Offcanvas

��������� ������

강은성의 보안 아키텍트ㅣ비밀번호를 없애자!

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

강은성 강은성의 보안 아키텍트 보안 비밀번호 암호 안티 바이러스 사용자 인증 생체인증

2021.09.17

보안은 원래 보수적이다. 새로운 악성코드가 나왔다고 해서 10년 전 악성코드를 탐지, 제거하지 못하는 안티바이러스 제품이 있다면 시장에서 살아남을 수 없다. 보안정책을 개정할 때에도 기존 보안 위험을 빠뜨리지 않는지 꼼꼼히 살펴본다. 개인적으로도 나이도 좀 들어서 그런지 점점 더 보수적이 되는 것 같다.   그런데 문득 은행 거래를 하면서 비밀번호(Password)를 쓰지 않은 지 몇 년이 지났다는 걸 깨닫게 됐다. ‘공인’(공동) 인증서와 일회용 비밀번호(OTP) 단말기를 사용했기 때문이다. 심지어 은행 거래 안전성의 상징인 OTP 단말도 사용하지 않은 지 꽤 됐다. 은행 모바일 앱에서 지문 인증을 사용하면서부터다. 우리 사회 ‘보수성’의 상징인 은행이 혁명적 변화의 최첨단에 서 있는 셈이다. 사실 비밀번호는 사용자 인증(Authentication)의 오래된 수단이다. ID가 비대면 환경에서 사람을 구별(Identification)하기 위한 수단이라면, 비밀번호는 현재 로그인하는 사람이 바로 ‘나’임을 증명하는 사용자 인증의 한 수단이다.  다들 알다시피 비밀번호 인증은 ‘지식 기반’(What you know) 인증인데, 사실은 ‘기억 기반’(What you remember) 인증이라는 말이 더 적합하다. 하지만 사람의 기억력은 한계가 있고, 요즘처럼 복잡하고 변화가 많은 환경에서 뭔가를 기억하기는 더 어려우며, 나이가 든 사람에게 기억하기는 정말 ‘고난도 기술’이다.  사람의 기억력을 대신하는 다른 인증 방법이 있다. 스마트폰의 소유 여부를 확인하는 문자메시지나 구글 Authenticator 같은 OTP가 있고, 비밀번호 재설정에서는 등록된 계정으로 메일을 보내기도 한다. 출입 시 많이 쓰는 스마트카드 인증도 있다. 모두 해당 수단을 소유(What you have)하고 있는지 인증하는 것이다.  스마트폰에서는 지문 인증을 비롯한 생체 인증, 즉 ‘존재 기반’(What you are) 인증이 많이 쓰인다. 생체인...

2021.09.17

칼럼 | ‘인증’의 미래는 ‘기계’다

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

암호 이중인증 사용자 인증 패스워드 MFA 암호문 패스프레이즈

2018.10.05

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

2018.10.05

내부자 위협 파악하기 '11가지 팁'

보안 전문가가 끊임없이 듣는 말은 내부자 위협에 대한 경고다. 회사에서 이러한 위협에 대처하기 위해서는 차세대 소프트웨어, 통합 위협 인테리전스, 그리고 방대한 분량의 이벤트 로그와 컨텍스트를 상호 연계하는 기능이 필요하다는 이야기들이다. 공격을 차단하고, 그 공격이 성공할 경우 복구하기 위해서도 이러한 도구가 필요하다고 한다. 불행하게도 기업이 침해 사실을 파악한 시점에는 시스템은 이미 장시간 동안 감염된 상태로 운영된 상태라고 보면 된다. 벡트라 네트웍스(Vectra Networks)의 제품 마케팅 담당 이사인 웨이드 윌리암슨은 “내부자 위협에는 악의적인 내부자, 시스템이 감염된 내부자, 부주의한 내부자가 모두 포함된다”면서 “이러한 위협을 모두 식별할 수 있는 명확한 시야가 필요하지만 제각기 행동 특성이 달라 이를 탐지하기 위한 방법도 다르다”고 말했다. 기업에서 내부자 위협을 신속하게 파악하는 데 도움이 되는 보안 전문가들의 조언을 들어봤다. 이 조언을 귀담아 듣는다면 내부자 공격을 사전에 발견하는 데 도움이 될 것이다. 팁 1: DNS 트래픽에서 낯선 패턴 감시 인포블록스(Infoblox)의 시스템 엔지니어인 아르노 뮬렌캠프는 “DNS는 간과되는 경우가 많은 계층이지만 데이터 유출 경로로 사용될 수 있다. DNS 패턴에서 해시와 같은 이상한 패턴이 나타난다면 뭔가 일어나고 있다는 의미일 수 있다”고 말했다. 팁 2: 호스트 대 호스트 인증 로그 확인 폭스-IT(Fox-IT)의 선임 위협 인텔리전스 분석가인 조나단 클린스마는 “한 호스트에서 다른 호스트로 누군가가 인증하는데, 일반적으로 그 대상 호스트가 도메인 컨트롤러를 통해 인증되는 호스트라면 조사를 해봐야 한다”며 “이 경우 PSExec나 그 변형, 또는 미미캐츠(Mimikatz) 등 공격자가 사용하는 도구를 파악하고 이러한 도구와 관련된 트래픽을 찾는 것이 중요하다. 호스...

보안 해킹 사용자 인증 DNS 내부자 위협

2016.01.14

보안 전문가가 끊임없이 듣는 말은 내부자 위협에 대한 경고다. 회사에서 이러한 위협에 대처하기 위해서는 차세대 소프트웨어, 통합 위협 인테리전스, 그리고 방대한 분량의 이벤트 로그와 컨텍스트를 상호 연계하는 기능이 필요하다는 이야기들이다. 공격을 차단하고, 그 공격이 성공할 경우 복구하기 위해서도 이러한 도구가 필요하다고 한다. 불행하게도 기업이 침해 사실을 파악한 시점에는 시스템은 이미 장시간 동안 감염된 상태로 운영된 상태라고 보면 된다. 벡트라 네트웍스(Vectra Networks)의 제품 마케팅 담당 이사인 웨이드 윌리암슨은 “내부자 위협에는 악의적인 내부자, 시스템이 감염된 내부자, 부주의한 내부자가 모두 포함된다”면서 “이러한 위협을 모두 식별할 수 있는 명확한 시야가 필요하지만 제각기 행동 특성이 달라 이를 탐지하기 위한 방법도 다르다”고 말했다. 기업에서 내부자 위협을 신속하게 파악하는 데 도움이 되는 보안 전문가들의 조언을 들어봤다. 이 조언을 귀담아 듣는다면 내부자 공격을 사전에 발견하는 데 도움이 될 것이다. 팁 1: DNS 트래픽에서 낯선 패턴 감시 인포블록스(Infoblox)의 시스템 엔지니어인 아르노 뮬렌캠프는 “DNS는 간과되는 경우가 많은 계층이지만 데이터 유출 경로로 사용될 수 있다. DNS 패턴에서 해시와 같은 이상한 패턴이 나타난다면 뭔가 일어나고 있다는 의미일 수 있다”고 말했다. 팁 2: 호스트 대 호스트 인증 로그 확인 폭스-IT(Fox-IT)의 선임 위협 인텔리전스 분석가인 조나단 클린스마는 “한 호스트에서 다른 호스트로 누군가가 인증하는데, 일반적으로 그 대상 호스트가 도메인 컨트롤러를 통해 인증되는 호스트라면 조사를 해봐야 한다”며 “이 경우 PSExec나 그 변형, 또는 미미캐츠(Mimikatz) 등 공격자가 사용하는 도구를 파악하고 이러한 도구와 관련된 트래픽을 찾는 것이 중요하다. 호스...

2016.01.14

‘이것들은 꼭!’ 클라우드 보안 체크리스트

데이터가 클라우드에서 안전할 것이라고 생각하는가? 당신의 클라우드 서비스 공급자에 대한 여섯 가지 냉정한 질문을 던져본다. 구글 문서도구(Google Docs)에 의존하는 소규모 기업이든 클라우드로 글로벌 ERP 시스템을 움직이는 대기업이든, 웹을 통해 애플리케이션과 서비스를 제공하는 업체에게 몇 가지 일반 보안 및 규정 준수사항을 요구해야 한다. 이런 요구사항에는 호스팅 시스템뿐만 아니라 누가 당신의 애플리케이션과 데이터를 액세스할 수 있는지, 또 데이터가 어디에 저장되는지, 그 데이터가 공유되는 것보다 전용 하드웨어에서 호스팅 되는지 등이 포함된다. 공급자들은 또한 CIO가 기업 및 규제 기준을 준수할 수 있도록 데이터와 애플리케이션을 액세스한 사용자에 대해 자세한 로그를 지원해야 한다. 그리고 데이터가 기업 방화벽 외부에서 제대로 암호화되어 있는지도 검증할 필요가 있다. 클라우드 업체에 요구해야 하는는 사항은 당신의 회사 기준 및 준수사항, 진행 중인 워크로드의 양과 유형, 그리고 어떻게 직원과 공급자 사이의 관리 및 보안 책임을 분산하는가에 따라 달라진다. 보안 요구사항은 또한 서비스로서 소프트웨어(SaaS)를 사용할 것인지, 서비스로서 인프라(IaaS)를 사용할 것인지, 또는 서비스로서 플랫폼(PaaS)을 사용할 것인지 제공하는 것에 따라 달라진다. 하지만, 클라우드 보안 계획을 세울 때, 최소한 다음의 질문을 고려해야 한다. 1. 누가 인증/접근 제어권을 가지나? 사용자의 신분과 역할을 바탕으로, 그들이 사용자인지, 그리고 그들이 볼 수 있는 데이터와 수행 가능한 기능을 제어할 수 있는지 확인할 수 있는 능력은 거의 모든 클라우드 사용자 인터뷰에 있어 최우선 사항이다. 인증은 액티브 디렉토리(Active Directory)와 같은 저장소를 사용해 방화벽 내의 사용자 정보와 컨트롤을 유지하면서 클라우드로 서버와 애플리케이션을 호스트할 때 가장 어려울 수 있다. 최상의 솔루션은 내외부 조직 시스템...

클라우드 보안 암호화 감사 사용자 인증 SAS 70

2012.01.13

데이터가 클라우드에서 안전할 것이라고 생각하는가? 당신의 클라우드 서비스 공급자에 대한 여섯 가지 냉정한 질문을 던져본다. 구글 문서도구(Google Docs)에 의존하는 소규모 기업이든 클라우드로 글로벌 ERP 시스템을 움직이는 대기업이든, 웹을 통해 애플리케이션과 서비스를 제공하는 업체에게 몇 가지 일반 보안 및 규정 준수사항을 요구해야 한다. 이런 요구사항에는 호스팅 시스템뿐만 아니라 누가 당신의 애플리케이션과 데이터를 액세스할 수 있는지, 또 데이터가 어디에 저장되는지, 그 데이터가 공유되는 것보다 전용 하드웨어에서 호스팅 되는지 등이 포함된다. 공급자들은 또한 CIO가 기업 및 규제 기준을 준수할 수 있도록 데이터와 애플리케이션을 액세스한 사용자에 대해 자세한 로그를 지원해야 한다. 그리고 데이터가 기업 방화벽 외부에서 제대로 암호화되어 있는지도 검증할 필요가 있다. 클라우드 업체에 요구해야 하는는 사항은 당신의 회사 기준 및 준수사항, 진행 중인 워크로드의 양과 유형, 그리고 어떻게 직원과 공급자 사이의 관리 및 보안 책임을 분산하는가에 따라 달라진다. 보안 요구사항은 또한 서비스로서 소프트웨어(SaaS)를 사용할 것인지, 서비스로서 인프라(IaaS)를 사용할 것인지, 또는 서비스로서 플랫폼(PaaS)을 사용할 것인지 제공하는 것에 따라 달라진다. 하지만, 클라우드 보안 계획을 세울 때, 최소한 다음의 질문을 고려해야 한다. 1. 누가 인증/접근 제어권을 가지나? 사용자의 신분과 역할을 바탕으로, 그들이 사용자인지, 그리고 그들이 볼 수 있는 데이터와 수행 가능한 기능을 제어할 수 있는지 확인할 수 있는 능력은 거의 모든 클라우드 사용자 인터뷰에 있어 최우선 사항이다. 인증은 액티브 디렉토리(Active Directory)와 같은 저장소를 사용해 방화벽 내의 사용자 정보와 컨트롤을 유지하면서 클라우드로 서버와 애플리케이션을 호스트할 때 가장 어려울 수 있다. 최상의 솔루션은 내외부 조직 시스템...

2012.01.13

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8