Offcanvas

������

오쓰(OAuth)란?··· 보안 전문가를 위한 가이드

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

로그인 승인 OAuth 오쓰 공개인증 인가

2017.08.18

분산형 PC네트워크가 태동한 이후 크랙하기에 유독 힘든 컴퓨터 보안기법 중 하나는 여러 컴퓨터에 걸쳐 원활한 SSO(Single Sign On) 액세스 경험을 제공하는 것이었다. 각 컴퓨터가 자신의 서비스와 콘텐츠를 이용하기 위해 관련 없는 로그인 계정이 필요하기 때문이다. 비록 전체 인터넷 전체에 실현되지는 않았을지라도, 이제는 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있다. 특정 한 장소에 로그인 하기 위해 비밀번호, 전화기, 디지털 인증서, 생체ID, 이중 인증(2FA), 다중 인증(MFA) SSO 솔루션 등을 사용하면 다른 장소에서도 하루 온 종일 다른 액세스 크리덴셜을 제공할 필요가 없다. 바로 오쓰(OAuth)덕분이다. 오쓰는 공개(open) 표준에 기반을 둔 인증 프로토콜, 도는 프레임워크로, 최초의 싱글 로그인 크리덴셜을 공유하지 않아도 관련 없는 서버와 서비스의 자산에 대한 접근을 인증할 수 있게 해준다. 인증 분야의 용어로 표현하자면 안전하고, 써드파티이며, 사용자 에이전트인 동시에 위임(Delegated) 인증 방식이라고 표기될 수 있다. 태동부터 트위터, 구글 등이 강력히 지원하고 나섰던 오쓰는 2010년 RFC 5849 공개 표준으로 등장했다. 그리고 곧장 광범위하게 보급됐다. 2년 여 동안 대대적인 버전 변경을 거친 후, 2012년 RFC 6749로 오쓰 2.01 버전이 출시됐다. 버전 2.0은 아래에서 다룰 여러 이유로 많은 비판을 받았음에도 불구하고 더 큰 인기를 끌었다. 지금은 아마존, 페이스북, 인스타그램, 링크드인, 마이크로소프트, 넷플릭스, 페이팔 및 기타 회사들이 이를 도입해 사용하고 있다. 오쓰를 간단한 사례를 들어 설명해보자. 특정 웹사이트에 방문해 로그인 하려 할 때, 해당 웹사이트는 다른 하나 이상의 웹사이트/서비스의 로그인을 이용해 로그인할 기회를 준다. 다른 웹사이트에 링크된 버튼을 클릭하면, 이 웹사이트가 사용자를 인증한다. 그러면 ...

2017.08.18

‘서버 접속 제어’ 자동화가 필요한 이유

많은 기업들이 아직까지 자동화된 서버 접속 제어를 도입하지 않았기 때문에 내부자 배신 및 산업 스파이로부터 규제 준수 문제 및 타국 정부의 지원을 받는 공격 등에 이르기까지 다양한 위험에 노출되어 있다. 정보보안 연구기업 에켈론 원(Echelon One)과 기업 접속 관리 전문기업 폭스 테크놀로지스(Fox Technologies)가 최근에 공개한 보고서에서 도출된 결론이다. 디지털 보안과 관련해 많은 기관/기업들은 보더 라우터(Border Router), 방화벽, VPN 등을 이용해 주변 경계를 강화하는데 초점을 맞추고 있다. 이런 솔루션이 보안의 필수적인 요소이기는 하다. 그러나 경계를 넘어 침입할 수 있는 공격자를 저지하거나 내부의 배신자를 막아줄 수는 없다. 다음 단계는 사용자의 접속을 업무에 필요한 기업 서버와 데이터로 한정하는 등의 ‘사용자 접속 권한 제어’를 점진적으로 도입하는 것이다. 현재 많은 기관들이 사용자의 접속을 제한하기 위해서 일부 조치를 취하고 있기는 하다. 그러나 대부분의 기관들이 자체 기업 서버에 대한 접속을 통제하기 위해서 사용하는 수단으로는 자체적인 솔루션(12%), 스도(Sudo, 10%), 사용자 접속 권한 및 암호의 수동 실행(37%) 등에 그쳤다. 에켈론 원의 CEO 밥 웨스트는 이 모든 방법이 기관을 내부자 배신, 기업 간첩행위, 타국 정부 차원의 공격 등에 노출시킨다고 강조했다. 또한 해당 설문조사에 응답한 기업들은 구식 접속관리 기술을 사용하고 있어 네트워크에 침입이 있을 때 지적 재산과 고객의 데이터를 도난 당하고 오용할 소지가 있는 것으로 조사됐다고 전했다. 웨스는 “관리의 규모가 거대할 때 과정을 자동화하지 않으면 정보를 일관되게 보호할 수 없다. 수천 개의 서버를 관리할 때 수동 절차에 의존하고 있다면 모든 것을 일관되게 관리하는 것은 거의 불가능하다"라고 말했다. 사용자 권한 암호의 실행을 수동으로 관리하게 되면 사용자들이 ...

서버 인증 권한 승인 제어 접근

2012.03.21

많은 기업들이 아직까지 자동화된 서버 접속 제어를 도입하지 않았기 때문에 내부자 배신 및 산업 스파이로부터 규제 준수 문제 및 타국 정부의 지원을 받는 공격 등에 이르기까지 다양한 위험에 노출되어 있다. 정보보안 연구기업 에켈론 원(Echelon One)과 기업 접속 관리 전문기업 폭스 테크놀로지스(Fox Technologies)가 최근에 공개한 보고서에서 도출된 결론이다. 디지털 보안과 관련해 많은 기관/기업들은 보더 라우터(Border Router), 방화벽, VPN 등을 이용해 주변 경계를 강화하는데 초점을 맞추고 있다. 이런 솔루션이 보안의 필수적인 요소이기는 하다. 그러나 경계를 넘어 침입할 수 있는 공격자를 저지하거나 내부의 배신자를 막아줄 수는 없다. 다음 단계는 사용자의 접속을 업무에 필요한 기업 서버와 데이터로 한정하는 등의 ‘사용자 접속 권한 제어’를 점진적으로 도입하는 것이다. 현재 많은 기관들이 사용자의 접속을 제한하기 위해서 일부 조치를 취하고 있기는 하다. 그러나 대부분의 기관들이 자체 기업 서버에 대한 접속을 통제하기 위해서 사용하는 수단으로는 자체적인 솔루션(12%), 스도(Sudo, 10%), 사용자 접속 권한 및 암호의 수동 실행(37%) 등에 그쳤다. 에켈론 원의 CEO 밥 웨스트는 이 모든 방법이 기관을 내부자 배신, 기업 간첩행위, 타국 정부 차원의 공격 등에 노출시킨다고 강조했다. 또한 해당 설문조사에 응답한 기업들은 구식 접속관리 기술을 사용하고 있어 네트워크에 침입이 있을 때 지적 재산과 고객의 데이터를 도난 당하고 오용할 소지가 있는 것으로 조사됐다고 전했다. 웨스는 “관리의 규모가 거대할 때 과정을 자동화하지 않으면 정보를 일관되게 보호할 수 없다. 수천 개의 서버를 관리할 때 수동 절차에 의존하고 있다면 모든 것을 일관되게 관리하는 것은 거의 불가능하다"라고 말했다. 사용자 권한 암호의 실행을 수동으로 관리하게 되면 사용자들이 ...

2012.03.21

구글의 모토로라 인수, 미 사법부와 EU 승인 획득

구글의 모토로라 인수가 유럽위원회와 미 사법부로부터 승인을 받았다. 아직 중국과 이스라엘, 대만, 캐나다의 승인을 받아야 하지만, 구글은 올해 초에 인수 합병이 마무리될 것으로 기대하고 있다.   미 사법부는 또한 애플과 마이크로소프트, RIM의 노텔 네트워크 특허 구매와 애플의 노벨 특허 구매도 승인했다. 미 사법부의 반독점 부서는 보도자료를 통해 “각 인수가 본질적으로 경쟁을 약화시킬 것 같지 않다고 판단했다”고 밝혔다. 이로서 이 세 가지 인수에 대한 조사를 종료했다   특히 구글의 모토로라 인수에 대해서는 모바일 업계에 큰 변화를 야기하지 않을 것으로 평가했다. 미 사법부는 “모토로라 모빌리티가 오랫동안 자사의 지적재산권에 적극적으로 투자를 해왔으며, 애플이나 마이크로소프트 등과 분쟁을 빚고 있다”며, “구글의 모토로라 인수가 이런 정책을 근본적으로 바꿔놓지 않을 것이기 때문에 이들 특허의 소유권이 구글에게 넘어가는 것이 현재 시장의 역동성을 근본적으로 변질시키지 않을 것이라고 결론 내렸다”고 설명했다.   또한 애플의 노벨 특허 인수에 대해서는 오픈소스 커뮤니티의 관심이 높았다. 미 사법부는 노텔이 관련 특허에 대해 리눅스에서의 사용에 대해서는 로열티를 받지 않기로 공약을 했기 때문에 시장에는 영향을 미치지 않을 것이라고 판단했다.    구글은 지난 해 8월 모토로라 모빌리티와 1만 7,000여 건의 특허, 6,800여 개의 애플리케이션을 인수하기로 했다고 밝혔다. 많은 애널리스트들은 구글의 모토로라 모빌리티 인수가 경쟁업체와의 특허 분쟁에서 안드로이드 운영체제를 보호하기 위한 전략의 일환이라고 평가했다.  editor@itworld.co.kr

구글 인수 모토로라 특허 반독점 승인

2012.02.14

구글의 모토로라 인수가 유럽위원회와 미 사법부로부터 승인을 받았다. 아직 중국과 이스라엘, 대만, 캐나다의 승인을 받아야 하지만, 구글은 올해 초에 인수 합병이 마무리될 것으로 기대하고 있다.   미 사법부는 또한 애플과 마이크로소프트, RIM의 노텔 네트워크 특허 구매와 애플의 노벨 특허 구매도 승인했다. 미 사법부의 반독점 부서는 보도자료를 통해 “각 인수가 본질적으로 경쟁을 약화시킬 것 같지 않다고 판단했다”고 밝혔다. 이로서 이 세 가지 인수에 대한 조사를 종료했다   특히 구글의 모토로라 인수에 대해서는 모바일 업계에 큰 변화를 야기하지 않을 것으로 평가했다. 미 사법부는 “모토로라 모빌리티가 오랫동안 자사의 지적재산권에 적극적으로 투자를 해왔으며, 애플이나 마이크로소프트 등과 분쟁을 빚고 있다”며, “구글의 모토로라 인수가 이런 정책을 근본적으로 바꿔놓지 않을 것이기 때문에 이들 특허의 소유권이 구글에게 넘어가는 것이 현재 시장의 역동성을 근본적으로 변질시키지 않을 것이라고 결론 내렸다”고 설명했다.   또한 애플의 노벨 특허 인수에 대해서는 오픈소스 커뮤니티의 관심이 높았다. 미 사법부는 노텔이 관련 특허에 대해 리눅스에서의 사용에 대해서는 로열티를 받지 않기로 공약을 했기 때문에 시장에는 영향을 미치지 않을 것이라고 판단했다.    구글은 지난 해 8월 모토로라 모빌리티와 1만 7,000여 건의 특허, 6,800여 개의 애플리케이션을 인수하기로 했다고 밝혔다. 많은 애널리스트들은 구글의 모토로라 모빌리티 인수가 경쟁업체와의 특허 분쟁에서 안드로이드 운영체제를 보호하기 위한 전략의 일환이라고 평가했다.  editor@itworld.co.kr

2012.02.14

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5