Offcanvas

���������

'스마트폰부터 ATM·기숙사까지' 생체인식과 IoT의 미래

건물 출입 관리에 얼마나 많은 애플리케이션이 작동할까? 생체인식에는 건물 출입보다 훨씬 더 많은 애플리케이션이 작동할 수 있다. 생체인식은 보안 방식의 세 번째 범주로 분류된다. 첫 번째는 키, RFID 카드, ID 카드 등 우리가 소지하고 다니는 것이다. 두번째는 암호, PIN, 어렸을 때 키우던 반려동물 이름 같은 답변 등 우리가 아는 것이다. 마지막은 지문, 얼굴, 홍채 등 생체정보처럼 우리 자신이다. 많은 사람이 공항이나 경찰서에서 보안 측정 수단으로 생체인식 기술을 활용하는 데 익숙하다. 지문을 신분증 형태로 사용하는 경우가 많지만, 법 집행 이외의 다른 용도로도 많이 쓰이고 있다. 여타 기술과 마찬가지로 생체인식은 모든 문제에 대한 해결책이 아니다. 하지만 안전하고 편리한 인증을 제공해 거래를 완료하는 많은 계층 중 하나로서 매우 효과적이다. 지문인식 보안업체인 브이칸시(Vkansee) 사장 제이슨 차이킨이 이야기하는 미래의 생체인식 기술을 소개한다. 휴대전화/기기 가장 개인적인 기기인 휴대전화와 기타 기기들에 생체인식 기술을 접목하면 사용자가 편리하고 안전하게 사용할 수 있다. 오늘날 휴대전화에 적용된 지문인식 기술은 10년 이상 사용할 수 있으며 홍채인식 등 다른 생체 인증을 구현하는 새로운 기술도 개발 중이다. 이러한 기기는 애플의 엔클레이브(Enclave)와 퀄컴의 트런스트존(TrustZone) 같은 통합 하드웨어 채널을 사용해 생체 데이터를 비공개로 유지하는 안전한 생태계를 제공함으로써, 생체인식을 안전한 모바일 기기 보호 방법의 하나로 만들어 준다. 은행/ATM 생체인식 기술 도입은 ATM 및 셀프서비스 키오스크의 사기를 크게 줄이는 데 성공했다. 브라질에서는 ATM 사기 행위를 줄이는 데 생체인식 기술을 폭넓게 사용했다. 온라인 뱅킹은 모바일 기기에서 생체인식 하위 시스템을 사용해 계정 정보에 접근하기 시작했으며, 체이스(Chase)의 경우 암호 없이 현금을 관리할 수 있게 만들었다. 대학 ...

CSO 도어록 얼굴 주택 사물인터넷 생체인식 퀄컴 안면 홍채 지문 대학 병원 RFID CISO 은행 애플 브이칸시

2017.02.28

건물 출입 관리에 얼마나 많은 애플리케이션이 작동할까? 생체인식에는 건물 출입보다 훨씬 더 많은 애플리케이션이 작동할 수 있다. 생체인식은 보안 방식의 세 번째 범주로 분류된다. 첫 번째는 키, RFID 카드, ID 카드 등 우리가 소지하고 다니는 것이다. 두번째는 암호, PIN, 어렸을 때 키우던 반려동물 이름 같은 답변 등 우리가 아는 것이다. 마지막은 지문, 얼굴, 홍채 등 생체정보처럼 우리 자신이다. 많은 사람이 공항이나 경찰서에서 보안 측정 수단으로 생체인식 기술을 활용하는 데 익숙하다. 지문을 신분증 형태로 사용하는 경우가 많지만, 법 집행 이외의 다른 용도로도 많이 쓰이고 있다. 여타 기술과 마찬가지로 생체인식은 모든 문제에 대한 해결책이 아니다. 하지만 안전하고 편리한 인증을 제공해 거래를 완료하는 많은 계층 중 하나로서 매우 효과적이다. 지문인식 보안업체인 브이칸시(Vkansee) 사장 제이슨 차이킨이 이야기하는 미래의 생체인식 기술을 소개한다. 휴대전화/기기 가장 개인적인 기기인 휴대전화와 기타 기기들에 생체인식 기술을 접목하면 사용자가 편리하고 안전하게 사용할 수 있다. 오늘날 휴대전화에 적용된 지문인식 기술은 10년 이상 사용할 수 있으며 홍채인식 등 다른 생체 인증을 구현하는 새로운 기술도 개발 중이다. 이러한 기기는 애플의 엔클레이브(Enclave)와 퀄컴의 트런스트존(TrustZone) 같은 통합 하드웨어 채널을 사용해 생체 데이터를 비공개로 유지하는 안전한 생태계를 제공함으로써, 생체인식을 안전한 모바일 기기 보호 방법의 하나로 만들어 준다. 은행/ATM 생체인식 기술 도입은 ATM 및 셀프서비스 키오스크의 사기를 크게 줄이는 데 성공했다. 브라질에서는 ATM 사기 행위를 줄이는 데 생체인식 기술을 폭넓게 사용했다. 온라인 뱅킹은 모바일 기기에서 생체인식 하위 시스템을 사용해 계정 정보에 접근하기 시작했으며, 체이스(Chase)의 경우 암호 없이 현금을 관리할 수 있게 만들었다. 대학 ...

2017.02.28

칼럼 | IoT 보안, 기업의 구매 프로세스도 바꾼다

IoT 기기들로 인한 위협이 실제 일어나고 있고, 문제를 해결하기 위해서는 기업 내 조직적인 변화가 필요하다.  Credit: GettyImage IoT 기기를 경로한 대규모 DDoS 공격이 발생한 것으로 파악됐다. 따라서 사물인터넷(IoT)으로 인해 엄청난 보안 위협이 발생한다는 사실을 의심할 수 없게 되었다. 하지만 아직 많은 기업은 사내의 IoT 관련 기기를 구매하고 관리하는 프로세스에 IT부서와 IT임원진을 참여시켜야 한다는 점을 인지하지 못하고 있다. IoT 보안 위협은 전혀 다른 새로운 종류의 것으로, 기존의 방식으로는 효과적으로 대처할 수 없다. 기업 관점에서 IoT 위협에는 다음의 3가지 측면이 존재한다. 1) 전 세계 IoT 군대로부터 공격 2) 기업 소유 IoT 기기가 타인에 대한 공격에 가담할 수 있도록 허용 3) IoT 기기가 자신의 기업을 공격할 수 있도록 허용 기업의 조직적 변화는 첫 번째 시나리오를 방어하는 데 도움이 되지 않겠지만, 공격 시나리오 2번과 3번을 차단하는 데에서는 엄청난 차이를 보일 수 있다. 구조적인 IoT 문제는, 많은 기기들을 구매하고 승인하는 과정에서 IT나 보안 팀이 배제된다는 점이다. 가령 시설 관리부에서 구매한 도어록(Door Lock)과 전구 그리고 운영 또는 마케팅부에서 구매한 비콘(Beacon)을 생각해 보자. 사이버 도둑이 진짜 공격에 앞서 시험 삼아 네트워크에 침투해 도어룩을 공격했는데 의도치 않게 IoT 도어록이 풀렸다는 사례가 여러 번 보고되었다. IoT 전구도 깜빡임으로 창문을 바라보고 있는 사람에게 메시지를 전달할 수 있다. 회사 물품을 구입할 때, 과거에는 IT의 승인이 필요하지 않았다. 하지만 IoT 터치 기능 있는 물품이라면 얘기가 달라진다. 필자는 다음의 2가지 임무를 제안한다.  -임무 1: 제조사들은 모든 부서의 모든 직원에게 IoT 기기가 무엇으로 구성돼 있는지를 교육한다. -임무 2: IT...

CISO 시설 관리 도어록 커넥티드 기기 비콘 사물인터넷 디도스 위협 공격 DDoS 마이크로 관리

2016.10.13

IoT 기기들로 인한 위협이 실제 일어나고 있고, 문제를 해결하기 위해서는 기업 내 조직적인 변화가 필요하다.  Credit: GettyImage IoT 기기를 경로한 대규모 DDoS 공격이 발생한 것으로 파악됐다. 따라서 사물인터넷(IoT)으로 인해 엄청난 보안 위협이 발생한다는 사실을 의심할 수 없게 되었다. 하지만 아직 많은 기업은 사내의 IoT 관련 기기를 구매하고 관리하는 프로세스에 IT부서와 IT임원진을 참여시켜야 한다는 점을 인지하지 못하고 있다. IoT 보안 위협은 전혀 다른 새로운 종류의 것으로, 기존의 방식으로는 효과적으로 대처할 수 없다. 기업 관점에서 IoT 위협에는 다음의 3가지 측면이 존재한다. 1) 전 세계 IoT 군대로부터 공격 2) 기업 소유 IoT 기기가 타인에 대한 공격에 가담할 수 있도록 허용 3) IoT 기기가 자신의 기업을 공격할 수 있도록 허용 기업의 조직적 변화는 첫 번째 시나리오를 방어하는 데 도움이 되지 않겠지만, 공격 시나리오 2번과 3번을 차단하는 데에서는 엄청난 차이를 보일 수 있다. 구조적인 IoT 문제는, 많은 기기들을 구매하고 승인하는 과정에서 IT나 보안 팀이 배제된다는 점이다. 가령 시설 관리부에서 구매한 도어록(Door Lock)과 전구 그리고 운영 또는 마케팅부에서 구매한 비콘(Beacon)을 생각해 보자. 사이버 도둑이 진짜 공격에 앞서 시험 삼아 네트워크에 침투해 도어룩을 공격했는데 의도치 않게 IoT 도어록이 풀렸다는 사례가 여러 번 보고되었다. IoT 전구도 깜빡임으로 창문을 바라보고 있는 사람에게 메시지를 전달할 수 있다. 회사 물품을 구입할 때, 과거에는 IT의 승인이 필요하지 않았다. 하지만 IoT 터치 기능 있는 물품이라면 얘기가 달라진다. 필자는 다음의 2가지 임무를 제안한다.  -임무 1: 제조사들은 모든 부서의 모든 직원에게 IoT 기기가 무엇으로 구성돼 있는지를 교육한다. -임무 2: IT...

2016.10.13

의외로 쉽게 열리는 블루투스 스마트 잠금장치

평범한 문자 암호, 부실한 암호화, 중재자 공격에 대한 민감성은 블루투스 잠금장치의 고질적인 문제 중 일부일 뿐이다. 다나록(Danalock). Credit: Poly-Control 최근 보안 연구원들이 일부 블루투스 기반 스마트 잠금장치가 얼마나 쉽게 열리는지를 보여주고자 데프콘 해커의 컨벤션을 사용했다. 머큘리트 시큐리티(Merculite Security)의 연구원인 벤 램지와 안토니 로즈는 세오메이트(Ceomate), 엘레사이클(Elecycle), 아이블루록(iBlulock), 메시모션(Mesh Motion), 오키오키(Okidokey), 플랜트라코(Plantraco), 퀵록(Quicklock), 바이안스(Vians) 등이 제작한 16개의 스마트 잠금장치를 시험해 봤다. 그 결과 16개 잠금장치 가운데 12개가 해킹됐다. 이것들 중 7개는 너무나 쉽게 해킹됐다. 이 연구원들의 프레젠테이션 슬라이드는 깃허브에서 볼 수 있는데, 이 프레제테이션은 톰의 가이드에서 처음으로 보고됐다. 잠금장치 중 4개는 잠금장치와 스마트폰 앱 간에 평범한 문자로 암호를 전송하고 있었다. 또 다른 잠금장치는 자체적으로 개발한 독점적인 암호화 기술을 이용했는데, 이 역시 위험한 발상이다. 특수 제작된 암호화 기술이 잠재적인 보안 구멍으로 테스팅되는 경향이 있기 때문이다. 이 경우, 한 암호화에서 1바이트만 바꿔 오류 상태를 그대로 둔 잠금장치가 있는데 바로 이 때문에 잠금장치가 풀리게 됐다. 연구원들은 도어록만을 시험해 본 게 아니었다. 이들은 블루투스 자전거 잠금장치도 점검해 봤는데, 이를 열기 위해 중재자 공격을 시도할 수 있었다. 집과 자산을 지키는 보안 수단으로 도어록을 최우선으로 고려했다면, 스마트 잠금장치는 좋은 방법이 아니다. 더욱 놀라운 것은 이 연구원들이 여러 스마트록 업체에 접촉했을 때 발생한 일이었다. 연구원들은 쉽게 열린 스마트록을 제작한 12개 업체 모두에 연락을 취했다. 톰의 가이드에 따르면, 답변을 준 업체...

스마트폰 도어록 스마트 잠금장치 스마트록 사물인터넷 스마트홈 깃허브 데프콘 블루투스 해커 다나록

2016.08.10

평범한 문자 암호, 부실한 암호화, 중재자 공격에 대한 민감성은 블루투스 잠금장치의 고질적인 문제 중 일부일 뿐이다. 다나록(Danalock). Credit: Poly-Control 최근 보안 연구원들이 일부 블루투스 기반 스마트 잠금장치가 얼마나 쉽게 열리는지를 보여주고자 데프콘 해커의 컨벤션을 사용했다. 머큘리트 시큐리티(Merculite Security)의 연구원인 벤 램지와 안토니 로즈는 세오메이트(Ceomate), 엘레사이클(Elecycle), 아이블루록(iBlulock), 메시모션(Mesh Motion), 오키오키(Okidokey), 플랜트라코(Plantraco), 퀵록(Quicklock), 바이안스(Vians) 등이 제작한 16개의 스마트 잠금장치를 시험해 봤다. 그 결과 16개 잠금장치 가운데 12개가 해킹됐다. 이것들 중 7개는 너무나 쉽게 해킹됐다. 이 연구원들의 프레젠테이션 슬라이드는 깃허브에서 볼 수 있는데, 이 프레제테이션은 톰의 가이드에서 처음으로 보고됐다. 잠금장치 중 4개는 잠금장치와 스마트폰 앱 간에 평범한 문자로 암호를 전송하고 있었다. 또 다른 잠금장치는 자체적으로 개발한 독점적인 암호화 기술을 이용했는데, 이 역시 위험한 발상이다. 특수 제작된 암호화 기술이 잠재적인 보안 구멍으로 테스팅되는 경향이 있기 때문이다. 이 경우, 한 암호화에서 1바이트만 바꿔 오류 상태를 그대로 둔 잠금장치가 있는데 바로 이 때문에 잠금장치가 풀리게 됐다. 연구원들은 도어록만을 시험해 본 게 아니었다. 이들은 블루투스 자전거 잠금장치도 점검해 봤는데, 이를 열기 위해 중재자 공격을 시도할 수 있었다. 집과 자산을 지키는 보안 수단으로 도어록을 최우선으로 고려했다면, 스마트 잠금장치는 좋은 방법이 아니다. 더욱 놀라운 것은 이 연구원들이 여러 스마트록 업체에 접촉했을 때 발생한 일이었다. 연구원들은 쉽게 열린 스마트록을 제작한 12개 업체 모두에 연락을 취했다. 톰의 가이드에 따르면, 답변을 준 업체...

2016.08.10

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31