2018.10.30

'부실한 비밀번호는 이제 그만!' 기업용 관리 툴 8선

Charlotte Trueman | CIO Aisa
사이버공격이 증가하고 있으며 아세안(ASEAN, 동남아시아 국가 연합)지역도 다른 지역과 마찬가지로 빠르게 성장하는 위협으로부터 안전하지 못하다. 해당 연합의 디지털 경제가 지속해서 번창하면서 위협 활동가들이 해당 지역을 표적화하여 대규모 사이버공격을 위한 발사대로 이용할 가치가 있는 것으로 보고 있다.



지난 5월, 해커들은 웬디스(Wendy's)의 필리핀 웹사이트에 접근하여 고객 및 구직자들 소유의 기록 8만 2,150개를 해킹했다. 이 정보에는 이름, 주소, 비밀번호, 결제 방법, 거래 세부사항이 포함된다.

태국 2위의 모바일 통신사인 트루콥(TrueCorp)은 정보를 공개된 아마존S3 버킷에 저장하면서 자회사 중 하나의 고객 4만 5,000명과 관련된 세부사항을 실수로 노출시켰다.

32GB 데이터 캐시에는 스캔한 ID카드, 운전면허증, 여권 등 주로 신원 문서의 JPG 및 PDF스캔으로 구성된 4만 5,736개의 파일이 포함되어 있었다.

위협 영역이 계속 발전하면서 적절한 보안 전략을 마련하지 않을 수 없게 되었다. 그리고 패치와 보안 소프트웨어가 최신 상태인지 확인하는 것도 좋지만 직원들에게 적절한 보안 교육을 제공하지 못하면 스스로 모든 데이터를 해커의 손에 넘겨줄 수도 있다.

지금까지도 부실한 비밀번호는 기업 보안에서 가장 큰 문제다. 흔한 최근 주요 데이터 유출 사건에서 비밀번호, 관리자 비밀번호, 이미 다른 계정과 연계된 비밀번호 등이 관련된 것으로 밝혀졌다. 사실 부실한 비밀번호가 보안 문제가 되면서 캘리포니아 주는 2020년부터 모든 소비자용 전자 기기에 ‘admin’, ‘123456’, 모두가 좋아하는 ‘password’ 등의 기본 비밀번호를 사용하지 못하도록 금지했다.

그렇다면 이 모든 비밀번호 오용의 해결책은 무엇일까? 정답: 모든 자격 증명을 정리하고 암호화할 수 있는 안전한 기업용 비밀번호 관리자.

하지만 시장에서 자사의 솔루션이 최고라고 주장하는 업체들이 늘어나고 있는 상황에서 자신의 기업에 적합한 것을 어떻게 찾을 수 있을까?

현재 시장에 존재하는 최고의 기업용 비밀번호 관리자 8개에 대한 개요를 살펴보자.

키퍼(Keeper)

키퍼를 통해 최대 5개의 기기에서 자격 증명에 접근할 수 있기 때문에 집, 일터, 원격지 등에서 자신의 계정에 접근할 수 있다.

이 솔루션은 다중 인증과 생체인식 로그인 시스템이 있어 모든 데이터와 기기를 암호화 및 복호화하기 때문에 클라우드와 관련된 취약성을 방지한다.

각 데이터는 사용자의 보관소에 저장되고 개별적으로 생성된 무작위 AES 기록 키와 마스터 데이터 키로 보호된다.

키퍼는 안드로이드, iOS, 맥, PC기기에서 사용할 수 있으며 비즈니스 요금제와 엔터프라이즈 요금제는 각각 2.08파운드 및 3.33파운드이다. 둘 다 1개월 무료 체험이 제공된다.

CAEPV(CyberArk Enterprise Password Vault)

CAEPV는 중앙에서 모든 권한 계정 자격 증명을 관리하여 정당한 비즈니스 목적 없이 무단으로 접근하지 못하도록 한다.

매우 안전한 중앙 저장소를 이용하여 구매, 하이브리드, 클라우드 환경에서 사용하는 SSH 키와 비밀번호를 저장하고 보호한다.

또한 감사 및 통제 기능을 통해 권한 계정의 오용을 추적하고 식별할 수 있다.
사이버아크는 비즈니스 솔루션이지만 가격이 다소 높다. EPV 서버의 총비용은 2만 5,000달러고 사용자 가격은 220달러/명부터 시작된다.

TSS(Thycotic Secret Server)

TSS도 온프레미스 및 클라우드에서 사용할 수 있으며 선택한 패키지에 따라 수천 개의 기업 비밀번호를 생성, 관리, 공유, 자동 변경하는 데 도움이 된다.

이 솔루션은 다양한 보안 기능을 이용해 자격 증명을 보호하고 AES 256 암호화, 이중 인증, 실시간으로 자동 백업되는 100자 비밀번호 등을 제공한다.

TSS는 기능이 제한된 무료 솔루션부터 플래티넘 패키지까지 4가지 패키지를 제공한다. 더 고급 패키지의 가격은 5,000달러부터다.

라스트패스(LastPass)

라스트패스는 사용자에게 비밀번호를 관리하는 브라우저 확장기능과 모바일 기기 애플리케이션에 대한 선택권을 제공한다. 브라우저 확장기능은 오페라(Opera)와 사파리(Safari)를 포함하여 모든 주요 브라우저가 지원한다.

모든 온라인 계정의 비밀번호를 마스터 비밀번호, AES 256비트, 솔티드 해시(Salted Hash), 이중 인증, 기기 레벨 암호화 등으로 보호되는 하나의 중앙 보관소에 저장한다.

모바일 애플리케이션은 같은 중앙 저장소 설정을 사용하며 지문 접근을 통해 추가적인 보안 계층을 제공한다.

라스트패스는 '팀(Teams)' 및 '엔터프라이즈(Enterprise)' 패키지를 제공하며 가격은 각각 사용자당 2.50달러/월 및 4달러/월이다.

리버만 REDIM (Lieberman RED Identity Management)
리버만이 제공하는 이 솔루션의 목적은 비밀번호를 관리하는 방식을 간소화하고 어떤 사용자가 권한 계정에 접근하는지 추적할 수 있도록 함으로써 조직을 악의적인 내부자로부터 보호하는 것이다.

각 계정에는 자주 변경되는 고유의 비밀번호가 제공되어 무단 및 익명 접근을 방지한다.

자격 증명은 군사용 AES 암호화를 갖춘 백엔드 데이터베이스에 저장 및 보호되며 비밀번호는 복잡하고 길게 구성할 수 있다(시스템에 따라 최대 127자).

리버만 REDIM은 온프레미스, 클라우드, 하이브리드 환경을 지원하며 시작 가격은 299달러다.

대시레인(Dashlane)

대시레인은 사용자에게 로그인, 비밀번호, 온라인 결제 정보를 더욱 안전하게 관리하는 수단을 제공한다.

여기에는 고유의 복잡한 비밀번호를 생성하고 저장하는 비밀번호 생성기가 포함되어 있어 90일마다 다양하고 강력한 비밀번호를 생각하고 기억하는 스트레스를 없애준다. 자격 증명은 AES-256 암호화로 보호되고 단일 마스터 비밀번호를 사용해 접근한다.

또한 대시레인은 인터넷에서 유출됐거나 도난당한 개인 정보를 스캔하고 엉뚱한 곳에서 정보가 발견되는 경우 사용자에게 자동으로 경고한다.

대시레인의 프리미엄 요금제를 통해 이 솔루션을 여러 기기에서 사용할 수 있으며 비용은 월 3.33달러이다. 비즈니스 요금제는 사용자당 4달러/월이다.

원아이덴티티(One Identity)
원아이덴티티 솔루션은 종종 신원, 권한 계정, 접근 제어 관리와 관련된 복잡하고 시간이 소요되는 프로세스를 없애준다고 주장한다. 비밀번호 관리자는 액티브 디렉터리 플랫폼의 일환이며 사용자에게 개인이 잊어버린 비밀번호를 재설정하고 최소한의 수고로 계정의 잠금을 해제할 수 있는 단순하고 안전한 셀프서비스 솔루션을 제공한다. 이 솔루션은 윈도우와 원활하게 통합되고 3DES, MD5, SSL, 마이크로소프트의 크립토API 같은 기술을 사용한다.

OI는 30일 무료 체험판을 제공하며 추가 요금제는 요청 시 제공된다.

원패스워드(1Password)
원패스워드는 사용자가 여러 개의 비밀번호, 소프트웨어 라이선스, 기타 민감한 정보를 PBKDF2 보호 마스터 비밀번호로 잠기는 가상의 보관소에 보관할 수 있는 장소를 제공한다. 사용자는 비밀번호를 스마트 기기 또는 PC에 로컬로 저장할 수 있지만 드롭박스와 아이클라우드를 통해 파일을 동기화할 수 있다. 원패스워드는 또한 크롬, 파이어폭스, 사파리, 인터넷 익스플로러가 지원하는 브라우저 확장기능을 제공한다. 이 솔루션은 또한 다중 인증을 제공하여 기업에 추가적인 보호 계층을 제공한다.

팀 요금제는 사용자당 3.99달러/월부터 시작되며 비즈니스 요금제는 사용자당 7.99달러/월이다. 엔터프라이즈 요금제는 요청 시 제공된다. ciokr@idg.co.kr

2018.10.30

'부실한 비밀번호는 이제 그만!' 기업용 관리 툴 8선

Charlotte Trueman | CIO Aisa
사이버공격이 증가하고 있으며 아세안(ASEAN, 동남아시아 국가 연합)지역도 다른 지역과 마찬가지로 빠르게 성장하는 위협으로부터 안전하지 못하다. 해당 연합의 디지털 경제가 지속해서 번창하면서 위협 활동가들이 해당 지역을 표적화하여 대규모 사이버공격을 위한 발사대로 이용할 가치가 있는 것으로 보고 있다.



지난 5월, 해커들은 웬디스(Wendy's)의 필리핀 웹사이트에 접근하여 고객 및 구직자들 소유의 기록 8만 2,150개를 해킹했다. 이 정보에는 이름, 주소, 비밀번호, 결제 방법, 거래 세부사항이 포함된다.

태국 2위의 모바일 통신사인 트루콥(TrueCorp)은 정보를 공개된 아마존S3 버킷에 저장하면서 자회사 중 하나의 고객 4만 5,000명과 관련된 세부사항을 실수로 노출시켰다.

32GB 데이터 캐시에는 스캔한 ID카드, 운전면허증, 여권 등 주로 신원 문서의 JPG 및 PDF스캔으로 구성된 4만 5,736개의 파일이 포함되어 있었다.

위협 영역이 계속 발전하면서 적절한 보안 전략을 마련하지 않을 수 없게 되었다. 그리고 패치와 보안 소프트웨어가 최신 상태인지 확인하는 것도 좋지만 직원들에게 적절한 보안 교육을 제공하지 못하면 스스로 모든 데이터를 해커의 손에 넘겨줄 수도 있다.

지금까지도 부실한 비밀번호는 기업 보안에서 가장 큰 문제다. 흔한 최근 주요 데이터 유출 사건에서 비밀번호, 관리자 비밀번호, 이미 다른 계정과 연계된 비밀번호 등이 관련된 것으로 밝혀졌다. 사실 부실한 비밀번호가 보안 문제가 되면서 캘리포니아 주는 2020년부터 모든 소비자용 전자 기기에 ‘admin’, ‘123456’, 모두가 좋아하는 ‘password’ 등의 기본 비밀번호를 사용하지 못하도록 금지했다.

그렇다면 이 모든 비밀번호 오용의 해결책은 무엇일까? 정답: 모든 자격 증명을 정리하고 암호화할 수 있는 안전한 기업용 비밀번호 관리자.

하지만 시장에서 자사의 솔루션이 최고라고 주장하는 업체들이 늘어나고 있는 상황에서 자신의 기업에 적합한 것을 어떻게 찾을 수 있을까?

현재 시장에 존재하는 최고의 기업용 비밀번호 관리자 8개에 대한 개요를 살펴보자.

키퍼(Keeper)

키퍼를 통해 최대 5개의 기기에서 자격 증명에 접근할 수 있기 때문에 집, 일터, 원격지 등에서 자신의 계정에 접근할 수 있다.

이 솔루션은 다중 인증과 생체인식 로그인 시스템이 있어 모든 데이터와 기기를 암호화 및 복호화하기 때문에 클라우드와 관련된 취약성을 방지한다.

각 데이터는 사용자의 보관소에 저장되고 개별적으로 생성된 무작위 AES 기록 키와 마스터 데이터 키로 보호된다.

키퍼는 안드로이드, iOS, 맥, PC기기에서 사용할 수 있으며 비즈니스 요금제와 엔터프라이즈 요금제는 각각 2.08파운드 및 3.33파운드이다. 둘 다 1개월 무료 체험이 제공된다.

CAEPV(CyberArk Enterprise Password Vault)

CAEPV는 중앙에서 모든 권한 계정 자격 증명을 관리하여 정당한 비즈니스 목적 없이 무단으로 접근하지 못하도록 한다.

매우 안전한 중앙 저장소를 이용하여 구매, 하이브리드, 클라우드 환경에서 사용하는 SSH 키와 비밀번호를 저장하고 보호한다.

또한 감사 및 통제 기능을 통해 권한 계정의 오용을 추적하고 식별할 수 있다.
사이버아크는 비즈니스 솔루션이지만 가격이 다소 높다. EPV 서버의 총비용은 2만 5,000달러고 사용자 가격은 220달러/명부터 시작된다.

TSS(Thycotic Secret Server)

TSS도 온프레미스 및 클라우드에서 사용할 수 있으며 선택한 패키지에 따라 수천 개의 기업 비밀번호를 생성, 관리, 공유, 자동 변경하는 데 도움이 된다.

이 솔루션은 다양한 보안 기능을 이용해 자격 증명을 보호하고 AES 256 암호화, 이중 인증, 실시간으로 자동 백업되는 100자 비밀번호 등을 제공한다.

TSS는 기능이 제한된 무료 솔루션부터 플래티넘 패키지까지 4가지 패키지를 제공한다. 더 고급 패키지의 가격은 5,000달러부터다.

라스트패스(LastPass)

라스트패스는 사용자에게 비밀번호를 관리하는 브라우저 확장기능과 모바일 기기 애플리케이션에 대한 선택권을 제공한다. 브라우저 확장기능은 오페라(Opera)와 사파리(Safari)를 포함하여 모든 주요 브라우저가 지원한다.

모든 온라인 계정의 비밀번호를 마스터 비밀번호, AES 256비트, 솔티드 해시(Salted Hash), 이중 인증, 기기 레벨 암호화 등으로 보호되는 하나의 중앙 보관소에 저장한다.

모바일 애플리케이션은 같은 중앙 저장소 설정을 사용하며 지문 접근을 통해 추가적인 보안 계층을 제공한다.

라스트패스는 '팀(Teams)' 및 '엔터프라이즈(Enterprise)' 패키지를 제공하며 가격은 각각 사용자당 2.50달러/월 및 4달러/월이다.

리버만 REDIM (Lieberman RED Identity Management)
리버만이 제공하는 이 솔루션의 목적은 비밀번호를 관리하는 방식을 간소화하고 어떤 사용자가 권한 계정에 접근하는지 추적할 수 있도록 함으로써 조직을 악의적인 내부자로부터 보호하는 것이다.

각 계정에는 자주 변경되는 고유의 비밀번호가 제공되어 무단 및 익명 접근을 방지한다.

자격 증명은 군사용 AES 암호화를 갖춘 백엔드 데이터베이스에 저장 및 보호되며 비밀번호는 복잡하고 길게 구성할 수 있다(시스템에 따라 최대 127자).

리버만 REDIM은 온프레미스, 클라우드, 하이브리드 환경을 지원하며 시작 가격은 299달러다.

대시레인(Dashlane)

대시레인은 사용자에게 로그인, 비밀번호, 온라인 결제 정보를 더욱 안전하게 관리하는 수단을 제공한다.

여기에는 고유의 복잡한 비밀번호를 생성하고 저장하는 비밀번호 생성기가 포함되어 있어 90일마다 다양하고 강력한 비밀번호를 생각하고 기억하는 스트레스를 없애준다. 자격 증명은 AES-256 암호화로 보호되고 단일 마스터 비밀번호를 사용해 접근한다.

또한 대시레인은 인터넷에서 유출됐거나 도난당한 개인 정보를 스캔하고 엉뚱한 곳에서 정보가 발견되는 경우 사용자에게 자동으로 경고한다.

대시레인의 프리미엄 요금제를 통해 이 솔루션을 여러 기기에서 사용할 수 있으며 비용은 월 3.33달러이다. 비즈니스 요금제는 사용자당 4달러/월이다.

원아이덴티티(One Identity)
원아이덴티티 솔루션은 종종 신원, 권한 계정, 접근 제어 관리와 관련된 복잡하고 시간이 소요되는 프로세스를 없애준다고 주장한다. 비밀번호 관리자는 액티브 디렉터리 플랫폼의 일환이며 사용자에게 개인이 잊어버린 비밀번호를 재설정하고 최소한의 수고로 계정의 잠금을 해제할 수 있는 단순하고 안전한 셀프서비스 솔루션을 제공한다. 이 솔루션은 윈도우와 원활하게 통합되고 3DES, MD5, SSL, 마이크로소프트의 크립토API 같은 기술을 사용한다.

OI는 30일 무료 체험판을 제공하며 추가 요금제는 요청 시 제공된다.

원패스워드(1Password)
원패스워드는 사용자가 여러 개의 비밀번호, 소프트웨어 라이선스, 기타 민감한 정보를 PBKDF2 보호 마스터 비밀번호로 잠기는 가상의 보관소에 보관할 수 있는 장소를 제공한다. 사용자는 비밀번호를 스마트 기기 또는 PC에 로컬로 저장할 수 있지만 드롭박스와 아이클라우드를 통해 파일을 동기화할 수 있다. 원패스워드는 또한 크롬, 파이어폭스, 사파리, 인터넷 익스플로러가 지원하는 브라우저 확장기능을 제공한다. 이 솔루션은 또한 다중 인증을 제공하여 기업에 추가적인 보호 계층을 제공한다.

팀 요금제는 사용자당 3.99달러/월부터 시작되며 비즈니스 요금제는 사용자당 7.99달러/월이다. 엔터프라이즈 요금제는 요청 시 제공된다. ciokr@idg.co.kr

X