안 강화를 위한 인증 솔루션 ‘BaroPAM’ 조달 등록 file 0 BaroPAM 2021.07.22 5519
35 2단계 인증도 약하다. 3단계 인증의 시대로! file 0 BaroPAM 2023.05.14 1372
34 비밀번호를 매번 사용할 때마다 매번 변하거나 한번 사용하고 버리는 일회성/휘발성 같은 동적보안 솔루션으로 대체 했을 때 이점 file 0 BaroPAM 2023.05.21 1339
33 Tomcat 관리자 콘솔의 보안 취약점 file 0 BaroPAM 2023.05.25 1156
32 다중인증(MFA)에 대한 인식의 대전환이 필요 file 0 BaroPAM 2023.06.27 1429
31 VPN의 보안 강화를 위하여 2차 인증 적용은 선택이 아닌 필수로 적용해야 할 최적의 방안 file 0 BaroPAM 2023.10.09 1246
» [디지털문서 인사이트]디지털시대 정보시스템 보안 및 인증 수단 file 0 BaroPAM 2023.10.05 1200
29 ‘정부24’ 먹통 사태가 우리에게 시사하는 의미 file 0 BaroPAM 2023.11.18 1286
28 하모니카 OS의 보안 강화를 위하여 3단계 인증 솔루션인 BaroPAM 설치 가이드 file 0 BaroPAM 2023.11.24 1410
27 OpenVPN를 이용한 두 마리 토끼(관리/운영비용 절감, 보안 강화) 잡는 방안 file 0 BaroPAM 2023.12.19 834
26 정보자산의 보안 강화를 위한 인증 솔루션의 보안 취약점 file 0 BaroPAM 2024.01.24 572
25 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것 2 file 0 BaroPAM 2024.02.14 242
24 2차 인증: 기업의 ERP 시스템을 해커로부터 지키는 방법 file 0 BaroPAM 2024.04.07 79
23 오픈 소스로 셀프 호스팅이 가능한 온라인 채팅 서비스인 Mattermost의 보안을 강화하기 위한 방안 file 0 BaroPAM 2024.04.20 105
22 VPN 겨냥한 비밀번호 분사 공격을 방어하기 위한 방안 file 0 BaroPAM 2024.04.28 100
21 보안 강화를 위한 개방형OS인 하모니카OS에 다중인증 솔루션인 BaroPAM 연동 file 0 BaroPAM 2024.04.13 281
Board Pagination Prev 1 2 Next
/ 2
CLOSE