Offcanvas

������������������������������������������������������

사물인터넷, 비밀번호 시대를 종결한다

애플 워치가 비밀번호의 종말을 의미할까? 아마도 그럴 것이다. 애플 워치는 아이폰이 약 7년 전에 스마트폰 시장을 촉발했듯이 '웨어러블 기술' 영역을 확장하고 있다. 한편 이 과정에서 웨어러블 기기를 비롯한 작은 '사물 인터넷' 기술 업계의 고민거리 하나가 부상하고 있다. 바로 보안성이다. 당연한 말이지만 애플 워치의 화면은 아주 작다. 해상도는 38mm 모델의 경우 272*340, 42mm 모델은 312*390픽셀이다. 다시 말해 전통적인 영숫자 암호를 사용하기에 적합하지 않다. 이러한 기기가 “도난에 취약하다”는 경고가 나오는 것도 그래서다. 애플 워치 착용자는 로그인할 필요가 없고(할 수도 없음), 누구나 리셋 버튼을 누르면 워치에 저장된 모든 데이터와 설정을 지우고 자기 것으로 만들 수 있다. 반면 아이폰과 아이패드의 경우 복합적인 암호 및 접근 제어 기능이 있어 누가 훔쳐서 데이터를 지우고 재사용하기가 어렵다. 애플 워치의 강점과 약점에 관해 토론하는 일련의 과정은 이와 같은 혁신 제품이 거치는 “과열 주기”에 항상 등장하는 요소다. 그러나 애플 워치나 그 자체적인 보안 문제에만 치중한 나머지, 정작 곧 닥칠 미래, 즉 웨어러블 기술을 활용하고 이 기술을 보호하는 방식의 빠른 변화에 관한 이야기는 묻히고 있다. 비밀번호에서 벗어나는 신세계 비밀번호 입력방식은 죽었다. 꽤 오래전부터 알고 있던 사실이다. 라스트패스(LastPass)와 같은 비밀번호 관리 도구는 플로피 디스크 보관함, 두껍고 거대한 음극선관 TV용 캐비닛과 같이 비밀번호 시대를 위한 마지막 도구다. 웨어러블을 비롯한 소형 규격 기기로의 전환은 비밀번호의 소멸을 앞당기면서, 영문자와 숫자에 기반을 둔 비밀번호 입력에 필요한 화면 크기의 의미를 퇴색시킨다. 애플 워치용 인증 기술 업체 오디(Authy)의 COO 마크 보로디츠키는 “애플 워치의 경우 사용자는 워치를 업데이트하거나...

보안 인증 비밀번호 패스워드 사물인터넷

2015.07.01

애플 워치가 비밀번호의 종말을 의미할까? 아마도 그럴 것이다. 애플 워치는 아이폰이 약 7년 전에 스마트폰 시장을 촉발했듯이 '웨어러블 기술' 영역을 확장하고 있다. 한편 이 과정에서 웨어러블 기기를 비롯한 작은 '사물 인터넷' 기술 업계의 고민거리 하나가 부상하고 있다. 바로 보안성이다. 당연한 말이지만 애플 워치의 화면은 아주 작다. 해상도는 38mm 모델의 경우 272*340, 42mm 모델은 312*390픽셀이다. 다시 말해 전통적인 영숫자 암호를 사용하기에 적합하지 않다. 이러한 기기가 “도난에 취약하다”는 경고가 나오는 것도 그래서다. 애플 워치 착용자는 로그인할 필요가 없고(할 수도 없음), 누구나 리셋 버튼을 누르면 워치에 저장된 모든 데이터와 설정을 지우고 자기 것으로 만들 수 있다. 반면 아이폰과 아이패드의 경우 복합적인 암호 및 접근 제어 기능이 있어 누가 훔쳐서 데이터를 지우고 재사용하기가 어렵다. 애플 워치의 강점과 약점에 관해 토론하는 일련의 과정은 이와 같은 혁신 제품이 거치는 “과열 주기”에 항상 등장하는 요소다. 그러나 애플 워치나 그 자체적인 보안 문제에만 치중한 나머지, 정작 곧 닥칠 미래, 즉 웨어러블 기술을 활용하고 이 기술을 보호하는 방식의 빠른 변화에 관한 이야기는 묻히고 있다. 비밀번호에서 벗어나는 신세계 비밀번호 입력방식은 죽었다. 꽤 오래전부터 알고 있던 사실이다. 라스트패스(LastPass)와 같은 비밀번호 관리 도구는 플로피 디스크 보관함, 두껍고 거대한 음극선관 TV용 캐비닛과 같이 비밀번호 시대를 위한 마지막 도구다. 웨어러블을 비롯한 소형 규격 기기로의 전환은 비밀번호의 소멸을 앞당기면서, 영문자와 숫자에 기반을 둔 비밀번호 입력에 필요한 화면 크기의 의미를 퇴색시킨다. 애플 워치용 인증 기술 업체 오디(Authy)의 COO 마크 보로디츠키는 “애플 워치의 경우 사용자는 워치를 업데이트하거나...

2015.07.01

가트너 선정 '주목해야 할 IoT 보안 업체 4곳'

사물인터넷은 관련 디바이스를 안전하게 사용할 방법을 찾고 있는 기업들에게 보안이라는 과제를 제시하고 있다. 가트너는 바로 이 문제를 해결하고자 하는 업체들을 조사한 후, 4곳의 업체를 기대주로 지목했다. 가트너는 이 목록이 관련 업체를 모두 포괄하는 것은 아니지만, 이들 흥미롭고 새롭고 혁신적인 업체와 제품과 서비스에 주목할 필요가 있다고 강조했다. editor@itworld.co.kr

암호화 인증 사물인터넷 ID

2015.05.15

사물인터넷은 관련 디바이스를 안전하게 사용할 방법을 찾고 있는 기업들에게 보안이라는 과제를 제시하고 있다. 가트너는 바로 이 문제를 해결하고자 하는 업체들을 조사한 후, 4곳의 업체를 기대주로 지목했다. 가트너는 이 목록이 관련 업체를 모두 포괄하는 것은 아니지만, 이들 흥미롭고 새롭고 혁신적인 업체와 제품과 서비스에 주목할 필요가 있다고 강조했다. editor@itworld.co.kr

2015.05.15

ZTE, 그랜드 S3 스마트폰에 망막 인증 추가··· '눈으로 로그인'

ZTE가 신형 그랜드 S3 스마트폰에 새로운 바이오 인증 기술을 추가했다. 망막 인식 기술이다. 애플이 아이폰에 지문인식 기술을 적용한 이후 바이오 인증 기술이 대중화 물살을 타는 양상이다. ZTE는 지문 인식 대신, 인간의 망막을 스캔함으로써 신원을 확인하는 기능을 추가했다. 아이베이파이(EyeVerify)와의 협업을 통해 개발된 이번 기술은 인간 망막의 정맥 패턴을 확인함으로써 신원을 인증하는 구조다. 특히 정밀성을 높이기 위해 사진이 아닌 짧은 동영상을 촬영하는 것이 이색적이다. 인증 시에는 화면에 백색이 표시돼 일종의 보조 조명으로 기능하게 된다. 현재 그랜드 S3의 전면 카메라를 이용하는 이 아이프린트 ID 기능은 로그인 과정만 제어할 수 있다. 그러나 회사 측은 향후 앱과의 연동성도 확대할 예정이라고 밝혔다. 회사에 따르면 아이프린트 ID는 테스트 결과 흠 잡을 데 없이 동작했다. 적절한 환경일 경우 인증에 소요된 시간은 1초 정도에 불과했다. 회사 측은 PIN 코드를 입력하는 것만큼 빠르지는 않지만, 뱅킹 등 금융 앱과 같이 민감한 정보에 접근하는 과정에는 아이프린트 ID를 이용할 가치가 충분하다고 강조했다. ZTE의 그랜드 S3 스마트폰은 5.5인치 풀HD 화면, 안드로이드 4.4, 스냅드래곤 801 쿼드코어 프로세서, 3GB 램, 16GB 내장 스토리지, 마이크로SD 슬롯, 1,600만 화소 카메라(전면은 800만 화소) 등의 사양을 지녔다. 미화 480달러의 가격에 중국 시장에만 출시되고 있지만 연내 글로벌 시장에도 공급될 예정이다. ciokr@idg.co.kr 

인증 ZTE 레티나 바이오

2015.03.02

ZTE가 신형 그랜드 S3 스마트폰에 새로운 바이오 인증 기술을 추가했다. 망막 인식 기술이다. 애플이 아이폰에 지문인식 기술을 적용한 이후 바이오 인증 기술이 대중화 물살을 타는 양상이다. ZTE는 지문 인식 대신, 인간의 망막을 스캔함으로써 신원을 확인하는 기능을 추가했다. 아이베이파이(EyeVerify)와의 협업을 통해 개발된 이번 기술은 인간 망막의 정맥 패턴을 확인함으로써 신원을 인증하는 구조다. 특히 정밀성을 높이기 위해 사진이 아닌 짧은 동영상을 촬영하는 것이 이색적이다. 인증 시에는 화면에 백색이 표시돼 일종의 보조 조명으로 기능하게 된다. 현재 그랜드 S3의 전면 카메라를 이용하는 이 아이프린트 ID 기능은 로그인 과정만 제어할 수 있다. 그러나 회사 측은 향후 앱과의 연동성도 확대할 예정이라고 밝혔다. 회사에 따르면 아이프린트 ID는 테스트 결과 흠 잡을 데 없이 동작했다. 적절한 환경일 경우 인증에 소요된 시간은 1초 정도에 불과했다. 회사 측은 PIN 코드를 입력하는 것만큼 빠르지는 않지만, 뱅킹 등 금융 앱과 같이 민감한 정보에 접근하는 과정에는 아이프린트 ID를 이용할 가치가 충분하다고 강조했다. ZTE의 그랜드 S3 스마트폰은 5.5인치 풀HD 화면, 안드로이드 4.4, 스냅드래곤 801 쿼드코어 프로세서, 3GB 램, 16GB 내장 스토리지, 마이크로SD 슬롯, 1,600만 화소 카메라(전면은 800만 화소) 등의 사양을 지녔다. 미화 480달러의 가격에 중국 시장에만 출시되고 있지만 연내 글로벌 시장에도 공급될 예정이다. ciokr@idg.co.kr 

2015.03.02

기업의 모바일 사기 손실액, 평균 9천만 달러

미국 기업 250개를 대상으로 조사한 결과 기업이 1년 동안 모바일 사기로 입은 피해 손실이 평균 9,230만 달러로 파악됐다. 조사에 응한 기업들의 평균 매출은 250억 달러였으며 이는 모바일 손실이 매출의 약 3% 이상을 차지한다는 의미다. 또 일부 기업들은 모바일 사기로 매출의 25%까지 손실을 입었다고 보고했다. 가장 큰 손실을 크게 입은 업종은 유통이었으며, 이어서 컴퓨터 소프트웨어 산업, 은행, 금융 서비스, 컴퓨터 서비스, 의료 등의 순으로 조사됐다. 이 조사는 ECM가 후원사 중 하나로 참여했으며, EMC의 보안 사업부 RSA에서 사기 위험 및 인텔리전스를 담당하는 시니어 매니저 앤젤 그란트는 “일반적으로 사기는 도난 신용카드로 물건을 사고, 온라인 뱅킹 계좌에서 돈을 훔치며, 여행 사이트에서 기프트 카드로 보너스 마일리지를 사용하고, 의료 웹사이트에서 가짜 처방전을 받는 등의 형태로 나타난다”라고 밝혔다. RSA는 자사 채널들을 통해 이미 모바일 사기가 증가하고 있음을 알았다고 그녀는 덧붙였다. 이 회사는 온라인 은행, 유통, 의료 기록 포털에 리스크 기반 인증 솔루션을 공급하고 있다. “시스템을 거처간 트랜잭션을 모니터링하면서 2014년에 웹에서 모바일로 트랜잭션이 기하급수로 증가하는 것을 발견했다”라고 그녀는 전했다. 하지만 스마트폰과 태블릿에서 상품 구매와 은행 업무 처리가 늘어나면서 범죄자들 역시 모바일로 옮겨갔다고 그녀는 설명했다. “지난해 적응 인증을 통해 처리된 트랜잭션의 32%는 모바일 채널에서 발생했고 사기로 판명된 트랜잭션의 40% 역시 모바일에서 나타났다”고 그녀는 밝혔다. 그란트는 많은 기업들이 모바일 기기에 관해 잘못된 보안 인식을 가지고 있다고 지적했다. “일반적으로 웹사이트에 맞는 보안 메커니즘은 있는데, 모바일에 맞는 보안 메커니즘은 없다”고 지적했다. 그러나 RSA...

스마트폰 RSA 손실 인증 조사 소프트웨어 금융 은행 유통 모바일 사기

2015.02.06

미국 기업 250개를 대상으로 조사한 결과 기업이 1년 동안 모바일 사기로 입은 피해 손실이 평균 9,230만 달러로 파악됐다. 조사에 응한 기업들의 평균 매출은 250억 달러였으며 이는 모바일 손실이 매출의 약 3% 이상을 차지한다는 의미다. 또 일부 기업들은 모바일 사기로 매출의 25%까지 손실을 입었다고 보고했다. 가장 큰 손실을 크게 입은 업종은 유통이었으며, 이어서 컴퓨터 소프트웨어 산업, 은행, 금융 서비스, 컴퓨터 서비스, 의료 등의 순으로 조사됐다. 이 조사는 ECM가 후원사 중 하나로 참여했으며, EMC의 보안 사업부 RSA에서 사기 위험 및 인텔리전스를 담당하는 시니어 매니저 앤젤 그란트는 “일반적으로 사기는 도난 신용카드로 물건을 사고, 온라인 뱅킹 계좌에서 돈을 훔치며, 여행 사이트에서 기프트 카드로 보너스 마일리지를 사용하고, 의료 웹사이트에서 가짜 처방전을 받는 등의 형태로 나타난다”라고 밝혔다. RSA는 자사 채널들을 통해 이미 모바일 사기가 증가하고 있음을 알았다고 그녀는 덧붙였다. 이 회사는 온라인 은행, 유통, 의료 기록 포털에 리스크 기반 인증 솔루션을 공급하고 있다. “시스템을 거처간 트랜잭션을 모니터링하면서 2014년에 웹에서 모바일로 트랜잭션이 기하급수로 증가하는 것을 발견했다”라고 그녀는 전했다. 하지만 스마트폰과 태블릿에서 상품 구매와 은행 업무 처리가 늘어나면서 범죄자들 역시 모바일로 옮겨갔다고 그녀는 설명했다. “지난해 적응 인증을 통해 처리된 트랜잭션의 32%는 모바일 채널에서 발생했고 사기로 판명된 트랜잭션의 40% 역시 모바일에서 나타났다”고 그녀는 밝혔다. 그란트는 많은 기업들이 모바일 기기에 관해 잘못된 보안 인식을 가지고 있다고 지적했다. “일반적으로 웹사이트에 맞는 보안 메커니즘은 있는데, 모바일에 맞는 보안 메커니즘은 없다”고 지적했다. 그러나 RSA...

2015.02.06

아이디·비번 방식 대안 '파이도'(FIDO) 규격 확정··· "쉽고 편한 인증 시대 열린다"

아이디, 비밀번호 방식보다 더 간단하면서도 안전한 인증 표준 '파이도'(FIDO-Fast Identity Oline) 최종 규격이 9일 마침내 등장했다. 모바일 기기 제조사들이 도입 대열에 서둘러 합류할 것으로 관측된다.  파이도는 아이디와 비밀번호를 입력하는 방식보다 더 강력한 보안성을 제공하면서도 활용하기에 쉬운 인증 서비스다. 파이도 규격을 규정하는 파이도 연합(FIDO Alliance) 대표 마이클 바렛은 이번 파이도 인증 규격이 최종 확정됨에 따라 활용 기업이 크게 증가할 것으로 기대했다. 기존에는 소수의 기업들만이 미확정 사양을 이용해 왔지만, 내년에는 모바일 기기 제조사 분야에서만 20~30여 곳이 자사의 제품에 파이도를 적용할 것으로 예상된다는 설명이다. 그는 이번 최종 규격이 확정됨에 따라 파이도에 관심 있는 누구나 제원 변경에 대한 우려 없이 이를 활용할 수 있는 근거를 마련할 수 있게 됐다고 강조했다. 그는 이어 파이도 인증 기술이 나아가 최종 사용자, 서비스 공급자, 기업에서도 널리 활용되도록 하는 것이 목표라고 덧붙였다. 150여 업체가 참여 중인 파이도 연합 소속사로는 구글, 페이팔, 뱅크오브아메리카, 웰즈파고, 마이크로소프트, 비자, 레노버, 알리바바 등이 있다. 바렛은 “파이도는 2가지 자체 보안인증 방법으로 보안성이 약했던 아이디와 비밀번호 입력 인증 방법을 대체해 해킹 위험성을 크게 줄인다"라고 설명했다. 이번에 발표된 최종 파이도 규격은 비(非) 비밀번호 인증 표준(UAF)과 이중인증 표준(U2F) 2 가지 인증 방식으로 구성된다.  UAF는 지문, 음성, 얼굴 인식 등 사용자 고유의 생체 정보 인식을 통해 인증하는 것이다. 기기를 통해 생체정보를 인식시키면 파이도 서버에 접속할 수 있고, 그 다음 기기에서 제공하거나 저장돼있는 보안 키를 입력하는 순으로 진행된다. U2F는 아이디 비밀번호 ...

보안 인증 생체인식 FIDO 파이도 온라인인증 이중보안

2014.12.10

아이디, 비밀번호 방식보다 더 간단하면서도 안전한 인증 표준 '파이도'(FIDO-Fast Identity Oline) 최종 규격이 9일 마침내 등장했다. 모바일 기기 제조사들이 도입 대열에 서둘러 합류할 것으로 관측된다.  파이도는 아이디와 비밀번호를 입력하는 방식보다 더 강력한 보안성을 제공하면서도 활용하기에 쉬운 인증 서비스다. 파이도 규격을 규정하는 파이도 연합(FIDO Alliance) 대표 마이클 바렛은 이번 파이도 인증 규격이 최종 확정됨에 따라 활용 기업이 크게 증가할 것으로 기대했다. 기존에는 소수의 기업들만이 미확정 사양을 이용해 왔지만, 내년에는 모바일 기기 제조사 분야에서만 20~30여 곳이 자사의 제품에 파이도를 적용할 것으로 예상된다는 설명이다. 그는 이번 최종 규격이 확정됨에 따라 파이도에 관심 있는 누구나 제원 변경에 대한 우려 없이 이를 활용할 수 있는 근거를 마련할 수 있게 됐다고 강조했다. 그는 이어 파이도 인증 기술이 나아가 최종 사용자, 서비스 공급자, 기업에서도 널리 활용되도록 하는 것이 목표라고 덧붙였다. 150여 업체가 참여 중인 파이도 연합 소속사로는 구글, 페이팔, 뱅크오브아메리카, 웰즈파고, 마이크로소프트, 비자, 레노버, 알리바바 등이 있다. 바렛은 “파이도는 2가지 자체 보안인증 방법으로 보안성이 약했던 아이디와 비밀번호 입력 인증 방법을 대체해 해킹 위험성을 크게 줄인다"라고 설명했다. 이번에 발표된 최종 파이도 규격은 비(非) 비밀번호 인증 표준(UAF)과 이중인증 표준(U2F) 2 가지 인증 방식으로 구성된다.  UAF는 지문, 음성, 얼굴 인식 등 사용자 고유의 생체 정보 인식을 통해 인증하는 것이다. 기기를 통해 생체정보를 인식시키면 파이도 서버에 접속할 수 있고, 그 다음 기기에서 제공하거나 저장돼있는 보안 키를 입력하는 순으로 진행된다. U2F는 아이디 비밀번호 ...

2014.12.10

2014년의 암울한 보안 현황

초대형 보안 재해를 피할 수 있을까? 오늘날 만연한 허술한 보안 정책과 그로 인한 사고를 계속 방치하는 한 피할 수 없을 것이다. 9/11 테러가 발생하기 얼마 전, 쉽게 무력화될 수 있는 공항 보안을 더 강화하고자 하는 시도가 있었다. 그러나 보안 대책을 더 확대할 필요가 없고 비용도 감당할 수 없을 만큼 증가하게 된다는 반대 의견에 부딪쳐 결국 이 시도는 좌절되고 말았다. 지금 상황이 그때와 비슷하다. 2014년 현재 컴퓨터 보안은 암울한 수준이다. 연이어 보안 사건이 터지지만 제안된 해결책은 부족하거나 그렇지 않으면 지나친 비용 상승과 불편함을 유발한다. 기업 조직은 그러한 해결책을 받아들이지 않는다. 파국적인 사건이 발생한 후 뒤늦게 대책 마련을 위한 행동에 나서는 것보다 지금 당장 더욱 안전한 인터넷을 구축해야 한다고 생각하지만 실제 그렇게 되리라고 기대는 하지 않는다. 30년 가까이 사이버 범죄와 싸워왔는데 매년 상황은 더 나빠지고 있다. 지금 우리의 현실이 얼마나 심각한지 한번 살펴보기로 하자. 마음껏 날뛰는 사이버 범죄 온라인 신원 및 금융 정보 도난은 이제 일상적인 일이다. 프라이버시 권리 정보센터(Privacy Rights Clearinghouse) 웹 사이트에 따르면 2013년에만 2억 5,800만 건의 기록이 유출됐다. 웬만한 기업에는 APT(지능적 지속 위협) 팀이 운영되지만 그 상황에서도 그렇다. 랜섬웨어(ransomware)는 하드 드라이브에서 가치 있는 개인 데이터를 잠근 다음 풀어주는 대가로 돈을 갈취한다 (비트코인 또는 기타 추적하기 어려운 전자 화폐 사용). 패치나 정확한 백업과 같은 기본적인 사항을 모두 수행하는 기업은 거의 없다. 솔직한 보안 담당자들은 자신이 속한 조직의 컴퓨터 보안이 종이로 만든 집처럼 불안정하다는 사실을 인정한다. 실패를 인정하고 몇 주 동안 사용자의 네트워크 접속을 아예 차단한 채로 문제를 수정하는 기업도 있지만 그런 경우는 극소수다. 더 많은 기업들이 그렇게 해야 ...

맬웨어 사이버범죄 인증

2014.12.05

초대형 보안 재해를 피할 수 있을까? 오늘날 만연한 허술한 보안 정책과 그로 인한 사고를 계속 방치하는 한 피할 수 없을 것이다. 9/11 테러가 발생하기 얼마 전, 쉽게 무력화될 수 있는 공항 보안을 더 강화하고자 하는 시도가 있었다. 그러나 보안 대책을 더 확대할 필요가 없고 비용도 감당할 수 없을 만큼 증가하게 된다는 반대 의견에 부딪쳐 결국 이 시도는 좌절되고 말았다. 지금 상황이 그때와 비슷하다. 2014년 현재 컴퓨터 보안은 암울한 수준이다. 연이어 보안 사건이 터지지만 제안된 해결책은 부족하거나 그렇지 않으면 지나친 비용 상승과 불편함을 유발한다. 기업 조직은 그러한 해결책을 받아들이지 않는다. 파국적인 사건이 발생한 후 뒤늦게 대책 마련을 위한 행동에 나서는 것보다 지금 당장 더욱 안전한 인터넷을 구축해야 한다고 생각하지만 실제 그렇게 되리라고 기대는 하지 않는다. 30년 가까이 사이버 범죄와 싸워왔는데 매년 상황은 더 나빠지고 있다. 지금 우리의 현실이 얼마나 심각한지 한번 살펴보기로 하자. 마음껏 날뛰는 사이버 범죄 온라인 신원 및 금융 정보 도난은 이제 일상적인 일이다. 프라이버시 권리 정보센터(Privacy Rights Clearinghouse) 웹 사이트에 따르면 2013년에만 2억 5,800만 건의 기록이 유출됐다. 웬만한 기업에는 APT(지능적 지속 위협) 팀이 운영되지만 그 상황에서도 그렇다. 랜섬웨어(ransomware)는 하드 드라이브에서 가치 있는 개인 데이터를 잠근 다음 풀어주는 대가로 돈을 갈취한다 (비트코인 또는 기타 추적하기 어려운 전자 화폐 사용). 패치나 정확한 백업과 같은 기본적인 사항을 모두 수행하는 기업은 거의 없다. 솔직한 보안 담당자들은 자신이 속한 조직의 컴퓨터 보안이 종이로 만든 집처럼 불안정하다는 사실을 인정한다. 실패를 인정하고 몇 주 동안 사용자의 네트워크 접속을 아예 차단한 채로 문제를 수정하는 기업도 있지만 그런 경우는 극소수다. 더 많은 기업들이 그렇게 해야 ...

2014.12.05

이것만큼은 이행해야 하는 'SMAC 보안 접근 방법' 개발하기

기업들이 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼을 활용하고 싶다면 관련 기술의 위험과 보안을 고려해야 한다. 세계적인 기업에서부터 중소 기업의 보안 책임자까지 소셜 미디어, 모바일 기술, 빅 데이터(Big Data)와 분석, 클라우드 컴퓨팅(Cloud Computing)을 신경쓰지 않아도 되는 사람은 거의 없다. 현재, 점차 많은 기업이 이 모든 기술을 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼의 일환으로 활용하려고 계획하고 있으며, 여기에 이런 다양한 영역을 지원하는 새로운 기초 인프라 구축이 포함될 수 있다. 이런 현상이 보안에 있어 의미하는 바는 무엇이며 SMAC 전략 구축에 있어서 CSO와 CISO들은 어떤 자세를 취해야 할까? 이런 노력에 있어서 보안이 최우선이 되지 않는다면 큰 위험이 될 수 있기 때문에 아주 중요한 문제라 할 수 있다. 국방 및 항공 시스템 제공업체 레이시언(Raytheon Co.)의 사이버 보안 및 특수임무 담당 CTO 마이클 달리는 "데이터 분석 요소가 위험을 높인다"며, "분석이 가능한 이런 플랫폼으로 융합되는 많은 정보가 있고 플랫폼을 제대로 파악하지 못한다면 위험은 분명 증가하게 된다"고 말했다. 여기 SMAC 플랫폼의 정보 보안에 주는 영향을 다룰 때 고려해야 할 몇 가지 사항을 알아보도록 하자. SMAC의 모든 요소를 고려하는 포괄적인 보안 전략을 구축하라 높은 수준에서 SMAC의 구성요소 보안을 개별적으로 관리하려고 시도하는 것은 올바르지 않다. IDC의 보안 제품 및 서비스 담당 프로그램 부사장 크리스 크리스찬슨은 "SMAC은 개별적인 기술이 한데 묶인 것이 아니라 다른 것들과 상당 부분이 중복되는 기술들의 집합체"라고 말했다. 크리스찬슨은 "보안, 위험 평가, 정책, 통제를 강화해야 하며 포괄적인 방식으로 SMAC의 모든 요소에 적용해야 ...

보안 인증 analytics CDs Cloud Mobile SMAC social 접근 제어

2014.07.22

기업들이 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼을 활용하고 싶다면 관련 기술의 위험과 보안을 고려해야 한다. 세계적인 기업에서부터 중소 기업의 보안 책임자까지 소셜 미디어, 모바일 기술, 빅 데이터(Big Data)와 분석, 클라우드 컴퓨팅(Cloud Computing)을 신경쓰지 않아도 되는 사람은 거의 없다. 현재, 점차 많은 기업이 이 모든 기술을 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼의 일환으로 활용하려고 계획하고 있으며, 여기에 이런 다양한 영역을 지원하는 새로운 기초 인프라 구축이 포함될 수 있다. 이런 현상이 보안에 있어 의미하는 바는 무엇이며 SMAC 전략 구축에 있어서 CSO와 CISO들은 어떤 자세를 취해야 할까? 이런 노력에 있어서 보안이 최우선이 되지 않는다면 큰 위험이 될 수 있기 때문에 아주 중요한 문제라 할 수 있다. 국방 및 항공 시스템 제공업체 레이시언(Raytheon Co.)의 사이버 보안 및 특수임무 담당 CTO 마이클 달리는 "데이터 분석 요소가 위험을 높인다"며, "분석이 가능한 이런 플랫폼으로 융합되는 많은 정보가 있고 플랫폼을 제대로 파악하지 못한다면 위험은 분명 증가하게 된다"고 말했다. 여기 SMAC 플랫폼의 정보 보안에 주는 영향을 다룰 때 고려해야 할 몇 가지 사항을 알아보도록 하자. SMAC의 모든 요소를 고려하는 포괄적인 보안 전략을 구축하라 높은 수준에서 SMAC의 구성요소 보안을 개별적으로 관리하려고 시도하는 것은 올바르지 않다. IDC의 보안 제품 및 서비스 담당 프로그램 부사장 크리스 크리스찬슨은 "SMAC은 개별적인 기술이 한데 묶인 것이 아니라 다른 것들과 상당 부분이 중복되는 기술들의 집합체"라고 말했다. 크리스찬슨은 "보안, 위험 평가, 정책, 통제를 강화해야 하며 포괄적인 방식으로 SMAC의 모든 요소에 적용해야 ...

2014.07.22

모바일 개발자가 고객의 신뢰를 얻으려면?

오늘날 많은 모바일과 웹 애플리케이션은 개인 정보를 수집하고 있다. 이는 다운로드하기 전에 많은 사용자들을 머뭇거리게 만든다. 때문에 사용자를 안심시키고 개발들이 정보 수집에서 대한 합법적인 이유를 설명하기 위한, 신뢰할 수 있는 애플리케이션 권한 인증 절차를 소개한다. 당신이 수백 시간을 투자하고 수천 달러의 비용을 들여 개발한 모바일 앱을 어딘가에서 누군가가 설치하려 하고 있다. 하지만 그가 갑자기 마음을 바꿔 개발자인 당신은 잠재적인 사용자 한 명을 잃게 되었다. 이런 일은 개발자들에게 비일비재하게 일어난다. 그리고 신뢰가 중요한 경우가 종종 있다. 많은 앱들이 다양한 종류의 개인적인 데이터에 대한 접근을 요구한다. 사용자들은 때때로 신뢰할 수 없는 앱에 이런 권한을 부여하는데 주저하게 된다. 정말로 앱이 ‘자신을 대신’해서 소셜 네트워크에 글을 올리기를 원하는 사람이 있을까? 마이퍼미션즈(MyPermissions)의 CEO 올리비에 아마르는 "일부 앱들은 통화기록이나 사진에 대한 접근 권한을 요구하는데, 이에 대해 사용자는 어리둥절하게 된다"고 말했다. 마이퍼미션즈는 개발자들을 위한 무료 승인 인증 프로세스를 정립했다. "때로는 개발자들이 정말로 이런 권한을 필요로 하기도 하지만 그 이유를 설명할 방법이 없다"는 데 이 회사가 인증 프로세스를 만든 이유다. 개발자는 마이퍼미션즈 인증 위해 반드시 '명확한 지침' 준수해야 한다 마이퍼미션즈 인증 프로그램은 모바일뿐 아니라 트위터나 인스타그램 같은 온라인 서비스에 접속하거나 사용자가 스스로 페이스북 커넥트(Facebook Connect) 등의 서비스를 사용할 수 있도록 인증할 수 있는 웹 사이트와 기타 애플리케이션도 다루고 있다. 이것이 중요한 이유는 iOS 상위 100개 앱 중 80%, 그리고 안드로이드 상위 100개 앱 중 약 2/3의 사용자들이 페이스북 커넥트를 이용해 그들이 제공하는 게임이나 서비...

CIO 개발자 인증 신뢰 모바일 개발자 마이퍼미션

2014.02.07

오늘날 많은 모바일과 웹 애플리케이션은 개인 정보를 수집하고 있다. 이는 다운로드하기 전에 많은 사용자들을 머뭇거리게 만든다. 때문에 사용자를 안심시키고 개발들이 정보 수집에서 대한 합법적인 이유를 설명하기 위한, 신뢰할 수 있는 애플리케이션 권한 인증 절차를 소개한다. 당신이 수백 시간을 투자하고 수천 달러의 비용을 들여 개발한 모바일 앱을 어딘가에서 누군가가 설치하려 하고 있다. 하지만 그가 갑자기 마음을 바꿔 개발자인 당신은 잠재적인 사용자 한 명을 잃게 되었다. 이런 일은 개발자들에게 비일비재하게 일어난다. 그리고 신뢰가 중요한 경우가 종종 있다. 많은 앱들이 다양한 종류의 개인적인 데이터에 대한 접근을 요구한다. 사용자들은 때때로 신뢰할 수 없는 앱에 이런 권한을 부여하는데 주저하게 된다. 정말로 앱이 ‘자신을 대신’해서 소셜 네트워크에 글을 올리기를 원하는 사람이 있을까? 마이퍼미션즈(MyPermissions)의 CEO 올리비에 아마르는 "일부 앱들은 통화기록이나 사진에 대한 접근 권한을 요구하는데, 이에 대해 사용자는 어리둥절하게 된다"고 말했다. 마이퍼미션즈는 개발자들을 위한 무료 승인 인증 프로세스를 정립했다. "때로는 개발자들이 정말로 이런 권한을 필요로 하기도 하지만 그 이유를 설명할 방법이 없다"는 데 이 회사가 인증 프로세스를 만든 이유다. 개발자는 마이퍼미션즈 인증 위해 반드시 '명확한 지침' 준수해야 한다 마이퍼미션즈 인증 프로그램은 모바일뿐 아니라 트위터나 인스타그램 같은 온라인 서비스에 접속하거나 사용자가 스스로 페이스북 커넥트(Facebook Connect) 등의 서비스를 사용할 수 있도록 인증할 수 있는 웹 사이트와 기타 애플리케이션도 다루고 있다. 이것이 중요한 이유는 iOS 상위 100개 앱 중 80%, 그리고 안드로이드 상위 100개 앱 중 약 2/3의 사용자들이 페이스북 커넥트를 이용해 그들이 제공하는 게임이나 서비...

2014.02.07

"가짜 안티바이러스 프로그램, 10여 개 이상의 인증서 악용하기도" 마이크로소프트

시중에 횡행하는 한 가짜 안티바이러스 프로그램이 적어도 십수 종의 도난된 디지털 코드-사인 인증을 이용하고 있으며, 이는 사이버 범죄자들이 소프트웨어 개발자 네트워크에 침투하고 있음을 시사한다고 마이크로소프트가 밝혔다. 회사에 따르면 '안티바이러스 시큐리티 프로'라는 이름의 가짜 프로그램은 지난 2009년 처음 발견된 이후 수차례 이름을 바꿔온 것이다. 마이크로소프트 측은 'Win32/Winwebsec'라는 이름으로 분류해왔다고 설명했다. 여러 인증 기관들이 발행하는 디지털 인증은 오늘날 개발자들이 소프트웨어 프로그램을 '사인'하는 용도로 널리 이용하고 있다. '사인'이란 해당 프로그램이 개발자가 작성한 이후 변형되지 않았음을 실증할 수 있도록 암호화 확인하는 것을 의미한다. 만약 해커가 인증 자격을 획득해 증명서를 이용할 수 있게 되면, 그들은 자신의 프로그램에 이를 적용해 마치 적법하고 정상적인 프로그램처럼 꾸밀 수 있다. 마이크로소프트에 따르면 안티바이러스 시큐리티 프로의 경우 전세계 여러 인증기관이 배포한 증명서를 이용하고 있었다. 구체적으로는 네덜란드, 미국, 러시아, 독일, 캐나다, 독일의 개발자를 대상으로 베리사인, 코모드, 다우트(Thawte), 디지서트(DigiCert) 등이 발간한 것이었다. 도난 당한 인증서를 이용하는 것이 새로운 기법인 것은 아니다. 그러나 이를 위해서는 해커들이 기업이나 인증 기관에 침투해야 하기 때문에 쉽게 할 수 있는 것은 아니다. 마이크로소프트는 이 프로그램이 악용한 인증서 중 하나는 불과 3일 전에 발간된 것이었던 점을 지목하며 "맬웨어 배포자들이 지속적으로 새로운 인증을 훔치고 있다는 점을 시사한다"라고 밝혔다. 이 문제를 예방하기 위해서는 소프트웨어 개발자들이 스마트 카드, USB 토큰, 하드웨어 보안 모듈과 같은 하드웨어 저장 기기를 활용해 사설 키를 보호하는데 주의를 기울여야 한다. 마이크로...

마이크로소프트 소프트웨어 인증 사인

2013.12.16

시중에 횡행하는 한 가짜 안티바이러스 프로그램이 적어도 십수 종의 도난된 디지털 코드-사인 인증을 이용하고 있으며, 이는 사이버 범죄자들이 소프트웨어 개발자 네트워크에 침투하고 있음을 시사한다고 마이크로소프트가 밝혔다. 회사에 따르면 '안티바이러스 시큐리티 프로'라는 이름의 가짜 프로그램은 지난 2009년 처음 발견된 이후 수차례 이름을 바꿔온 것이다. 마이크로소프트 측은 'Win32/Winwebsec'라는 이름으로 분류해왔다고 설명했다. 여러 인증 기관들이 발행하는 디지털 인증은 오늘날 개발자들이 소프트웨어 프로그램을 '사인'하는 용도로 널리 이용하고 있다. '사인'이란 해당 프로그램이 개발자가 작성한 이후 변형되지 않았음을 실증할 수 있도록 암호화 확인하는 것을 의미한다. 만약 해커가 인증 자격을 획득해 증명서를 이용할 수 있게 되면, 그들은 자신의 프로그램에 이를 적용해 마치 적법하고 정상적인 프로그램처럼 꾸밀 수 있다. 마이크로소프트에 따르면 안티바이러스 시큐리티 프로의 경우 전세계 여러 인증기관이 배포한 증명서를 이용하고 있었다. 구체적으로는 네덜란드, 미국, 러시아, 독일, 캐나다, 독일의 개발자를 대상으로 베리사인, 코모드, 다우트(Thawte), 디지서트(DigiCert) 등이 발간한 것이었다. 도난 당한 인증서를 이용하는 것이 새로운 기법인 것은 아니다. 그러나 이를 위해서는 해커들이 기업이나 인증 기관에 침투해야 하기 때문에 쉽게 할 수 있는 것은 아니다. 마이크로소프트는 이 프로그램이 악용한 인증서 중 하나는 불과 3일 전에 발간된 것이었던 점을 지목하며 "맬웨어 배포자들이 지속적으로 새로운 인증을 훔치고 있다는 점을 시사한다"라고 밝혔다. 이 문제를 예방하기 위해서는 소프트웨어 개발자들이 스마트 카드, USB 토큰, 하드웨어 보안 모듈과 같은 하드웨어 저장 기기를 활용해 사설 키를 보호하는데 주의를 기울여야 한다. 마이크로...

2013.12.16

'불편하고 위험한 패스워드' 유력한 대안은 스마트폰

업무와 일상에 필수적 존재로 등극한 스마트폰이 비밀번호(passwords)의 유력한 대안으로 부상하고 있다. 웹 사이트 보안에 있어 패스워드 이상의 무언가가 필요하다는데 전문가들은 대체로 동의하고 있다. 추정하기 쉬운 비밀번호를 이용하는 이들이 지나치게 많기 때문이다. 또 암호 해독 기술의 발전도 패스워드의 위험성을 높이고 있다. 이러한 가운데 대다수 사람들이 보유한 스마트폰에 주목하는 이들이 많다. 개인 정보를 담기에 최적의 공간이며, 다양한 센서를 내장했기 때문에 사용자를 인식하는데도 사용될 수 있다. 따라서 스마트폰을 이용해 신원을 확인하는 사례가 증가하고 있다. 가트너 애널리스트 트렌드 헨리는 스마트폰 기반 인증에 대해 "탁월한 대안이라고 본다. 미래의 인증 유형으로 자리잡을 것으로 보고 있다"라고 말했다. 이미 다수의 벤더들이 이를 기회로 포착하고 있다. 오씨(Authy), 클레프 앤 듀오 시큐리티(Clef and Duo Security) 등의 전문 기업이 있으며 대형 보안 기업들도 이 분야에 진출하고 있다. 지난 달에는 EMC 소유의 RSA가 패스밴(PassBan)을 인수했다. 패스밴은 음성 및 안면 인식 기술을 이용해 스마트폰으로 멀티팩터 인증을 하도록 구현하는 기업이었다. 오늘날 많은 기업들은 휴대폰을 2 요인(two-factor) 인증용으로 이용하고 있다. 웹 사이트 회원 가입 등의 경우 휴대폰으로 인증 번호를 전송하고 이를 입력하도록 함으로써 본인임을 확인하는 것이다. 하지만 이를 거추장스러워하는 소비자가 많으며 이로 인해 좀더 쉽고 끊김없는 방안을 탐색하려는 노력이 이어지고 있다. 지난 주 오씨가 소개한 앱도 이같은 맥락이다. 이 회사의 앱은 아이폰 또는 안드로이드폰이 블루투스를 통해 애플 컴퓨터와 연결시킨다. 이 애플 컴퓨터로 페이스북이나 드롭박스, 구글 지메일 및 여타 지원되는 웹 사이트에 접속하면 스마트폰에 내장된 인증정보를 확인해 자동으로 해당 사이트에 접속되도록 하는 것이 골...

스마트폰 인증 비밀번호 패스워드 바이오메트릭

2013.08.07

업무와 일상에 필수적 존재로 등극한 스마트폰이 비밀번호(passwords)의 유력한 대안으로 부상하고 있다. 웹 사이트 보안에 있어 패스워드 이상의 무언가가 필요하다는데 전문가들은 대체로 동의하고 있다. 추정하기 쉬운 비밀번호를 이용하는 이들이 지나치게 많기 때문이다. 또 암호 해독 기술의 발전도 패스워드의 위험성을 높이고 있다. 이러한 가운데 대다수 사람들이 보유한 스마트폰에 주목하는 이들이 많다. 개인 정보를 담기에 최적의 공간이며, 다양한 센서를 내장했기 때문에 사용자를 인식하는데도 사용될 수 있다. 따라서 스마트폰을 이용해 신원을 확인하는 사례가 증가하고 있다. 가트너 애널리스트 트렌드 헨리는 스마트폰 기반 인증에 대해 "탁월한 대안이라고 본다. 미래의 인증 유형으로 자리잡을 것으로 보고 있다"라고 말했다. 이미 다수의 벤더들이 이를 기회로 포착하고 있다. 오씨(Authy), 클레프 앤 듀오 시큐리티(Clef and Duo Security) 등의 전문 기업이 있으며 대형 보안 기업들도 이 분야에 진출하고 있다. 지난 달에는 EMC 소유의 RSA가 패스밴(PassBan)을 인수했다. 패스밴은 음성 및 안면 인식 기술을 이용해 스마트폰으로 멀티팩터 인증을 하도록 구현하는 기업이었다. 오늘날 많은 기업들은 휴대폰을 2 요인(two-factor) 인증용으로 이용하고 있다. 웹 사이트 회원 가입 등의 경우 휴대폰으로 인증 번호를 전송하고 이를 입력하도록 함으로써 본인임을 확인하는 것이다. 하지만 이를 거추장스러워하는 소비자가 많으며 이로 인해 좀더 쉽고 끊김없는 방안을 탐색하려는 노력이 이어지고 있다. 지난 주 오씨가 소개한 앱도 이같은 맥락이다. 이 회사의 앱은 아이폰 또는 안드로이드폰이 블루투스를 통해 애플 컴퓨터와 연결시킨다. 이 애플 컴퓨터로 페이스북이나 드롭박스, 구글 지메일 및 여타 지원되는 웹 사이트에 접속하면 스마트폰에 내장된 인증정보를 확인해 자동으로 해당 사이트에 접속되도록 하는 것이 골...

2013.08.07

쿠팡, ISO27001 정보보안 인증 획득

쿠팡(www.coupang.com)이 ‘ISO27001’ 정보보안 인증을 획득했다고 밝혔다. 쿠팡 관계자는 “지난해 12월 정부의 대표적인 정보보안 인증제도인 ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계)를 동시에 인증 받은 데 이어, 이번 ISO27001 정보보안 인증까지 획득함에 따라 정보보안 체계에 대한 신뢰성을 더욱 높이게 됐다”고 말했다. ISO27001는 국제표준화기구(ISO: International Organization for Standardization)에서 제정한 정보보호 관리체계에 대한 국제 표준으로, 인증 심사는 노르웨이에 본사를 둔 세계 3대 인증 기관인 ‘DNV(Det Norske Veritas) 인증원’에서 진행했다. 심사는 쿠팡 사이트의 기술적 보안 및 콜센터, IDC(인터넷데이터센터) 등 물리적인 부문, 개인정보보호 등 포괄적인 범위로 진행됐다. 세부사항은 ▲대내외 정보보호 기준 준수 ▲임직원 교육 및 인식 개선 ▲개인정보 라이프사이클 관리 ▲기술적 관리 보호조치 등 정보보안 관련 11개 영역과 133개 항목으로 구성됐다고 쿠팡은 밝혔다. 쿠팡 김범석 대표는 “이번 국제표준 인증 획득은 쿠팡이 정보보호관리체계를 갖추고 있다는 점을 대외적으로 다시 한번 인정받았다는 것에 의의가 있다”며 “앞으로도 투자를 확대하고 정보보호 체계를 강화하는 등 고객들에게 더욱 신뢰받는 서비스를 제공하고자 노력하겠다”고 말했다. ciokr@idg.co.kr

인증 쿠팡 ISO27001

2013.05.20

쿠팡(www.coupang.com)이 ‘ISO27001’ 정보보안 인증을 획득했다고 밝혔다. 쿠팡 관계자는 “지난해 12월 정부의 대표적인 정보보안 인증제도인 ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계)를 동시에 인증 받은 데 이어, 이번 ISO27001 정보보안 인증까지 획득함에 따라 정보보안 체계에 대한 신뢰성을 더욱 높이게 됐다”고 말했다. ISO27001는 국제표준화기구(ISO: International Organization for Standardization)에서 제정한 정보보호 관리체계에 대한 국제 표준으로, 인증 심사는 노르웨이에 본사를 둔 세계 3대 인증 기관인 ‘DNV(Det Norske Veritas) 인증원’에서 진행했다. 심사는 쿠팡 사이트의 기술적 보안 및 콜센터, IDC(인터넷데이터센터) 등 물리적인 부문, 개인정보보호 등 포괄적인 범위로 진행됐다. 세부사항은 ▲대내외 정보보호 기준 준수 ▲임직원 교육 및 인식 개선 ▲개인정보 라이프사이클 관리 ▲기술적 관리 보호조치 등 정보보안 관련 11개 영역과 133개 항목으로 구성됐다고 쿠팡은 밝혔다. 쿠팡 김범석 대표는 “이번 국제표준 인증 획득은 쿠팡이 정보보호관리체계를 갖추고 있다는 점을 대외적으로 다시 한번 인정받았다는 것에 의의가 있다”며 “앞으로도 투자를 확대하고 정보보호 체계를 강화하는 등 고객들에게 더욱 신뢰받는 서비스를 제공하고자 노력하겠다”고 말했다. ciokr@idg.co.kr

2013.05.20

"아이디·비번 방식에의 염증 ↑" 인증체계 대안은?

고객이나 직원의 신원을 확인하기 위해서는 인증 체계(authentication Scheme)가 필요하다. 그러나 전통적인 아이디 비밀번호 방식에 대한 염증을 토로하는 소비자가 늘고 있다고 포네몬 인스티튜트가 최신 설문조사 연구를 통해 밝혔다. 이 기관에 따르면 약 50%에 달하는 소비자들이 인증 실패로 인해 구매나 업무를 처리할 수 없었던 경험 있다고 응답했다. 사용자명, 비밀번호, 본인 확인 질문을 잃어버려서인 경우가 많았다. 또 상당수는 비밀번호에만 의존하는 비밀번호 체계나 인증 체계를 신뢰하지 않고 있었다. 포네몬 인스터튜트(Ponemon Institute)의 설립자이자 회장 래리 포네몬 박사는 "소비자들 사이에 사용자명과 비밀번호로 구성된 전통적인 인증 체계에 대한 불만이 높아지고 있다. 좋은 소식은 한층 포괄적인 신원 확인 시스템과 신 기술 개발이 계속되고 있다는 것이다"라고 말했다. 포네몬은 "46%에 달하는 소비자들이 사용자명과 비밀번호만 사용하는 웹사이트나 시스템을 신뢰하지 않는다고 밝히고 있었다. 보안이 너무 취약하다고 생각하는 것이다"라고 덧붙였다. 그러나 신뢰도와 실제 사용에는 차이가 있다. 소비자들은 사용자명과 비밀번호만 사용하는 서비스를 신뢰하고 있지 않지만 상당수는 이를 계속 사용할 전망이다. 포네몬은 "탄탄하고 편리한 인증 체계 확보는 보안은 물론 사업에도 도움이 된다"라고 강조했다. 포네몬 인스터튜트는 독일과 영국, 미국의 18세에서 65세까지의 소비자 1,924명을 대상으로 설문을 조사했다. 신생 회사인 녹녹 랩스(Nok Nok Labs)가 후원을 했다. 이 회사는 FIDO 협회(Fast Identity Online Alliance)를 설립한 회사 가운데 하나다. FIDO 협회는 신구 인증 방법 및 하드웨어 모두를 활용한 표준 기반의 오픈 프로토콜로 비밀번호 기술을 대체하려 하고 있다. 과거 PGP(PGP Corp...

인증 비밀번호 체계 인식 생체 아이디

2013.04.22

고객이나 직원의 신원을 확인하기 위해서는 인증 체계(authentication Scheme)가 필요하다. 그러나 전통적인 아이디 비밀번호 방식에 대한 염증을 토로하는 소비자가 늘고 있다고 포네몬 인스티튜트가 최신 설문조사 연구를 통해 밝혔다. 이 기관에 따르면 약 50%에 달하는 소비자들이 인증 실패로 인해 구매나 업무를 처리할 수 없었던 경험 있다고 응답했다. 사용자명, 비밀번호, 본인 확인 질문을 잃어버려서인 경우가 많았다. 또 상당수는 비밀번호에만 의존하는 비밀번호 체계나 인증 체계를 신뢰하지 않고 있었다. 포네몬 인스터튜트(Ponemon Institute)의 설립자이자 회장 래리 포네몬 박사는 "소비자들 사이에 사용자명과 비밀번호로 구성된 전통적인 인증 체계에 대한 불만이 높아지고 있다. 좋은 소식은 한층 포괄적인 신원 확인 시스템과 신 기술 개발이 계속되고 있다는 것이다"라고 말했다. 포네몬은 "46%에 달하는 소비자들이 사용자명과 비밀번호만 사용하는 웹사이트나 시스템을 신뢰하지 않는다고 밝히고 있었다. 보안이 너무 취약하다고 생각하는 것이다"라고 덧붙였다. 그러나 신뢰도와 실제 사용에는 차이가 있다. 소비자들은 사용자명과 비밀번호만 사용하는 서비스를 신뢰하고 있지 않지만 상당수는 이를 계속 사용할 전망이다. 포네몬은 "탄탄하고 편리한 인증 체계 확보는 보안은 물론 사업에도 도움이 된다"라고 강조했다. 포네몬 인스터튜트는 독일과 영국, 미국의 18세에서 65세까지의 소비자 1,924명을 대상으로 설문을 조사했다. 신생 회사인 녹녹 랩스(Nok Nok Labs)가 후원을 했다. 이 회사는 FIDO 협회(Fast Identity Online Alliance)를 설립한 회사 가운데 하나다. FIDO 협회는 신구 인증 방법 및 하드웨어 모두를 활용한 표준 기반의 오픈 프로토콜로 비밀번호 기술을 대체하려 하고 있다. 과거 PGP(PGP Corp...

2013.04.22

클라우드와 BYOD, 자동화 IAM 시스템 보급 ‘견인’

전통적인 보안 개념이 붕괴되고 있다. 클라우드 서비스의 확산과 BYOD 현상에 따른 것이다. 기업들은 애플리케이션 접근에 대한 제어 필요성을 느끼고 있으며 이로 인해 자동화된 신원 및 접근 관리 도구가 부상하고 있다. 클라우드 서비스의 확산은 업무 현장 내 개인 기기 활용(BYOD, Bring Your Own Device) 이라는 최신의 트렌드와 맞물려 기업들에게 직원들의 신원과 접속 권한을 새로운 방식으로 관리해야 하는 과제를 안겨주고 있다. 이제 기업은 그들의 민감한 정보들은 어떻게 지켜낼 지 고민하고 있다. 올 겨울 진행된 CSA 서밋(CSA Summit)기간 시만텍과 클라우드 시큐리티 얼라이언스가 발표한 한 설문 결과에 따르면, 90% 가량의 기업들이 클라우드 애플리케이션에의 접속 권한을 관리하는 작업을 클라우드를 도입하는 과정에서 고려되는 가장 중요한 고민 중 하나로 꼽았다. 이는 또한 매우 복잡하며 많은 비용을 소모하게 되는 작업이기도 하다. 예를 들어, 한 기업이 고객 관계 관리(CRM, Customer Relationship Management)에 세일즈포스(Salesforce)를 활용하는데, 직원들에게 그들의 개인 모바일 기기를 통한 세일즈포스 접속을 지원했다고 생각해보자. 이 경우 만일 한 직원이 기업을 떠나게 된다면, IT는 기존의 방식대로 그의 네트워크 접속을 차단하는 것 뿐 아니라, 그 직원이 중요한 고객 정보에 계속적으로 접근할 수 없도록 하기 위해 그의 세일즈포스 접속 권한 까지도 차단해야 할 것이다.  그러나 많은 기업들에서 이와 같은 작업은 여전히 많은 시간을 소모하며 수동으로 진행되고 있다. 모든 유형의 기기들에서 접속이 가능하다는 클라우드의 매력은 점점 더 많은 자원과 데이터들을 끌어오게 되었고, 이로 인해 데이터의 주변과 종점을 보호한다는 전통적 보안의 개념은 해체되기 시작했다. 이제 주변이란 더 이상 명확한 하나의 선이 아닌, 애매모호한 개념이 된 것이...

관리 인증 IAM 신원

2012.05.15

전통적인 보안 개념이 붕괴되고 있다. 클라우드 서비스의 확산과 BYOD 현상에 따른 것이다. 기업들은 애플리케이션 접근에 대한 제어 필요성을 느끼고 있으며 이로 인해 자동화된 신원 및 접근 관리 도구가 부상하고 있다. 클라우드 서비스의 확산은 업무 현장 내 개인 기기 활용(BYOD, Bring Your Own Device) 이라는 최신의 트렌드와 맞물려 기업들에게 직원들의 신원과 접속 권한을 새로운 방식으로 관리해야 하는 과제를 안겨주고 있다. 이제 기업은 그들의 민감한 정보들은 어떻게 지켜낼 지 고민하고 있다. 올 겨울 진행된 CSA 서밋(CSA Summit)기간 시만텍과 클라우드 시큐리티 얼라이언스가 발표한 한 설문 결과에 따르면, 90% 가량의 기업들이 클라우드 애플리케이션에의 접속 권한을 관리하는 작업을 클라우드를 도입하는 과정에서 고려되는 가장 중요한 고민 중 하나로 꼽았다. 이는 또한 매우 복잡하며 많은 비용을 소모하게 되는 작업이기도 하다. 예를 들어, 한 기업이 고객 관계 관리(CRM, Customer Relationship Management)에 세일즈포스(Salesforce)를 활용하는데, 직원들에게 그들의 개인 모바일 기기를 통한 세일즈포스 접속을 지원했다고 생각해보자. 이 경우 만일 한 직원이 기업을 떠나게 된다면, IT는 기존의 방식대로 그의 네트워크 접속을 차단하는 것 뿐 아니라, 그 직원이 중요한 고객 정보에 계속적으로 접근할 수 없도록 하기 위해 그의 세일즈포스 접속 권한 까지도 차단해야 할 것이다.  그러나 많은 기업들에서 이와 같은 작업은 여전히 많은 시간을 소모하며 수동으로 진행되고 있다. 모든 유형의 기기들에서 접속이 가능하다는 클라우드의 매력은 점점 더 많은 자원과 데이터들을 끌어오게 되었고, 이로 인해 데이터의 주변과 종점을 보호한다는 전통적 보안의 개념은 해체되기 시작했다. 이제 주변이란 더 이상 명확한 하나의 선이 아닌, 애매모호한 개념이 된 것이...

2012.05.15

진화하는 클라우드 인증 관리, CIO 이슈로 급부상

가장 최근의 툴들은 클라우드 앱을 기업 보안 정책에 맞게 통합하기도... 호스팅 방식의 상품도 출현 미국 최대의 대학 학자금 대출 기금인 샐리 매이(Sallie Mae)는 회사의 핵심 애플리케이션들을 클라우드로 이전하면서 컴플라이언스와 관련된 문제를 예의 주시하고 있는 중이다. 샐리 매이는 세일포인트(SailPoint)의 식별(Identity) 관리 소프트웨어를 사용하고 있다. 6,100명의 직원들이 데이터나 애플리케이션이 클라우드에 위치해 있든, 아니면 데이터 센터에 보관되어 있든 적절한 수준에서 이에 접근해 이용할 수 있도록 하기 위한 용도다. 샐리 메이의 제리 아처 CSO는 "우리가 활용하고 있는 모든 클라우드 기반 서비스로의 접근은 완벽하게 관리되고 있다”라며, "세일포인트는 롤과 액세스, 다른 워크플로를 계속 추적하는 역할을 한다."고 설명했다. 샐리 메이 외에도 쿠나 무추얼 그룹(CUNA Mutual Group)과 미국 적십자(American Red Cross)와 같은 더 많은 조직들이 클라우드 기반 애플리케이션 도입에 따른 보안을 강화하기 위해 식별/접근 관리(IAM: Identity and Access Management) 툴을 업그레이드하고 있는 추세이다. -> 클라우드 앱 통제불능을 나타내는 '5가지 신호' CA 테크놀러지스(CA Technologies)의 보안 사업 부문 보안 관리 담당 부사장인 리나 리버티에 따르면, 최근 몇 년간 CIO들 사이에서는 클라우드에서의 식별 관리가 뜨거운 쟁점으로 떠오르고 있다.   리버티는 "모든 고객들이 식별 관리 툴을 찾고 있다. 아주 큰 거래도 있었다. 기업들은 관리가 편하면서도 비용이 많이 들지 않는 툴을 구축했다고 만족해한다"고 전했다.   이들 기업들은 세일포인트, IBM, CA, 핑 아이덴티티(Ping Identity), 아벡사(Aveks...

클라우드 인증 IAM 식별 샐리 메이

2012.03.23

가장 최근의 툴들은 클라우드 앱을 기업 보안 정책에 맞게 통합하기도... 호스팅 방식의 상품도 출현 미국 최대의 대학 학자금 대출 기금인 샐리 매이(Sallie Mae)는 회사의 핵심 애플리케이션들을 클라우드로 이전하면서 컴플라이언스와 관련된 문제를 예의 주시하고 있는 중이다. 샐리 매이는 세일포인트(SailPoint)의 식별(Identity) 관리 소프트웨어를 사용하고 있다. 6,100명의 직원들이 데이터나 애플리케이션이 클라우드에 위치해 있든, 아니면 데이터 센터에 보관되어 있든 적절한 수준에서 이에 접근해 이용할 수 있도록 하기 위한 용도다. 샐리 메이의 제리 아처 CSO는 "우리가 활용하고 있는 모든 클라우드 기반 서비스로의 접근은 완벽하게 관리되고 있다”라며, "세일포인트는 롤과 액세스, 다른 워크플로를 계속 추적하는 역할을 한다."고 설명했다. 샐리 메이 외에도 쿠나 무추얼 그룹(CUNA Mutual Group)과 미국 적십자(American Red Cross)와 같은 더 많은 조직들이 클라우드 기반 애플리케이션 도입에 따른 보안을 강화하기 위해 식별/접근 관리(IAM: Identity and Access Management) 툴을 업그레이드하고 있는 추세이다. -> 클라우드 앱 통제불능을 나타내는 '5가지 신호' CA 테크놀러지스(CA Technologies)의 보안 사업 부문 보안 관리 담당 부사장인 리나 리버티에 따르면, 최근 몇 년간 CIO들 사이에서는 클라우드에서의 식별 관리가 뜨거운 쟁점으로 떠오르고 있다.   리버티는 "모든 고객들이 식별 관리 툴을 찾고 있다. 아주 큰 거래도 있었다. 기업들은 관리가 편하면서도 비용이 많이 들지 않는 툴을 구축했다고 만족해한다"고 전했다.   이들 기업들은 세일포인트, IBM, CA, 핑 아이덴티티(Ping Identity), 아벡사(Aveks...

2012.03.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5