Offcanvas

������

애플·구글·MS, '암호 없는 로그인'에 협력한다··· 2023년부터 지원 예정

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

FIDO 암호 패스워드 구글 애플 마이크로소프트 로그인

2022.05.09

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

2022.05.09

암호화의 성배··· ‘동형암호’란? 사용 사례는?

가트너에 따르면 ‘동형 암호(Homomorphic Encryption)’는 기업들이 경쟁 우위를 확보하기 위해 탐색해야 하는 신기술 중 하나다. 여기서는 이 혁신적인 기술과 이것이 수많은 데이터 기반 사용 사례에 걸쳐 비즈니스 사용자에게 미칠 영향을 살펴본다.  데이터는 디지털 경제의 핵심이다. 기업들은 자체 데이터를 활용하기 위한 광범위하고 효율적인 방법 그리고 외부 데이터에 액세스하고 (이를) 활용하는 방법을 찾고 있다. 이와 동시에, 갈수록 강화되는 이질적인 규제 환경은 프라이버시와 보안을 우선시하도록 요구하면서 이러한 움직임에 복잡성을 가중하고 있다.    광범위한 액세스 요구와 엄격한 규제 요건을 모두 충족해야 하는 필요성에 따라 많은 기업이 기술 기반 솔루션으로 이런 문제를 동시에 해결할 방법을 모색하고 있다. 이는 기업들이 데이터를 활용하는 방법과 위치를 혁신할 수 있는 잠재력을 가진 PET(Privacy Enhancing Technologies) 범주의 핵심 ‘동형 암호’로 이어진다.  ‘동형 암호’란? 가장 기본적인 정의에 의하면 ‘동형 암호(HE)’는 암호화된 또는 암호화된 결과(암호문) 도메인에서 연산을 수행해 데이터가 사용되거나 처리되는 동안 데이터를 보호한다. 이는 데이터가 네트워크를 통해 이동하거나 파일 시스템에 저장돼 있을 때 데이터를 보호하는 일반적인 암호화 유형과는 다르다.  데이터의 3가지 상태(보관, 전송, 사용) 간의 차이점을 삼각형의 세 꼭짓점으로 생각하면 이해하기 쉬울 것이다. 모두 중요하지만 ‘사용 중’인 데이터는 가장 간과되는 부분이다. 그 이유는 이것이 해결하기 어려운 문제이기도 하지만 최근까지도 확장 가능하고 실용적인 상용 솔루션이 없었기 때문이기도 하다. 사용 중인 데이터 보호의 개념을 이해할 수 있도록 암호화를 민감한 데이터를 보호하는 금고라고 생각해보자. 기존 방식에서는 데이터를 사용하거나 처리해야 할 때마다(예: 검색 수행, 분석 적용, 머신러닝 모델 ...

동형 암호 동형 암호화 암호학 보안 암호 데이터 보안 데이터 프라이버시 프라이버시 PET

2022.01.11

가트너에 따르면 ‘동형 암호(Homomorphic Encryption)’는 기업들이 경쟁 우위를 확보하기 위해 탐색해야 하는 신기술 중 하나다. 여기서는 이 혁신적인 기술과 이것이 수많은 데이터 기반 사용 사례에 걸쳐 비즈니스 사용자에게 미칠 영향을 살펴본다.  데이터는 디지털 경제의 핵심이다. 기업들은 자체 데이터를 활용하기 위한 광범위하고 효율적인 방법 그리고 외부 데이터에 액세스하고 (이를) 활용하는 방법을 찾고 있다. 이와 동시에, 갈수록 강화되는 이질적인 규제 환경은 프라이버시와 보안을 우선시하도록 요구하면서 이러한 움직임에 복잡성을 가중하고 있다.    광범위한 액세스 요구와 엄격한 규제 요건을 모두 충족해야 하는 필요성에 따라 많은 기업이 기술 기반 솔루션으로 이런 문제를 동시에 해결할 방법을 모색하고 있다. 이는 기업들이 데이터를 활용하는 방법과 위치를 혁신할 수 있는 잠재력을 가진 PET(Privacy Enhancing Technologies) 범주의 핵심 ‘동형 암호’로 이어진다.  ‘동형 암호’란? 가장 기본적인 정의에 의하면 ‘동형 암호(HE)’는 암호화된 또는 암호화된 결과(암호문) 도메인에서 연산을 수행해 데이터가 사용되거나 처리되는 동안 데이터를 보호한다. 이는 데이터가 네트워크를 통해 이동하거나 파일 시스템에 저장돼 있을 때 데이터를 보호하는 일반적인 암호화 유형과는 다르다.  데이터의 3가지 상태(보관, 전송, 사용) 간의 차이점을 삼각형의 세 꼭짓점으로 생각하면 이해하기 쉬울 것이다. 모두 중요하지만 ‘사용 중’인 데이터는 가장 간과되는 부분이다. 그 이유는 이것이 해결하기 어려운 문제이기도 하지만 최근까지도 확장 가능하고 실용적인 상용 솔루션이 없었기 때문이기도 하다. 사용 중인 데이터 보호의 개념을 이해할 수 있도록 암호화를 민감한 데이터를 보호하는 금고라고 생각해보자. 기존 방식에서는 데이터를 사용하거나 처리해야 할 때마다(예: 검색 수행, 분석 적용, 머신러닝 모델 ...

2022.01.11

비대칭 키부터 블록체인까지··· 알수록 쓸모 있는 '암호화' 상식

디지털 서명부터 전송 계층 보안, 블록체인, 비트코인까지 현대 인터넷 보안 인프라의 이면에 있는 암호화 기술을 살펴본다.  암호화 기술이 점점 더 중요해지고 있다. 모두가 앱에 로그인하거나 이메일을 보낼 때마다 1970년대의 획기적 발전을 바탕으로 한 독창적인 암호화 인프라를 사용하고 있다.   특히, 암호화폐 및 암호화폐 투자의 시대에 전문 소프트웨어 개발자와 코더를 넘어 일반 대중도 암호화 기술의 작동 방식을 이해하면 혜택을 볼 수 있다. 알고 있든 그렇지 않든 모두 일상생활에서 암호화 기술을 쓰기 때문이다.    암호화란?  암호화는 통신을 보호하는 행위다. 이는 원치 않는 자가 데이터를 보거나 변경하지 못하게 하는 프로토콜을 구현하는 여러 기법을 통해 달성된다. 암호화 기술 분야는 다음의 4가지 측면으로 설명할 수 있다.  1. 기밀성(Confidentiality): 데이터가 의도하지 않은 자에게 노출되지 않는다. 2. 무결성(Integrity): 네트워크를 통해 송수신되는 데이터가 임의로 조작되거나 삭제되지 않는다. 3. 인증(Authentication): 당사자가 서로의 신원을 확실하게 검증할 수 있다. 4. 부인방지(Non-repudiation): 데이터를 보낸 사람이 보낸 사실을 부인하거나, 받은 사람이 받은 사실을 부인할 수 없다. 대칭 암호(Symmetric ciphers)  컴퓨터가 등장하기 이전의 암호화는 암호 문자(cipher)를 사용했다. 암호 문자는 읽을 수 있는 텍스트에서 알 수 없는 텍스트로, 그리고 다시 그 반대로 매핑하는 것을 의미한다.  간단한 예를 들면 텍스트의 모든 문자에 4를 더하는 것이다(그러면 A는 E가 된다). 디코딩은 각 문자에서 4를 빼면 된다. 이러한 과정을 암호화(encryption)와 복호화(decryption)라고 부른다.  물론 알파벳에서 4자리를 이동하는 것은 너무 쉽기 때문에 안전하지 않다. 해석용 키를 ...

암호화 보안 암호 비밀번호 디지털 서명 전송 계층 보안 블록체인 비트코인

2021.11.22

디지털 서명부터 전송 계층 보안, 블록체인, 비트코인까지 현대 인터넷 보안 인프라의 이면에 있는 암호화 기술을 살펴본다.  암호화 기술이 점점 더 중요해지고 있다. 모두가 앱에 로그인하거나 이메일을 보낼 때마다 1970년대의 획기적 발전을 바탕으로 한 독창적인 암호화 인프라를 사용하고 있다.   특히, 암호화폐 및 암호화폐 투자의 시대에 전문 소프트웨어 개발자와 코더를 넘어 일반 대중도 암호화 기술의 작동 방식을 이해하면 혜택을 볼 수 있다. 알고 있든 그렇지 않든 모두 일상생활에서 암호화 기술을 쓰기 때문이다.    암호화란?  암호화는 통신을 보호하는 행위다. 이는 원치 않는 자가 데이터를 보거나 변경하지 못하게 하는 프로토콜을 구현하는 여러 기법을 통해 달성된다. 암호화 기술 분야는 다음의 4가지 측면으로 설명할 수 있다.  1. 기밀성(Confidentiality): 데이터가 의도하지 않은 자에게 노출되지 않는다. 2. 무결성(Integrity): 네트워크를 통해 송수신되는 데이터가 임의로 조작되거나 삭제되지 않는다. 3. 인증(Authentication): 당사자가 서로의 신원을 확실하게 검증할 수 있다. 4. 부인방지(Non-repudiation): 데이터를 보낸 사람이 보낸 사실을 부인하거나, 받은 사람이 받은 사실을 부인할 수 없다. 대칭 암호(Symmetric ciphers)  컴퓨터가 등장하기 이전의 암호화는 암호 문자(cipher)를 사용했다. 암호 문자는 읽을 수 있는 텍스트에서 알 수 없는 텍스트로, 그리고 다시 그 반대로 매핑하는 것을 의미한다.  간단한 예를 들면 텍스트의 모든 문자에 4를 더하는 것이다(그러면 A는 E가 된다). 디코딩은 각 문자에서 4를 빼면 된다. 이러한 과정을 암호화(encryption)와 복호화(decryption)라고 부른다.  물론 알파벳에서 4자리를 이동하는 것은 너무 쉽기 때문에 안전하지 않다. 해석용 키를 ...

2021.11.22

강은성의 보안 아키텍트ㅣ비밀번호를 없애자!

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

강은성 강은성의 보안 아키텍트 보안 비밀번호 암호 안티 바이러스 사용자 인증 생체인증

2021.09.17

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

2021.09.17

블로그ㅣ아이클라우드 키체인으로 암호를 감사하는 방법

美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다.    애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다.  안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다.  애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다.  • 약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다.  • 비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다.  아이클라우드 키체인 사용 방법  iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud ...

비밀번호 암호 보안 데이터 유출 데이터 침해 아이클라우드 키체인 암호 관리

2021.08.17

美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다.    애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다.  안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다.  애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다.  • 약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다.  • 비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다.  아이클라우드 키체인 사용 방법  iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud ...

2021.08.17

블로그ㅣ데이터뿐만 아니라 생산성까지 백업하라

백업이 중요하다는 건 누구나 다 알고 있다. 하지만 이를 단순히 데이터 파일을 백업하는 프로세스로만 생각하는 경우가 많다. 백업은 애플리케이션, 비밀번호, 컴퓨터에만 필요한 게 아니다. 업무 수행을 위협하는 문제에 직면하게 될 상황을 대비하여 백업에 포함돼야 하는 것을 재고해야 할 때다.  2대 이상의 컴퓨터를 가지고 있더라도 거의 사용하지 않는 비밀번호를 알려주고, 클라우드 백업 액세스를 제공하며, 특정 프로젝트용 VPN에 연결하거나, 네트워크 문제를 확인하고 또는 원격 시스템에 로그인할 수 있는 컴퓨터는 그중에서 한 대뿐일 수 있다.    문제가 발생했을 때  시스템은 여러 이유로 사용할 수 없게 될 수 있다. 이를테면 전원 공급 장치가 고장 나거나 과전압이 발생할 수 있다. 회로 기판이 고장 나거나 멀웨어가 시스템을 다운시킬 수도 있다. 이 밖에 다른 많은 문제도 가능하다.  필자의 경우 최근 주로 사용하는 컴퓨터의 전원 스위치가 말썽을 일으켰다. 머지않아 완전히 고장 날지도 모른다는 걱정이 커졌다. 그도 그럴 것이 처음에는 전원 버튼을 두 번 이상 눌러야 했고, 그러다가 버튼의 한쪽 면을 더 세게 눌러야 한다는 걸 알게 됐다. 이렇게 계속 버튼을 세게 누르다가 시스템이 다시는 부팅되지 않을까 봐 우려되기 시작했다.  이 문제를 통해 필자는 ▲어떻게 네트워크를 관리해야 할지 그리고 ▲중요한 작업을 위해 백업해야 하는 게 무엇인지 곰곰이 생각하게 됐다.  어찌 보면 이는 사소한 문제였다. 필자는 개인 네트워크에 여러 리눅스 시스템이 있고, 구형 맥북과 윈도우 10 컴퓨터도 있다. 하지만 전원 버튼이 고장 난 시스템에 주로 사용하는 서비스 및 도구 등이 있었다. 다른 시스템은 이를 제공할 준비가 되어 있지 않았다. 첫 번째는 10년 이상 사용한 암호 데이터베이스였다. 둘째는 간편한 VPN 연결이었다. 세 번째는 최근부터 사용하기 시작한 웹 페이지 구축 도구와 템플릿이었다. 네 번째는 ...

백업 데이터 애플리케이션 비밀번호 암호 VPN

2021.07.12

백업이 중요하다는 건 누구나 다 알고 있다. 하지만 이를 단순히 데이터 파일을 백업하는 프로세스로만 생각하는 경우가 많다. 백업은 애플리케이션, 비밀번호, 컴퓨터에만 필요한 게 아니다. 업무 수행을 위협하는 문제에 직면하게 될 상황을 대비하여 백업에 포함돼야 하는 것을 재고해야 할 때다.  2대 이상의 컴퓨터를 가지고 있더라도 거의 사용하지 않는 비밀번호를 알려주고, 클라우드 백업 액세스를 제공하며, 특정 프로젝트용 VPN에 연결하거나, 네트워크 문제를 확인하고 또는 원격 시스템에 로그인할 수 있는 컴퓨터는 그중에서 한 대뿐일 수 있다.    문제가 발생했을 때  시스템은 여러 이유로 사용할 수 없게 될 수 있다. 이를테면 전원 공급 장치가 고장 나거나 과전압이 발생할 수 있다. 회로 기판이 고장 나거나 멀웨어가 시스템을 다운시킬 수도 있다. 이 밖에 다른 많은 문제도 가능하다.  필자의 경우 최근 주로 사용하는 컴퓨터의 전원 스위치가 말썽을 일으켰다. 머지않아 완전히 고장 날지도 모른다는 걱정이 커졌다. 그도 그럴 것이 처음에는 전원 버튼을 두 번 이상 눌러야 했고, 그러다가 버튼의 한쪽 면을 더 세게 눌러야 한다는 걸 알게 됐다. 이렇게 계속 버튼을 세게 누르다가 시스템이 다시는 부팅되지 않을까 봐 우려되기 시작했다.  이 문제를 통해 필자는 ▲어떻게 네트워크를 관리해야 할지 그리고 ▲중요한 작업을 위해 백업해야 하는 게 무엇인지 곰곰이 생각하게 됐다.  어찌 보면 이는 사소한 문제였다. 필자는 개인 네트워크에 여러 리눅스 시스템이 있고, 구형 맥북과 윈도우 10 컴퓨터도 있다. 하지만 전원 버튼이 고장 난 시스템에 주로 사용하는 서비스 및 도구 등이 있었다. 다른 시스템은 이를 제공할 준비가 되어 있지 않았다. 첫 번째는 10년 이상 사용한 암호 데이터베이스였다. 둘째는 간편한 VPN 연결이었다. 세 번째는 최근부터 사용하기 시작한 웹 페이지 구축 도구와 템플릿이었다. 네 번째는 ...

2021.07.12

공격자의 윈도우 네트워크 접근을 ‘쉽지 않게’ 하는 방법 4가지

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

공격자 보안 랜섬웨어 네트워크 윈도우 네트워크 이중인증 VPN 자격증명 액티브 디렉토리 파워셸 애저 클라우드 로그인 비밀번호 암호

2021.06.24

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

iOS14·아이패드OS 14·맥OS에서 에어드롭으로 암호를 공유하는 방법

에어드롭(AirDrop)을 이용하면 다양한 형식의 데이터를 주변에 있는 사람과 공유할 수 있다. 그런데 암호까지 공유할 수 있다는 것을 아는 이들은 상대적으로 많지 않다.   에어드롭은 짧은 거리에서 기기 간 암호화를 적용해 정보를 공유하므로, 다른 이에게 암호를 보내는 안전한 방법이다. 아이클라우드 키체인을 사용하지 않는 상황에서 사용자의 다른 기기에 암호를 전송하는 것도 가능하다. 방법은 다음과 같다.   iOS 14, 아이패드OS 14에서 설정 > 암호(더 이전 iOS 버전에는 설정 내에 있다)으, 맥OS에서는 사파리를 열어 Safari > 환경설정 > 암호로 이동한다. 페이스아이디나 터치아이디 또는 암호를 입력해 잠금 상태를 해제한다. iOS/아이패드OS에서는 패스워드 항목을 선택하고 맥OS에서는 항목을 선택한 후 '세부 사항'을 클릭한다. 공유 아이콘을 클릭하면 에어드롭 공유 리스트가 나타난다. 암호를 공유할 사람을  선택한다. 이제 암호를 받는 사람이 운영체제에 따라 적당한 곳에 해당 암호가 입력된다. iOS 또는 아이패드OS에서 설정 > 암호, 맥OS에서는 사파리 설정의 암호 탭이다. 암호를 공유받은 사람은 이를 저장하기 전에 입력항목을 수정하거나 이름을 바꿀 수 있다.   한가지 주의해야 할 점은 에어드롭은 주소록에 있는 이들로부터 오는 메시지를 허용한 이들만 리스트에 나타난다는 사실이다. 따라서 리스트에 공유하려는 이의 기기가 나타나지 않으면 에어드롭 설정을 바꾸거나 연락처에 공유해주는 사람의 아이클라우드 주소를 추가해야 한다. editor@itworld.co.kr

에어드롭 암호

2020.10.27

에어드롭(AirDrop)을 이용하면 다양한 형식의 데이터를 주변에 있는 사람과 공유할 수 있다. 그런데 암호까지 공유할 수 있다는 것을 아는 이들은 상대적으로 많지 않다.   에어드롭은 짧은 거리에서 기기 간 암호화를 적용해 정보를 공유하므로, 다른 이에게 암호를 보내는 안전한 방법이다. 아이클라우드 키체인을 사용하지 않는 상황에서 사용자의 다른 기기에 암호를 전송하는 것도 가능하다. 방법은 다음과 같다.   iOS 14, 아이패드OS 14에서 설정 > 암호(더 이전 iOS 버전에는 설정 내에 있다)으, 맥OS에서는 사파리를 열어 Safari > 환경설정 > 암호로 이동한다. 페이스아이디나 터치아이디 또는 암호를 입력해 잠금 상태를 해제한다. iOS/아이패드OS에서는 패스워드 항목을 선택하고 맥OS에서는 항목을 선택한 후 '세부 사항'을 클릭한다. 공유 아이콘을 클릭하면 에어드롭 공유 리스트가 나타난다. 암호를 공유할 사람을  선택한다. 이제 암호를 받는 사람이 운영체제에 따라 적당한 곳에 해당 암호가 입력된다. iOS 또는 아이패드OS에서 설정 > 암호, 맥OS에서는 사파리 설정의 암호 탭이다. 암호를 공유받은 사람은 이를 저장하기 전에 입력항목을 수정하거나 이름을 바꿀 수 있다.   한가지 주의해야 할 점은 에어드롭은 주소록에 있는 이들로부터 오는 메시지를 허용한 이들만 리스트에 나타난다는 사실이다. 따라서 리스트에 공유하려는 이의 기기가 나타나지 않으면 에어드롭 설정을 바꾸거나 연락처에 공유해주는 사람의 아이클라우드 주소를 추가해야 한다. editor@itworld.co.kr

2020.10.27

온라인에서 익명성을 지키기 위한 8가지 방법

개인에게 익명성과 프라이버시는 자율성이나 정치적 자유에 관한 것일 수도 있다. 또는 디지털 세계에서 자신을 보호하는 일에 관한 것일 수 있다. 기업에게 직원 프라이버시는 소셜 엔지니어링 공격 위험 완화에 관한 것일 수도 있다. 공격자는 조직 내 주요 직원에 관해 더 많이 알수록 더 효과적으로 공격할 수 있다. 따라서 직원의 개인정보 보호 방법에 대한 교육은 보안 인식 프로그램의 핵심 부분이어야 한다. 개인의 프라이버시나 직원의 개인정보를 보호하기 위해 구체적인 단계를 수행하려면 에너지, 시간, 기술 노하우가 필요하다.   프라이버시 vs. 익명성 무작위로 대입하는 복호화보다는 암호화가 비교할 수 없을 만큼 쉽다. 암호화를 신뢰하는 이유도 바로 여기에 있다. 하지만 익명성을 유지하지는 데에는 상당한 노력이 요구되기 때문에 모두가 익명성을 신뢰하지는 않는 것 같다. 흔히 프라이버시와 익명성을 혼용해서 사용하는데, 이는 잘못된 것이다. 암호화된 메시지는 발신자와 수신자 외에는 읽을 수 없어 프라이버시를 보호할 수는 있다. 하지만 암호화가 메타데이터를 보호하는 것은 아니라서 익명성까지 보호하는 것은 아니다. 대화 상대, 시기, 시간, 메시지 수, 첨부파일 크기, 소통의 유형(문자 메시지? 이메일? 음성통화? 음성 메시지? 화상통화?) 등 모든 정보가 암호화되는 것은 아니며, 요즘 보편화된 대중 감시 기기를 가진 수준 높은 해커가 쉽게 발견할 수 있다. 구체적인 기술 도구를 살펴보기 전에 내린 최종 결론: ‘온라인’은 이제 무의미한 단어다. 실제 생활 공간과 사이버 공간이 융합돼 있기 때문이다. 과거에는 사람들이 ‘실제 세계’에 살면서 ‘온라인을 방문’했다. 이제는 온라인에서 살며, 자신의 실제 생활 공간이 익명이 아니라면(요즘에는 거의 불가능) 스마트폰 위치 추적, 공공 물리 영역에서의 얼굴 인식 등으로 인해 ‘온라인 익명성’은 도움이 되지 않는다. 절대적으로 완전한 (하지만 실제로는 그렇지 않은) 익명성을 확보하기 위한 단계에 대해 알...

구글 익명성 가상 비서 영지식 아마존 에코 구글 홈 시그널 토르 브라우저 프로톤메일 아마존 링 SpiderOak Zero Knowledge PGP 스파이더오크 스마트폰 소셜네트워크 CSO 프라이버시 개인정보 보호 드롭박스 CISO 암호 오피스 365 VPN 에드워드 스노든 복호

2020.02.13

개인에게 익명성과 프라이버시는 자율성이나 정치적 자유에 관한 것일 수도 있다. 또는 디지털 세계에서 자신을 보호하는 일에 관한 것일 수 있다. 기업에게 직원 프라이버시는 소셜 엔지니어링 공격 위험 완화에 관한 것일 수도 있다. 공격자는 조직 내 주요 직원에 관해 더 많이 알수록 더 효과적으로 공격할 수 있다. 따라서 직원의 개인정보 보호 방법에 대한 교육은 보안 인식 프로그램의 핵심 부분이어야 한다. 개인의 프라이버시나 직원의 개인정보를 보호하기 위해 구체적인 단계를 수행하려면 에너지, 시간, 기술 노하우가 필요하다.   프라이버시 vs. 익명성 무작위로 대입하는 복호화보다는 암호화가 비교할 수 없을 만큼 쉽다. 암호화를 신뢰하는 이유도 바로 여기에 있다. 하지만 익명성을 유지하지는 데에는 상당한 노력이 요구되기 때문에 모두가 익명성을 신뢰하지는 않는 것 같다. 흔히 프라이버시와 익명성을 혼용해서 사용하는데, 이는 잘못된 것이다. 암호화된 메시지는 발신자와 수신자 외에는 읽을 수 없어 프라이버시를 보호할 수는 있다. 하지만 암호화가 메타데이터를 보호하는 것은 아니라서 익명성까지 보호하는 것은 아니다. 대화 상대, 시기, 시간, 메시지 수, 첨부파일 크기, 소통의 유형(문자 메시지? 이메일? 음성통화? 음성 메시지? 화상통화?) 등 모든 정보가 암호화되는 것은 아니며, 요즘 보편화된 대중 감시 기기를 가진 수준 높은 해커가 쉽게 발견할 수 있다. 구체적인 기술 도구를 살펴보기 전에 내린 최종 결론: ‘온라인’은 이제 무의미한 단어다. 실제 생활 공간과 사이버 공간이 융합돼 있기 때문이다. 과거에는 사람들이 ‘실제 세계’에 살면서 ‘온라인을 방문’했다. 이제는 온라인에서 살며, 자신의 실제 생활 공간이 익명이 아니라면(요즘에는 거의 불가능) 스마트폰 위치 추적, 공공 물리 영역에서의 얼굴 인식 등으로 인해 ‘온라인 익명성’은 도움이 되지 않는다. 절대적으로 완전한 (하지만 실제로는 그렇지 않은) 익명성을 확보하기 위한 단계에 대해 알...

2020.02.13

'오픈뱅킹이 대세?' 2020년 금융 기술 전망

금융산업이 2008년 글로벌 금융 위기에서 벗어난 지 10년이다. 그러나 지금도 곳곳에서 금융 위기의 충격파를 여전히 느낄 수 있다. 영국의 경우 2018년 수립된 오픈뱅킹 규정이 내년에는 본격적으로 자리를 잡을 전망이다. 또 새로 구성된 과반수의 영국 보수당 정부는 계속되는 IT 실패에 대해 금융산업에 대한 압력을 높이기 시작할 것으로 예상된다.   맥킨지의 ‘2019년 글로벌 금융산업 연례 평가 보고서(McKinsey's Global Banking Annual Review 2019)’에 따르면 글로벌 금융산업은 이상적인 상태와는 거리가 먼 사이클의 끝으로 가까이 가고 있으며 약 60%의 은행은 투자 수익이 자본 비용에 못 미치는 상태다. 맥킨지는 저금리나 마이너스 금리로 장기 경기 침체는 더 큰 파괴를 초래할 수도 있다고 경고했다.  이 보고서는 “아마도 이번 사이클에서 금융기업들이 신속하게 비즈니스 모델을 혁신하고, 무기적인 성장을 할 마지막 정차 지점이 될 것이다. 발빠른 금융기업은 다음 사이클에서 리더로 부상할 것이다. 그렇지만 나머지 기업은 역사의 뒤안길로 사라질 위험이 있다”라고 분석했다. 위기와 기회가 공존하는 현재, 2020년 금융산업에 대해 전망해본다. 챌린저 은행이 장성할까? 맥킨지가 강조하고 있듯, 영국의 대형 은행(금융기업)들은 빠르게 변화하고 있는 소비자의 기대사항을 충족하기 위해 지속해서 혁신할 필요가 있다. 그래야 지금도 취약한 비즈니스 모델에 초래될 중대한 위험을 극복할 수 있다. 컨설팅 회사인 11:FS의 데이빗 브레어 그룹 CEO에 따르면, 2020년은 대형 은행에 대항하는 소규모 신생 은행들인 챌린저 은행이 주류로 진입해 ‘보통 은행’이 되는 한 해가 될 전망이다. 그는 <컴퓨터월드>에 “항상 발목을 붙잡았던 문제는 실적이 아주 놀라운 정도는 아니었다는 점이다. 그러나 지속적인 성장세, TV 광고를 통한 인식 제고, 상품과 서비스의 확대 등은 바클레이(Barclays), HSBC,...

구글 로이드 데이터 편향 몬조 Monzo Revolut Starling Tide 금융 위기 리볼루트 스탈링 챌린저 은행 오픈뱅킹 디지털 뱅킹 페이스북 애플 은행 금융 암호 바클레이 생체인식 HSBC 네이션와이드 우버 핀테크 타이드

2019.12.26

금융산업이 2008년 글로벌 금융 위기에서 벗어난 지 10년이다. 그러나 지금도 곳곳에서 금융 위기의 충격파를 여전히 느낄 수 있다. 영국의 경우 2018년 수립된 오픈뱅킹 규정이 내년에는 본격적으로 자리를 잡을 전망이다. 또 새로 구성된 과반수의 영국 보수당 정부는 계속되는 IT 실패에 대해 금융산업에 대한 압력을 높이기 시작할 것으로 예상된다.   맥킨지의 ‘2019년 글로벌 금융산업 연례 평가 보고서(McKinsey's Global Banking Annual Review 2019)’에 따르면 글로벌 금융산업은 이상적인 상태와는 거리가 먼 사이클의 끝으로 가까이 가고 있으며 약 60%의 은행은 투자 수익이 자본 비용에 못 미치는 상태다. 맥킨지는 저금리나 마이너스 금리로 장기 경기 침체는 더 큰 파괴를 초래할 수도 있다고 경고했다.  이 보고서는 “아마도 이번 사이클에서 금융기업들이 신속하게 비즈니스 모델을 혁신하고, 무기적인 성장을 할 마지막 정차 지점이 될 것이다. 발빠른 금융기업은 다음 사이클에서 리더로 부상할 것이다. 그렇지만 나머지 기업은 역사의 뒤안길로 사라질 위험이 있다”라고 분석했다. 위기와 기회가 공존하는 현재, 2020년 금융산업에 대해 전망해본다. 챌린저 은행이 장성할까? 맥킨지가 강조하고 있듯, 영국의 대형 은행(금융기업)들은 빠르게 변화하고 있는 소비자의 기대사항을 충족하기 위해 지속해서 혁신할 필요가 있다. 그래야 지금도 취약한 비즈니스 모델에 초래될 중대한 위험을 극복할 수 있다. 컨설팅 회사인 11:FS의 데이빗 브레어 그룹 CEO에 따르면, 2020년은 대형 은행에 대항하는 소규모 신생 은행들인 챌린저 은행이 주류로 진입해 ‘보통 은행’이 되는 한 해가 될 전망이다. 그는 <컴퓨터월드>에 “항상 발목을 붙잡았던 문제는 실적이 아주 놀라운 정도는 아니었다는 점이다. 그러나 지속적인 성장세, TV 광고를 통한 인식 제고, 상품과 서비스의 확대 등은 바클레이(Barclays), HSBC,...

2019.12.26

강은성의 보안 아키텍트 | CISO의 CPO 겸직 금지

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

개인정보 보호 전자금융거래법 전자금융 네트워크 방화벽 내부정보유출방지 침입탐지시스템 가상사설망 정보통신망법 웹방화벽 CPO VPN 카드사 암호 인증 CISO 금융 침입차단시스템

2019.10.10

지난 6월 13일부터 “자산총액이 5조 원 이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 정보통신서비스 제공자"의 정보보호최고책임자(CISO)는 정보통신망법에서 규정한 업무 이외의 다른 업무를 맡는 것을 금지(겸직 금지)하는 개정 정보통신망법(제45조의3 제3항)이 시행되었다.  정보통신망법에서 규정한 CISO의 업무는 다음과 같다(제45조의3 제4항).   1. 정보보호관리체계의 수립 및 관리ㆍ운영 2. 정보보호 취약점 분석ㆍ평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 특히 기업 현장에서는 CISO의 개인정보보호책임자(CPO) 겸직 금지가 이슈가 되고 있는데, 이에 관해 과학기술정보통신부는 배포한 「CISO 관련 정보통신망법령 Q&A」(이하 ’Q&A’)에서 이 조항의 취지가 법에서 규정한 “CISO 업무 이외의 다른 업무”를 금지하는 규정이고, CPO의 업무는 “이용자의 개인정보 보호, 개인정보 관련 이용자 고충 처리”(제27조 제1항)이어서, (아마도) 이것은 CISO의 업무에 포함되지 않기 때문에 CISO의 CPO 겸직이 금지된다고 설명하였다. 직책이 아니라 업무가 기준이라는 것이다. ‘임원급 CISO의 지정과 겸직 금지’ 칼럼에서 이 문제를 일부 짚었는데, 이제 ‘겸직 금지'가 시행되어서 이에 관해 몇 가지 더 살펴보고자 한다.  첫째, 법에 CISO가 도입된 주된 이유 중 하나가 개인정보 보호이기 때문에 CISO 업무에서 CPO 업무를 배제하는 것은 법의 취지에 어긋난다.  CISO를 맨 처음 규정한 법률은 전자금융법(2011.11.14 개정, 법률 제11087호)이다. 되돌아보면 2011년에는 DDoS 공격, N은행 전산망 해킹 사건, 개인정보 유...

2019.10.10

강은성의 보안 아키텍트 | 무결성과 접속기록 위·변조 방지

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

CIO 무결성 메시지 인증코드 개인정보 보호 법규 WORM MAC DVD-R CD-ROM 영상 변조 강은성 위조 암호 CISO 개인정보 보호 CSO 컴플라이언스 해쉬

2019.08.07

전통적으로 디지털 데이터의 전송과 저장에서 무결성을 검사하기 위해 패리티 비트나 체크섬을 사용했다. 보안에서는 더욱 강력한 방법으로 메시지 인증코드(MAC)나 암호학적 해쉬를 이용한다. 내가 읽으려고 하거나 받은 데이터가 위·변조되었는지 검증하는 방법이다. 모바일 앱의 위·변조 여부를 검사하는 것 역시 무결성의 영역이다.  일반적으로 정보보안에서 위·변조 방지는 접근 통제와 인증, 권한 관리를 통해 구현된다. 이러한 보호 대책은 계정정보의 도용, 권한 상승 등 보안 공격을 통해 무력화되기도 한다. 무결성 검증을 이용해 위·변조 여부를 탐지하고, 데이터의 재수신 또는 백업해 놓은 데이터의 복구 등을 통해 원본을 복원함으로써 결과적으로 위·변조 방지를 구현할 수도 있다. 개인정보 보호 법규에도 위·변조 방지에 관한 내용이 있다.  제5조(접속기록의 위·변조방지) ③ 정보통신서비스 제공자 등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. (‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시, 2015.5.19)) 이 조항의 취지는 해킹 등으로 개인정보 사고가 발생했을 때 이를 분석, 대응하기 위한 증거를 확보하는 것이다. 증거가 있어야 범인의 행위, 경로, 피해 규모 등의 분석과 범인 추적이 가능한데, 범인이 자신의 범죄 행위가 기록된 로그를 삭제하고 도망가는 경우가 많기 때문이다. 실세계로 치면 범죄자가 자신이 찍힌 CCTV 영상을 지운다는 얘기다. 해킹 사건 분석을 담당하는 보안전문가들의 주요 애로사항 중 하나이다.  「개인정보의 기술적·관리적 보호조치 기준 해설서」에서는 제5조 제3항의 구현을 위한 구체적인 방법으로 다음 몇 가지를 예로 들고 있다.  ● 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록이 위‧변조되지 않도록 다음과 같은 보호조치 등을 취하여야 한다.   (1) 정...

2019.08.07

"암호 관리·해킹 경고 추가"··· 파이어폭스의 확실한 차별화

모질라(Mozilla)가 록와이즈(Lockwise) 암호 관리 기능을 파이어폭스 70 버전에 추가한다. 저장된 암호가 데이터 해킹으로 노출될 위험이 있을 경우 경고를 보내주는 파이어폭스 모니터(Firefox Monitor)와도 통합된다. 파이어폭스 버그 리포트 등에 따르면, 록와이즈는 자동으로 사용자 이름과 암호를 한 쌍의 기록으로 자동 저장하고 복잡한 암호를 생성하거나 해킹된 계정을 확인하는 기능 등을 지원한다. 유출된 암호를 바꾸도록 알려주기도 한다.   현재는 파이어폭스 나이틀리(Nightly) 버전(가장 최신 개발 상태 버전이지만 안정성은 떨어진다)만 내장 록와이즈를 지원한다(최신 안정화 버전은 68이다). 나이틀리 버전을 사용하려면 브라우저 주소창에 about:logins이라고 입력해야 한다. 새로운 로그인을 생성하면 이전처럼 사용자 이름을 입력할 수 있지만 암호는 자동으로 생성한다. 마치 원패스워드(1Password) 같은 전용 서드파티 암호 관리자를 떠올리면 된다. 파이어폭스 내 패스워드 필드에서 마우스 오른쪽 클릭한 후 'Use a Securely Generated Password' 옵션을 선택하면 암호를 자동으로 생성한다. 이렇게 생성된 암호는 소문자와 대문자, 숫자가 무작위로 조합된 임의의 문장이다. 파이어폭스 70에 추가될 패스워드 관련 주요 개선사항 중 하나는 록와이즈와 파이어폭스 모니터의 결합이다. 후자는 지난해 11월에 추가된 브라우저 내장 알림 기능이다. 사용자가 최근 데이터 유출사고가 있었던 사이트에 접속하려 하면 경고창을 보여준다. 모질라와 'Have I Been Pwned' 사이트와 서비스의 파트너십을 위해 비주얼 UI가 추가됐다. 록와이즈(이전에는 록박스(Lockbox)로 불렸다)는 5월에 데스크톱용 파이어폭스의 애드온으로 등장했다. 안드로이드와 iOS에서는 이미 사용된 암호관리 프로그램이다. 두 소프트웨어의 조합은 매우 흥미로운 협업으로 다른 브라우저와 완전히 차별화되는 특징이다. 단 유료화 가능성은 염두...

해킹 파이어폭스 암호

2019.07.24

모질라(Mozilla)가 록와이즈(Lockwise) 암호 관리 기능을 파이어폭스 70 버전에 추가한다. 저장된 암호가 데이터 해킹으로 노출될 위험이 있을 경우 경고를 보내주는 파이어폭스 모니터(Firefox Monitor)와도 통합된다. 파이어폭스 버그 리포트 등에 따르면, 록와이즈는 자동으로 사용자 이름과 암호를 한 쌍의 기록으로 자동 저장하고 복잡한 암호를 생성하거나 해킹된 계정을 확인하는 기능 등을 지원한다. 유출된 암호를 바꾸도록 알려주기도 한다.   현재는 파이어폭스 나이틀리(Nightly) 버전(가장 최신 개발 상태 버전이지만 안정성은 떨어진다)만 내장 록와이즈를 지원한다(최신 안정화 버전은 68이다). 나이틀리 버전을 사용하려면 브라우저 주소창에 about:logins이라고 입력해야 한다. 새로운 로그인을 생성하면 이전처럼 사용자 이름을 입력할 수 있지만 암호는 자동으로 생성한다. 마치 원패스워드(1Password) 같은 전용 서드파티 암호 관리자를 떠올리면 된다. 파이어폭스 내 패스워드 필드에서 마우스 오른쪽 클릭한 후 'Use a Securely Generated Password' 옵션을 선택하면 암호를 자동으로 생성한다. 이렇게 생성된 암호는 소문자와 대문자, 숫자가 무작위로 조합된 임의의 문장이다. 파이어폭스 70에 추가될 패스워드 관련 주요 개선사항 중 하나는 록와이즈와 파이어폭스 모니터의 결합이다. 후자는 지난해 11월에 추가된 브라우저 내장 알림 기능이다. 사용자가 최근 데이터 유출사고가 있었던 사이트에 접속하려 하면 경고창을 보여준다. 모질라와 'Have I Been Pwned' 사이트와 서비스의 파트너십을 위해 비주얼 UI가 추가됐다. 록와이즈(이전에는 록박스(Lockbox)로 불렸다)는 5월에 데스크톱용 파이어폭스의 애드온으로 등장했다. 안드로이드와 iOS에서는 이미 사용된 암호관리 프로그램이다. 두 소프트웨어의 조합은 매우 흥미로운 협업으로 다른 브라우저와 완전히 차별화되는 특징이다. 단 유료화 가능성은 염두...

2019.07.24

칼럼 | 이베이 계정을 탈퇴하면서...

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

CIO 온라인 피싱 생체인증 FIDO 스캠 정철환 패스워드 전자상거래 계정 비밀번호 암호 피싱 사기 이베이 이메일 인증체계

2019.07.01

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

2019.07.01

편의냐, 보안이냐··· CIO가 균형을 유지할 방법은?

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

CIO 쉬레드-잇 Shred-it 도난 원격 근무 BYOD 소셜 엔지니어링 계정 암호 공격 유출 피싱 편의

2019.06.12

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

2019.06.12

암호화의 어두운 비밀 12가지

암호화는 데이터 프라이버시나 보안을 위한 핵심 솔루션으로 빠르게 자리 잡고 있다. 신용카드를 웹 페이지에 입력할 때, 웹사이트가 진짜인지 의심스러울 때도 걱정할 필요가 없다. 암호화를 사용하고 있기 때문이다. 암호화는 정보가 외부에 노출되지 않고 보호될 것이라는 탄탄한 신뢰의 근거가 된다.   하지만 모든 마법 같은 기술에는 한계가 있기 마련이다. 그리고 암호화의 한계는 '그 한계가 어디인지 정확히 알 수 없다'는 것이다. 결국, 암호화에 대한 우리의 기대와 이해 수준을 관리하는 것이 중요하다. 어느덧 암호화 없이는 살 수 없을 만큼 보편화한 기술이지만, 마치 전등 스위치처럼 쉽게 또는 신뢰할 수 있게 작동한다고 생각해서는 곤란하다. 염두에 두어야 할 암호화의 12가지 어두운 비밀에 관해 살펴보자. '잘 모른다'는 사실을 바탕으로 한다 암호화는 우리가 암호화에 필요한 '수학에 대해 잘 모르고 있다'는 사실에 의존한다. 우리는 함수를 계산하는 방법을 알지만 이를 도치하는 것은 잘 모른다. 큰 숫자를 곱할 수는 있지만 알고리즘을 계산할 수는 없다. 다시 말해, 우리는 수학의 한 쪽 방향만 알고 있을 뿐 그 역을 모르고 있다. 많은 사람이 도치하는 방법을 모른다면 거기에서 멈추고 어깨를 으쓱하면서 알고리즘을 받아들인다. 결국 우리가 가장 보편적으로 사용하는 알고리즘은 그 누구도 공개적으로 공격하는 방법을 파악하지 못했다는 사실에 의존한다. 예측은 예측일 뿐이다 일부 수학자는 잘 알려진 암호화 함수를 공격하는 기본적인 알고리즘을 발견했다. 그러나 실제 암호화를 해독하는 데는 너무 많은 시간이 걸린다. 이 공격 알고리즘은 극소수 경우에만 효과가 있었고 암호가 복잡할수록 처리 시간이 기하급수적으로 늘어난다. 수천억 만년이 걸린다는 주장도 여기서 출발한다. 그러나 이것이 곧 암호화를 신뢰할 수 있다는 의미는 아니다. 초보 골퍼가 홀인원을 하려면 골프를 엄청나게 오래 쳐야 하지만, 주기적으로 홀인원을 기록하는 프로는...

CIO 암호화 암호 알고리즘

2019.05.27

암호화는 데이터 프라이버시나 보안을 위한 핵심 솔루션으로 빠르게 자리 잡고 있다. 신용카드를 웹 페이지에 입력할 때, 웹사이트가 진짜인지 의심스러울 때도 걱정할 필요가 없다. 암호화를 사용하고 있기 때문이다. 암호화는 정보가 외부에 노출되지 않고 보호될 것이라는 탄탄한 신뢰의 근거가 된다.   하지만 모든 마법 같은 기술에는 한계가 있기 마련이다. 그리고 암호화의 한계는 '그 한계가 어디인지 정확히 알 수 없다'는 것이다. 결국, 암호화에 대한 우리의 기대와 이해 수준을 관리하는 것이 중요하다. 어느덧 암호화 없이는 살 수 없을 만큼 보편화한 기술이지만, 마치 전등 스위치처럼 쉽게 또는 신뢰할 수 있게 작동한다고 생각해서는 곤란하다. 염두에 두어야 할 암호화의 12가지 어두운 비밀에 관해 살펴보자. '잘 모른다'는 사실을 바탕으로 한다 암호화는 우리가 암호화에 필요한 '수학에 대해 잘 모르고 있다'는 사실에 의존한다. 우리는 함수를 계산하는 방법을 알지만 이를 도치하는 것은 잘 모른다. 큰 숫자를 곱할 수는 있지만 알고리즘을 계산할 수는 없다. 다시 말해, 우리는 수학의 한 쪽 방향만 알고 있을 뿐 그 역을 모르고 있다. 많은 사람이 도치하는 방법을 모른다면 거기에서 멈추고 어깨를 으쓱하면서 알고리즘을 받아들인다. 결국 우리가 가장 보편적으로 사용하는 알고리즘은 그 누구도 공개적으로 공격하는 방법을 파악하지 못했다는 사실에 의존한다. 예측은 예측일 뿐이다 일부 수학자는 잘 알려진 암호화 함수를 공격하는 기본적인 알고리즘을 발견했다. 그러나 실제 암호화를 해독하는 데는 너무 많은 시간이 걸린다. 이 공격 알고리즘은 극소수 경우에만 효과가 있었고 암호가 복잡할수록 처리 시간이 기하급수적으로 늘어난다. 수천억 만년이 걸린다는 주장도 여기서 출발한다. 그러나 이것이 곧 암호화를 신뢰할 수 있다는 의미는 아니다. 초보 골퍼가 홀인원을 하려면 골프를 엄청나게 오래 쳐야 하지만, 주기적으로 홀인원을 기록하는 프로는...

2019.05.27

'이거 실화냐?' 가장 많이 쓰이는 쉬운 암호 12가지

우리는 일상에서 수많은 암호를 사용한다. 좋든 싫든 스마트폰 잠금 해제부터, 은행 계좌에 대한 온라인 접속, 넷플릭스 영화 스트리밍까지 다양한 장소에서 암호를 사용할 수밖에 없다. 컴퓨터와 인터넷 때문에 암호 사용이 크게 확산된 것은 사실이지만, 따지고 보면 수백, 수천 년 전부터 무언가를 보호하기 위해 암호를 사용했었다. 최근 쿼라(Quora) 쓰레드를 참조해, 실제 및 가상의 세계에서 유구하게(또 최근까지) 가장 많이 사용된 10여 개의 암호를 소개한다.   00000000 냉전 시대, 미국 지하 격납고에 보관된 대륙 간 핵미사일에는 8자리의 발사 코드가 필요했다. 그런데 아주 오랜 기간 00000000이라는 코드가 사용되었다. 미국은 1962년 대통령 명령으로 악의적인 핵미사일 발사 사고를 막기 위해 발사 코드를 강제 요구했다. 오랜 기간 이러한 추가 보안을 적용할 준비가 되지 않은 미사일이 많았지만, 로버트 맥나마라 국방장관의 명령으로 미국에 위치한 대륙 간 탄도 미사일에는 코드가 적용되었다. 그가 장관 자리에서 물러난 후, 맥나마라를 싫어했던 미국 전략 항공 방어 사령관은 미사일을 빨리 발사할 수 없게 될까 걱정해 발사 코드를 모두 0으로 바꾸었다. 이로 인해 발생할 문제는 무엇일까? 영화 닥터 스트레인지러브를 참고하길 바란다. Open Sesame ‘할아버지’격인 암호는 바로 ‘Open Sesame(열려라 참깨)’이다. 유명한 우화인 알리바바와 40인의 도둑에서 도둑들이 보물을 숨겨둔 동굴 문을 여는 암호문이다. 수 세기에 걸친 아라비아 지역 우화들을 집대성한 천일야화 (아라비안나이트)에 포함된 우화에서, 가난한 나무꾼인 알리바바는 이 암호문을 엿듣고 결국은 보물을 손에 넣는다. 아주 잘 알려진 암호문으로 뽀빠이(Popeye), 벅스 버니(Bugs Bunny), 스펀지밥(SpongeBob) 같은 대중문화에도 자주 등장했다. Chuck Norris 2010년 익명의 페이스북 엔지니어 한 명은 ...

CSO 00000000 12345 Buddy Chuck Norris IAcceptTheRisk Joshua Open Sesame Sher Swordfish Tiger Z1ON0101 열려라 참깨 쿼라 국방 오라클 페이스북 해킹 해커 제록스 암호 비밀번호 GUI 영화 어나니머스 PARC 드라마 전자 서명

2019.01.24

우리는 일상에서 수많은 암호를 사용한다. 좋든 싫든 스마트폰 잠금 해제부터, 은행 계좌에 대한 온라인 접속, 넷플릭스 영화 스트리밍까지 다양한 장소에서 암호를 사용할 수밖에 없다. 컴퓨터와 인터넷 때문에 암호 사용이 크게 확산된 것은 사실이지만, 따지고 보면 수백, 수천 년 전부터 무언가를 보호하기 위해 암호를 사용했었다. 최근 쿼라(Quora) 쓰레드를 참조해, 실제 및 가상의 세계에서 유구하게(또 최근까지) 가장 많이 사용된 10여 개의 암호를 소개한다.   00000000 냉전 시대, 미국 지하 격납고에 보관된 대륙 간 핵미사일에는 8자리의 발사 코드가 필요했다. 그런데 아주 오랜 기간 00000000이라는 코드가 사용되었다. 미국은 1962년 대통령 명령으로 악의적인 핵미사일 발사 사고를 막기 위해 발사 코드를 강제 요구했다. 오랜 기간 이러한 추가 보안을 적용할 준비가 되지 않은 미사일이 많았지만, 로버트 맥나마라 국방장관의 명령으로 미국에 위치한 대륙 간 탄도 미사일에는 코드가 적용되었다. 그가 장관 자리에서 물러난 후, 맥나마라를 싫어했던 미국 전략 항공 방어 사령관은 미사일을 빨리 발사할 수 없게 될까 걱정해 발사 코드를 모두 0으로 바꾸었다. 이로 인해 발생할 문제는 무엇일까? 영화 닥터 스트레인지러브를 참고하길 바란다. Open Sesame ‘할아버지’격인 암호는 바로 ‘Open Sesame(열려라 참깨)’이다. 유명한 우화인 알리바바와 40인의 도둑에서 도둑들이 보물을 숨겨둔 동굴 문을 여는 암호문이다. 수 세기에 걸친 아라비아 지역 우화들을 집대성한 천일야화 (아라비안나이트)에 포함된 우화에서, 가난한 나무꾼인 알리바바는 이 암호문을 엿듣고 결국은 보물을 손에 넣는다. 아주 잘 알려진 암호문으로 뽀빠이(Popeye), 벅스 버니(Bugs Bunny), 스펀지밥(SpongeBob) 같은 대중문화에도 자주 등장했다. Chuck Norris 2010년 익명의 페이스북 엔지니어 한 명은 ...

2019.01.24

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8