Offcanvas

������������

"2FA, 만병통치약 아니다" 우버 해킹 사건의 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2FA 우버 개인정보보호 이중인증 다중인증 MFA 해킹 우버해킹

2022.09.22

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2022.09.22

기고ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.    최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.    미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 다중인증 데이터침해

2022.06.13

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.    최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.    미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

2022.06.13

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

깃허브 개발자 이중인증 2단계 인증 다중인증 보안 소셜 엔지니어링 자격증명 도난 보안 침해

2022.05.06

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

2022.05.06

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

공격자의 윈도우 네트워크 접근을 ‘쉽지 않게’ 하는 방법 4가지

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

공격자 보안 랜섬웨어 네트워크 윈도우 네트워크 이중인증 VPN 자격증명 액티브 디렉토리 파워셸 애저 클라우드 로그인 비밀번호 암호

2021.06.24

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA

2021.06.09

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

2021.06.09

줌, 이중인증 지원 업데이트

줌 비디오 커뮤니케이션즈가 줌 플랫폼에서 보안 침해를 막기 위해 이중인증(Two-Factor Authentication, 2FA) 지원 기능을 업데이트했다고 밝혔다. 이중인증은 사용자의 암호나 핀(pin), 스마트카드나 모바일 기기, 지문 및 음성과 같이 계정 소유권을 확인하는 2가지 이상의 정보나 크리덴셜을 제시하도록 함으로써 온라인 사용자를 식별하는 기능이다. 회사에 따르면 조직은 이중인증을 사용해 암호를 추측하거나 직원 또는 학생의 기기에 접근하는 악의적인 행위자들이 계정에 접근하지 못하도록 추가적인 보안 단계를 적용해, 신분도용 및 보안 침해의 위험을 줄일 수 있다. 또한 조직은 이중인증을 적용해 민감한 데이터와 고객 정보에 대한 컴플라이언스 의무를 수월하게 충족할 수 있다. 규모가 작은 기업이나 학교가 SSO(Single Sign On) 서비스를 이용하기엔 비용 부담이 크다. 줌의 이중인증은 사용자를 검증하고 보안 침해로부터 보호하는 효과적인 방법을 무료로 제공한다. 이중인증은 보안 수준을 한층 강화시켜 사용자가 가질 수 있는 암호 관리에 대한 부담을 덜어준다. 줌 이중인증 기능은 여러 계정 인증 방식을 지원하므로 사용자는 이중 하나를 선택해 사용할 수 있다. 구글 어센티케이터, 마이크로소프트 어센티케이터, FreeOTP 등 시간 기반의 일회용 비밀번호(Time-Based One-Time Password, TOTP) 프로토콜을 이용하거나, SMS 또는 전화 인증을 받을 수도 있다. 줌은 SAML, OAuth, 암호기반 인증 등 폭넓은 인증 방식을 지원하며, 계정마다 각 방식을 활성화 또는 비활성화시킬 수 있게 한다. 계정 관리자는 다음 과정을 거쳐 계정 소유자가 암호기반의 줌 이중인증 기능을 사용하도록 설정할 수 있다. ciokr@idg.co.kr

보안 이중인증

2020.09.11

줌 비디오 커뮤니케이션즈가 줌 플랫폼에서 보안 침해를 막기 위해 이중인증(Two-Factor Authentication, 2FA) 지원 기능을 업데이트했다고 밝혔다. 이중인증은 사용자의 암호나 핀(pin), 스마트카드나 모바일 기기, 지문 및 음성과 같이 계정 소유권을 확인하는 2가지 이상의 정보나 크리덴셜을 제시하도록 함으로써 온라인 사용자를 식별하는 기능이다. 회사에 따르면 조직은 이중인증을 사용해 암호를 추측하거나 직원 또는 학생의 기기에 접근하는 악의적인 행위자들이 계정에 접근하지 못하도록 추가적인 보안 단계를 적용해, 신분도용 및 보안 침해의 위험을 줄일 수 있다. 또한 조직은 이중인증을 적용해 민감한 데이터와 고객 정보에 대한 컴플라이언스 의무를 수월하게 충족할 수 있다. 규모가 작은 기업이나 학교가 SSO(Single Sign On) 서비스를 이용하기엔 비용 부담이 크다. 줌의 이중인증은 사용자를 검증하고 보안 침해로부터 보호하는 효과적인 방법을 무료로 제공한다. 이중인증은 보안 수준을 한층 강화시켜 사용자가 가질 수 있는 암호 관리에 대한 부담을 덜어준다. 줌 이중인증 기능은 여러 계정 인증 방식을 지원하므로 사용자는 이중 하나를 선택해 사용할 수 있다. 구글 어센티케이터, 마이크로소프트 어센티케이터, FreeOTP 등 시간 기반의 일회용 비밀번호(Time-Based One-Time Password, TOTP) 프로토콜을 이용하거나, SMS 또는 전화 인증을 받을 수도 있다. 줌은 SAML, OAuth, 암호기반 인증 등 폭넓은 인증 방식을 지원하며, 계정마다 각 방식을 활성화 또는 비활성화시킬 수 있게 한다. 계정 관리자는 다음 과정을 거쳐 계정 소유자가 암호기반의 줌 이중인증 기능을 사용하도록 설정할 수 있다. ciokr@idg.co.kr

2020.09.11

'인간 구멍을 막아라'··· RSA 2020에서 돋보인 제품 5종

세계 최대의 보안 행사인 RSA가 지난 주 미국 샌프란시스코에서 열렸다. 한 주 동안 수만 명이 모스콘 센터에 모여 거의 800곳의 솔루션 업체를 둘러봤고, 수백 명의 연사가 최신이자 최고의 사이버 보안 기술에 대해 발표했다.   이번 행사의 주제는 “인적 요소”였으며, 이 태그는 마켓 스트리트 지역의 모든 간판을 장식했다. 필자는 이 주제가 보안 솔루션 업계에서 본 것과 부합하는 것으로 생각하는데, 보안 커뮤니티는 보안 기술을 좀 더 쉽게 배치하고 사용하도록 만드는 데 중점을 두고 있다. 이런 변화를 보여주는 대표적인 솔루션 다섯 가지를 소개한다.   시스코 시큐어엑스(SecureX) 지난 해 필자는 EDR(Enpoint Detection and Response)의 시대가 끝나고 XDR의 시대가 시작된다고 주장한 바 있다. 필자의 기본 가정은 EDR 같은 보안 기술은 전체 퍼즐의 작은 조각 하나밖에 못 보기 때문에 따로 떨어져서는 존재하지 못한다는 것이다. 동료이자 CSO 블로거인 존 올칙 역시 비슷한 견해인데, 올칙은 이를 SOAR에 대응하는 SOAPA(Security Operations and Analytics Platform Architecture)라고 부른다. 이 름이야 어떻든, 포인트 솔루션 중심의 접근법은 너무 복잡하고 맹점도 많으며, 해당 조직을 보안 침해에 노출시킨다. 시스코의 시큐어엑스는 운영 단순화를 위해 플랫폼 접근법을 취함으로써 인적 요소를 해결한다. 필자는 XDR의 3대 구성요소로 엔드포인트, 클라우드, 네트워크를 지목한 바 있다. 시스코는 여기서 한 걸음 더 나아가 자사의 탈로스 위협 인텔리전스를 추가하고 머신러닝을 사용해 가시성을 제공하는 것은 물론, 시스코와 서드파티 보안 툴 전반에 걸쳐 워크플로우를 자동화한다. 보안 전문가들은 복잡성이 보안의 적이라는 것을 잘 알고 있으며, 시큐어엑스는 바로 그 운영을 단순화한다.   포티넷 포티AI(FortiAI) 시스코와 비슷하게 포티넷도 플랫폼 접근법을 취...

클라우드 침해 이중인증 엣지 RSA SOAR EDR 구멍

2020.03.04

세계 최대의 보안 행사인 RSA가 지난 주 미국 샌프란시스코에서 열렸다. 한 주 동안 수만 명이 모스콘 센터에 모여 거의 800곳의 솔루션 업체를 둘러봤고, 수백 명의 연사가 최신이자 최고의 사이버 보안 기술에 대해 발표했다.   이번 행사의 주제는 “인적 요소”였으며, 이 태그는 마켓 스트리트 지역의 모든 간판을 장식했다. 필자는 이 주제가 보안 솔루션 업계에서 본 것과 부합하는 것으로 생각하는데, 보안 커뮤니티는 보안 기술을 좀 더 쉽게 배치하고 사용하도록 만드는 데 중점을 두고 있다. 이런 변화를 보여주는 대표적인 솔루션 다섯 가지를 소개한다.   시스코 시큐어엑스(SecureX) 지난 해 필자는 EDR(Enpoint Detection and Response)의 시대가 끝나고 XDR의 시대가 시작된다고 주장한 바 있다. 필자의 기본 가정은 EDR 같은 보안 기술은 전체 퍼즐의 작은 조각 하나밖에 못 보기 때문에 따로 떨어져서는 존재하지 못한다는 것이다. 동료이자 CSO 블로거인 존 올칙 역시 비슷한 견해인데, 올칙은 이를 SOAR에 대응하는 SOAPA(Security Operations and Analytics Platform Architecture)라고 부른다. 이 름이야 어떻든, 포인트 솔루션 중심의 접근법은 너무 복잡하고 맹점도 많으며, 해당 조직을 보안 침해에 노출시킨다. 시스코의 시큐어엑스는 운영 단순화를 위해 플랫폼 접근법을 취함으로써 인적 요소를 해결한다. 필자는 XDR의 3대 구성요소로 엔드포인트, 클라우드, 네트워크를 지목한 바 있다. 시스코는 여기서 한 걸음 더 나아가 자사의 탈로스 위협 인텔리전스를 추가하고 머신러닝을 사용해 가시성을 제공하는 것은 물론, 시스코와 서드파티 보안 툴 전반에 걸쳐 워크플로우를 자동화한다. 보안 전문가들은 복잡성이 보안의 적이라는 것을 잘 알고 있으며, 시큐어엑스는 바로 그 운영을 단순화한다.   포티넷 포티AI(FortiAI) 시스코와 비슷하게 포티넷도 플랫폼 접근법을 취...

2020.03.04

결제 처리 산업에 중대한 영향··· 'PSD2' 안내서

유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다.  PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우)고객 은행 계좌에 액세스할 권한을 부여해야 한다.   SCA(Strong Consumer Authentication) 요건이란 무엇일까? PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다. 그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다. 이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다.  그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적인...

이중인증 EU EMV SCA EBA 3DS2 PSD2

2019.09.17

유럽에서 오는 9월 온라인 결제를 대상으로 새롭게 개정된 PSD2(Payment Services Directive 2)라는 새로운 보안 요구사항이 발효될 예정이다. 그러나 이에 따른 영향은 유럽에 그치지 않을 전망이다.  PSD2는 결제 처리 산업에 2가지 중대한 변화를 가져온다. PSD2는 다중 인증(MFA)을 통해 온라인 거래의 보안을 강화하는 요건을 부과한다. 또 은행을 비롯한 금융기관들은 제3자 결제 서비스 공급업체에 (계좌 소유주가 동의할 경우)고객 은행 계좌에 액세스할 권한을 부여해야 한다.   SCA(Strong Consumer Authentication) 요건이란 무엇일까? PSD2에 따르면, 결제 계좌를 보유한 금융기관은 유럽 지역 소비자의 카드 결제 거래 등 온라인 거래에 이중 인증(2FA)을 적용해야 한다. 더 강력한 인증을 위해 비밀번호와 PIN 같이 사용자가 알고 있는 것, 지문이나 얼굴 인식 같은 생체 인식 식별자나 스마트폰 앱이 생성하는 코드 같이 사용자가 갖고 있는 것을 결합하는 방식이다. 이를 통해 모든 거래에서 고객과 거래 금액을 연결시키는 고유의 인증 코드가 만들어진다. 그렇지만 몇몇 예외가 적용된다. 예를 들어, 30유로 미만의 거래와 구독서비스 같이 지불 받는 사람과 금액이 항상 동일한 반복 거래는 이러한 요건이 적용되지 않는다. 또 소비자가 특정 상점들을 화이트리스트 처리할 수 있다. 이보다 금액이 더 큰 경우에도 수취 은행이나 서비스가 부정행위 발생 비율을 다른 위험 분석 도구를 통해 낮게 유지할 경우 예외가 적용된다. 구체적으로 부정행위 발생 비율이 각각 0.13%, 0.06%, 0.01% 미만일 때 요건이 적용되지 않는 금액 상한선은 각각 100유로, 250유로, 500유로이다.  그러나 컨설팅 회사인 에이트 그룹(Aite Group)과 부정행위 방지 회사인 아이오베이션(Iovation)이 최근 발표한 PSD2가 가져올 영향에 대한 보고서에 따르면, 대부분 수취기관에서 평균적인...

2019.09.17

애플의 엔터프라이즈 전략에 도움이 될 ‘애플 ID로 로그인하기’

애플은 이번 WWDC에서 아이폰, 아이패드, 맥 사용자들이 앱과 웹사이트에 안전하게 로그인할 수 있도록 도와주는 ‘애플 ID로 로그인하기’라는 새로운 온라인 인증 기능을 공개했다. 기업 측면에서 이 기능은 MDM(Mobile Device Management)과 중복되는 경향이 있지만, MDM과의 직접 경쟁보다는 보완제 역할을 하게 될 것으로 기대된다.  애플은 ‘애플 ID로 로그인하기’ 외에 기업 개발자들이 활용할 수 있는 새로운 인증 기능인 SSO 익스텐션(Single Sign-On Extension)도 공개했다. SSO 익스텐션은 모바일 관리 업체나 앱 개발자들이 사용자가 안전한 페이스 ID나 터치 ID로 앱이나 웹사이트에 로그인하도록 하는 API 모음으로, 현재의 ID 체계와 통합할 수 있다.  CCS 인사이트의 엔터프라이즈 리서치 담당 부사장인 닉 맥콰이어는 이번 WWDC에서는 기업용 솔루션이 역대 WWDC 중 가장 많이 공개됐다고 평가했다. SSO 익스텐션을 포함해 iOS의 MAM(Mobile Application Management-only) 모델을 더욱 매력적으로 만들어주는 사용자 수준 등록도 여기에 포함된다. 또, iOS 13 미리보기 페이지에서 애플은 BYOD 프로그램을 위한 데이터 분리를 강조하고 있는데, 이는 기업 데이터를 보호하면서 사용자 프라이버시를 유지할 수 있도록 해주는 기능이다. ‘애플 ID로 로그인하기 기능’은 iOS와 맥OS에서 운영체제 수준에서 동작하며 자동으로 모든 계정을 이중 인증으로 보호해준다. 애플의 설명에 따르면, 애플 디바이스에서 사용자들은 지속적으로 로그인되어 있는 상태이고, 페이스 ID나 터치 ID로 언제든 재인증할 수 있기 때문이다. 맥콰이어는 이 기능이 MDM 플랫폼과 경쟁하는 것이 아니라 보완해주는 역할을 하게 될 것으로 전망했다. 역사적으로 인증 서비스는 모바일 관리 소프트웨어 업체들이 애플 생태계에 더 자연스럽게 ...

애플 WWDC 인증 이중인증 애플ID로로그인하기

2019.06.07

애플은 이번 WWDC에서 아이폰, 아이패드, 맥 사용자들이 앱과 웹사이트에 안전하게 로그인할 수 있도록 도와주는 ‘애플 ID로 로그인하기’라는 새로운 온라인 인증 기능을 공개했다. 기업 측면에서 이 기능은 MDM(Mobile Device Management)과 중복되는 경향이 있지만, MDM과의 직접 경쟁보다는 보완제 역할을 하게 될 것으로 기대된다.  애플은 ‘애플 ID로 로그인하기’ 외에 기업 개발자들이 활용할 수 있는 새로운 인증 기능인 SSO 익스텐션(Single Sign-On Extension)도 공개했다. SSO 익스텐션은 모바일 관리 업체나 앱 개발자들이 사용자가 안전한 페이스 ID나 터치 ID로 앱이나 웹사이트에 로그인하도록 하는 API 모음으로, 현재의 ID 체계와 통합할 수 있다.  CCS 인사이트의 엔터프라이즈 리서치 담당 부사장인 닉 맥콰이어는 이번 WWDC에서는 기업용 솔루션이 역대 WWDC 중 가장 많이 공개됐다고 평가했다. SSO 익스텐션을 포함해 iOS의 MAM(Mobile Application Management-only) 모델을 더욱 매력적으로 만들어주는 사용자 수준 등록도 여기에 포함된다. 또, iOS 13 미리보기 페이지에서 애플은 BYOD 프로그램을 위한 데이터 분리를 강조하고 있는데, 이는 기업 데이터를 보호하면서 사용자 프라이버시를 유지할 수 있도록 해주는 기능이다. ‘애플 ID로 로그인하기 기능’은 iOS와 맥OS에서 운영체제 수준에서 동작하며 자동으로 모든 계정을 이중 인증으로 보호해준다. 애플의 설명에 따르면, 애플 디바이스에서 사용자들은 지속적으로 로그인되어 있는 상태이고, 페이스 ID나 터치 ID로 언제든 재인증할 수 있기 때문이다. 맥콰이어는 이 기능이 MDM 플랫폼과 경쟁하는 것이 아니라 보완해주는 역할을 하게 될 것으로 전망했다. 역사적으로 인증 서비스는 모바일 관리 소프트웨어 업체들이 애플 생태계에 더 자연스럽게 ...

2019.06.07

기업용 스마트폰을 안전하게! 9가지 팁

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

구글 MDM 이중인증 바이러스 모바일아이언 결함 태블릿 백신 롤리팝 업데이트 iOS 스마트폰 애플 IBM 마이크로소프트 안드로이드 운영체제 블랙베리 윈도우폰 취약성

2019.01.14

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

2019.01.14

칼럼 | ‘인증’의 미래는 ‘기계’다

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

암호 이중인증 사용자 인증 패스워드 MFA 암호문 패스프레이즈

2018.10.05

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

2018.10.05

이중 인증이란?··· 필요한 이유, 그리고 이를 구현하는 방법

자체 내부 계정을 통한 이중인증(two-factor authentication, 2FA)은 해커로부터 지켜줄 수 있는 보호 계층을 제공한다. Credit: Silberfuchs 로리 크래노르는 이중인증의 중요성에 대해 잘 알고 있다. 크래노르는 비밀번호와 보안을 전문으로 하는 카네기 멜론(Carnegie Mellon) 대학의 교수이자 미 연방통상위원회 CTO다. 그리고 크래노르는 가족들의 휴대전화 해킹의 피해자이기도 하다. 이제 그녀는 이중인증이 이를 막을 수 있다고 확신한다. 크래노르의 경험은 누구든 몸서리치게 만들기 충분했다. 2016년 여름, 누군가 이동통신 판매점에 들어와 자신이 로리 크래노르임을 확인했다. 그 사기꾼은 가짜 신분증을 제출했으며 그녀는 새로운 아이폰으로 업그레이드하고 싶다고 말했다. 그리고 크래노르의 가족 번호로 연결된 2개의 새로운 기기와 크래노르의 성이 남겨진 계산서를 갖고 판매점을 나왔다. 크래노르는 "이 경우 이동통신업체가 전화로 문자 메시지라도 보냈다면 문제가 발생하지 않았을 것이다. 그 도둑은 예전 전화기를 갖고 있지 않았다. 그건 내 손에 있었다"고 말했다. 현재까지 2FA는 주요 미국이동통신업체에서 여전히 인기를 얻지 못하고 있다. 이런 보안상의 약점은 직원 데이터가 단일 비밀번호로 보호되는 모든 회사에서 경종을 울리고 있다. 이중인증이란 2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 2FA의 예로는 고등학교 마스코트는 무엇입니까?와 같은 질문에 답하는 것이나 문자 메시지를 통해 수신된 인증 코드를 입력하는 것이 포함된다. 2FA를 사용하는 이유 최상의 보안 관행인 2FA의 개념은 새로운 것이 아니다. 구글은 2010년 기업 고객을 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년에는 모든 구글 사용자로 대상을 확대했다. 페이스북 또한 이를 따랐다. 그...

이중인증 2FA

2017.12.05

자체 내부 계정을 통한 이중인증(two-factor authentication, 2FA)은 해커로부터 지켜줄 수 있는 보호 계층을 제공한다. Credit: Silberfuchs 로리 크래노르는 이중인증의 중요성에 대해 잘 알고 있다. 크래노르는 비밀번호와 보안을 전문으로 하는 카네기 멜론(Carnegie Mellon) 대학의 교수이자 미 연방통상위원회 CTO다. 그리고 크래노르는 가족들의 휴대전화 해킹의 피해자이기도 하다. 이제 그녀는 이중인증이 이를 막을 수 있다고 확신한다. 크래노르의 경험은 누구든 몸서리치게 만들기 충분했다. 2016년 여름, 누군가 이동통신 판매점에 들어와 자신이 로리 크래노르임을 확인했다. 그 사기꾼은 가짜 신분증을 제출했으며 그녀는 새로운 아이폰으로 업그레이드하고 싶다고 말했다. 그리고 크래노르의 가족 번호로 연결된 2개의 새로운 기기와 크래노르의 성이 남겨진 계산서를 갖고 판매점을 나왔다. 크래노르는 "이 경우 이동통신업체가 전화로 문자 메시지라도 보냈다면 문제가 발생하지 않았을 것이다. 그 도둑은 예전 전화기를 갖고 있지 않았다. 그건 내 손에 있었다"고 말했다. 현재까지 2FA는 주요 미국이동통신업체에서 여전히 인기를 얻지 못하고 있다. 이런 보안상의 약점은 직원 데이터가 단일 비밀번호로 보호되는 모든 회사에서 경종을 울리고 있다. 이중인증이란 2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 2FA의 예로는 고등학교 마스코트는 무엇입니까?와 같은 질문에 답하는 것이나 문자 메시지를 통해 수신된 인증 코드를 입력하는 것이 포함된다. 2FA를 사용하는 이유 최상의 보안 관행인 2FA의 개념은 새로운 것이 아니다. 구글은 2010년 기업 고객을 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년에는 모든 구글 사용자로 대상을 확대했다. 페이스북 또한 이를 따랐다. 그...

2017.12.05

'스마트폰 없이 칩에서 이중인증'··· 인텔, 8세대 코어부터 'U2F' 지원

패스워드 매니저인 '대시레인(Dashlane)'은 인텔의 8세대 코어 칩의 '잘 알려지지 않은' 기능을 이용한 첫번째 사례가 될 전망이다. 이른바 'U2F(Universal Second Factor)' 인증 기술로, 스마트폰 대신 PC 자체에서 이중인증을 지원한다. 인텔 코어 8세대 아키텍처 내에 기본으로 포함돼 있어 앞으로 크게 활용될 가능성이 높다는 분석이다. 이중인증이란 이메일과 온라인 스토리지, 혹은 다른 데이터 외에 추가 인증을 사용하는 것으로 지난 수년간 보안 강화를 위해 권장됐다. 이중인증은 일반적으로 별도 앱 혹은 SNS를 통해 휴대폰으로 전송된 코드를 요구하는데, 인텔의 8세대 코어 아키텍처과 관련 소프트웨어를 이용하면 이 이중인증 과정에서 휴대폰이 필요없어진다. PC 화면에 나타난 '버튼'을 누르는 것만으로 이중인증 절차를 마칠 수 있기 때문이다. 엄밀히 말하면 U2F는 '기술적으로' 새로운 것이 아니다. 인텔은 7세대 코어 칩 카비 레이크(Kaby Lake)부터 'SGX(Software Guard Extensions)'라는 기술을 지원했다. SGX란 칩 내에 별도로 격리된 공간으로, 암호화 키를 저장하는 데 사용된다. 그러나 현재 SGX를 지원하는 서비스는 드롭박스와 듀오 시큐리티 등 2개에 불과하다. 그나마 올해 초 개념증명(PoC)으로 공개됐을 뿐이다. 8세대 코어 칩이 본격 보급되면 대시레인은 즉시 이 내장 기술을 사용해 U2F를 추가 인증의 하나로 사용한다. 대시레인의 전략 파트너십 매니저 알리슨 베이커는 "U2F는 일반 사용자용 8세대 코어 칩에서 작동하며 인텔의 기업용 v프로 기술이 필요하지 않다. 인텔 기반 호환 PC만 있으면, 휴대폰이나 다른 기기 없이 이중인증을 사용할 수 있다"라고 말했다. 칩 수준의 이중인증이 주목받는 것은 PC 보안이 여전히 취약하기 때문이다. 윈도우 헬로...

인텔 이중인증 U2F

2017.09.05

패스워드 매니저인 '대시레인(Dashlane)'은 인텔의 8세대 코어 칩의 '잘 알려지지 않은' 기능을 이용한 첫번째 사례가 될 전망이다. 이른바 'U2F(Universal Second Factor)' 인증 기술로, 스마트폰 대신 PC 자체에서 이중인증을 지원한다. 인텔 코어 8세대 아키텍처 내에 기본으로 포함돼 있어 앞으로 크게 활용될 가능성이 높다는 분석이다. 이중인증이란 이메일과 온라인 스토리지, 혹은 다른 데이터 외에 추가 인증을 사용하는 것으로 지난 수년간 보안 강화를 위해 권장됐다. 이중인증은 일반적으로 별도 앱 혹은 SNS를 통해 휴대폰으로 전송된 코드를 요구하는데, 인텔의 8세대 코어 아키텍처과 관련 소프트웨어를 이용하면 이 이중인증 과정에서 휴대폰이 필요없어진다. PC 화면에 나타난 '버튼'을 누르는 것만으로 이중인증 절차를 마칠 수 있기 때문이다. 엄밀히 말하면 U2F는 '기술적으로' 새로운 것이 아니다. 인텔은 7세대 코어 칩 카비 레이크(Kaby Lake)부터 'SGX(Software Guard Extensions)'라는 기술을 지원했다. SGX란 칩 내에 별도로 격리된 공간으로, 암호화 키를 저장하는 데 사용된다. 그러나 현재 SGX를 지원하는 서비스는 드롭박스와 듀오 시큐리티 등 2개에 불과하다. 그나마 올해 초 개념증명(PoC)으로 공개됐을 뿐이다. 8세대 코어 칩이 본격 보급되면 대시레인은 즉시 이 내장 기술을 사용해 U2F를 추가 인증의 하나로 사용한다. 대시레인의 전략 파트너십 매니저 알리슨 베이커는 "U2F는 일반 사용자용 8세대 코어 칩에서 작동하며 인텔의 기업용 v프로 기술이 필요하지 않다. 인텔 기반 호환 PC만 있으면, 휴대폰이나 다른 기기 없이 이중인증을 사용할 수 있다"라고 말했다. 칩 수준의 이중인증이 주목받는 것은 PC 보안이 여전히 취약하기 때문이다. 윈도우 헬로...

2017.09.05

해커들이 노리는 CEO, CSO가 어떻게 지킬까?

페이스북의 마크 저커버그나 우버의 트래비스 칼라닉 같은 CEO는 해커들의 표적이 된다. 공격 표적 된 CEO 매년 데이터 유출이 빈번하게 발생하는 사이버보안 공격이 증가하고 있다. 해커들이 특정 조직의 네트워크에 진입을 시도할 때 조직 내 누구라도 위험 요소가 될 수 있다. 그중에서도 눈에 잘 띄는 임직원은 해커들의 표적이 되기 쉽다. CEO가 외부에서 유명세를 타면 공격자는 CEO와 관련한 데이터를 수집하고 활용해 사이버보안 공격 대상으로 삼을 수 있다. 보안 업체인 스파이런트(Spirent)의 데이비드 드산토는 ‘CEO를 사이버보안 공격으로부터 보호할 수 있는 팁’을 다음과 같이 제시했다.   가능한 한 이중인증 활용 기존의 보안 솔루션과 함께 사용하라. 대부분 애플리케이션과 서비스는 로그인 프로세스의 보안을 확장하는 이중인증 솔루션과 통합할 수 있는 기능을 제공한다. 이중인증 업체가 제공하는 모든 기능을 사용해 싱글 사인온(SSO) 기능을 제공해야 한다. 소셜 미디어에 민감한 데이터 제한 현대 사회에서는 데이터(때로는 많은 데이터)를 소셜 미디어에 넣는 것이 일반적이다. 페이스북, 링크드인과 등의 사이트에 있는 생일, 고향, 좋아하는 스포츠팀 같은 항목이 여기에 포함된다. 이 데이터는 허가 없이 누군가가 접근할 수 있고, 이를 사용하고자 하는 사람한테도 개방돼 있다. 비밀번호 재설정 질문 관리 여기에는 '좋아하는 스포츠팀은 무엇인가?' 또는 '어느 대학을 나왔나?' 같은 항목이 포함된다. 임원의 경우 이 정보는 링크드인 같은 사이트에서 온라인으로 볼 수 있다. 정답 대신 해당 사이트에 가짜 답변을 넣어 보라. 가령 "가장 좋아하는 스포츠팀은 어딥니까?"의 질문에 "홀리 몰리 아보카도 스트롬볼리(Holy Moly Avocado Stromboli)’라고 답하는 것이다.   공용 와이파이 대신 테더링 선택 임원의 주요...

CSO 우버 마크 저커버그 와이파이 사이버보안 이중인증 공격 유출 해커 CISO 해킹 CEO 페이스북 트래비스 칼라닉

2017.05.23

페이스북의 마크 저커버그나 우버의 트래비스 칼라닉 같은 CEO는 해커들의 표적이 된다. 공격 표적 된 CEO 매년 데이터 유출이 빈번하게 발생하는 사이버보안 공격이 증가하고 있다. 해커들이 특정 조직의 네트워크에 진입을 시도할 때 조직 내 누구라도 위험 요소가 될 수 있다. 그중에서도 눈에 잘 띄는 임직원은 해커들의 표적이 되기 쉽다. CEO가 외부에서 유명세를 타면 공격자는 CEO와 관련한 데이터를 수집하고 활용해 사이버보안 공격 대상으로 삼을 수 있다. 보안 업체인 스파이런트(Spirent)의 데이비드 드산토는 ‘CEO를 사이버보안 공격으로부터 보호할 수 있는 팁’을 다음과 같이 제시했다.   가능한 한 이중인증 활용 기존의 보안 솔루션과 함께 사용하라. 대부분 애플리케이션과 서비스는 로그인 프로세스의 보안을 확장하는 이중인증 솔루션과 통합할 수 있는 기능을 제공한다. 이중인증 업체가 제공하는 모든 기능을 사용해 싱글 사인온(SSO) 기능을 제공해야 한다. 소셜 미디어에 민감한 데이터 제한 현대 사회에서는 데이터(때로는 많은 데이터)를 소셜 미디어에 넣는 것이 일반적이다. 페이스북, 링크드인과 등의 사이트에 있는 생일, 고향, 좋아하는 스포츠팀 같은 항목이 여기에 포함된다. 이 데이터는 허가 없이 누군가가 접근할 수 있고, 이를 사용하고자 하는 사람한테도 개방돼 있다. 비밀번호 재설정 질문 관리 여기에는 '좋아하는 스포츠팀은 무엇인가?' 또는 '어느 대학을 나왔나?' 같은 항목이 포함된다. 임원의 경우 이 정보는 링크드인 같은 사이트에서 온라인으로 볼 수 있다. 정답 대신 해당 사이트에 가짜 답변을 넣어 보라. 가령 "가장 좋아하는 스포츠팀은 어딥니까?"의 질문에 "홀리 몰리 아보카도 스트롬볼리(Holy Moly Avocado Stromboli)’라고 답하는 것이다.   공용 와이파이 대신 테더링 선택 임원의 주요...

2017.05.23

'최고의 보안 팁은?'··· RSA 2017에서 만난 보안 전문가 5인의 조언

RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다. 하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다. 델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트 스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다. 또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다. 스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다. 크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스 기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다&rdqu...

피싱 이중인증 악성코드 RSA 랜섬웨어

2017.02.21

RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다. 하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다. 델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트 스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다. 또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다. 스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다. 크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스 기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다&rdqu...

2017.02.21

'그럴싸한' 보안 낭설 14가지

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

보안 속설 내부자 위협 낭설 미신 이중인증 해커 피싱 해킹 로그 데이터

2016.10.04

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

2016.10.04

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9