Offcanvas

���������

애플·구글·MS, '암호 없는 로그인'에 협력한다··· 2023년부터 지원 예정

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

FIDO 암호 패스워드 구글 애플 마이크로소프트 로그인

2022.05.09

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

2022.05.09

공격자의 윈도우 네트워크 접근을 ‘쉽지 않게’ 하는 방법 4가지

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

공격자 보안 랜섬웨어 네트워크 윈도우 네트워크 이중인증 VPN 자격증명 액티브 디렉토리 파워셸 애저 클라우드 로그인 비밀번호 암호

2021.06.24

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

CSO 사이버보안 Saas 공격 봇 공격 ID 오스제로 Auth0 오스제로 시그널즈 Auth0 Signals 전자상거래 IP 로그인 스크립트 기반 공격

2020.06.17

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

2020.06.17

펜타시큐리티, 금융권에 단말 로그인 솔루션 ‘아이사인플러스’ 공급 

펜타시큐리티시스템이 자사의 단말 로그인 다중인증 솔루션 ‘아이사인플러스(ISign+) EE-WIN’을 KDB산업은행, KB국민은행, KB국민카드 등 다수 금융권에 공급했다고 밝혔다. 다수의 전용 업무 애플리케이션을 사용하는 금융권에서는 단말부터 메인프레임 로그인까지 통합 인증 관리에 많은 비용이 소요된다. 모바일 인증, 생체인증 등 다양한 인증수단이 보급됨에 따라 인증관리 부담이 가중되는 상황이라고 회사 측은 설명했다.   또한 최근 코로나바이러스 감염증(COVID-19) 확산으로 인해 재택근무에서도 안전하고 간편하게 업무 서버에 접근할 방법 수요도 급증하고 있다. 펜타시큐리티는 안전하고 편리한 인증관리를 위해 ‘아이사인플러스’에 MOTP(Mobile OTP)를 이용한 다중인증 기능을 도입했다.  회사에 따르면 아이사인플러스는 국제표준규격 FIDO2 인증을 획득해 스마트폰 등 모바일 기기뿐 아니라 PC 운영체제나 웹 등 다양한 업무 환경에서 OTP, PKI, QR코드, 생체인증 등 다양한 인증수단을 지원한다. 단말 로그인 다중인증 솔루션 ‘아이사인플러스 EE-WIN’은 지난 2월 GS인증을 획득했다. 펜타시큐리티 보안사업본부장 김태균 전무는 “금융권 인증보안은 흔히 결제 등 특정 인증 절차만 떠올리지만, 안전한 금융시스템은 단말 로그인에서부터 철저한 보안이 시작되어야 한다”라며, “아이사인플러스 EE-WIN은 금융기관의 모든 업무환경에서 단말 로그인부터 메인프레임까지 업무 전반에 걸쳐 높은 보안성과 편의성을 제공하고, 각종 보안감사에도 대응할 수 있다”라고 말했다. ciokr@idg.co.kr

보안 로그인 펜타시큐리티 금융서비스

2020.03.25

펜타시큐리티시스템이 자사의 단말 로그인 다중인증 솔루션 ‘아이사인플러스(ISign+) EE-WIN’을 KDB산업은행, KB국민은행, KB국민카드 등 다수 금융권에 공급했다고 밝혔다. 다수의 전용 업무 애플리케이션을 사용하는 금융권에서는 단말부터 메인프레임 로그인까지 통합 인증 관리에 많은 비용이 소요된다. 모바일 인증, 생체인증 등 다양한 인증수단이 보급됨에 따라 인증관리 부담이 가중되는 상황이라고 회사 측은 설명했다.   또한 최근 코로나바이러스 감염증(COVID-19) 확산으로 인해 재택근무에서도 안전하고 간편하게 업무 서버에 접근할 방법 수요도 급증하고 있다. 펜타시큐리티는 안전하고 편리한 인증관리를 위해 ‘아이사인플러스’에 MOTP(Mobile OTP)를 이용한 다중인증 기능을 도입했다.  회사에 따르면 아이사인플러스는 국제표준규격 FIDO2 인증을 획득해 스마트폰 등 모바일 기기뿐 아니라 PC 운영체제나 웹 등 다양한 업무 환경에서 OTP, PKI, QR코드, 생체인증 등 다양한 인증수단을 지원한다. 단말 로그인 다중인증 솔루션 ‘아이사인플러스 EE-WIN’은 지난 2월 GS인증을 획득했다. 펜타시큐리티 보안사업본부장 김태균 전무는 “금융권 인증보안은 흔히 결제 등 특정 인증 절차만 떠올리지만, 안전한 금융시스템은 단말 로그인에서부터 철저한 보안이 시작되어야 한다”라며, “아이사인플러스 EE-WIN은 금융기관의 모든 업무환경에서 단말 로그인부터 메인프레임까지 업무 전반에 걸쳐 높은 보안성과 편의성을 제공하고, 각종 보안감사에도 대응할 수 있다”라고 말했다. ciokr@idg.co.kr

2020.03.25

카페24, '애플 로그인 기능' 간편 로그인 서비스에 추가

카페24가 ‘애플 로그인(Sign in with Apple) 기능’을 자사 ‘간편 로그인 서비스’에 추가했다고 밝혔다.  이번 신규 기능 추가로 카페24 온라인 쇼핑몰 운영자는 고객에게 애플을 비롯해 페이스북, 구글, 카카오 등 총 6가지 계정을 이용할 수 있는 쇼핑 환경을 제공할 수 있다. 간편 로그인 서비스는 이메일, 사회관계망서비스(SNS), 메신저 등 고객이 보유하고 있는 계정 정보만으로 손쉽게 쇼핑몰 회원가입과 로그인이 가능하도록 지원한다. 고객은 클릭 한 번만으로 복잡한 절차를 간소화할 수 있어 편리한 쇼핑 경험이 가능하다. 애플 로그인 기능은 ▲사생활(프라이버시) 보호 기능 강화 ▲생체 인식 기능 적용 등의 특징을 갖고 있다. 현재 글로벌 숙박 공유기업 에어비앤비(Airbnb), 글로벌 쇼트 비디오 애플리케이션 틱톡(TikTok) 등 글로벌 유수 기업들이 이 기능을 적용하고 있다. 회사에 따르면 앞으로 카페24 온라인 쇼핑몰 운영자는 다양한 간편 로그인 서비스로 고객 쇼핑 편의성을 한 층 더 높일 수 있다. 이를 통해 충성고객 확대와 고객만족 향상이 가능할 것으로 보인다. 카페24 이재석 대표이사는 “최신 기술을 접목해 쇼핑 편의성을 높이는 것은 온라인 쇼핑몰들의 차별화된 경쟁력 확보에 중요하다”라며, “지속적으로 운영자들이 더 쉽고, 더 편리한 쇼핑몰 운영이 가능하도록 플랫폼 강화에 힘쓸 것”이라고 말했다. ciokr@idg.co.kr

계정 로그인 쇼핑몰 쇼핑 카페24 간편로그인

2020.03.11

카페24가 ‘애플 로그인(Sign in with Apple) 기능’을 자사 ‘간편 로그인 서비스’에 추가했다고 밝혔다.  이번 신규 기능 추가로 카페24 온라인 쇼핑몰 운영자는 고객에게 애플을 비롯해 페이스북, 구글, 카카오 등 총 6가지 계정을 이용할 수 있는 쇼핑 환경을 제공할 수 있다. 간편 로그인 서비스는 이메일, 사회관계망서비스(SNS), 메신저 등 고객이 보유하고 있는 계정 정보만으로 손쉽게 쇼핑몰 회원가입과 로그인이 가능하도록 지원한다. 고객은 클릭 한 번만으로 복잡한 절차를 간소화할 수 있어 편리한 쇼핑 경험이 가능하다. 애플 로그인 기능은 ▲사생활(프라이버시) 보호 기능 강화 ▲생체 인식 기능 적용 등의 특징을 갖고 있다. 현재 글로벌 숙박 공유기업 에어비앤비(Airbnb), 글로벌 쇼트 비디오 애플리케이션 틱톡(TikTok) 등 글로벌 유수 기업들이 이 기능을 적용하고 있다. 회사에 따르면 앞으로 카페24 온라인 쇼핑몰 운영자는 다양한 간편 로그인 서비스로 고객 쇼핑 편의성을 한 층 더 높일 수 있다. 이를 통해 충성고객 확대와 고객만족 향상이 가능할 것으로 보인다. 카페24 이재석 대표이사는 “최신 기술을 접목해 쇼핑 편의성을 높이는 것은 온라인 쇼핑몰들의 차별화된 경쟁력 확보에 중요하다”라며, “지속적으로 운영자들이 더 쉽고, 더 편리한 쇼핑몰 운영이 가능하도록 플랫폼 강화에 힘쓸 것”이라고 말했다. ciokr@idg.co.kr

2020.03.11

오쓰(OAuth)란?··· 보안 전문가를 위한 가이드

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

로그인 승인 OAuth 오쓰 공개인증 인가

2017.08.18

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

2017.08.18

블로그 | 비밀번호 없는 로그인, 스마트폰이 곧 신원인 시대

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

야후 아우디 온 디맨드 부메랑 샤이프 어카운트 키 지문인식 패스워드 로그인 비밀번호 인증 스쿠트

2015.10.30

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

2015.10.30

구글, 이중 인증 서비스 전 세계로 확대

구글이 이중 인증 보안 시스템을 150개국의 40개 언어로 확대한다고 밝혔다.   구글 계정의 해킹을 어렵게 만들기 위한 것으로 영어로는 지난 2월부터 서비스됐다.   이중인증 시스템은 비밀번호와 인증 코드와 결합한 것이다. 인증 코드는 사용자의 아이폰, 안드로이드, 블랙베리 스마트폰의 구글 앱에서 생성되거나 문자 메시지 혹은 자동 음성 전화를 통해서 사용자에게 전달된다. 이 코드를 입력해야만 로그인이 가능하다. 확인 코드는 한 번에 최대 30일까지 사용할 수 있다.   인증 시스템은 작년 9월 구글 앱스(Google Apps) 사용자에게, 그리고 2월 영어 구글 계정 사용자들에게 공개됐다. 이제 더 이상 지역적인 차이는 없게 됐으며, 스마트폰에서 구글 인증 앱을 사용하지 않는 사람들을 위해서 더 많은 국가에서 문자나 음성 전화를 통한 코드 수령이 가능하게 지원한다.   문자나 음성 전화로 인증 코드를 받을 수 있는 옵션은 인도와 같은 스마트폰 사용자가 많지 않은 국가에서 유용하게 사용될 것으로 보인다.   인증 코드를 받을 설정을 하고 나면 10개의 백업 코드가 발행된다. 이 백업 코드는 각기 한번씩 인증 코드 대신에 사용할 수 있어서 휴대폰을 이용할 수 없을 때 사용할 수 있다. 또한, 환경 설정에서 휴대폰 번호를 하나 더 입력할 수 있는데, 이것은 기존 휴대폰을 잃어버렸을 때 이용할 수 있다.   오늘날 이메일, 소셜 네트워킹 및 다른 온라인 계정들은 여전히 취약하지만 이중 인증 과정은 이런 취약성을 크게 낮춰줄 수 있다. ciokr@idg.co.kr

구글 보안 인증 로그인 이중인증

2011.08.01

구글이 이중 인증 보안 시스템을 150개국의 40개 언어로 확대한다고 밝혔다.   구글 계정의 해킹을 어렵게 만들기 위한 것으로 영어로는 지난 2월부터 서비스됐다.   이중인증 시스템은 비밀번호와 인증 코드와 결합한 것이다. 인증 코드는 사용자의 아이폰, 안드로이드, 블랙베리 스마트폰의 구글 앱에서 생성되거나 문자 메시지 혹은 자동 음성 전화를 통해서 사용자에게 전달된다. 이 코드를 입력해야만 로그인이 가능하다. 확인 코드는 한 번에 최대 30일까지 사용할 수 있다.   인증 시스템은 작년 9월 구글 앱스(Google Apps) 사용자에게, 그리고 2월 영어 구글 계정 사용자들에게 공개됐다. 이제 더 이상 지역적인 차이는 없게 됐으며, 스마트폰에서 구글 인증 앱을 사용하지 않는 사람들을 위해서 더 많은 국가에서 문자나 음성 전화를 통한 코드 수령이 가능하게 지원한다.   문자나 음성 전화로 인증 코드를 받을 수 있는 옵션은 인도와 같은 스마트폰 사용자가 많지 않은 국가에서 유용하게 사용될 것으로 보인다.   인증 코드를 받을 설정을 하고 나면 10개의 백업 코드가 발행된다. 이 백업 코드는 각기 한번씩 인증 코드 대신에 사용할 수 있어서 휴대폰을 이용할 수 없을 때 사용할 수 있다. 또한, 환경 설정에서 휴대폰 번호를 하나 더 입력할 수 있는데, 이것은 기존 휴대폰을 잃어버렸을 때 이용할 수 있다.   오늘날 이메일, 소셜 네트워킹 및 다른 온라인 계정들은 여전히 취약하지만 이중 인증 과정은 이런 취약성을 크게 낮춰줄 수 있다. ciokr@idg.co.kr

2011.08.01

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9