CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

사이버보안의 중요성이 증가함에 따라 우리의 사이버보안 인식도 증가했다. 부실한 사이버보안은 오늘날 기업에 가장 큰 위협으로 작용한다. 사이버보안과 관련된 문제는 종종 사이버보안 인식 부족에 기인한다. 2020년 사이버위협 대응 보고서에 따르면, 기업의 사이버보안 대책에 가장 부정적인 영향을 미치는 중요한 요소가 ‘사이버보안 인식 부족’으로 조사됐다.   사이버보안 인식 부족은 사이버보안 교육 부재와 잘못된 정보에 지속적으로 노출되는 환경 때문이다. 언론에서 그 어느 때보다 사이버보안에 주목하고 있음에도, 보안에 대한 ‘미신’은 여전히 기업을 위협에 빠뜨린다. 사이버보안에 대한 잘못된 인식을 소개하고, 이를 바로잡는 방법을 소개한다.  1. 사이버보안은 나의 잘못이 아니다 아직도 많은 사람이 IT 보안을 IT팀의 문제로만 여긴다. 하지만 그렇지 않다. 모든 직원은 기업 비즈니스를 보호해야 하는 책임이 있다. 직원은 기업의 사이버 공격 방어의 최전선에 있음과 동시에 가장 큰 공격 지점이다. 해커는 사이버보안에 대한 지식이 부족한 직원을 표적으로 삼고 피싱 캠페인을 진행한다.  잘못된 인식을 가진 직원이 기본적인 사이버보안 위생을 지키지 않는다면, 심각한 결과를 초래한다. 이메일 링크를 클릭하거나 소프트웨어를 다운로드할 때 주의를 기울이지 않아 비즈니스를 위험에 빠뜨리는 것이다. 따라서 사이버보안의 중요성과 각 직원이 해야 하는 역할 교육이 매우 중요하다. 교육받은 직원은 자기 행동에서 보안에 위협이 되는 요소를 발견하고, 이를 개선할 수 있다. 2. 해커는 중소기업을 공격하지 않는다 일반적으로 언론은 야후나 우버, 메리어트와 같은 대기업을 대상으로 한 사이버 공격을 보도한다. 그렇다고 해서 대기업만 사이버 공격을 받는 것일까? 정답은 ‘전혀 그렇지 않다’이다. 이 인식은 꽤 오랜 시간 지속했다. 해커가 대기업을 공격해야 더 많은 돈을 갈취할 수 있다는 사실과 대기업을 대상으로 한 공격에만 주목하는 언론 보도 때문이다. 하지만 ...

2021.12.16

디지털 서명부터 전송 계층 보안, 블록체인, 비트코인까지 현대 인터넷 보안 인프라의 이면에 있는 암호화 기술을 살펴본다.  암호화 기술이 점점 더 중요해지고 있다. 모두가 앱에 로그인하거나 이메일을 보낼 때마다 1970년대의 획기적 발전을 바탕으로 한 독창적인 암호화 인프라를 사용하고 있다.   특히, 암호화폐 및 암호화폐 투자의 시대에 전문 소프트웨어 개발자와 코더를 넘어 일반 대중도 암호화 기술의 작동 방식을 이해하면 혜택을 볼 수 있다. 알고 있든 그렇지 않든 모두 일상생활에서 암호화 기술을 쓰기 때문이다.    암호화란?  암호화는 통신을 보호하는 행위다. 이는 원치 않는 자가 데이터를 보거나 변경하지 못하게 하는 프로토콜을 구현하는 여러 기법을 통해 달성된다. 암호화 기술 분야는 다음의 4가지 측면으로 설명할 수 있다.  1. 기밀성(Confidentiality): 데이터가 의도하지 않은 자에게 노출되지 않는다. 2. 무결성(Integrity): 네트워크를 통해 송수신되는 데이터가 임의로 조작되거나 삭제되지 않는다. 3. 인증(Authentication): 당사자가 서로의 신원을 확실하게 검증할 수 있다. 4. 부인방지(Non-repudiation): 데이터를 보낸 사람이 보낸 사실을 부인하거나, 받은 사람이 받은 사실을 부인할 수 없다. 대칭 암호(Symmetric ciphers)  컴퓨터가 등장하기 이전의 암호화는 암호 문자(cipher)를 사용했다. 암호 문자는 읽을 수 있는 텍스트에서 알 수 없는 텍스트로, 그리고 다시 그 반대로 매핑하는 것을 의미한다.  간단한 예를 들면 텍스트의 모든 문자에 4를 더하는 것이다(그러면 A는 E가 된다). 디코딩은 각 문자에서 4를 빼면 된다. 이러한 과정을 암호화(encryption)와 복호화(decryption)라고 부른다.  물론 알파벳에서 4자리를 이동하는 것은 너무 쉽기 때문에 안전하지 않다. 해석용 키를 ...

2021.11.22

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

2021.09.17

美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다.    애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다.  안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다.  애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다.  • 약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다.  • 비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다.  아이클라우드 키체인 사용 방법  iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud ...

2021.08.17

백업이 중요하다는 건 누구나 다 알고 있다. 하지만 이를 단순히 데이터 파일을 백업하는 프로세스로만 생각하는 경우가 많다. 백업은 애플리케이션, 비밀번호, 컴퓨터에만 필요한 게 아니다. 업무 수행을 위협하는 문제에 직면하게 될 상황을 대비하여 백업에 포함돼야 하는 것을 재고해야 할 때다.  2대 이상의 컴퓨터를 가지고 있더라도 거의 사용하지 않는 비밀번호를 알려주고, 클라우드 백업 액세스를 제공하며, 특정 프로젝트용 VPN에 연결하거나, 네트워크 문제를 확인하고 또는 원격 시스템에 로그인할 수 있는 컴퓨터는 그중에서 한 대뿐일 수 있다.    문제가 발생했을 때  시스템은 여러 이유로 사용할 수 없게 될 수 있다. 이를테면 전원 공급 장치가 고장 나거나 과전압이 발생할 수 있다. 회로 기판이 고장 나거나 멀웨어가 시스템을 다운시킬 수도 있다. 이 밖에 다른 많은 문제도 가능하다.  필자의 경우 최근 주로 사용하는 컴퓨터의 전원 스위치가 말썽을 일으켰다. 머지않아 완전히 고장 날지도 모른다는 걱정이 커졌다. 그도 그럴 것이 처음에는 전원 버튼을 두 번 이상 눌러야 했고, 그러다가 버튼의 한쪽 면을 더 세게 눌러야 한다는 걸 알게 됐다. 이렇게 계속 버튼을 세게 누르다가 시스템이 다시는 부팅되지 않을까 봐 우려되기 시작했다.  이 문제를 통해 필자는 ▲어떻게 네트워크를 관리해야 할지 그리고 ▲중요한 작업을 위해 백업해야 하는 게 무엇인지 곰곰이 생각하게 됐다.  어찌 보면 이는 사소한 문제였다. 필자는 개인 네트워크에 여러 리눅스 시스템이 있고, 구형 맥북과 윈도우 10 컴퓨터도 있다. 하지만 전원 버튼이 고장 난 시스템에 주로 사용하는 서비스 및 도구 등이 있었다. 다른 시스템은 이를 제공할 준비가 되어 있지 않았다. 첫 번째는 10년 이상 사용한 암호 데이터베이스였다. 둘째는 간편한 VPN 연결이었다. 세 번째는 최근부터 사용하기 시작한 웹 페이지 구축 도구와 템플릿이었다. 네 번째는 ...

2021.07.12

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

2021.04.19

구글이 2019년 크롬에 탑재했던 ‘패스워드 체크업’(Password Checkup) 기능을 안드로이드에도 도입한다고 28일(현지시간) 발표했다.  패스워드 체크업은 현재 사용 중인 비밀번호가 보안 사고로 유출된 적이 있는지 여부를 확인해준다. 웹사이트의 비밀번호 파일은 거의 매년 도난당해 웹에 유출되곤 한다. 따라서 온라인 보안을 유지하기 위해서는 비밀번호가 탈취됐는지 여부를 파악하는 일이 중요하다.  패스워드 체크업 기능은 안드로이드 버전 9부터 자동 완성(Autofill) 기능을 통해 사용 가능하다. 안드로이드 팀의 소프트웨어 엔지니어인 아빈드 쿠마르 슈구마는 "사용자가 앱에 입력하거나 저장하는 비밀번호를 유출된 적 있는 비밀번호와 대조한 다음 유출 기록이 있는 경우 알려준다"라고 블로그에서 설명했다.    위의 이미지에서처럼 팝업 경고창을 통해 비밀번호 관리 페이지로 이동한 다음 비밀번호를 변경할 수 있다. 게다가 최근에 사용한 다른 비밀번호가 유출된 적이 있는지 확인할 수도 있다. 마이크로소프트 혹은 다른 무료 비밀번호 매니저와 마찬가지로 구글은 안전한 저장소에 비밀번호를 저장한다. 구글이 추천해주는 무작위 비밀번호를 생성할 수 있다. 이후 해당 사이트를 방문했을 때 자동으로 로그인되도록 설정할 수 있다. 패스워드 체크업을 사용하기 위해서는 먼저 다음 순서에 따라 안드로이드 기기에서 자동 완성을 활성화하면 된다.  1. 폰에서 설정 앱 열기 2. 시스템 -> 언어 & 입력 ->고급 선택 3. 자동 완성 선택 4. 구글을 눌러 자동완성 기능이 활성화됐는지 확인 설정을 마친 후 동작하는 원리는 다음과 같다. 기기가 암호화된 계정정보를 구글에 보낸다. 식별을 위해 첫 두 바이트는 암호화하지 않는다. 구글은 유출된 계정정보 중 동일한 두문자어를가진 정보리스트를 되돌려 보낸다. 이를 통해 사용자 기기는 로컬에서 사용자 계정정보가 누출됐는지 여...

2021.02.24

KG이니시스가 오픈뱅킹 서비스를 출시했다고 밝혔다. 회사에 따르면 KG이니시스의 간편계좌이체서비스 내 오픈뱅킹이 도입됐으며, 고객은 온라인 결제 단계에서 사용하는 은행의 계좌에서 간편하게 결제할 수 있다. 특히, 오픈뱅킹 서비스 이용 동의 후 계좌를 한번만 등록하면, 별도의 OTP나 보안카드 없이 비밀번호 인증만으로 계좌 결제가 가능하다. 오픈뱅킹을 통한 간편계좌이체서비스를 이용할 수 있게 되면서 KG이니시스의 가맹점은 이용자에게 보다 저렴한 수수료로 더욱 다양하고 간편한 결제 수단을 제공할 수 있게 되었다. KG이니시스는 영세·중소 가맹점에게 오픈뱅킹 서비스를 제공함으로써 가맹점의 이익 향상에 실질적으로 도움을 줄 수 있을 것으로 기대하고 있다. KG이니시스 관계자는 “오픈뱅킹 서비스를 도입하게 되면서 그동안 유통사 페이업체를 위주로 성장한 간편계좌이체 서비스를 이제 중소형 온라인 업체에게도 제공할 수 있게 되었다”며, “KG이니시스는 가맹점 중심적 관점에서 혁신적이고 차별화된 결제 서비스를 도입해 결제 편의성을 지속적으로 확대해 나가겠다”고 말했다. KG이니시스는 오픈뱅킹 서비스 출시를 시작으로 서비스의 기능과 범위를 지속적으로 고도화시켜 가맹점 매출 증진과 편의성 확대에 나서겠다는 계획이다. ciokr@idg.co.kr

2020.06.02

이제 마스크를 착용하고도 페이스ID(FaceID)를 쓸 수 있는 방법이 지원돼야 할 시점이다. 페이스ID 인증에 실패한 후 수동으로 비밀번호를 입력하는 방식은 꽤 번거롭기 때문이다.  애플 페이스ID에 대한 반응이 예전 같지 않다. 마스크 쓴 얼굴을 인식하지 못하는 페이스ID로 인해 수많은 아이폰 사용자들이 매번 비밀번호를 직접 입력해야 하는 불편함을 겪고 있기 때문이다. 오히려 현시점에서는 기존 인증방식인 터치ID(TouchID)가 더 적합해 보인다.    애플이 드디어 이러한 사용자 고충을 인지했다  마스크 착용으로 페이스ID가 제대로 작동하지 않는다는 불편함을 애플이 인식한 것 같다. 이번 iOS 13.5 업데이트에는 마스크 쓴 얼굴을 인지해 즉각 비밀번호 입력창으로 넘어가도록 하는 기능이 탑재됐다. 이번 업데이트는 대책 마련이 시급하다는 요구에 부응한 결과이기도 하지만 동시에 유용한 기술도 특정 사건에 의해 변화를 겪을 수 있다는 것을 보여준다.  ‘페이스ID’의 시대는 벌써 끝난 걸까? 페이스ID는 매우 유용하고 편리한 기술이다. 아이폰 화면을 한번 쳐다보는 것만으로 잠금을 해제할 수 있기 때문이다. 페이스ID를 일시적으로 비활성화하고 싶은가? 메디컬 ID(Medical ID) 화면이 나타날 때까지 볼륨 버튼(up/down)과 전원 버튼을 함께 누르면 된다. 대부분의 아이폰 추종자들은 코로나19 확산을 방지하고자 페이스ID를 비활성화하고 직접 비밀번호를 입력하는 방식을 사용해왔다. 마스크 착용으로 인해 페이스ID가 예전처럼 유용하지 않다는 것은 안타까운 일이다.   애플은 페이스ID를 어떻게 대체할까? 아이폰12 관련 모든 추측을 미뤄볼 때 애플은 다음 버전에서도 페이스ID를 유지할 것으로 전망된다. 중요한 건 페이스ID가 정말 필요한 것이냐는 문제다. 무엇보다 코로나19 확산 방지를 위해 앞으로도 마스크를 계속 착용해야 할 가능성이 크다. 이는 곧 아이폰 사용자들이 옛날 방식으로 비밀번호...

2020.05.26

많은 기업들이 코로나19 확산 우려로 갑작스럽게 원격근무를 도입하고 있다. 일부 보안 벤더들도 보안 솔루션을 한시적으로 무료 제공하며 원격근무 환경을 지원하고 있다.  코로나19 위기에 맞서 보안 벤더들이 보안 제품과 서비스를 무료 제공하는 데 앞장서고 있다. 경우에 따라 솔루션의 구축 및 배포를 돕는 지원 서비스를 제공한다. 이를 통해 기업들은 원격근무 환경을 신속하게 구축하는 것은 물론 보안까지 확보할 수 있게 됐다.  혜택의 대부분은 무료 사용 기간 연장이다. 코로나19로 인해 관련 제품 및 서비스 수요가 가파르게 높아지고 있는 시점에서 보안 벤더들이 무료 제공이라는 결단을 내리며 기업 돕기에 나섰다.   애플리케이션 보안 클라우드 플레어(Cloudflare)가 중소기업을 대상으로 9월 1일까지 제로 트러스트 애플리케이션 보호 서비스를 무료 제공한다. 여기에는 전문가와 함께 설치 및 배포 방법을 안내하는 30분가량의 세션이 포함된다.  인증 비밀번호 관리 솔루션 업체 1패스워드(1Password)가 비즈니스용 30일 평가판의 기간을 무료로 연장했다. 기업들은 6개월 동안 1패스워드 솔루션을 무료 사용할 수 있다. 클라우드 기반 인증 업체인 옥타(Okta)는 신규 고객에게 6개월간 옥타 아이덴티티 클라우드 서비스(Okta Identity Cloud service)를 무료 제공할 예정이다. 이는 상황에 따라 더 연장될 수도 있다고 회사 측은 밝혔다. 해당 서비스는 최대 5개 애플리케이션을 위한 통합 인증(Single Sign-On, SSO)과 다중요소인증(Multi-Factor Authentication, MFA)을 포함한다.  암호화 비치헤드 솔루션(Beachhead Solutions)이 매니지드 서비스 업체(MSP) 고객을 대상으로 심플리시큐어(SimplySecure) 서비스의 라이선스를 무료 연장했다. 비치헤드 솔루션은 클라우드 관리 PC 및 모바일 디바이스 암호화 그리고 보안 ...

2020.03.19

애플이 온라인 서비스와 앱에 로그인하기 위한 패스워드를 다른 보다 빠르고 안전한 방법으로 대체하는 인증 표준 그룹인 FIDO 협회(FIDO Alliance)에 가입했다. 애플로서는 다소 이례적인 움직임이다. 이로써 애플은 IT 거대 기업 중 마지막으로 FIDO(Fast IDentity Online)에 합류했다. 현재 아마존, 페이스북, 구글, 인텔, MS, RSA, 삼성, 퀄컴 그리고 VM웨어가 합류하고 있는 이 그룹에는, 이 밖에도 아메리칸 익스프레스, ING, 마스터카드, 페이팔, 비자, 웰스 파고와 같은 12개 이상의 금융서비스 회사가 참여하고 있다. J. 골드 어소시에이트의 사장 겸 수석 애널리스트인 잭 골드는 “애플은 새로운 조직에 합류하는 데 있어서 보통 앞서 움직이지 않는다. 가입하기 전에 충분히 알기 위해 종종 기다린다. 이번 FIDO 합류는 애플치고는 상당히 이례적인 행보다. 애플은 자사의 기술을 업계 표준으로 제시하려는 경우는 종종 있지만, 일반적으로 멀티벤더 업계 표준을 조기에 채택하지는 않기 때문이다”라고 말했다. 그는 이어 “내 생각에 FIDO의 경우 애플이 동참해야 한다는 압박감을 느끼고 있을 만큼 충분한 모멘텀을 갖고 있다. 특히 클라우드 기반 세계 및 인증 측면에서 FIDO는 기업이 무시할 수 없는 핵심 이니셔티브로 인정받고 있다”라고 말했다. 가트너 보안 및 프라이버시 연구 책임자인 데이비드 마흐디 또한 애플의 이러한 움직임이 주목할 만하다고 평가했다. 마흐디는 “암호 없는 세상을 실현하기 위한 의미 있는 움직임이다. 애플의 가입은 주목할 만한 조치다”라고 말했다. 2012년에 조직된 FIDO의 목적은 본질적으로 불안정한 암호 사용 대신 서비스와 앱에 대해 2단계 인증을 추진하는 것이다. 버라이즌의 데이터 유출 조사 보고서에 따르면, 해커에 의한 모든 보안 유출의 81%가 도난 되거나 엉성한 비밀번호 때문이다.   버라이즌은 보고서는 “사용자 이름/이메일 주소 및 비밀번호에 의존하는 경우 소비자 기기에서 다른 ...

2020.02.25

2013년 이후로 매년 가장 많이 사용하고, 가장 안전하지 못한 비밀번호는 무엇일까? ‘password’라고 생각했다면 거의 맞췄다. ‘Qwerty’도 크게 다르지 않지만 승자는 가장 기본적이고 생각할 수 있는 확실한 비밀번호인 ‘123456’이다.   그렇다. 스플래시데이터에 따르면, 많은 사람이 여전히 ‘123456’을 비밀번호로 사용하고 있다고 밝혔다. ‘123456’은 2011년과 2012년에 2위를 차지했다가 2013년부터 2019년까지 매년 1위를 차지했다. 스플래시데이터의 최악의 비밀번호 목록은 인터넷상에서 유출된 수백만 개의 비밀번호에 대한 분석에 기반하고 있다. 이 외에도 스플래시데이터의 연례 불명예의 전당에 올라간 안전하지 못한 기타 비밀번호로는 앞서 언급한 ‘password’(항상 상위 5위권, 2011년과 2012년 1위), ‘qwerty’(항상 상위 10위권), 1위보다 조금 더 긴 변종인 ‘12345678’(항상 상위 6위권) 등이 있다. 스플래시데이터 CEO 모건 슬레인은 “실망스럽게도 최신 최악의 비밀번호 목록과 올해의 목록은 크게 다르지 않다”라고 말했다. 왜냐하면 목록의 비밀번호는 대부분 단순하고 기억하기 쉬워서 훨씬 쉽게 해킹 당할 수 있는 비밀번호를 고수하는 소비자들이 생성하기 때문이다.   2019년 최악의 비밀번호 스플래시데이터의 2019년 가장 널리 이용되면서도 가장 안전하지 못한 비밀번호는 다음과 같다. 1. 123456 2. 123456789 3. qwerty 4. password 5. 1234567 6. 12345678 7. 12345 8. iloveyou 9. 111111 10. 123123 노드패스(NordPass)와 영국의 국립 사이버보안 센터(National Cyber Security Center, NSSC)의 목록도 스플래시데이터의 발견사항과 대부분 일치한다. 그리고 스플래시데이터의 2018년 목록과 비교해봐도 매년 크게 변하지 않는다.    또한 사이버보...

2020.02.19

윈도우 서버(Windows Server) 보안 기능의 권장 구성은 최근 몇 년 사이 변했다. 최근 (공식적으로) 윈도우 서버 2008 R2의 수명이 종료됐지만 지원 기간이 3년이 채 남지 않은 서버 2012 R2에도 작별을 고할 준비를 해야 한다. 이와 같은 오래된 서버에서는 코드 서명 인증서 스푸핑(spoofing)이나 변조(tampering)를 통해 액세스 권한을 획득하는 등의 최신 위협에 대처하기가 어렵다.   사용 중인 서버나 클라우드 플랫폼에 따라 더 이상 예전과 같은 효과가 없을 수도 있는 보안 설정 9가지와, 이런 설정을 대신하거나 보완해서 사용해야 할 설정 또는 정책을 알아보자. 1. 과거의 조언: 관리자 계정 이름 바꾸기 한때 관리자 계정의 이름을 바꾸는 것이 중요한 지침이었다. 일부 서버 플랫폼에서는 마법사 프로세스에 이 과정이 포함되기까지 했다. 몇 년 전에는 계정 이름을 알아내려는 공격자가 있었고, 관리자 계정의 이름을 바꿔 공격자가 이름을 알아내기 어렵도록 한 것이다. 이제는 관리자 계정 이름을 바꾸는 방법은 별 효과가 없다. 공격자는 피싱을 사용하거나 시스템에 방치된 인증 정보를 수집해서 시스템에 침투할 발판을 마련할 수 있기 때문이다. - 새 조언: 다양한 관리자 비밀번호를 사용하라 대신 네트워크 전체에서 동일한 로컬 관리자 비밀번호를 사용하지 말 것을 권한다. 랜섬웨어 공격자가 네트워크에서 손쉽게 횡적 이동을 하도록 허용하려면 각 워크스테이션에 동일한 비밀번호를 사용하면 된다. 로컬 관리자 비밀번호 솔루션(LAPS)을 배포해서 무작위의 비밀번호가 할당되도록 해야 한다. 배포하면서 잊지 말아야 할 것은 “모든 확장된 권한”을 가진 사용자, 즉 LAPS가 활성화된 모든 컴퓨터와 비밀번호를 볼 수 있는 사용자를 공격자가 노린다는 점이다.  로컬 관리자 계정이 네트워크를 통해 인증되지 않도록 그룹 정책을 구성한다. 다음 그룹 정책 개체(GPO)를 권장한다. 네트워크에서 이 컴퓨터에 대한 액세스 거부: 로컬 계...

2020.01.31

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

2019.07.01

구성 오류 등 몇 년 전부터 잘 알려진 수많은 실수들이 계속해서 SAP 환경의 보안을 훼손하고 있다. SAP 환경이 갈수록 더 복잡해지고 있는 것이 이런 상황을 초래하는 큰 이유 중 하나다. 지난 몇 년간 SAP 애플리케이션들이 달라졌고 발전했다. 최근에는 여러 다양한 다른 시스템 및 애플리케이션과 연결되어 있다.   SAP 환경은 일반적으로 시간 경과와 함께 도입되고 연결된 다양한 API와 인터페이스를 통해 서로, 또 외부 시스템과 통신하는 통신 구성 요소 및 많은 맞춤형 코드로 구성된다. EPR 분야 보안 업체인 오냅시스(Onapsis)의 CTO 후안 페레즈-에체고엔에 따르면, 새 코드와 프로토콜이 기존 환경과 상호작용하면서 보안 취약점과 결함을 물려 받는다. 또 새 비즈니스 프로세스를 수용하기 위해 프로필과 파라미터, 구성을 계속 바꾸지만, 이것이 초래할 보안 측면의 영향을 거의 이해하지 못한다. 이러한 환경의 복잡성이 수많은 보안 취약점을 초래한다. 올해 초, 2개 주요 SAP 구성 요소의 잘 알려진 구성 오류를 겨냥한 익스플로잇들이 공개되면서 이 문제가 집중 조명되었다. 공격자가 원격으로 SAP 환경을 관리자 권한으로 제어할 수 있는 익스플로잇으로 10KBlaze로 불린다. US-CERT는 그 즉시 이에 대해 경고했다. 다음은 엔터프라이즈 SAP 환경에서 가장 많이 발생하는 구성 오류, 보안 실패 가운데 일부를 정리한 내용이다. 1. 잘못 구성된 ACL ACL(Access Control Listes)은 여러 SAP 시스템 간, 그리고 SAP와 비 SAP 환경 간 통신과 연결을 제어한다. 또 SAP 시스템에 대한 사용자 접근 권한을 결정한다. 그런데 SAP 시스템과 외부 시스템, 여러 SAP 시스템 간 연결을 제어하는 ACL이 잘못 구성되고, 결함이 많고, 특정인이 특정 시스템을 매개체로 다른 시스템에 쉽게 접근할 수 있는 경우가 많다. 페레즈-에체고엔에 따르면, 침입 테스트를 하면 잘못된 ACL 구성으로 인해 공격자가 SAP 환...

2019.06.28