Offcanvas

������������������

'애저 AD'에 숨겨진 새로운 위험과 대응 방안은?

최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다.  로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다.  네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다.    ‘Pass-the-hash’에서 ‘Pass-the-certificate’로  패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다.  하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴...

마이크로소프트 애저 애저 AD 애저 액티브 디렉토리 ID 관리 네트워크 보안 인증

2022.09.06

최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다.  로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다.  네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다.    ‘Pass-the-hash’에서 ‘Pass-the-certificate’로  패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다.  하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴...

2022.09.06

칼럼 | 수명주기 관점의 인간·기계 인증이 필요하다

지난 칼럼을 통해 사용자 인증과 관련된 사이버 보안 이슈 몇 가지를 제시한 바 있다. 그 중에서도 특히, 원격/하이브리드 작업 시대에 CISO는 해커들이 사용하는 새로운 도구와 전술을 이해하며, 사이버 보안 위험을 감소시킬 수 있는 새로운 AI 기반의 기술을 수용함으로써 회사의 데이터 접근을 보호해야 한다고 주장했다.  그러나 필자가 좀더 근본적으로 강조한 것은 CISO들이 계속해 발전하고 있는 신원 확인 및 접근 관리 기술들을 도입할 필요가 있다는 것이었다. 업계의 CISO들은 일반적으로 다중 인증(MFA)를 포함하여 인증에 관한 문제가 있다는 데 동의하지만, 일부는 다음과 같은 질문을 하곤 한다. ‘FIDO가 이 모든 위험을 제거해야 하는 거 아닌가?’, ‘최근 FIDO얼라이언스에서 FIDO 보안 키를 사용해 MFA 적용을 가속화하기 위한 새로운 UX 가이드라인을 발표하지 않았는가?’ 등이다. 맞다, 사실이다. 하지만 기술 전문가가 해야 할 일이 아직 많이 남아있다. 이에 대해 아래에서 자세히 설명하려고 한다. FIDO의 역할 산업 이니셔티브로서의 FIDO는 10년 전 강력한 인증/암호 기술 필요성을 표준화하기 위해 시작되었다. 이는 기본적으로 더 강력한 보안 인증 수단이다. 본질적으로 기기와 타사 서비스 간의 더 나은 보안 ‘핸드세이크’(handshake)를 제공한다.  FIDO 얼라이언스에는 애플, 아마존, 메타, 마이크로소프트, 구글과 여러 기술 중심의 기업들이 이사회의 멤버로 포함된다. 이들은 대체적으로 수많은 사용자 이름과 비밀번호를 생성, 유지 및 기억해야하는 등 사용자들에 의해 발생하는 문제와 씨름하고 있다. 이러한 이니셔티브는 의미가 있지만, 기기와 최종 서비스 간의 인증 문제를 해결하는 데에 그친다. 브라우저, 스마트폰 또는 앱에서 원활하고 안전한 보안 인증 서비스를 제공하기는 하지만, 현실적으로 이는 인간 인증이 아니라 기기 인증이다. 프론트 엔드에는 여전히 사용자가 기기로 자신을 인증해야 하는 단계가 있는데, ...

FIDO 인증 신원확인 인증관리

2022.08.22

지난 칼럼을 통해 사용자 인증과 관련된 사이버 보안 이슈 몇 가지를 제시한 바 있다. 그 중에서도 특히, 원격/하이브리드 작업 시대에 CISO는 해커들이 사용하는 새로운 도구와 전술을 이해하며, 사이버 보안 위험을 감소시킬 수 있는 새로운 AI 기반의 기술을 수용함으로써 회사의 데이터 접근을 보호해야 한다고 주장했다.  그러나 필자가 좀더 근본적으로 강조한 것은 CISO들이 계속해 발전하고 있는 신원 확인 및 접근 관리 기술들을 도입할 필요가 있다는 것이었다. 업계의 CISO들은 일반적으로 다중 인증(MFA)를 포함하여 인증에 관한 문제가 있다는 데 동의하지만, 일부는 다음과 같은 질문을 하곤 한다. ‘FIDO가 이 모든 위험을 제거해야 하는 거 아닌가?’, ‘최근 FIDO얼라이언스에서 FIDO 보안 키를 사용해 MFA 적용을 가속화하기 위한 새로운 UX 가이드라인을 발표하지 않았는가?’ 등이다. 맞다, 사실이다. 하지만 기술 전문가가 해야 할 일이 아직 많이 남아있다. 이에 대해 아래에서 자세히 설명하려고 한다. FIDO의 역할 산업 이니셔티브로서의 FIDO는 10년 전 강력한 인증/암호 기술 필요성을 표준화하기 위해 시작되었다. 이는 기본적으로 더 강력한 보안 인증 수단이다. 본질적으로 기기와 타사 서비스 간의 더 나은 보안 ‘핸드세이크’(handshake)를 제공한다.  FIDO 얼라이언스에는 애플, 아마존, 메타, 마이크로소프트, 구글과 여러 기술 중심의 기업들이 이사회의 멤버로 포함된다. 이들은 대체적으로 수많은 사용자 이름과 비밀번호를 생성, 유지 및 기억해야하는 등 사용자들에 의해 발생하는 문제와 씨름하고 있다. 이러한 이니셔티브는 의미가 있지만, 기기와 최종 서비스 간의 인증 문제를 해결하는 데에 그친다. 브라우저, 스마트폰 또는 앱에서 원활하고 안전한 보안 인증 서비스를 제공하기는 하지만, 현실적으로 이는 인간 인증이 아니라 기기 인증이다. 프론트 엔드에는 여전히 사용자가 기기로 자신을 인증해야 하는 단계가 있는데, ...

2022.08.22

IT 커리어에 날개 단다··· '변화 관리' 자격증 11선

‘변화 관리’는 IT, 프로젝트 관리, 개발에 필수적인 스킬이다. 여기서는 변화 관리 스킬과 경력을 연마하고 입증하는 데 도움이 될 11가지 자격증을 살펴본다.   기업들의 ‘기술 활용’은 계속 발전하고 있다. 이는 거의 끊임없는 조직 변화로 귀결된다. 새 프로세스를 구축하거나, 기존 프로세스를 업데이트하거나, 신기술을 배포하거나, 서비스를 미세 조정할 때마다 리더들은 간단한 단일 프로세스 변경만으로도 다른 여러 프로세스에서 해결해야 할 문제가 발생하는 ‘도미노 효과’를 일으킬 수 있다는 점을 유념해야 한다. 강력한 ‘변경 관리’ 계획을 갖추는 게 필수적인 이유다. 그래야 기업들은 운영 중단 없이 민첩성과 유연성을 갖출 수 있다.  단, 크고 작은 모든 변경 관리 계획에는 그 복잡성을 이해하는 숙련된 전문가가 필요하다. 변경 관리가 중요하지 않은 산업은 거의 없지만 IT, 프로젝트 관리, 소프트웨어 및 제품 개발에서 프로세스를 개선하고 효율성을 높이며 오류와 위험을 줄이고자 하는 기업에게 (이는) 특히 중요하다.    AIM 변경 관리 자격증(AIM Change Management Certification) AIM(Accelerating Implementation Methodology)은 다양한 기업에서 사용할 수 있는 변경 관리 방법론이다. 이 방법론은 사람에 의해 발생할 수 있는 위험에 초점을 맞춘다. 즉, 기술이나 소프트웨어가 잘못되는 경우보다는 인간의 실수가 가장 큰 위험 중 하나라는 데 중점을 두고 직원들과 관련된 프로세스를 강화할 것을 권장한다. AIM 변경 관리 자격증은 프로젝트 관리자를 비롯해 인적 자원, 조직 개발, IT, 비즈니스 부문 리더를 대상으로 한다. 관심 있는 전문가라면 누구나 들을 수 있는 세션을 통해 가상 또는 대면으로 수업을 진행할 수 있고, 아니면 기업에서 비즈니스의 특정 프로젝트 맞춤 세션을 제공해 현장에서 인증받을 수 있도록 할 수도 있다. 한편 자격증 과정은 ACMP 인증을 위...

변화 관리 변경 관리 자격증 인증 IT 커리어

2022.08.08

‘변화 관리’는 IT, 프로젝트 관리, 개발에 필수적인 스킬이다. 여기서는 변화 관리 스킬과 경력을 연마하고 입증하는 데 도움이 될 11가지 자격증을 살펴본다.   기업들의 ‘기술 활용’은 계속 발전하고 있다. 이는 거의 끊임없는 조직 변화로 귀결된다. 새 프로세스를 구축하거나, 기존 프로세스를 업데이트하거나, 신기술을 배포하거나, 서비스를 미세 조정할 때마다 리더들은 간단한 단일 프로세스 변경만으로도 다른 여러 프로세스에서 해결해야 할 문제가 발생하는 ‘도미노 효과’를 일으킬 수 있다는 점을 유념해야 한다. 강력한 ‘변경 관리’ 계획을 갖추는 게 필수적인 이유다. 그래야 기업들은 운영 중단 없이 민첩성과 유연성을 갖출 수 있다.  단, 크고 작은 모든 변경 관리 계획에는 그 복잡성을 이해하는 숙련된 전문가가 필요하다. 변경 관리가 중요하지 않은 산업은 거의 없지만 IT, 프로젝트 관리, 소프트웨어 및 제품 개발에서 프로세스를 개선하고 효율성을 높이며 오류와 위험을 줄이고자 하는 기업에게 (이는) 특히 중요하다.    AIM 변경 관리 자격증(AIM Change Management Certification) AIM(Accelerating Implementation Methodology)은 다양한 기업에서 사용할 수 있는 변경 관리 방법론이다. 이 방법론은 사람에 의해 발생할 수 있는 위험에 초점을 맞춘다. 즉, 기술이나 소프트웨어가 잘못되는 경우보다는 인간의 실수가 가장 큰 위험 중 하나라는 데 중점을 두고 직원들과 관련된 프로세스를 강화할 것을 권장한다. AIM 변경 관리 자격증은 프로젝트 관리자를 비롯해 인적 자원, 조직 개발, IT, 비즈니스 부문 리더를 대상으로 한다. 관심 있는 전문가라면 누구나 들을 수 있는 세션을 통해 가상 또는 대면으로 수업을 진행할 수 있고, 아니면 기업에서 비즈니스의 특정 프로젝트 맞춤 세션을 제공해 현장에서 인증받을 수 있도록 할 수도 있다. 한편 자격증 과정은 ACMP 인증을 위...

2022.08.08

‘IAM’ 전략이 수렁에 빠지고 있다는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

ID 및 액세스 관리 IAM 인증 SSO MFA 옥타 애저 액티브 디렉토리

2022.07.07

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

2022.07.07

‘에이스’ 데이터 과학자 되고 싶다면... 살펴볼 만한 자격증 12종

‘데이터 과학자’로 앞서 나가고 싶은가? 다음의 데이터 과학 자격증 중 하나를 취득하면 IT 분야의 가장 ‘핫’한 커리어에서 두각을 나타내는 데 도움이 될 것이다.  데이터 과학자는 IT에서 가장 ‘ 핫’한 직업이다. 기업들이 광범위한 데이터를 분석할 수 있는 데이터 전문가를 확보하려고 열심이기 때문이다. 수익성 있는 이 분야에 뛰어들고 싶거나, 경쟁자들 사이에서 돋보이고 싶다면 데이터 과학 자격증을 취득하는 게 좋다.  데이터 과학 자격증 취득은 희망하는 산업에서 찾기 힘든 스킬을 연마할 수 있다는 점에서 경쟁력을 갖추기에 좋은 방법이다. 아울러 보유하고 있는 데이터 과학 노하우를 입증할 수 있는 방법이기도 하다. 대학에서 자격증을 취득하거나, 경력을 쌓고 싶거나, 특정 벤더와 관련된 스킬을 연마하거나, 데이터 분석 지식을 입증하고 싶을 때 도움이 될 자격증 12종을 알파벳 순서로 정리했다.    공인 애널리스트 프로페셔널(Certified Analytics Professional; CAP) CAP는 벤더 중립적인 자격증이며, ‘복잡한 데이터를 가치 있는 인사이트와 액션으로 전환하는’ 역량을 검증한다. 기업들이 데이터를 이해하고, 논리적인 결론을 도출하며, 이러한 데이터 포인트가 중요한 이유를 주요 이해관계자에게 설명할 수 있는 데이터 과학자를 원하기 때문이다. 특정 기준을 충족해야 CAP 또는 어소시에이트 레벨의 aCAP 시험에 응시할 수 있다. 관련 분야의 석사 학위가 있다면 관련 경력 3년, 관련 분야의 학사 학위가 있다면 관련 경력 5년, 분석 관련 학위가 없다면 7년의 경력이 필요하다. aCAP 시험은 석사 학위 및 3년 미만의 데이터 또는 분석 관련 경력이 필요하다. • 비용: CAP 시험의 경우 INFORMS 회원은 495달러, 비회원은 695달러다. aCAP 시험의 경우 INFORMS 회원은 200달러, 비회원은 300달러다.  • 위치: 지정된 시험 센터에서 직접 • 유효 기간: ...

데이터 과학 빅데이터 자격증 인증

2022.02.22

‘데이터 과학자’로 앞서 나가고 싶은가? 다음의 데이터 과학 자격증 중 하나를 취득하면 IT 분야의 가장 ‘핫’한 커리어에서 두각을 나타내는 데 도움이 될 것이다.  데이터 과학자는 IT에서 가장 ‘ 핫’한 직업이다. 기업들이 광범위한 데이터를 분석할 수 있는 데이터 전문가를 확보하려고 열심이기 때문이다. 수익성 있는 이 분야에 뛰어들고 싶거나, 경쟁자들 사이에서 돋보이고 싶다면 데이터 과학 자격증을 취득하는 게 좋다.  데이터 과학 자격증 취득은 희망하는 산업에서 찾기 힘든 스킬을 연마할 수 있다는 점에서 경쟁력을 갖추기에 좋은 방법이다. 아울러 보유하고 있는 데이터 과학 노하우를 입증할 수 있는 방법이기도 하다. 대학에서 자격증을 취득하거나, 경력을 쌓고 싶거나, 특정 벤더와 관련된 스킬을 연마하거나, 데이터 분석 지식을 입증하고 싶을 때 도움이 될 자격증 12종을 알파벳 순서로 정리했다.    공인 애널리스트 프로페셔널(Certified Analytics Professional; CAP) CAP는 벤더 중립적인 자격증이며, ‘복잡한 데이터를 가치 있는 인사이트와 액션으로 전환하는’ 역량을 검증한다. 기업들이 데이터를 이해하고, 논리적인 결론을 도출하며, 이러한 데이터 포인트가 중요한 이유를 주요 이해관계자에게 설명할 수 있는 데이터 과학자를 원하기 때문이다. 특정 기준을 충족해야 CAP 또는 어소시에이트 레벨의 aCAP 시험에 응시할 수 있다. 관련 분야의 석사 학위가 있다면 관련 경력 3년, 관련 분야의 학사 학위가 있다면 관련 경력 5년, 분석 관련 학위가 없다면 7년의 경력이 필요하다. aCAP 시험은 석사 학위 및 3년 미만의 데이터 또는 분석 관련 경력이 필요하다. • 비용: CAP 시험의 경우 INFORMS 회원은 495달러, 비회원은 695달러다. aCAP 시험의 경우 INFORMS 회원은 200달러, 비회원은 300달러다.  • 위치: 지정된 시험 센터에서 직접 • 유효 기간: ...

2022.02.22

PASS, 강화된 QR출입증 증명 기능 업데이트··· "확진 후 완치자 등 증명"

통신 3사는 코로나19 접종증명(방역패스) 도입에 맞춰 PASS(패스) 앱 내 QR출입증의 증명 기능을 강화했다고 12월 31일 밝혔다. 회사에 따르면 기존 QR출입증으로는 전자출입명부와 백신 접종 증명만 가능했으나, PASS는 이번 업데이트로 ▲확진 후 완치자 ▲기타 접종 예외자 등에 대한 증명도 제공한다.  통신3사가 제공 중인 PASS QR출입증은 지난 2020년 6월 오픈한 이후 안정적으로 서비스를 제공 중이며, 위젯 기능(SK텔레콤, LG유플러스)ᆞ바로표시 기능(KT) 추가 및 실행 속도 단축 등 지속적으로 사용성을 개선하고 있다. 또한, 인증 특화앱인 PASS는 보안 솔루션을 통해 타인의 방역패스 도용 가능성을 원천 차단했으며, 타 QR출입증이 보안 문제로 월 1회 재인증을 수행해야 하는 것과 달리 별도 재인증 절차가 필요 없어 안전하고 손쉽게 이용할 수 있다. 강화된 PASS QR 출입증의 증명 기능은 30일부터 사용할 수 있다. ciokr@idg.co.kr

PASS 코로나19 인증 보안 QR

2021.12.31

통신 3사는 코로나19 접종증명(방역패스) 도입에 맞춰 PASS(패스) 앱 내 QR출입증의 증명 기능을 강화했다고 12월 31일 밝혔다. 회사에 따르면 기존 QR출입증으로는 전자출입명부와 백신 접종 증명만 가능했으나, PASS는 이번 업데이트로 ▲확진 후 완치자 ▲기타 접종 예외자 등에 대한 증명도 제공한다.  통신3사가 제공 중인 PASS QR출입증은 지난 2020년 6월 오픈한 이후 안정적으로 서비스를 제공 중이며, 위젯 기능(SK텔레콤, LG유플러스)ᆞ바로표시 기능(KT) 추가 및 실행 속도 단축 등 지속적으로 사용성을 개선하고 있다. 또한, 인증 특화앱인 PASS는 보안 솔루션을 통해 타인의 방역패스 도용 가능성을 원천 차단했으며, 타 QR출입증이 보안 문제로 월 1회 재인증을 수행해야 하는 것과 달리 별도 재인증 절차가 필요 없어 안전하고 손쉽게 이용할 수 있다. 강화된 PASS QR 출입증의 증명 기능은 30일부터 사용할 수 있다. ciokr@idg.co.kr

2021.12.31

‘데이터 엔지니어·아키텍트’ 수요 뜨겁다··· 인기 자격증 8종

데이터 엔지니어와 데이터 아키텍트의 수요가 높다. 데이터 엔지니어와 데이터 아키텍트 분야의 경력 개발에 도움이 될 만한 자격증을 소개한다.  데이터 애널리틱스는 성공적인 비즈니스의 핵심이다. 적절한 기술을 확보하는 것도 힘들지만 데이터 이니셔티브를 이끌어갈 전문 역량을 갖춘 팀을 구성하는 것은 이보다 더 어려울 수 있다. 빅데이터 이니셔티브를 성공적으로 수행하려면 데이터 과학자와 데이터 분석가만으론 부족하다. 엔터프라이즈 데이터 관리 프레임워크의 청사진을 설계하는 ‘데이터 아키텍트’와 데이터 수집, 처리, 비즈니스 가치 창출을 위해 프레임워크 및 데이터 파이프라인을 구축할 수 있는 ‘데이터 엔지니어’가 필요하다.   일반적으로 데이터 아키텍트는 데이터 설계, 데이터 관리, 데이터 스토리지에 전문성을 갖추고 있다. 데이터 엔지니어는 하둡(Hadoop), 스파크(Spark) 및 오픈소스 빅데이터 생태계의 다른 도구를 사용하는 데 능숙하며, 자바(Java), 스칼라(Scala), 파이썬(Python) 등으로 프로그래밍할 수 있는 전문성을 갖추고 있다.  이 분야에서 경쟁력을 확보할 방법을 찾고 있다면 자격증은 좋은 선택지다. 자격증은 업계나 벤더별 벤치마크를 기준으로 지식과 역량을 평가해 직무에 적합한 기술과 역량을 가지고 있음을 입증한다.  다음은 경력 개발에 도움이 될 만한 가장 인기 있는 데이터 엔지니어 및 데이터 아키텍트 자격증이다. AWS 공인 데이터 애널리틱스 스페셜티(AWS Certified Data Analytics – Specialty) AWS의 데이터 레이크 및 애널리틱스 서비스에 관한 기술적 역량과 경험을 검증하는 자격증이다. 각종 AWS 데이터 애널리틱스 서비스를 이해하고, 서로 어떻게 통합돼 있는지 알고 있는가를 검증하는 게 목적이다. 또 AWS 데이터 애널리틱스 서비스를 데이터 수집, 저장, 처리, 시각화라는 라이프 사이클에 구축하는 방법도 알아야 한다. 과거 ‘AWS 공인 빅데이터 스페셜티(...

자격증 인증 IT 스킬 IT 역량 커리어 경력 빅데이터 데이터 엔지니어 데이터 아키텍트 애널리틱스 데이터 관리 데이터 통합 AWS 클라우데라 구글 SAS IBM

2021.10.21

데이터 엔지니어와 데이터 아키텍트의 수요가 높다. 데이터 엔지니어와 데이터 아키텍트 분야의 경력 개발에 도움이 될 만한 자격증을 소개한다.  데이터 애널리틱스는 성공적인 비즈니스의 핵심이다. 적절한 기술을 확보하는 것도 힘들지만 데이터 이니셔티브를 이끌어갈 전문 역량을 갖춘 팀을 구성하는 것은 이보다 더 어려울 수 있다. 빅데이터 이니셔티브를 성공적으로 수행하려면 데이터 과학자와 데이터 분석가만으론 부족하다. 엔터프라이즈 데이터 관리 프레임워크의 청사진을 설계하는 ‘데이터 아키텍트’와 데이터 수집, 처리, 비즈니스 가치 창출을 위해 프레임워크 및 데이터 파이프라인을 구축할 수 있는 ‘데이터 엔지니어’가 필요하다.   일반적으로 데이터 아키텍트는 데이터 설계, 데이터 관리, 데이터 스토리지에 전문성을 갖추고 있다. 데이터 엔지니어는 하둡(Hadoop), 스파크(Spark) 및 오픈소스 빅데이터 생태계의 다른 도구를 사용하는 데 능숙하며, 자바(Java), 스칼라(Scala), 파이썬(Python) 등으로 프로그래밍할 수 있는 전문성을 갖추고 있다.  이 분야에서 경쟁력을 확보할 방법을 찾고 있다면 자격증은 좋은 선택지다. 자격증은 업계나 벤더별 벤치마크를 기준으로 지식과 역량을 평가해 직무에 적합한 기술과 역량을 가지고 있음을 입증한다.  다음은 경력 개발에 도움이 될 만한 가장 인기 있는 데이터 엔지니어 및 데이터 아키텍트 자격증이다. AWS 공인 데이터 애널리틱스 스페셜티(AWS Certified Data Analytics – Specialty) AWS의 데이터 레이크 및 애널리틱스 서비스에 관한 기술적 역량과 경험을 검증하는 자격증이다. 각종 AWS 데이터 애널리틱스 서비스를 이해하고, 서로 어떻게 통합돼 있는지 알고 있는가를 검증하는 게 목적이다. 또 AWS 데이터 애널리틱스 서비스를 데이터 수집, 저장, 처리, 시각화라는 라이프 사이클에 구축하는 방법도 알아야 한다. 과거 ‘AWS 공인 빅데이터 스페셜티(...

2021.10.21

CNCF·리눅스 재단, 초급 쿠버네티스 인증 출시

리눅스 재단(Linux Foundation)과 CNCF(Cloud Native Computing Foundation)가 10월 13일(현지 시각) 컨테이너 오케스트레이션 기술에 관심 있는 초보 개발자와 비엔지니어를 대상으로 한 쿠버네티스 인증을 출시했다.    이번에 발표된 ‘KCNA(The Kubernetes and Cloud Native Associate)’ 시험은 현재 베타 테스트 중이다. 베타 테스트 기간을 거친 후 올해 말부터 일반에 제공될 예정이다.  이 인증은 오픈소스 컨테이너 오케스트레이션 기술을 배우고자 하는 초급 개발자 또는 비기술직(예: 기술 마케팅 전문가, 기술 제품 관리자 등)을 대상으로 한다.  기존의 공인 쿠버네티스 애플리케이션 개발자(Certified Kubernetes Application Developer; CKAD), 공인 쿠버네티스 관리자(Certified Kubernetes Administrator; CKA), 공인 쿠버네티스 보안 전문가(Certified Kubernetes Security Specialist; CKS)에 포함되긴 하지만 숙련된 전문가를 대상으로 하진 않는다.  KCNA는 기본적인 kubectl 명령어를 사용해 소프트웨어 애플리케이션을 배포하는 방법, 쿠버네티스의 기초 아키텍처 및 용어(컨테이너와 포드부터 노드와 클러스터까지), 광범위한 클라우드 네이티브 환경 및 보안 고려 사항 등에 관한 지식과 이해도를 테스트하는 객관식 시험으로 구성됐다.  리눅스 재단의 교육 및 인증 부문 책임자 클라이드 시퍼사드는 “클라우드 기술 관련 직종을 고려하는 사람에게 KCNA는 명확한 진입로를 제공한다. 또한 이는 클라우드 관리, 엔지니어링, 애플리케이션 개발, 보안 등의 경력을 쌓는 첫 번째 단계라고 할 수 있다”라고 말했다. ciokr@idg.co.kr  

클라우드 리눅스 재단 CNCF 쿠버네티스 인증 자격증

2021.10.14

리눅스 재단(Linux Foundation)과 CNCF(Cloud Native Computing Foundation)가 10월 13일(현지 시각) 컨테이너 오케스트레이션 기술에 관심 있는 초보 개발자와 비엔지니어를 대상으로 한 쿠버네티스 인증을 출시했다.    이번에 발표된 ‘KCNA(The Kubernetes and Cloud Native Associate)’ 시험은 현재 베타 테스트 중이다. 베타 테스트 기간을 거친 후 올해 말부터 일반에 제공될 예정이다.  이 인증은 오픈소스 컨테이너 오케스트레이션 기술을 배우고자 하는 초급 개발자 또는 비기술직(예: 기술 마케팅 전문가, 기술 제품 관리자 등)을 대상으로 한다.  기존의 공인 쿠버네티스 애플리케이션 개발자(Certified Kubernetes Application Developer; CKAD), 공인 쿠버네티스 관리자(Certified Kubernetes Administrator; CKA), 공인 쿠버네티스 보안 전문가(Certified Kubernetes Security Specialist; CKS)에 포함되긴 하지만 숙련된 전문가를 대상으로 하진 않는다.  KCNA는 기본적인 kubectl 명령어를 사용해 소프트웨어 애플리케이션을 배포하는 방법, 쿠버네티스의 기초 아키텍처 및 용어(컨테이너와 포드부터 노드와 클러스터까지), 광범위한 클라우드 네이티브 환경 및 보안 고려 사항 등에 관한 지식과 이해도를 테스트하는 객관식 시험으로 구성됐다.  리눅스 재단의 교육 및 인증 부문 책임자 클라이드 시퍼사드는 “클라우드 기술 관련 직종을 고려하는 사람에게 KCNA는 명확한 진입로를 제공한다. 또한 이는 클라우드 관리, 엔지니어링, 애플리케이션 개발, 보안 등의 경력을 쌓는 첫 번째 단계라고 할 수 있다”라고 말했다. ciokr@idg.co.kr  

2021.10.14

베테랑 비즈니스 분석가를 위한 자격증··· ‘CBAP 인증’ 가이드

CBAP(Certified Business Analysis Professional)은 국제비즈니스분석연구소(IIBA)가 제공하는 비즈니스 분석가 자격증이다. IIBA는 비즈니스 분석 분야를 촉진하기 위해 2003년에 설립된 비영리 전문 협회다. CBAP은 “실무 비즈니스 분석 업무 경력이 5년 이상 되는 노련한 BA 전문가임을 입증하는 자격증”이라고 협회는 설명하고 있다. 즉, CBAP은 광범위한 경험과 교육이 필요한 고급 자격증이다. 대부분의 자격증과 마찬가지로 CBAP 시험도 통과해야 한다. 다음에서 CBAP 필수 요소를 자세히 살펴보고 CBAP 자격증이 당신의 경력에 어떤 의미가 있을지 살펴본다. 하지만 그에 앞서 CBAP가 IIBA의 자격증 중에서 어느 정도에 위치하고 있는지를 알아보고, CBAP 인증 비즈니스 분석가가 숙지하고 있어야 할 것으로 예상되는 지식의 범위에 대해서 알아보도록 하겠다.   CBAP 대 CCBA 대 ECBA CBAP은 비즈니스 분석가를 위한 IIBA의 핵심 자격증 중에서 가장 상위에 자리한다. 이 자격증은 ECBA(Entry Certificate in Business Analysis)와 CCBA(Certification for Competency in Business Analysis)보다 고급인증이다.  예상했겠지만, CBAP은 더 많은 교육, 업무 경험, 지식 분야의 전문성을 요구하기 때문에 요건은 위로 올라갈수록 더욱 광범위해진다. IIBA의 모든 자격증에 대한 교육을 제공하는 어댑티브 미국(Adaptive US)은 다양한 요건을 구분하고 있다. 그러나 중요한 것은 CBAP 보유자가 최상위라는 점이다. CBAP 자격증을 취득하기 위해 하위 레벨의 자격증을 가지고 있을 필요는 없지만, CBAP 취득을 고려하기 전에 BA로서의 경력을 상당히 확고하게 다져야 한다. CBAP와 BABOK CBAP는 IIBA의 다른 자격증과 마찬가지로 BABOK 가이드(A Guide to the Business Analys...

비즈니스 분석가 CBAP IIBA ECBA 자격증 인증

2021.08.23

CBAP(Certified Business Analysis Professional)은 국제비즈니스분석연구소(IIBA)가 제공하는 비즈니스 분석가 자격증이다. IIBA는 비즈니스 분석 분야를 촉진하기 위해 2003년에 설립된 비영리 전문 협회다. CBAP은 “실무 비즈니스 분석 업무 경력이 5년 이상 되는 노련한 BA 전문가임을 입증하는 자격증”이라고 협회는 설명하고 있다. 즉, CBAP은 광범위한 경험과 교육이 필요한 고급 자격증이다. 대부분의 자격증과 마찬가지로 CBAP 시험도 통과해야 한다. 다음에서 CBAP 필수 요소를 자세히 살펴보고 CBAP 자격증이 당신의 경력에 어떤 의미가 있을지 살펴본다. 하지만 그에 앞서 CBAP가 IIBA의 자격증 중에서 어느 정도에 위치하고 있는지를 알아보고, CBAP 인증 비즈니스 분석가가 숙지하고 있어야 할 것으로 예상되는 지식의 범위에 대해서 알아보도록 하겠다.   CBAP 대 CCBA 대 ECBA CBAP은 비즈니스 분석가를 위한 IIBA의 핵심 자격증 중에서 가장 상위에 자리한다. 이 자격증은 ECBA(Entry Certificate in Business Analysis)와 CCBA(Certification for Competency in Business Analysis)보다 고급인증이다.  예상했겠지만, CBAP은 더 많은 교육, 업무 경험, 지식 분야의 전문성을 요구하기 때문에 요건은 위로 올라갈수록 더욱 광범위해진다. IIBA의 모든 자격증에 대한 교육을 제공하는 어댑티브 미국(Adaptive US)은 다양한 요건을 구분하고 있다. 그러나 중요한 것은 CBAP 보유자가 최상위라는 점이다. CBAP 자격증을 취득하기 위해 하위 레벨의 자격증을 가지고 있을 필요는 없지만, CBAP 취득을 고려하기 전에 BA로서의 경력을 상당히 확고하게 다져야 한다. CBAP와 BABOK CBAP는 IIBA의 다른 자격증과 마찬가지로 BABOK 가이드(A Guide to the Business Analys...

2021.08.23

블로그ㅣ구글이 큰 ‘보안’ 변화를 만들고 있다

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

구글 다중인증 멀티팩터인증 MFA 보안 인증 생체 인식 얼굴 인식 지문 인식 2단계 인증

2021.05.18

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

2021.05.18

네트워크에서 서로를 확인하는 방법… '802.1X' LAN 인증의 유래와 작동 방식

기업 LAN에서 한 기기를 다른 기기에 연결해야 할 때가 있다. 이때 다른 기기가 통신하려는 바로 그 기기임을 확인하기 위해 서로를 인식할 수 있는 표준적인 방법이 필요하다. 바로 이것이 802.1x가 하는 일이다. 802.1x의 유래와 작동 방식을 알아보자.     802.1x의 정의 IEEE 802.1x는 로컬 영역 네트워크(local area networks, LANs)에서 상대 기기와 연결하는 기기에 대한 인증을 제공하는 방식을 정의한 표준이다. 네트워크 스위치와 액세스 포인트가 RADIUS 등 전용 인증 서버로 인증 의무를 이관하는 메커니즘을 제공한다. 따라서 네트워크상의 기기 인증은 수많은 네트워크 하드웨어에 걸쳐 분산되지 않고 중앙에서 관리하고 갱신할 수 있다. 이 표준의 이름은 IEEE 802.11 와이파이 표준을 연상시키지만, 802.1X는 유선 네트워킹이 전부였던 시절까지 거슬러 올라간다. 오늘날에는 유선 및 무선 네트워크 모두의 보안을 강화하는 데 쓰인다. 이 프로토콜은 중앙 인증 서버에 의존하기 때문에 소규모 홈 네트워크가 아니라 일반적으로 기업 LAN에서 사용된다.   PPP, EAP 및 EAPOL 인터넷을 오래 사용한 사람은 다이얼 업 모뎀 시절 인터넷에 접속하는 방식으로 포인트-투-포인트 프로토콜(Point-to-Point, PPP)을 기억할 것이다. 그러나 이 프로토콜은 DSL에 걸친 터널링 방식으로, VPN의 일부로 사용되기도 했다. PPP 가운데 한 부분은 이용자 이름/비밀번호에 기반한 인증 메커니즘을 정의했다. 이는 홈 이용자에게 적절했지만, 기업 이용자는 보통 더 확실한 방식이 필요했다. 그래서 등장한 것이 확장 가능 인증 프로토콜(Extensible Authentication Protocol, EAP)이다. EAP는 PPP의 인증 프로토콜 내에 자리했고 여러 인증 방식을 위한 보편적 프레임워크를 제공했다. EAP는 소유권적 인증 시스템을 배제하고, 비밀번호, 챌린지 응답 토큰, 공공 키 인...

801.1X 인증

2021.05.04

기업 LAN에서 한 기기를 다른 기기에 연결해야 할 때가 있다. 이때 다른 기기가 통신하려는 바로 그 기기임을 확인하기 위해 서로를 인식할 수 있는 표준적인 방법이 필요하다. 바로 이것이 802.1x가 하는 일이다. 802.1x의 유래와 작동 방식을 알아보자.     802.1x의 정의 IEEE 802.1x는 로컬 영역 네트워크(local area networks, LANs)에서 상대 기기와 연결하는 기기에 대한 인증을 제공하는 방식을 정의한 표준이다. 네트워크 스위치와 액세스 포인트가 RADIUS 등 전용 인증 서버로 인증 의무를 이관하는 메커니즘을 제공한다. 따라서 네트워크상의 기기 인증은 수많은 네트워크 하드웨어에 걸쳐 분산되지 않고 중앙에서 관리하고 갱신할 수 있다. 이 표준의 이름은 IEEE 802.11 와이파이 표준을 연상시키지만, 802.1X는 유선 네트워킹이 전부였던 시절까지 거슬러 올라간다. 오늘날에는 유선 및 무선 네트워크 모두의 보안을 강화하는 데 쓰인다. 이 프로토콜은 중앙 인증 서버에 의존하기 때문에 소규모 홈 네트워크가 아니라 일반적으로 기업 LAN에서 사용된다.   PPP, EAP 및 EAPOL 인터넷을 오래 사용한 사람은 다이얼 업 모뎀 시절 인터넷에 접속하는 방식으로 포인트-투-포인트 프로토콜(Point-to-Point, PPP)을 기억할 것이다. 그러나 이 프로토콜은 DSL에 걸친 터널링 방식으로, VPN의 일부로 사용되기도 했다. PPP 가운데 한 부분은 이용자 이름/비밀번호에 기반한 인증 메커니즘을 정의했다. 이는 홈 이용자에게 적절했지만, 기업 이용자는 보통 더 확실한 방식이 필요했다. 그래서 등장한 것이 확장 가능 인증 프로토콜(Extensible Authentication Protocol, EAP)이다. EAP는 PPP의 인증 프로토콜 내에 자리했고 여러 인증 방식을 위한 보편적 프레임워크를 제공했다. EAP는 소유권적 인증 시스템을 배제하고, 비밀번호, 챌린지 응답 토큰, 공공 키 인...

2021.05.04

칼럼 | 소모적인 인증 개발 '암흑시대' 끝이 보인다

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

인증 오소 Oso 오쓰 OAuth

2021.03.26

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수 ...

2021.03.26

‘봇’임을 한눈에 알 수 있게··· 트위터, ‘봇 계정’ 유형 신설한다

트위터가 내년 초 봇 계정임을 식별할 수 있도록 계정에 변화를 줄 예정이라고 발표했다. 자동 봇 계정이 생성하는 대규모 트윗에 대한 지적 때문인 것으로 풀이된다.  트위터는 17일 블로그를 통해 “봇은 지진 알림이나 할 일 알림 등의 기능을 수행함으로써 트위터의 가치를 높여준줄 수 있다”라면서도 “자동화된 봇 계정인지 여부를 알기 어려워 사람들에게 혼동을 줄 수 있다”라고 전했다.  이어 “2021년에 자동 봇 계정임을 쉽게 구별하게 해주는 새로운 유형의 계정을 개발할 계획”이라고 밝혔다.  트위터에서 봇은 트위터에 사전 설정된 시간에 자동으로 게시물을 올리거나, 관심 트윗을 추천해주거나, 트위터 사용자들을 자동으로 팔로우하는 등의 용도로 사용된다.  그러나 특정 봇 계정들이 대량으로 스팸과 혐오 트윗을 생산하거나 유명인 프로필을 사칭하는 등의 문제를 일으키며 사회적 물의를 빚어온 바 있다. 트위터가 2018년 1분기에 적발해 차단한 계정만 14만여 개에 이른다. 트위터 내의 봇 관련 정보를 공개하라는 요구 또한 꾸준히 제기돼 왔다.  한편 트위터는 내놓은 이번 봇 계정 정책과 더불어 유명인 인증 신청 정책을 재개한다고 발표했다. 회사는 지난달 유명인 계정에 붙는 파란 인증 배지에 대한 사용자들의 피드백을 요청한 바 있다.  트위터는 2017년 유명인 계정임을 알리는 파란 인증 배지의 신청 접수를 중단했던 바 있다. ciokr@idg.co.kr

트위터 인증 봇 계정

2020.12.18

트위터가 내년 초 봇 계정임을 식별할 수 있도록 계정에 변화를 줄 예정이라고 발표했다. 자동 봇 계정이 생성하는 대규모 트윗에 대한 지적 때문인 것으로 풀이된다.  트위터는 17일 블로그를 통해 “봇은 지진 알림이나 할 일 알림 등의 기능을 수행함으로써 트위터의 가치를 높여준줄 수 있다”라면서도 “자동화된 봇 계정인지 여부를 알기 어려워 사람들에게 혼동을 줄 수 있다”라고 전했다.  이어 “2021년에 자동 봇 계정임을 쉽게 구별하게 해주는 새로운 유형의 계정을 개발할 계획”이라고 밝혔다.  트위터에서 봇은 트위터에 사전 설정된 시간에 자동으로 게시물을 올리거나, 관심 트윗을 추천해주거나, 트위터 사용자들을 자동으로 팔로우하는 등의 용도로 사용된다.  그러나 특정 봇 계정들이 대량으로 스팸과 혐오 트윗을 생산하거나 유명인 프로필을 사칭하는 등의 문제를 일으키며 사회적 물의를 빚어온 바 있다. 트위터가 2018년 1분기에 적발해 차단한 계정만 14만여 개에 이른다. 트위터 내의 봇 관련 정보를 공개하라는 요구 또한 꾸준히 제기돼 왔다.  한편 트위터는 내놓은 이번 봇 계정 정책과 더불어 유명인 인증 신청 정책을 재개한다고 발표했다. 회사는 지난달 유명인 계정에 붙는 파란 인증 배지에 대한 사용자들의 피드백을 요청한 바 있다.  트위터는 2017년 유명인 계정임을 알리는 파란 인증 배지의 신청 접수를 중단했던 바 있다. ciokr@idg.co.kr

2020.12.18

"코로나19가 위험 평가 및 대응 방식을 변화시켰다" 2020 보안 우선순위 보고서

새로운 IDG 설문 조사에 따르면, 코로나19로 인해 기관과 기업이 보안 위험을 평가하고 대응하는 방식이 바뀌었다.   보안 계획과 예산 책정은 언제나 모험이다. 현재 위험을 평가하고 가장 가능성이 높은 위협을 예측할 수 있지만, 사이버보안 위험의 유일한 상수는 예측 불가능성(unpredictability)이다. 그 위에 전 세계적인 전염병이 더해지면 CISO는 2021년 리소스를 어디에 요청하고 할당할 것인지 결정하기가 거의 불가능한 상황에 처하게 된다.  IDG는 11월 보안 우선순위 연구 보고서를 발표했다. 이 보고서는 코로나19 시대에 현재 보안의 초점이 무엇인지, 코로나19가 2021년 보안 우선순위와 지출을 주도할 요소를 어떻게 변화시켰는지를 보여주는 것이 목적이다. 미국, 아시아/태평양 및 유럽의 522명의 보안 전문가를 대상으로 한 이번 설문 조사에 따르면, 전염병은 기업이 위험을 평가하고 대응하는 방식을 영구적으로 변화시켰다.  새로운 관점에서 위험 바라보기   코로나19의 여파로 위협 행위자는 공격을 강화했다. 공격자는 많은 사람이 현재 원격으로 일하고 있기 때문에 더 취약해질 것을 알고 있다. 예를 들어, 지난 1년동안 발생한 보안 사고의 36%가 회사에 접속하기 위한 피싱 공격과 관련된 것으로 나타났다.  또한 공격자들은 직원의 업무 공간이 집으로 이동하면서 발생하는 업무 중단이 보안 및 IT 팀을 약하게 만든다는 것을 알고 있다. 응답자는 보안 사고의 29%가 패치가 적용되지 않은 소프트웨어 취약점과 관련이 있다고 답했으며, 대기업은 보안 사고의 34%가 잘못 구성된 서비스나 시스템에서 발생한다고 응답했다.  기업이 이런 위협에 대응하기 위해 IT 및 보안 시스템을 변경함에 따라 공격자는 새로운 약점을 찾아내기 위해 공격 전술을 바꿀 것으로 예상된다. 결과적으로 기업은 위험 평가와 대응 전략을 검토하고 있다. IDG 설문조사 응답자의 62%는 전염병이 위험에 대한 접근 방식...

보안우선순위 제로트러스트 위험평가 디셉션 인증

2020.12.03

새로운 IDG 설문 조사에 따르면, 코로나19로 인해 기관과 기업이 보안 위험을 평가하고 대응하는 방식이 바뀌었다.   보안 계획과 예산 책정은 언제나 모험이다. 현재 위험을 평가하고 가장 가능성이 높은 위협을 예측할 수 있지만, 사이버보안 위험의 유일한 상수는 예측 불가능성(unpredictability)이다. 그 위에 전 세계적인 전염병이 더해지면 CISO는 2021년 리소스를 어디에 요청하고 할당할 것인지 결정하기가 거의 불가능한 상황에 처하게 된다.  IDG는 11월 보안 우선순위 연구 보고서를 발표했다. 이 보고서는 코로나19 시대에 현재 보안의 초점이 무엇인지, 코로나19가 2021년 보안 우선순위와 지출을 주도할 요소를 어떻게 변화시켰는지를 보여주는 것이 목적이다. 미국, 아시아/태평양 및 유럽의 522명의 보안 전문가를 대상으로 한 이번 설문 조사에 따르면, 전염병은 기업이 위험을 평가하고 대응하는 방식을 영구적으로 변화시켰다.  새로운 관점에서 위험 바라보기   코로나19의 여파로 위협 행위자는 공격을 강화했다. 공격자는 많은 사람이 현재 원격으로 일하고 있기 때문에 더 취약해질 것을 알고 있다. 예를 들어, 지난 1년동안 발생한 보안 사고의 36%가 회사에 접속하기 위한 피싱 공격과 관련된 것으로 나타났다.  또한 공격자들은 직원의 업무 공간이 집으로 이동하면서 발생하는 업무 중단이 보안 및 IT 팀을 약하게 만든다는 것을 알고 있다. 응답자는 보안 사고의 29%가 패치가 적용되지 않은 소프트웨어 취약점과 관련이 있다고 답했으며, 대기업은 보안 사고의 34%가 잘못 구성된 서비스나 시스템에서 발생한다고 응답했다.  기업이 이런 위협에 대응하기 위해 IT 및 보안 시스템을 변경함에 따라 공격자는 새로운 약점을 찾아내기 위해 공격 전술을 바꿀 것으로 예상된다. 결과적으로 기업은 위험 평가와 대응 전략을 검토하고 있다. IDG 설문조사 응답자의 62%는 전염병이 위험에 대한 접근 방식...

2020.12.03

“음성, SMS 기반 멀티팩터 인증도 위험하다” 마이크로소프트 임원 주장

기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다.  마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다.  그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다.  그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다.  와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다.  그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다.  한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프...

마이크로소프트 어센터케이터 윈도우 헬로 인증 MFA

2020.11.17

기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다.  마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다.  그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다.  그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다.  와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다.  그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다.  한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프...

2020.11.17

IT 경력 개발의 디딤돌··· 기초 자격증 10종

IT 관련 자격증은 여러모로 따둘 만하다. 역량을 쉽게 입증할 수 있으며 연봉에 도움이 된다. 물론 자격증에 따라 그 가치는 천차만별이다. 여기 경력 개발을 위해 검토해볼 만한 초급 자격증 10가지를 정리했다.  자격증을 통해 이력서의 신뢰성을 높일 수 있고 채용 담당자 및 고용 관리자들에게 스스로를 돋보이게 할 수 있다. 특히 초보자 수준에서는 다른 후보자들보다 눈에 띄고 심지어 급여도 높일 수 있는 좋은 방법이다. 경력을 발전시키면서 경력 개발을 지속하기 위해 더욱 수준 높은 자격증을 고려하게 될 것이다. 그때가 되면 자신이 원하는 경력을 위해 어떤 전문 분야에 집중해야 하며 어떤 기술이 필요한지 알게 될 것이다. 하지만 초보자 수준에서는 발을 들이는 데 도움이 되는 더욱 일반화된 자격증이 더 좋다. 최근에 졸업했거나 경력을 바꾸려는 사람들이 경력을 시작하기에 좋은 10가지 IT 자격증은 다음과 같다.   CISSP(Certified Information Systems Security Professional)  CCT(Cisco Certified Technician)  CCNARS(Cisco Certified Network Associate Routing & Switching) CompTIA ITF+ (IT Fundamentals+)  CompTIA A+ CompTIA Network+ CompTIA Security+ 마이크로소프트 365 펀더멘탈 MTA(Microsoft Technology Associate)  PMI CAPM(Certified Associate in Project Management)  CISSP(Certified Information Systems Security Professional)  CISSP 자격증은 (ISC)2(International Information Systems Security Certification Conso...

자격증 커리어 인증

2020.09.29

IT 관련 자격증은 여러모로 따둘 만하다. 역량을 쉽게 입증할 수 있으며 연봉에 도움이 된다. 물론 자격증에 따라 그 가치는 천차만별이다. 여기 경력 개발을 위해 검토해볼 만한 초급 자격증 10가지를 정리했다.  자격증을 통해 이력서의 신뢰성을 높일 수 있고 채용 담당자 및 고용 관리자들에게 스스로를 돋보이게 할 수 있다. 특히 초보자 수준에서는 다른 후보자들보다 눈에 띄고 심지어 급여도 높일 수 있는 좋은 방법이다. 경력을 발전시키면서 경력 개발을 지속하기 위해 더욱 수준 높은 자격증을 고려하게 될 것이다. 그때가 되면 자신이 원하는 경력을 위해 어떤 전문 분야에 집중해야 하며 어떤 기술이 필요한지 알게 될 것이다. 하지만 초보자 수준에서는 발을 들이는 데 도움이 되는 더욱 일반화된 자격증이 더 좋다. 최근에 졸업했거나 경력을 바꾸려는 사람들이 경력을 시작하기에 좋은 10가지 IT 자격증은 다음과 같다.   CISSP(Certified Information Systems Security Professional)  CCT(Cisco Certified Technician)  CCNARS(Cisco Certified Network Associate Routing & Switching) CompTIA ITF+ (IT Fundamentals+)  CompTIA A+ CompTIA Network+ CompTIA Security+ 마이크로소프트 365 펀더멘탈 MTA(Microsoft Technology Associate)  PMI CAPM(Certified Associate in Project Management)  CISSP(Certified Information Systems Security Professional)  CISSP 자격증은 (ISC)2(International Information Systems Security Certification Conso...

2020.09.29

이리언스 “홍채인증, 포스트 코로나 시대 공인인증서 대안으로 주목”

공인인증서가 12월 폐지된다. 이에 따라 금융권의 새로운 본인인증 수단으로 생체인식과 휴대폰 인증 등이 거론되고 있다.  한 보안업계 관계자는 현존하는 생체인식 방식 중 홍채인증 시스템은 정확도가 높고 비접촉 방식이기 때문에 포스트 코로나 시대에 공인인증서의 대안으로 부상하며, 대형 금융기관과 정부기관, 공기업 등에서 관심을 보이고 있다고 밝혔다. 금융결제원에 따르면 홍채인식 시스템은 타인의 홍채와 일치할 확률이 0.000083%로 도용이나 복제가 사실상 불가능하다. 생체인식 정확도를 가늠하는 본인거부율도 지문인식 0.1%, 정맥(손바닥) 인식 0.01%, 얼굴인식 1%인데 비해 홍채는 0.0001%로 정확도가 높다. 공정거래위원회는 지난 6월 은행에서 홍채 등 생체인증으로 예금을 찾을 수 있게 예금거래 기본약관을 개정했다. 금융결제원은 2016년부터 금융기관에 적용할 생체인식시스템의 분산관리 적합성 시험과 알고리즘 성능 인증을 실시하고 있다. 현재 금융결제원 분산저장방식 인증을 받은 홍채기반 생체인증시스템 업체는 이리언스다. 이리언스는 한국인터넷진흥원 인증, 미국표준연구원 ‘알고리즘 우수 평가’를 획득했고, 홍채 관련 국제특허 5건과 국내특허 23건도 확보하고 있다. 회사에 따르면 최대 1미터 거리에서 1초 이내에 개인인증이 가능하며, 우리은행을 비롯한 대형 금융기관과 보훈병원 등 의료기관과 에콰도르 등 전세계 30여 개국에서 금융거래, 연금지급, 개인인증, 출입자인증시스템을 공급하고 있다.  이리언스 김성현 대표는 “홍채인식시스템은 포스트 코로나 시대에 필수적인 비접촉 방식이라 스캐너에 손을 대야하는 지문, 손바닥, 정맥인식보다 휠씬 안전하다”라며, “내년까지 100여 개 금융기관과 정부기관, 공기업에서 홍채인증을 채택할 것”이라고 말했다. ciokr@idg.co.kr

이리언스 홍채인식 홍채인증 공인인증서 인증

2020.07.22

공인인증서가 12월 폐지된다. 이에 따라 금융권의 새로운 본인인증 수단으로 생체인식과 휴대폰 인증 등이 거론되고 있다.  한 보안업계 관계자는 현존하는 생체인식 방식 중 홍채인증 시스템은 정확도가 높고 비접촉 방식이기 때문에 포스트 코로나 시대에 공인인증서의 대안으로 부상하며, 대형 금융기관과 정부기관, 공기업 등에서 관심을 보이고 있다고 밝혔다. 금융결제원에 따르면 홍채인식 시스템은 타인의 홍채와 일치할 확률이 0.000083%로 도용이나 복제가 사실상 불가능하다. 생체인식 정확도를 가늠하는 본인거부율도 지문인식 0.1%, 정맥(손바닥) 인식 0.01%, 얼굴인식 1%인데 비해 홍채는 0.0001%로 정확도가 높다. 공정거래위원회는 지난 6월 은행에서 홍채 등 생체인증으로 예금을 찾을 수 있게 예금거래 기본약관을 개정했다. 금융결제원은 2016년부터 금융기관에 적용할 생체인식시스템의 분산관리 적합성 시험과 알고리즘 성능 인증을 실시하고 있다. 현재 금융결제원 분산저장방식 인증을 받은 홍채기반 생체인증시스템 업체는 이리언스다. 이리언스는 한국인터넷진흥원 인증, 미국표준연구원 ‘알고리즘 우수 평가’를 획득했고, 홍채 관련 국제특허 5건과 국내특허 23건도 확보하고 있다. 회사에 따르면 최대 1미터 거리에서 1초 이내에 개인인증이 가능하며, 우리은행을 비롯한 대형 금융기관과 보훈병원 등 의료기관과 에콰도르 등 전세계 30여 개국에서 금융거래, 연금지급, 개인인증, 출입자인증시스템을 공급하고 있다.  이리언스 김성현 대표는 “홍채인식시스템은 포스트 코로나 시대에 필수적인 비접촉 방식이라 스캐너에 손을 대야하는 지문, 손바닥, 정맥인식보다 휠씬 안전하다”라며, “내년까지 100여 개 금융기관과 정부기관, 공기업에서 홍채인증을 채택할 것”이라고 말했다. ciokr@idg.co.kr

2020.07.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9