Offcanvas

MFA

하시코프, ‘하시코프 볼트 1.10’ 출시… "다중 인증(MFA) 지원"

하시코프가 볼트(Vault)의 SaaS 버전인 HCP 볼트에 '다중 인증(MFA; Multi-Factor Authentication)' 지원을 추가한 ‘하시코프 볼트 1.10’을 공식 출시한다고 밝혔다.   회사에 따르면 이전에는 볼트 엔터프라이즈(Vault Enterprise) 버전에서만 사용할 수 있었던 볼트용 MFA는 제로 트러스트 보안 실행방식을 HCP 볼트까지 확장했다. 이번 통합은 볼트가 제공하는 TOTP(Time-based One-Time Password)와 옥타, 듀오, 핑아이덴티티를 사용해 볼트에 대한 추가 인증 단계를 제공한다. MFA는 기업들의 클라우드 프로그램 확장과 갈수록 분산되는 글로벌 인력 지원에 따른 제로 트러스트 보안의 계획수립과 주도권 확보에 중요한 자격증명과 관련해 추가 보안 보호 계층을 제공한다. 하시코프는 수년동안 볼트 엔터프라이즈 버전에서 MFA를 지원해 왔으며, 이러한 향상된 보안 기능을 볼트 포트폴리오 전반에 걸쳐 제공하기 위해 노력해 왔다고 업체 측은 설명했다. 하시코프 코리아 김종덕 지사장은 “클라우드 운영 모델의 핵심 구성요소로 제로 트러스트 보안을 인프라에 구현하기 위해서는 네트워크 경계를 보호하는 것보다 아이덴티티에 기반해야 한다”라며, “HCP 볼트에 기본적으로 MFA를 추가함으로써 모든 인프라 레벨에서 애플리케이션 및 시스템에 대한 아이덴티티 기반 보안을 일관되게 액세스할 수 있으며, 클라우드 운영 모델을 모든 비즈니스 영역으로 발전시킬 수 있게 되었다”라고 밝혔다. 볼트는 여러 옵션(TOTP, 옥타, 듀오, 핑아이덴티티 등)을 통해 MFA를 사용할 수 있기 때문에 원하는 구현방식을 유연하게 지원한다. 로그인 MFA는 볼트 오픈소스 및 HCP 볼트에서 기본 기능으로 제공된다. 볼트 엔터프라이즈는 로그인 MFA 외에도 시크릿 데이터와 크리덴셜을 획득하기 위한 각 요청에 대해 엔터프라이즈 MFA를 계속 지원한다. ciokr@idg.co.kr

하시코프 다중 인증 MFA

2022.05.11

하시코프가 볼트(Vault)의 SaaS 버전인 HCP 볼트에 '다중 인증(MFA; Multi-Factor Authentication)' 지원을 추가한 ‘하시코프 볼트 1.10’을 공식 출시한다고 밝혔다.   회사에 따르면 이전에는 볼트 엔터프라이즈(Vault Enterprise) 버전에서만 사용할 수 있었던 볼트용 MFA는 제로 트러스트 보안 실행방식을 HCP 볼트까지 확장했다. 이번 통합은 볼트가 제공하는 TOTP(Time-based One-Time Password)와 옥타, 듀오, 핑아이덴티티를 사용해 볼트에 대한 추가 인증 단계를 제공한다. MFA는 기업들의 클라우드 프로그램 확장과 갈수록 분산되는 글로벌 인력 지원에 따른 제로 트러스트 보안의 계획수립과 주도권 확보에 중요한 자격증명과 관련해 추가 보안 보호 계층을 제공한다. 하시코프는 수년동안 볼트 엔터프라이즈 버전에서 MFA를 지원해 왔으며, 이러한 향상된 보안 기능을 볼트 포트폴리오 전반에 걸쳐 제공하기 위해 노력해 왔다고 업체 측은 설명했다. 하시코프 코리아 김종덕 지사장은 “클라우드 운영 모델의 핵심 구성요소로 제로 트러스트 보안을 인프라에 구현하기 위해서는 네트워크 경계를 보호하는 것보다 아이덴티티에 기반해야 한다”라며, “HCP 볼트에 기본적으로 MFA를 추가함으로써 모든 인프라 레벨에서 애플리케이션 및 시스템에 대한 아이덴티티 기반 보안을 일관되게 액세스할 수 있으며, 클라우드 운영 모델을 모든 비즈니스 영역으로 발전시킬 수 있게 되었다”라고 밝혔다. 볼트는 여러 옵션(TOTP, 옥타, 듀오, 핑아이덴티티 등)을 통해 MFA를 사용할 수 있기 때문에 원하는 구현방식을 유연하게 지원한다. 로그인 MFA는 볼트 오픈소스 및 HCP 볼트에서 기본 기능으로 제공된다. 볼트 엔터프라이즈는 로그인 MFA 외에도 시크릿 데이터와 크리덴셜을 획득하기 위한 각 요청에 대해 엔터프라이즈 MFA를 계속 지원한다. ciokr@idg.co.kr

2022.05.11

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

"다단계 인증(MFA) 시장 2027년까지 10% 성장"

다단계 인증 시장 규모가 2021년에서 2027년까지 연평균 10% 성장할 전망이다. 2020년 80억 달러 이상이었던 시장 규모는, 2027년에 250억 달러 이상이 될 것으로 추정됐다. 높은 인터넷 보급률과 사물인터넷(IoT)의 확산으로 네트워크로 연결되는 인프라가 증가하면서, 이를 악용한 사이버 공격이 증가하는 것이 시장 성장을 견인하는 주요 요인 중에 하나다. 글로벌 마켓 인사이트(Global Market Insights)가 '다단계 인증 시장 보고서(Multi-Factor Authentication Market Report)'를 발표했다. 보고서는 2020년을 기준 연도로 설정하고 2021년부터 2027년까지 다단계 인증 시장을, 구성 요소, 인증 모델, 애플리케이션, 지역으로 나누어 분석했다. 인증 모델은 2단계 인증, 3단계 인증, 4단계 인증으로 구분했고, 애플리케이션은 BFSI, 정부 및 국방, IT 및 통신 등 7개 분야로 구분했다. 글로벌 마켓 인사이트의 '다단계 인증 시장' 보고서는 2027년까지 다단계 인증 시장 규모가 연평균 10% 이상 성장할 것으로 예측했다. 2020년 80억 달러 이상이던 시장 규모는 2027년에 250억 달러 이상으로 성장할 것으로 추정했다. (자료 : Global Market Insights) 다단계 인증 시장의 성장 배경에는 데이터 침해와 사이버 공격의 증가 이외에도 몇 가지 요인이 성장을 이끌고 있는 것으로 보고서는 분석했다. 우선 개인 소유의 스마트폰, 태블릿, 노트북 등의 디지털 장치를 업무용으로 활용하는 BYOD(Bring Your Own Device) 트렌드가 자연스러운 일상으로 자리 잡으면서, 장소와 시간에 상관없이 민감하고 중요한 데이터에 접근하는 네트워크 접속에 대한 인증과 보안이 갈수록 중요해지고 있다. 더구나 코로나19(COVID-19)의 출현과 확산으로 인한 재택 및 원격 근무가 일상이 되면서, 사내에서만 접근 가능했던 정보나 별도의 망으로 분리해서 운영하던 네트워크에 대한 인터넷...

다단계 인증 MFA 글로벌 마켓 인사이트 네트워크 인증 BFSI GDPR

2021.08.25

다단계 인증 시장 규모가 2021년에서 2027년까지 연평균 10% 성장할 전망이다. 2020년 80억 달러 이상이었던 시장 규모는, 2027년에 250억 달러 이상이 될 것으로 추정됐다. 높은 인터넷 보급률과 사물인터넷(IoT)의 확산으로 네트워크로 연결되는 인프라가 증가하면서, 이를 악용한 사이버 공격이 증가하는 것이 시장 성장을 견인하는 주요 요인 중에 하나다. 글로벌 마켓 인사이트(Global Market Insights)가 '다단계 인증 시장 보고서(Multi-Factor Authentication Market Report)'를 발표했다. 보고서는 2020년을 기준 연도로 설정하고 2021년부터 2027년까지 다단계 인증 시장을, 구성 요소, 인증 모델, 애플리케이션, 지역으로 나누어 분석했다. 인증 모델은 2단계 인증, 3단계 인증, 4단계 인증으로 구분했고, 애플리케이션은 BFSI, 정부 및 국방, IT 및 통신 등 7개 분야로 구분했다. 글로벌 마켓 인사이트의 '다단계 인증 시장' 보고서는 2027년까지 다단계 인증 시장 규모가 연평균 10% 이상 성장할 것으로 예측했다. 2020년 80억 달러 이상이던 시장 규모는 2027년에 250억 달러 이상으로 성장할 것으로 추정했다. (자료 : Global Market Insights) 다단계 인증 시장의 성장 배경에는 데이터 침해와 사이버 공격의 증가 이외에도 몇 가지 요인이 성장을 이끌고 있는 것으로 보고서는 분석했다. 우선 개인 소유의 스마트폰, 태블릿, 노트북 등의 디지털 장치를 업무용으로 활용하는 BYOD(Bring Your Own Device) 트렌드가 자연스러운 일상으로 자리 잡으면서, 장소와 시간에 상관없이 민감하고 중요한 데이터에 접근하는 네트워크 접속에 대한 인증과 보안이 갈수록 중요해지고 있다. 더구나 코로나19(COVID-19)의 출현과 확산으로 인한 재택 및 원격 근무가 일상이 되면서, 사내에서만 접근 가능했던 정보나 별도의 망으로 분리해서 운영하던 네트워크에 대한 인터넷...

2021.08.25

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

CSO 피싱 피싱 메일 기업 이메일 침해 BEC 랜섬웨어 원격근무 제로 트러스트 MFA

2021.07.19

‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다.  일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다.  英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다.    통계 FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다.  주요 목적은? 다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다. 작동 방식 몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다.  표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예...

2021.07.19

이중 인증을 해킹하는 5가지 방법

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

이중인증 다중인증 MFA

2021.06.09

이중 인증이 널리 보급됨에 따라 사이버범죄자는 이를 전복시킬 새로운 방법을 찾고 있다. 이에 대해 보안 전문가라면 알아야 할 것이 있다.    다중 인증(Multi-Factor Authentication, MFA)은 기업 IT 보안 관행의 최상과 최악을 모두 구현하고 있다. 3년 전, 로저 그림스는 ‘이중 인증 해킹’이라는 기사에서 MFA가 잘 수행되면 효과적일 수 있지만, IT 관리자가 지름길을 택하면 재앙이 될 수 있다고 전했다.  점점 더 많은 기업이 사용자 로그인을 보호하기 위해 MFA를 사용하고 있지만, 여전히 보편적인 방법은 아니다. 실제로 마이크로소프트가 지난해 실시한 설문 조사에 따르면, 손상된 계정의 99.9%가 MFA를 전혀 사용하지 않았으며, 일부 MFA 방법으로 보호되는 기업 계정은 11%에 불과했다.  코로나 19는 MFA 도입에 있어 좋은 점과 나쁜 점 둘 다 제공했다. 잠금 및 원격 작업이 해커에게 새로운 피싱 미끼를 제공했음에도 불구하고 많은 기업 사용자의 일반적인 컴퓨팅 패턴을 제거하기 위한 MFA 배포를 늘릴 수 있는 기회를 제공했다.  S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 451 리서치 선임 연구원 가렛 베커가 실시한 설문 조사에 따르면, MFA를 도입한 기업이 지난해에는 약 절반이었지만 올해는 61%로 급증했다. 베커는 “이는 원격 근무자가 너무 많아졌기 때문이다. 여전히 대부분의 기업은 MFA 사용이 제한적이다. 하지만 VPN보다 훨씬 더 중요한 우선순위가 됐다”라고 설명했다.  최근 버라이즌 데이터 침해 조사 보고서에서 미 비밀경호국 네트워크 침입 대응관리자인 버나드 윌슨은 “코로나 19 기간동안 표적이 된 피해자의 상당 부분은 VPN과 MFA 구현을 소홀히 한 기관과 기업이었다”라고 말했다.  MFA 도입과 관련해 코로나 19 외에도 또 다른 이유가 있다. 2021년 5월, 구...

2021.06.09

블로그ㅣ구글이 큰 ‘보안’ 변화를 만들고 있다

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

구글 다중인증 멀티팩터인증 MFA 보안 인증 생체 인식 얼굴 인식 지문 인식 2단계 인증

2021.05.18

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

2021.05.18

‘새 패스워드를 강요하지 말라?’··· 비밀번호 보안에 대한 최신 조언 10가지

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

패스워드 비밀번호 패스워드 매니저 MFA SSO NIST

2021.04.19

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

2021.04.19

재택근무 보안··· 직원이 '1분 만에' 할 수 있는 10가지

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

재택근무 원격근무 보안 정책 암호화 MFA 라우터 방화벽

2021.02.25

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

2021.02.25

“음성, SMS 기반 멀티팩터 인증도 위험하다” 마이크로소프트 임원 주장

기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다.  마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다.  그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다.  그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다.  와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다.  그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다.  한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프...

마이크로소프트 어센터케이터 윈도우 헬로 인증 MFA

2020.11.17

기업은 일회성 문자 및 음성을 이용하는 멀티팩터 인증(MFA)을 중단할 필요가 있다고 한 마이크로소프트 임원이 강변했다. 앱 기반 인증기와 같은 다른 접근법이 더 안전하다는 주장이다.  마이크로소프트의 신원 보안 부문 디렉터 알렉스 와이너트는 11월 10일 마이크로소프트 블로그에 게재한 포스트에서 “이제 SMS 및 음성 MFA (Multi-Factor Authentication) 메커니즘에서 벗어나야 할 때”라며, “PSTN (Publicly Switched Telephone Network)을 기반으로 하는 이러한 메커니즘은 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각한다”라고 밝혔다.  그는 더 안전한 MFA 방법으로 회사의 앱 기반 인증 솔루션인 ‘마이크로소프트 어센터케이터’(Microsoft Authenticator)와 생체 인식 기술 라인업인 ‘윈도우 헬로’(Windows Hello)를 거론했다.  그는 1년 전에도 암호만으로는 자격 증명에 대한 도용을 막기 어렵다며 MFA 활성화를 강조한 바 있다. 그의 견해는 변하지 않았지만 이번에는 바람직한 MFA의 범위를 좀더 좁힌 셈이다. 그는 “MFA는 필수적이다. 이제 우리는 MFA 사용 여부가 아니라 바람직한 MFA 방법에 대해 말하고자 한다”라고 기술했다.  와이너트는 SMS 및 음성 기반 MFA의 보안 취약점에 대해 나열했다. 이 기술은 일반적으로 사전에 확인된 전화 번호로 6 자리 코드를 전송하는 기술이다. 와이너트는 이 방법이 일반 텍스트 전송에 따른 암호화 부족 및 소셜 엔지니어링 공격에 취약하다고 지적했다.  그에 따르면 마이크로소프트 어센터케이터는 암호화 된 통신을 구현하며, 안면 및 지문 인식도 지원한다. 또 SMS 기반 WFA와 같이 일회성 암호를 지원하며, 이 과정은 처음부터 끝까지 암호화된다.  한편 마이크로소프트는 자체적으로 이러한 주장을 실천하고 있기는 하다. 지난해 회사는 오피스 365 및 마이크로소프...

2020.11.17

코비드-19 노린 공격 기승··· CSO가 사용자 보호하는 4가지 방법

재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.   공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다. 아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다. 1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다. 체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다. 최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다. 또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다. 공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다. 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관...

코비드-19 COVID-19 코로나바이러스 재택근무 트릭봇 Trickbot 에모넷 Emotet URL IP 엔드포인트 이메일 다중 인증 MFA 코비드-19 사이버 위협 연합 Covid-19 Cyber Threat Coalition

2020.05.20

재택근무로 인한 원격 사용자가 특히 코로나바이러스를 주제로 한 피싱 시도, 악성 도메인, 용도 변경 악성코드에 취약한 것으로 파악됐다.   공격자들은 이 위기의 시기를 목표로 하는 캠페인으로 희생자들을 찾고 있다. 가장 큰 위협은 코비드-19와 관련된 피싱 공격이다. 또한 공격자들은 코비드-19 관련 도메인 이름을 설정하고 사람들이 클릭하도록 유도한다. 아노말리(Anomali)는 최근 39개의 서로 다른 악성코드군을 배포하고 80개의 MITER ATT&CK 기술을 사용하는 11명의 위협 행위자와 관련한 15가지 이상의 코로나바이러스 관련 캠페인을 식별한 보고서를 발표했다. 1월에 있었던 공격은 일반적으로 복지 제공 업체와 공중 보건 부문의 알림으로 보이는 악성 이메일이었다. 2월에는 공격이 원격 접근 트로이 목마(RATS)로 바뀌었다. 체크포인트는 3월에 사기성 코비드-19를 주제로 한 도메인이 증가했다고 보고했다. 3월 중순, 연구원들은 공격자들이 존스홉킨스 코로나바이러스 맵을 모방하고 있다고 지적했다. 최근 마이크로소프트는 모니터링하는 네트워크에서 몇 가지 테마 공격 경향을 발견했으며 모든 나라들이 중국, 미국, 러시아에 대해 가장 큰 표적이 되는 하나 이상의 전염병 테마 위협을 주목하고 있다고 전했다. 또한 트릭봇(Trickbot)과 에모넷(Emotet) 악성코드는 코비드-19 관련 악성 첨부 파일이나 악성 URL을 포함해 약 6만 개의 이메일과 함께 다양한 미끼를 재사용함으로써 위협을 이용하기 위해 다시 번들링하고 브랜드를 변경한다. 공격자들은 공식 조직을 사칭해 사용자가 받은 편지함에 들어오게 하고 스마트스크린(SmartScreen)은 1만 8,000개 이상의 악성 코비드-19 주제 URL과 IP 주소를 추적했다. 마이크로소프트 오피스 365 ATP(Advanced Threat Protection)는 가상의 오피스 365 로그인 페이지를 사용하여 자격 증명을 수집하려는 대규모 피싱 공격을 방지했다. 또한 공격자는 건강관...

2020.05.20

칼럼 | 친애하는 먹잇감들에게, 부디 ‘패닉’에 빠질지라!

공포에 사로잡힐지라, 나의 예쁜이들. 탄약과 화장지 더미 아래 모서리에 몸을 숙이고 있거라. 그래서 내가 당신의 모든 것을 손쉽게 해킹할 수 있도록 하라. 집에서 일하라고 말한다. 스스로 격리하라고 말한다. 전염병을 피하라고 말한다. 이러한 가운데 ‘사이버 병균’인 나는 잠시 잊혀졌다. 이제 다시 활개칠 기회가 왔다. 당신이 생물학적 감염을 피하고 있는 동안 나는 조용히 당신의 조직 전반에 디지털 전염병을 확산시키고 적절한 순간에 스위치를 켤 준비를 하고 있다. 몸값을 받아낼 때가 다가오고 있다.  나는 아침의 랜섬웨어 냄새가 너무 좋다. 약간의 공갈 후 맡는 비트코인의 달콤한 향기는 그 무엇과도 비교할 수 없다. 내가 바로 공갈 사이버 전염병이다. 좀 어색한 메타포로 들릴지라도 상관없다. 왜냐하면 결국 불법적인 비트코인 수익을 계산한 후 스쿠루지 맥덕처럼 금화로 거대한 사일로를 채울 때면 행복을 느낄 것이기 때문이다.  어떻게 지금의 명성을 얻고 전리품을 얻을 수 있을 거냐고? 간단하다. 나는 당신이 실수하기를 그저 기다리면 된다. 상사가 “그냥 되게 하라고!”라고 말했기 때문에 기회가 생길 것이다. 당신은 24시간 안에 재택근무 환경을 구성해야 할 것이다. 파자마 노동력 착취에 익숙하지 않은 초짜들이 그렇게 지시할 것이기 때문이다. 쉽게 해결할 수 있는 실수를 저지름으로써 내게는 큰 기회가 열리고야 말 것이다!   VPN을 사용하지 말라 따뜻한 욕조 속에서 나는 범죄의 수익금으로 요트를 구매할 시나리오를 세우고 있다. 당신의 상사는 생산성이 가장 중요하다고 말했다. 따라서 VPN을 배치하면 안 된다. 당신이 이제 막 연결한 온라인으로 직원들이 수많은 새로운 인터넷 서비스에 직접 접속하도록 하라. 내가 네트워크 전체에 대한 몸값을 요구할 때 당신의 상사가 생산성을 얼마나 중시했는지 판명날 것이다. 계속 그렇게 하자. 기업 방화벽에 구멍을 내고 여러 직원들 그리고 인터넷 전체에 RDP 액세스를 제공하자! 내가 범죄를 ...

원격근무 2FA MFA 보안 교육 VPN 인증 해커 재택근무 해킹 코로나19

2020.03.30

공포에 사로잡힐지라, 나의 예쁜이들. 탄약과 화장지 더미 아래 모서리에 몸을 숙이고 있거라. 그래서 내가 당신의 모든 것을 손쉽게 해킹할 수 있도록 하라. 집에서 일하라고 말한다. 스스로 격리하라고 말한다. 전염병을 피하라고 말한다. 이러한 가운데 ‘사이버 병균’인 나는 잠시 잊혀졌다. 이제 다시 활개칠 기회가 왔다. 당신이 생물학적 감염을 피하고 있는 동안 나는 조용히 당신의 조직 전반에 디지털 전염병을 확산시키고 적절한 순간에 스위치를 켤 준비를 하고 있다. 몸값을 받아낼 때가 다가오고 있다.  나는 아침의 랜섬웨어 냄새가 너무 좋다. 약간의 공갈 후 맡는 비트코인의 달콤한 향기는 그 무엇과도 비교할 수 없다. 내가 바로 공갈 사이버 전염병이다. 좀 어색한 메타포로 들릴지라도 상관없다. 왜냐하면 결국 불법적인 비트코인 수익을 계산한 후 스쿠루지 맥덕처럼 금화로 거대한 사일로를 채울 때면 행복을 느낄 것이기 때문이다.  어떻게 지금의 명성을 얻고 전리품을 얻을 수 있을 거냐고? 간단하다. 나는 당신이 실수하기를 그저 기다리면 된다. 상사가 “그냥 되게 하라고!”라고 말했기 때문에 기회가 생길 것이다. 당신은 24시간 안에 재택근무 환경을 구성해야 할 것이다. 파자마 노동력 착취에 익숙하지 않은 초짜들이 그렇게 지시할 것이기 때문이다. 쉽게 해결할 수 있는 실수를 저지름으로써 내게는 큰 기회가 열리고야 말 것이다!   VPN을 사용하지 말라 따뜻한 욕조 속에서 나는 범죄의 수익금으로 요트를 구매할 시나리오를 세우고 있다. 당신의 상사는 생산성이 가장 중요하다고 말했다. 따라서 VPN을 배치하면 안 된다. 당신이 이제 막 연결한 온라인으로 직원들이 수많은 새로운 인터넷 서비스에 직접 접속하도록 하라. 내가 네트워크 전체에 대한 몸값을 요구할 때 당신의 상사가 생산성을 얼마나 중시했는지 판명날 것이다. 계속 그렇게 하자. 기업 방화벽에 구멍을 내고 여러 직원들 그리고 인터넷 전체에 RDP 액세스를 제공하자! 내가 범죄를 ...

2020.03.30

칼럼 | ‘인증’의 미래는 ‘기계’다

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

암호 이중인증 사용자 인증 패스워드 MFA 암호문 패스프레이즈

2018.10.05

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

2018.10.05

'어떤 것도 믿지 마라' 제로 트러스트 보안 모델 도입 5단계

지금부터 약 10여 년 전 포레스터 리서치에서 처음으로 제안한 ‘제로 트러스트(zero trust)’ 모델은 기업 보안에 대한 접근 방식으로, 여기에 따르는 변화와 사용자 경험에 미치는 영향을 정확하게 이해하고 있지 않으면 이행하기가 쉽지 않다. 제로 트러스트 모델은 새롭게 등장하는 위협에 대항하여 애플리케이션 및 데이터를 보호하기 위해서는 네트워크와 엔드포인트 보안에 대한 강력한 사용자 인증 및 디바이스 확인이 필수적이라고 강조하고 있다. 네트워크 주변부에 보안 메커니즘을 적용하는 것이 아니라, 타깃이 되는 대상과 가장 가까운 곳에 밀착하여 보호해야 한다는 것이 제로 트러스트 모델의 논지다. 단지 신뢰할 수 있는 네트워크상에 있다거나, 기업 네트워크 경계 내부에 있다고 해서 특정 사용자나 기기를 검증 없이 신뢰해서는 안 된다고 제로 트러스트 모델은 주장했다. 리스펀드 소프트웨어(Respond Software)의 CTO 스티브 다이어는 “제로 트러스트란 조직의 사이버 보안 철학을 만들어나가는 사고 과정이며 이를 바라보는 하나의 방식이다. 가장 기본이 되는 개념은 ‘네트워크 경계 밖에 있건 안에 있건, 무조건적인 신뢰는 금지’라는 것이다”라고 설명했다. 제로 트러스트 모델의 적용을 위해서는 신중한 계획이 필요하다. 또한 그 이행은 하루아침에 이루어지는 것이 아니라는 것도 알아야 한다. 다이어는 “제로 트러스트를 단순히 새로운 유행 정도로 생각하는 업체들이 많다”고 지적했다. 그러나 실제로 제로 트러스트 모델의 이행은 무척 지루하고 힘든 과정이다. 데이터 접근과 관련한 정책을 만들고, 시행하며, 또 그 데이터를 읽고 쓸 수 있는 애플리케이션에 대한 접근을 승인하는 작업의 반복이다. 다이어는 “지름길은 없다”며 “제로 트러스트 모델의 이행이라는 막중한 부담은 비즈니스 동인과 핵심 애셋을 이해하고 있는 기...

인프라 제로 트러스트 MFA 사용자경험 엔드포인트 아카마이 UX 인증 CISO 암호화 IT아웃소싱 CSO 다중 인증

2018.09.19

지금부터 약 10여 년 전 포레스터 리서치에서 처음으로 제안한 ‘제로 트러스트(zero trust)’ 모델은 기업 보안에 대한 접근 방식으로, 여기에 따르는 변화와 사용자 경험에 미치는 영향을 정확하게 이해하고 있지 않으면 이행하기가 쉽지 않다. 제로 트러스트 모델은 새롭게 등장하는 위협에 대항하여 애플리케이션 및 데이터를 보호하기 위해서는 네트워크와 엔드포인트 보안에 대한 강력한 사용자 인증 및 디바이스 확인이 필수적이라고 강조하고 있다. 네트워크 주변부에 보안 메커니즘을 적용하는 것이 아니라, 타깃이 되는 대상과 가장 가까운 곳에 밀착하여 보호해야 한다는 것이 제로 트러스트 모델의 논지다. 단지 신뢰할 수 있는 네트워크상에 있다거나, 기업 네트워크 경계 내부에 있다고 해서 특정 사용자나 기기를 검증 없이 신뢰해서는 안 된다고 제로 트러스트 모델은 주장했다. 리스펀드 소프트웨어(Respond Software)의 CTO 스티브 다이어는 “제로 트러스트란 조직의 사이버 보안 철학을 만들어나가는 사고 과정이며 이를 바라보는 하나의 방식이다. 가장 기본이 되는 개념은 ‘네트워크 경계 밖에 있건 안에 있건, 무조건적인 신뢰는 금지’라는 것이다”라고 설명했다. 제로 트러스트 모델의 적용을 위해서는 신중한 계획이 필요하다. 또한 그 이행은 하루아침에 이루어지는 것이 아니라는 것도 알아야 한다. 다이어는 “제로 트러스트를 단순히 새로운 유행 정도로 생각하는 업체들이 많다”고 지적했다. 그러나 실제로 제로 트러스트 모델의 이행은 무척 지루하고 힘든 과정이다. 데이터 접근과 관련한 정책을 만들고, 시행하며, 또 그 데이터를 읽고 쓸 수 있는 애플리케이션에 대한 접근을 승인하는 작업의 반복이다. 다이어는 “지름길은 없다”며 “제로 트러스트 모델의 이행이라는 막중한 부담은 비즈니스 동인과 핵심 애셋을 이해하고 있는 기...

2018.09.19

SaaS라는 이름의 쓰나미··· 위험 관리 실용 팁

기업 내 모든 직원이 또 다른 SaaS 애플리케이션을 찾고 있는 형국이다. 신용카드와 지출품의서만 있으면 몇 분 만에 마무리되는 간단한 과정이기도 하다. 문제는 IT관리자가 이 과정에서 배제되고, 기업의 보안 위험으로 이어지고 있다는 점이다. 가트너와 시스코에 따르면, IT부서는 기업 내에서 사용되는 앱 가운데 약 7%만 파악하고 있다. 어느 조직에나 안전하지 못한 SaaS 앱 수백 종이 존재한다는 의미이다. 해커들이 기업 데이터 액세스를 위한 진입점으로 악용할 수 있는 진입점들이다. 엔터프라이즈 애플리케이션 시장이 팽창하면서 관리되지 않는 SaaS 앱의 수가 계속 증가하고 있으며, 이로 인해 보안과 컴플라이언스, 위험 관리가 점점 더 힘들어지고 있다. 원로그인(OneLogin)의 알 사전트 시니어 디렉터는 SaaS 폭증이 초래하는 위험을 관리하는 방법을 공유했다.. Image Credit : Getty Images Bank 비용을 모니터링한다 효율성을 높이는 좋은 방법이 있다. 필요한 애플리케이션 구입을 막는 대신 비용(경비) 항목에 'SaaS 가입' 항목을 추가시키는 것이다. 그러면 직원들이 사용하고 있는 클라우드 앱을 파악, 이를 더 효과적으로 관리하고, 보안을 강화할 수 있다. 개방적 태도를 만든다 직원들은 으레 자신이 좋아하는 앱을 이용할 방법을 찾는다. 외부 애플리케이션을 전면 금지하는 정책이 효과적인 방법이 될 수 없는 이유다. IT는 새로운 생산성 앱, 커뮤니케이션 앱을 요구하는 직원들에게 개방적인 태도를 가져야 한다. 더 빨리 액세스 할 수 있도록 SSO(Single Sign-On) 포털을 제공하는 것도 좋은 방법이다. 직원들이 편안하게 특정 애플리케이션 사용을 요청하고, 더 쉽게 액세스 할 수 있도록 만드는 것이 좋다. 그러면 업무 측면에서 보안이 필요한 도구에 대한 이해를 높일 수 있다. 내부를 안전하게 만든다 직원들이 선호하는 앱을 파악하고, 이를 SSO 포털에 집어넣었다면, IT는 ...

Saas IAM 셰도우 IT SSO IDaaS MFA

2016.12.16

기업 내 모든 직원이 또 다른 SaaS 애플리케이션을 찾고 있는 형국이다. 신용카드와 지출품의서만 있으면 몇 분 만에 마무리되는 간단한 과정이기도 하다. 문제는 IT관리자가 이 과정에서 배제되고, 기업의 보안 위험으로 이어지고 있다는 점이다. 가트너와 시스코에 따르면, IT부서는 기업 내에서 사용되는 앱 가운데 약 7%만 파악하고 있다. 어느 조직에나 안전하지 못한 SaaS 앱 수백 종이 존재한다는 의미이다. 해커들이 기업 데이터 액세스를 위한 진입점으로 악용할 수 있는 진입점들이다. 엔터프라이즈 애플리케이션 시장이 팽창하면서 관리되지 않는 SaaS 앱의 수가 계속 증가하고 있으며, 이로 인해 보안과 컴플라이언스, 위험 관리가 점점 더 힘들어지고 있다. 원로그인(OneLogin)의 알 사전트 시니어 디렉터는 SaaS 폭증이 초래하는 위험을 관리하는 방법을 공유했다.. Image Credit : Getty Images Bank 비용을 모니터링한다 효율성을 높이는 좋은 방법이 있다. 필요한 애플리케이션 구입을 막는 대신 비용(경비) 항목에 'SaaS 가입' 항목을 추가시키는 것이다. 그러면 직원들이 사용하고 있는 클라우드 앱을 파악, 이를 더 효과적으로 관리하고, 보안을 강화할 수 있다. 개방적 태도를 만든다 직원들은 으레 자신이 좋아하는 앱을 이용할 방법을 찾는다. 외부 애플리케이션을 전면 금지하는 정책이 효과적인 방법이 될 수 없는 이유다. IT는 새로운 생산성 앱, 커뮤니케이션 앱을 요구하는 직원들에게 개방적인 태도를 가져야 한다. 더 빨리 액세스 할 수 있도록 SSO(Single Sign-On) 포털을 제공하는 것도 좋은 방법이다. 직원들이 편안하게 특정 애플리케이션 사용을 요청하고, 더 쉽게 액세스 할 수 있도록 만드는 것이 좋다. 그러면 업무 측면에서 보안이 필요한 도구에 대한 이해를 높일 수 있다. 내부를 안전하게 만든다 직원들이 선호하는 앱을 파악하고, 이를 SSO 포털에 집어넣었다면, IT는 ...

2016.12.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8