Offcanvas

MFA

‘랜섬웨어 방어 마지노선’ 백업 서버 보호하기 9단계

온사이트 백업 서버에 대한 접근을 제한한다. 아울러 아웃바운드 통신 기능을 제한한다. 백업 서버의 기업 데이터를 랜섬웨어로부터 보호하기 위한 주요 방책이다. 오늘날 랜섬웨어 범죄 조직이 온사이트 백업 서버를 노리고 있다. 다음은 기업이 백업 서버를 앞서 보호해야 할 이유와 보호 작업을 수행하는 9가지 단계다.   성실하게 패치 최신 OS 패치가 필요한 백업 서버서가 있는 확인해야 한다. 대부분의 랜섬웨어 공격은 패치가 있음에도 불구하고 설치되지 않은 컴퓨터를 대상으로 한다. 운영체제 외에도 백업 소프트웨어가 제공하는 모든 업데이트를 적용해 최신 보호 기능을 활용할 필요가 있다.  인바운드 포트 비활성화 취약점 악용과 더불어 백업 서버를 공격하는 또 하나의 주요 경로는 손상된 자격 증명을 사용해 로그인하는 것이다. 필요한 인바운드 포트를 제외한 모든 포트를 비활성화해야 할 이유다. 백업 소프트웨어가 백업 및 복원을 수행하는 데 필요한 포트만 열려 있어야 한다. 또 백업 서버 전용 VPN을 통해서만 접근할 수 있어야 한다. 랜 사용자도 VPN을 사용하도록 할 필요가 있다.  아웃바운드 DNS 요청 차단 랜섬웨어가 백업 서버를 감염하려 할 때 먼저 하는 작업은 명령 및 제어 서버에 접속하는 것이다. 그렇게 해야만 다음에 수행할 작업에 대한 지침을 받을 수 있다. 이를 차단하기 위해서는 외부 쿼리를 지원하지 않는 로컬 호스트 파일 또는 제한된 DNS 시스템을 사용하는 것이 좋다. 우습게 들릴 수 있지만 시스템을 감염시킨 랜섬웨어를 막는 가장 쉬운 방법이라고도 할 수 있다. 백업 서버가 인터넷에 있는 임의의 시스템의 IP 주소를 합법적으로 필요로 할 이유는 사실상 없다.  LDAP에서 백업 서버 연결 해제 백업 서버를 LDAP(Lightweight Directory Access Protocol) 또는 기타 중앙 집중식 인증 시스템에 연결하면 안 된다. 이들은 랜섬웨어에 의해 감염되기 쉬우며, 백업 서버 자체 또는 백업 애...

백업서버 인바운드 포트 아웃바운드 DNS 요청 MFA

2023.01.05

온사이트 백업 서버에 대한 접근을 제한한다. 아울러 아웃바운드 통신 기능을 제한한다. 백업 서버의 기업 데이터를 랜섬웨어로부터 보호하기 위한 주요 방책이다. 오늘날 랜섬웨어 범죄 조직이 온사이트 백업 서버를 노리고 있다. 다음은 기업이 백업 서버를 앞서 보호해야 할 이유와 보호 작업을 수행하는 9가지 단계다.   성실하게 패치 최신 OS 패치가 필요한 백업 서버서가 있는 확인해야 한다. 대부분의 랜섬웨어 공격은 패치가 있음에도 불구하고 설치되지 않은 컴퓨터를 대상으로 한다. 운영체제 외에도 백업 소프트웨어가 제공하는 모든 업데이트를 적용해 최신 보호 기능을 활용할 필요가 있다.  인바운드 포트 비활성화 취약점 악용과 더불어 백업 서버를 공격하는 또 하나의 주요 경로는 손상된 자격 증명을 사용해 로그인하는 것이다. 필요한 인바운드 포트를 제외한 모든 포트를 비활성화해야 할 이유다. 백업 소프트웨어가 백업 및 복원을 수행하는 데 필요한 포트만 열려 있어야 한다. 또 백업 서버 전용 VPN을 통해서만 접근할 수 있어야 한다. 랜 사용자도 VPN을 사용하도록 할 필요가 있다.  아웃바운드 DNS 요청 차단 랜섬웨어가 백업 서버를 감염하려 할 때 먼저 하는 작업은 명령 및 제어 서버에 접속하는 것이다. 그렇게 해야만 다음에 수행할 작업에 대한 지침을 받을 수 있다. 이를 차단하기 위해서는 외부 쿼리를 지원하지 않는 로컬 호스트 파일 또는 제한된 DNS 시스템을 사용하는 것이 좋다. 우습게 들릴 수 있지만 시스템을 감염시킨 랜섬웨어를 막는 가장 쉬운 방법이라고도 할 수 있다. 백업 서버가 인터넷에 있는 임의의 시스템의 IP 주소를 합법적으로 필요로 할 이유는 사실상 없다.  LDAP에서 백업 서버 연결 해제 백업 서버를 LDAP(Lightweight Directory Access Protocol) 또는 기타 중앙 집중식 인증 시스템에 연결하면 안 된다. 이들은 랜섬웨어에 의해 감염되기 쉬우며, 백업 서버 자체 또는 백업 애...

2023.01.05

MS 어센티케이터, 애플워치에서 사라진다

애플워치를 통해 마이크로소프트 어센티케이터(Microsoft Authenticator)로 기업 사이트 및 서비스 액세스를 인증하고 있다면 나쁜 소식이 있다. 해당 기능이 2023년 1월 [애플워치에서] 사라진다. 마이크로소프트는 어센티케이터가 다음 달로 예정된 업데이트 이후 지원되지 않을 예정이라고 밝혔다.    마이크로소프트 어센티케이터를 사용하면 2단계 인증을 통해 마이크로소프트 계정, 지원되는 앱 또는 서비스에 쉽게 로그인할 수 있다. 또 어센티케이터는 일회용 코드를 생성해주기 때문에 계정에 액세스하기 위해 문자 메시지나 전화를 기다릴 필요가 없다. 사이트, 소프트웨어, 서비스는 2단계 인증(MFA)을 활용하여 사람들이 사용자의 암호를 알고 있더라도 해당 계정에 액세스하지 못하도록 한다.  지원 중단에 따라 현재 [애플]워치에서 쓰고 있는 어센티케이터는 더 이상 작동하지 않게 된다. 아울러 인기 있는 웨어러블용 앱을 더 이상 다운로드할 수 없게 된다(단, 아이폰에서는 지원된다). MS가 지원을 철회하는 이유 마이크로소프트는 애플워치가 어센티케이터의 일부 보안 기능을 지원하지 않기 때문에 이러한 결정을 내리게 됐다고 전했다. 이는 아마도 마이크로소프트가 내년 2월부터 어센티케이터에서 시행할 ‘숫자 일치(Number Matching)’와 관련 있는 것으로 보인다(이는 애플워치에서 지원되지 않는다).  해당 조치를 설명하면서 마이크로소프트는 다음과 같이 말했다. “2023년 1월 iOS용 어센티케이터 릴리즈에는 워치OS용 앱이 없을 것이다. 어센티케이터 보안 기능과 호환되지 않기 때문이다. 즉, 애플워치에 어센티케이터를 설치하거나 사용할 수 없다. 이 변경사항은 애플워치에만 해당되며, 다른 기기에서는 계속 어센티케이터를 쓸 수 있다.” 물론 이 지원 중단의 여파는 제한적일 수 있다. 어센티케이터를 아이폰에서는 사용할 수 있을 뿐만 아니라 대체 시스템도 있어서다. 그리고 애플, 마이크로소프트, 구글 등은 암호를 패스...

마이크로소프트 어센티케이터 애플워치 웨어러블 기기 인증 2단계 인증 MFA

2022.12.19

애플워치를 통해 마이크로소프트 어센티케이터(Microsoft Authenticator)로 기업 사이트 및 서비스 액세스를 인증하고 있다면 나쁜 소식이 있다. 해당 기능이 2023년 1월 [애플워치에서] 사라진다. 마이크로소프트는 어센티케이터가 다음 달로 예정된 업데이트 이후 지원되지 않을 예정이라고 밝혔다.    마이크로소프트 어센티케이터를 사용하면 2단계 인증을 통해 마이크로소프트 계정, 지원되는 앱 또는 서비스에 쉽게 로그인할 수 있다. 또 어센티케이터는 일회용 코드를 생성해주기 때문에 계정에 액세스하기 위해 문자 메시지나 전화를 기다릴 필요가 없다. 사이트, 소프트웨어, 서비스는 2단계 인증(MFA)을 활용하여 사람들이 사용자의 암호를 알고 있더라도 해당 계정에 액세스하지 못하도록 한다.  지원 중단에 따라 현재 [애플]워치에서 쓰고 있는 어센티케이터는 더 이상 작동하지 않게 된다. 아울러 인기 있는 웨어러블용 앱을 더 이상 다운로드할 수 없게 된다(단, 아이폰에서는 지원된다). MS가 지원을 철회하는 이유 마이크로소프트는 애플워치가 어센티케이터의 일부 보안 기능을 지원하지 않기 때문에 이러한 결정을 내리게 됐다고 전했다. 이는 아마도 마이크로소프트가 내년 2월부터 어센티케이터에서 시행할 ‘숫자 일치(Number Matching)’와 관련 있는 것으로 보인다(이는 애플워치에서 지원되지 않는다).  해당 조치를 설명하면서 마이크로소프트는 다음과 같이 말했다. “2023년 1월 iOS용 어센티케이터 릴리즈에는 워치OS용 앱이 없을 것이다. 어센티케이터 보안 기능과 호환되지 않기 때문이다. 즉, 애플워치에 어센티케이터를 설치하거나 사용할 수 없다. 이 변경사항은 애플워치에만 해당되며, 다른 기기에서는 계속 어센티케이터를 쓸 수 있다.” 물론 이 지원 중단의 여파는 제한적일 수 있다. 어센티케이터를 아이폰에서는 사용할 수 있을 뿐만 아니라 대체 시스템도 있어서다. 그리고 애플, 마이크로소프트, 구글 등은 암호를 패스...

2022.12.19

'번거로움의 가치'··· 이중인증 종류와 사용법

2단계 인증(two-factor authentication, 2FA) 혹은 다단계 인증(multi-factor authentication, MFA)의 대표적인 방식은 과거에 로그인한 적 없는 모든 기기에 일반 암호와 함께 보조 숫자 코드를 입력하는 것이다. 이런 추가 코드는 일반적으로 휴대폰으로 전송되므로 비밀번호를 도용한 사람은 휴대폰에 물리적으로 접근할 수 있고 휴대폰의 잠금을 해제하는 방법을 알지 않는 이상 계정에 로그인할 수 없다.     일반 비밀번호 외에 추가 인증을 거치는 번거로움은 보안 측면에서 충분히 가치가 있으며, 2FA를 요구하기 시작한 기업도 점점 많아지고 있다. 구글과 아마존의 링(Ring)은 2021년부터 2FA를 의무화했고, 애플 ID로 로그인 할 때도 2FA가 기본적으로 활성화되어 있다. 모두 긍정적인 변화다.  하지만 대부분의 2FA는 인증 번호를 휴대폰에 문자로 전송하는 방식이다. 아무것도 하지 않는 것보다는 안전하지만, SIM 하이재킹 공격에는 취약할 수 있다. 따라서 2FA를 통해 보안을 강화하기 위해서는 보다 적극적인 자세를 취할 필요가 있다. 또한 휴대폰을 분실하거나 도난당한 경우에 대비해 백업 2FA를 준비하는 것이 좋다. 고려할 만한 2FA 옵션은 다음과 같다.  인증 앱 사용하기 주요 온라인 서비스 대부분은 2FA 코드를 문자로 보내지 않고 별도의 인증 앱으로 코드를 생성한다. 인증 앱으로 일회성 QR 코드를 스캔해 온라인 서비스와 동기화하면 코드가 나타난다. 구글과 마이크로소프트는 자체 인증 앱을 제공하지만, 필자는 무료 앱인 오시(Authy)를 선호한다. 동시에 여러 기기에 설치할 수 있어 아이폰, 안드로이드 휴대폰, 아이패드, 윈도우 데스크톱, 윈도우 노트북, 맥 미니에 모두 오시를 설치했다.   이런 편리함에는 약간의 대가가 따른다. 새 기기에서 오시를 설치하는 기능은 사용자가 활성화/비활성화할 수 있다. 이 기능에 접근하려면 ...

2FA MFA 이중인증 다중인증

2022.11.29

2단계 인증(two-factor authentication, 2FA) 혹은 다단계 인증(multi-factor authentication, MFA)의 대표적인 방식은 과거에 로그인한 적 없는 모든 기기에 일반 암호와 함께 보조 숫자 코드를 입력하는 것이다. 이런 추가 코드는 일반적으로 휴대폰으로 전송되므로 비밀번호를 도용한 사람은 휴대폰에 물리적으로 접근할 수 있고 휴대폰의 잠금을 해제하는 방법을 알지 않는 이상 계정에 로그인할 수 없다.     일반 비밀번호 외에 추가 인증을 거치는 번거로움은 보안 측면에서 충분히 가치가 있으며, 2FA를 요구하기 시작한 기업도 점점 많아지고 있다. 구글과 아마존의 링(Ring)은 2021년부터 2FA를 의무화했고, 애플 ID로 로그인 할 때도 2FA가 기본적으로 활성화되어 있다. 모두 긍정적인 변화다.  하지만 대부분의 2FA는 인증 번호를 휴대폰에 문자로 전송하는 방식이다. 아무것도 하지 않는 것보다는 안전하지만, SIM 하이재킹 공격에는 취약할 수 있다. 따라서 2FA를 통해 보안을 강화하기 위해서는 보다 적극적인 자세를 취할 필요가 있다. 또한 휴대폰을 분실하거나 도난당한 경우에 대비해 백업 2FA를 준비하는 것이 좋다. 고려할 만한 2FA 옵션은 다음과 같다.  인증 앱 사용하기 주요 온라인 서비스 대부분은 2FA 코드를 문자로 보내지 않고 별도의 인증 앱으로 코드를 생성한다. 인증 앱으로 일회성 QR 코드를 스캔해 온라인 서비스와 동기화하면 코드가 나타난다. 구글과 마이크로소프트는 자체 인증 앱을 제공하지만, 필자는 무료 앱인 오시(Authy)를 선호한다. 동시에 여러 기기에 설치할 수 있어 아이폰, 안드로이드 휴대폰, 아이패드, 윈도우 데스크톱, 윈도우 노트북, 맥 미니에 모두 오시를 설치했다.   이런 편리함에는 약간의 대가가 따른다. 새 기기에서 오시를 설치하는 기능은 사용자가 활성화/비활성화할 수 있다. 이 기능에 접근하려면 ...

2022.11.29

블로그ㅣ 피싱 공격 막는 법은? 현관문을 닫아라

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

피싱 피싱 공격 사회 공학 랜섬웨어 금융 사기 MFA 2FA

2022.10.27

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 英 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 97,456,345건의 기록이 손상됐다.  2022년 내내 (공개된) 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고… 해커들은 피싱 캠페인을 활용하여 이러한 공격을 시작하기 위한 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 친구의 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 해당 직원의 자격증명에 액세스하고, (기업 시스템에 침입할 수 있는) 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 게 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버(Uber)에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발...

2022.10.27

'비밀번호 하나 없애려니 대체재 술술' MFA 솔루션 제대로 고르기

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

MFA 2FA 다중인증 이중인증 패스워드리스 패스워드리스ID관리 제로트러스트

2022.10.20

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

2022.10.20

다중 인증 했는데도 털렸다? 눈 뜨고 코 베이는 ‘MFA 피로’ 공격

자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다.   인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다.    우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다.  우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다.  이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다.  아...

해킹 보안 침해 다중 인증 다단계 인증 MFA 자격증명 손상 MFA 피로 랩서스 우버 사회 공학

2022.09.26

자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다.   인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다.    우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다.  우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다.  이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다.  아...

2022.09.26

"2FA, 만병통치약 아니다" 우버 해킹 사건의 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2FA 우버 개인정보보호 이중인증 다중인증 MFA 해킹 우버해킹

2022.09.22

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2022.09.22

블로그ㅣ원격 데스크톱 프로토콜(RDP) 공격을 막는 3가지 방법

위협 행위자의 네트워크 원격 접근을 막기 위해 마이크로소프트에서 제공하는 기본 설정 및 새로운 기능 외에 사용자가 할 수 있는 방법을 살펴본다.  랜섬웨어가 시스템에 침입하는 (오래된) 한 가지 방법은 마이크로소프트의 원격 데스크톱 프로토콜(Remote Desktop Protocol; RDP)을 공격하는 것이다. 수년 전 사무실 안팎에서 공유 원격 접근을 위해 마이크로소프트의 터미널 서비스를 사용했을 때, 위협 행위자는 TS그라인더(TSGrinder) 도구를 사용하곤 했다.    위협 행위자는 먼저 포트 3389에서 터미널 서비스 트래픽의 네트워크를 확인한다. 그다음 도구를 사용해 암호를 추측하여 네트워크 액세스 권한을 얻고, 관리자 계정을 노린다. 관리자 계정 이름을 변경하거나 터미널 서비스 프로토콜을 다른 포트로 이동하더라도 위협 행위자는 TCP/IP 트래픽을 스니핑하고, 트래픽이 어디로 이동했는지 식별할 수 있다.  위협 행위자는 RDP를 통해 여전히 원격 접근을 노리고 있다. 사람이 조작하는 랜섬웨어 기법을 통해 위협 행위자는 접근 권한을 얻은 다음, 더 높은 권한을 사용하여 네트워크에서 더 많은 액세스 권한을 얻는다. 여기서는 무차별 대입 공격 또는 기타 표적 원격 공격에서 네트워크를 보호하는 방법들을 소개한다.  빈 암호로 관리자 계정 사용 믿거나 말거나 이러한 공격을 막는 한 가지 방법은 관리자 계정에 빈 암호를 사용하는 것이다. 그룹 정책(Group Policy) 설정에서 ‘계정(Accounts): 로컬 계정에서 빈 암호 사용을 콘솔 로그온 전용으로 제한(Limit local account use of blank passwords to console logon only)’을 활용하면 빈 암호를 통해 네트워크에 원격으로 액세스할 수 있는 기능이 차단된다. 물론 이상적인 보안 조치는 아니지만 서버 2003 이후 그룹 정책에서 쓸 수 있는 흥미로운 보호 기능이라고 할 수 있다.  윈도우 ...

원격 접근 보안 원격 액세스 보안 네트워크 보안 원격 데스크톱 프로토콜 RDP 윈도우 11 MFA

2022.08.04

위협 행위자의 네트워크 원격 접근을 막기 위해 마이크로소프트에서 제공하는 기본 설정 및 새로운 기능 외에 사용자가 할 수 있는 방법을 살펴본다.  랜섬웨어가 시스템에 침입하는 (오래된) 한 가지 방법은 마이크로소프트의 원격 데스크톱 프로토콜(Remote Desktop Protocol; RDP)을 공격하는 것이다. 수년 전 사무실 안팎에서 공유 원격 접근을 위해 마이크로소프트의 터미널 서비스를 사용했을 때, 위협 행위자는 TS그라인더(TSGrinder) 도구를 사용하곤 했다.    위협 행위자는 먼저 포트 3389에서 터미널 서비스 트래픽의 네트워크를 확인한다. 그다음 도구를 사용해 암호를 추측하여 네트워크 액세스 권한을 얻고, 관리자 계정을 노린다. 관리자 계정 이름을 변경하거나 터미널 서비스 프로토콜을 다른 포트로 이동하더라도 위협 행위자는 TCP/IP 트래픽을 스니핑하고, 트래픽이 어디로 이동했는지 식별할 수 있다.  위협 행위자는 RDP를 통해 여전히 원격 접근을 노리고 있다. 사람이 조작하는 랜섬웨어 기법을 통해 위협 행위자는 접근 권한을 얻은 다음, 더 높은 권한을 사용하여 네트워크에서 더 많은 액세스 권한을 얻는다. 여기서는 무차별 대입 공격 또는 기타 표적 원격 공격에서 네트워크를 보호하는 방법들을 소개한다.  빈 암호로 관리자 계정 사용 믿거나 말거나 이러한 공격을 막는 한 가지 방법은 관리자 계정에 빈 암호를 사용하는 것이다. 그룹 정책(Group Policy) 설정에서 ‘계정(Accounts): 로컬 계정에서 빈 암호 사용을 콘솔 로그온 전용으로 제한(Limit local account use of blank passwords to console logon only)’을 활용하면 빈 암호를 통해 네트워크에 원격으로 액세스할 수 있는 기능이 차단된다. 물론 이상적인 보안 조치는 아니지만 서버 2003 이후 그룹 정책에서 쓸 수 있는 흥미로운 보호 기능이라고 할 수 있다.  윈도우 ...

2022.08.04

블로그ㅣ'네트워크 인프라', 충분히 보호하고 있는가?

필수적인 네트워크 인프라 보안 이니셔티브에는 일반 자격증명 제거, IT 관리자 계정 정기 감사, 인프라 접근용 MFA 구축 등이 있다.  네트워크 인프라 보호에 충분한 리소스를 투자하고 있는지 면밀하게 살펴봐야 할 때다(그리고 아마도 그렇지 않을 공산이 크다). 하이퍼 스케일러라면 네트워크 보안을 위해 할 수 있는 모든 일을 하고 있을 것이다. 하지만 이외의 거의 모든 기업은 ‘아니오’라고 가정하는 게 안전하다.    이는 무조건 비난할 만한 문제가 아니다. 대부분의 경우 이 문제는 가용 자원과 인지된 위험에 달려 있기 때문이다. 사이버 보안 예산은 물론이고 네트워크에서 발생할 수 있는 모든 위험을 처리하기에 인력과 시간도 너무 적을 때, 네트워크 사이버 보안 인력은 무엇에 집중할까?  대부분은 네트워크의 ‘내부(inward-facing)’보다 ‘외부(outward-facing)’에 집중하는 경향이 있다. 여기에는 2가지 큰 문제가 있다. ‘내부’가 흔들리고 있어서다. 즉, 기업 환경의 ‘내부’와 ‘외부’ 사이에 명확한 선을 긋기가 갈수록 어려워지고 있다. 그리고 ‘내부’에는 내부자 위협도 존재한다.  위험 평가를 수행할 때, IT 담당자가 인터넷과 직접적으로 연결되는 곳을 보호하는 것과 거의 동일한 방식으로 모든 네트워크 인프라를 보호해야 한다는 의미다. 다시 말해, 캠퍼스 스위치는 메인 인터넷 라우터 또는 애플리케이션 딜리버리 컨트롤러와 마찬가지로 엔터프라이즈 공격 영역의 일부다. 따라서 네트워크 보안 담당자는 네트워크 인프라 보안뿐만 아니라 전사 보안을 향상하기 위해 더 많은 시간을 투자해야 한다. 여기서는 이를 위한 4가지 방법을 살펴본다.  일반 자격증명 공유를 중단하라 이게 문제라는 걸 더 이상 말할 필요가 없다. 하지만 충격적인 수의 IT가 여전히 이러한 일을 하고 있다. 이를테면 스위치 관리 액세스 권한 등을 얻기 위해 네트워크 직원이 필요에 따라 로그인할 수 있는 계정이 있거나 때...

네트워크 인프라 네트워크 보안 자격증명 계정 감사 MFA 소프트웨어 정의 경계

2022.07.18

필수적인 네트워크 인프라 보안 이니셔티브에는 일반 자격증명 제거, IT 관리자 계정 정기 감사, 인프라 접근용 MFA 구축 등이 있다.  네트워크 인프라 보호에 충분한 리소스를 투자하고 있는지 면밀하게 살펴봐야 할 때다(그리고 아마도 그렇지 않을 공산이 크다). 하이퍼 스케일러라면 네트워크 보안을 위해 할 수 있는 모든 일을 하고 있을 것이다. 하지만 이외의 거의 모든 기업은 ‘아니오’라고 가정하는 게 안전하다.    이는 무조건 비난할 만한 문제가 아니다. 대부분의 경우 이 문제는 가용 자원과 인지된 위험에 달려 있기 때문이다. 사이버 보안 예산은 물론이고 네트워크에서 발생할 수 있는 모든 위험을 처리하기에 인력과 시간도 너무 적을 때, 네트워크 사이버 보안 인력은 무엇에 집중할까?  대부분은 네트워크의 ‘내부(inward-facing)’보다 ‘외부(outward-facing)’에 집중하는 경향이 있다. 여기에는 2가지 큰 문제가 있다. ‘내부’가 흔들리고 있어서다. 즉, 기업 환경의 ‘내부’와 ‘외부’ 사이에 명확한 선을 긋기가 갈수록 어려워지고 있다. 그리고 ‘내부’에는 내부자 위협도 존재한다.  위험 평가를 수행할 때, IT 담당자가 인터넷과 직접적으로 연결되는 곳을 보호하는 것과 거의 동일한 방식으로 모든 네트워크 인프라를 보호해야 한다는 의미다. 다시 말해, 캠퍼스 스위치는 메인 인터넷 라우터 또는 애플리케이션 딜리버리 컨트롤러와 마찬가지로 엔터프라이즈 공격 영역의 일부다. 따라서 네트워크 보안 담당자는 네트워크 인프라 보안뿐만 아니라 전사 보안을 향상하기 위해 더 많은 시간을 투자해야 한다. 여기서는 이를 위한 4가지 방법을 살펴본다.  일반 자격증명 공유를 중단하라 이게 문제라는 걸 더 이상 말할 필요가 없다. 하지만 충격적인 수의 IT가 여전히 이러한 일을 하고 있다. 이를테면 스위치 관리 액세스 권한 등을 얻기 위해 네트워크 직원이 필요에 따라 로그인할 수 있는 계정이 있거나 때...

2022.07.18

‘IAM’ 전략이 수렁에 빠지고 있다는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

ID 및 액세스 관리 IAM 인증 SSO MFA 옥타 애저 액티브 디렉토리

2022.07.07

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업들은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 이 오랜 역사에도 여전히 실수가 발생할 가능성이 있으며, 특히 기업들이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 이는 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 기업들이 보통 먼저 시도하는 건 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 것이라고 브레츠만은 언급했다. 그는 이것이 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. 이는 IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. ...

2022.07.07

하시코프, ‘하시코프 볼트 1.10’ 출시… "다중 인증(MFA) 지원"

하시코프가 볼트(Vault)의 SaaS 버전인 HCP 볼트에 '다중 인증(MFA; Multi-Factor Authentication)' 지원을 추가한 ‘하시코프 볼트 1.10’을 공식 출시한다고 밝혔다.   회사에 따르면 이전에는 볼트 엔터프라이즈(Vault Enterprise) 버전에서만 사용할 수 있었던 볼트용 MFA는 제로 트러스트 보안 실행방식을 HCP 볼트까지 확장했다. 이번 통합은 볼트가 제공하는 TOTP(Time-based One-Time Password)와 옥타, 듀오, 핑아이덴티티를 사용해 볼트에 대한 추가 인증 단계를 제공한다. MFA는 기업들의 클라우드 프로그램 확장과 갈수록 분산되는 글로벌 인력 지원에 따른 제로 트러스트 보안의 계획수립과 주도권 확보에 중요한 자격증명과 관련해 추가 보안 보호 계층을 제공한다. 하시코프는 수년동안 볼트 엔터프라이즈 버전에서 MFA를 지원해 왔으며, 이러한 향상된 보안 기능을 볼트 포트폴리오 전반에 걸쳐 제공하기 위해 노력해 왔다고 업체 측은 설명했다. 하시코프 코리아 김종덕 지사장은 “클라우드 운영 모델의 핵심 구성요소로 제로 트러스트 보안을 인프라에 구현하기 위해서는 네트워크 경계를 보호하는 것보다 아이덴티티에 기반해야 한다”라며, “HCP 볼트에 기본적으로 MFA를 추가함으로써 모든 인프라 레벨에서 애플리케이션 및 시스템에 대한 아이덴티티 기반 보안을 일관되게 액세스할 수 있으며, 클라우드 운영 모델을 모든 비즈니스 영역으로 발전시킬 수 있게 되었다”라고 밝혔다. 볼트는 여러 옵션(TOTP, 옥타, 듀오, 핑아이덴티티 등)을 통해 MFA를 사용할 수 있기 때문에 원하는 구현방식을 유연하게 지원한다. 로그인 MFA는 볼트 오픈소스 및 HCP 볼트에서 기본 기능으로 제공된다. 볼트 엔터프라이즈는 로그인 MFA 외에도 시크릿 데이터와 크리덴셜을 획득하기 위한 각 요청에 대해 엔터프라이즈 MFA를 계속 지원한다. ciokr@idg.co.kr

하시코프 다중 인증 MFA

2022.05.11

하시코프가 볼트(Vault)의 SaaS 버전인 HCP 볼트에 '다중 인증(MFA; Multi-Factor Authentication)' 지원을 추가한 ‘하시코프 볼트 1.10’을 공식 출시한다고 밝혔다.   회사에 따르면 이전에는 볼트 엔터프라이즈(Vault Enterprise) 버전에서만 사용할 수 있었던 볼트용 MFA는 제로 트러스트 보안 실행방식을 HCP 볼트까지 확장했다. 이번 통합은 볼트가 제공하는 TOTP(Time-based One-Time Password)와 옥타, 듀오, 핑아이덴티티를 사용해 볼트에 대한 추가 인증 단계를 제공한다. MFA는 기업들의 클라우드 프로그램 확장과 갈수록 분산되는 글로벌 인력 지원에 따른 제로 트러스트 보안의 계획수립과 주도권 확보에 중요한 자격증명과 관련해 추가 보안 보호 계층을 제공한다. 하시코프는 수년동안 볼트 엔터프라이즈 버전에서 MFA를 지원해 왔으며, 이러한 향상된 보안 기능을 볼트 포트폴리오 전반에 걸쳐 제공하기 위해 노력해 왔다고 업체 측은 설명했다. 하시코프 코리아 김종덕 지사장은 “클라우드 운영 모델의 핵심 구성요소로 제로 트러스트 보안을 인프라에 구현하기 위해서는 네트워크 경계를 보호하는 것보다 아이덴티티에 기반해야 한다”라며, “HCP 볼트에 기본적으로 MFA를 추가함으로써 모든 인프라 레벨에서 애플리케이션 및 시스템에 대한 아이덴티티 기반 보안을 일관되게 액세스할 수 있으며, 클라우드 운영 모델을 모든 비즈니스 영역으로 발전시킬 수 있게 되었다”라고 밝혔다. 볼트는 여러 옵션(TOTP, 옥타, 듀오, 핑아이덴티티 등)을 통해 MFA를 사용할 수 있기 때문에 원하는 구현방식을 유연하게 지원한다. 로그인 MFA는 볼트 오픈소스 및 HCP 볼트에서 기본 기능으로 제공된다. 볼트 엔터프라이즈는 로그인 MFA 외에도 시크릿 데이터와 크리덴셜을 획득하기 위한 각 요청에 대해 엔터프라이즈 MFA를 계속 지원한다. ciokr@idg.co.kr

2022.05.11

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

"다단계 인증(MFA) 시장 2027년까지 10% 성장"

다단계 인증 시장 규모가 2021년에서 2027년까지 연평균 10% 성장할 전망이다. 2020년 80억 달러 이상이었던 시장 규모는, 2027년에 250억 달러 이상이 될 것으로 추정됐다. 높은 인터넷 보급률과 사물인터넷(IoT)의 확산으로 네트워크로 연결되는 인프라가 증가하면서, 이를 악용한 사이버 공격이 증가하는 것이 시장 성장을 견인하는 주요 요인 중에 하나다. 글로벌 마켓 인사이트(Global Market Insights)가 '다단계 인증 시장 보고서(Multi-Factor Authentication Market Report)'를 발표했다. 보고서는 2020년을 기준 연도로 설정하고 2021년부터 2027년까지 다단계 인증 시장을, 구성 요소, 인증 모델, 애플리케이션, 지역으로 나누어 분석했다. 인증 모델은 2단계 인증, 3단계 인증, 4단계 인증으로 구분했고, 애플리케이션은 BFSI, 정부 및 국방, IT 및 통신 등 7개 분야로 구분했다. 글로벌 마켓 인사이트의 '다단계 인증 시장' 보고서는 2027년까지 다단계 인증 시장 규모가 연평균 10% 이상 성장할 것으로 예측했다. 2020년 80억 달러 이상이던 시장 규모는 2027년에 250억 달러 이상으로 성장할 것으로 추정했다. (자료 : Global Market Insights) 다단계 인증 시장의 성장 배경에는 데이터 침해와 사이버 공격의 증가 이외에도 몇 가지 요인이 성장을 이끌고 있는 것으로 보고서는 분석했다. 우선 개인 소유의 스마트폰, 태블릿, 노트북 등의 디지털 장치를 업무용으로 활용하는 BYOD(Bring Your Own Device) 트렌드가 자연스러운 일상으로 자리 잡으면서, 장소와 시간에 상관없이 민감하고 중요한 데이터에 접근하는 네트워크 접속에 대한 인증과 보안이 갈수록 중요해지고 있다. 더구나 코로나19(COVID-19)의 출현과 확산으로 인한 재택 및 원격 근무가 일상이 되면서, 사내에서만 접근 가능했던 정보나 별도의 망으로 분리해서 운영하던 네트워크에 대한 인터넷...

다단계 인증 MFA 글로벌 마켓 인사이트 네트워크 인증 BFSI GDPR

2021.08.25

다단계 인증 시장 규모가 2021년에서 2027년까지 연평균 10% 성장할 전망이다. 2020년 80억 달러 이상이었던 시장 규모는, 2027년에 250억 달러 이상이 될 것으로 추정됐다. 높은 인터넷 보급률과 사물인터넷(IoT)의 확산으로 네트워크로 연결되는 인프라가 증가하면서, 이를 악용한 사이버 공격이 증가하는 것이 시장 성장을 견인하는 주요 요인 중에 하나다. 글로벌 마켓 인사이트(Global Market Insights)가 '다단계 인증 시장 보고서(Multi-Factor Authentication Market Report)'를 발표했다. 보고서는 2020년을 기준 연도로 설정하고 2021년부터 2027년까지 다단계 인증 시장을, 구성 요소, 인증 모델, 애플리케이션, 지역으로 나누어 분석했다. 인증 모델은 2단계 인증, 3단계 인증, 4단계 인증으로 구분했고, 애플리케이션은 BFSI, 정부 및 국방, IT 및 통신 등 7개 분야로 구분했다. 글로벌 마켓 인사이트의 '다단계 인증 시장' 보고서는 2027년까지 다단계 인증 시장 규모가 연평균 10% 이상 성장할 것으로 예측했다. 2020년 80억 달러 이상이던 시장 규모는 2027년에 250억 달러 이상으로 성장할 것으로 추정했다. (자료 : Global Market Insights) 다단계 인증 시장의 성장 배경에는 데이터 침해와 사이버 공격의 증가 이외에도 몇 가지 요인이 성장을 이끌고 있는 것으로 보고서는 분석했다. 우선 개인 소유의 스마트폰, 태블릿, 노트북 등의 디지털 장치를 업무용으로 활용하는 BYOD(Bring Your Own Device) 트렌드가 자연스러운 일상으로 자리 잡으면서, 장소와 시간에 상관없이 민감하고 중요한 데이터에 접근하는 네트워크 접속에 대한 인증과 보안이 갈수록 중요해지고 있다. 더구나 코로나19(COVID-19)의 출현과 확산으로 인한 재택 및 원격 근무가 일상이 되면서, 사내에서만 접근 가능했던 정보나 별도의 망으로 분리해서 운영하던 네트워크에 대한 인터넷...

2021.08.25

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

CSO 피싱 피싱 메일 기업 이메일 침해 BEC 랜섬웨어 원격근무 제로 트러스트 MFA

2021.07.19

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

2021.07.19

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA

2021.06.09

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

2021.06.09

블로그ㅣ구글이 큰 ‘보안’ 변화를 만들고 있다

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

구글 다중인증 멀티팩터인증 MFA 보안 인증 생체 인식 얼굴 인식 지문 인식 2단계 인증

2021.05.18

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

2021.05.18

‘새 패스워드를 강요하지 말라?’··· 비밀번호 보안에 대한 최신 조언 10가지

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

패스워드 비밀번호 패스워드 매니저 MFA SSO NIST

2021.04.19

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

2021.04.19

재택근무 보안··· 직원이 '1분 만에' 할 수 있는 10가지

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

재택근무 원격근무 보안 정책 암호화 MFA 라우터 방화벽

2021.02.25

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

2021.02.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.

10.4.0.13