Offcanvas

������������

애플·구글·MS, '암호 없는 로그인'에 협력한다··· 2023년부터 지원 예정

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

FIDO 암호 패스워드 구글 애플 마이크로소프트 로그인

2022.05.09

창과 방패의 싸움은, 디지털 혁신과 전환의 시대를 맞으면서 더욱 거세지고 있다. 소중한 정보와 재산을 지키려는 방패와 같은 보안 시스템만으로는 모든 악의적인 공격을 막을 수 없다. 그 방패를 뚫고 남의 것을 강탈하려는 창은 갈수록 더욱 날카롭고 강해진다. 그런 창과 방패가 만나는 지점에, '암호'라는 뜨거운 감자가 있다. 애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력한다고 발표했다. 협력의 결과가 결실을 맺으면 웹이나 앱에서 암호 없는 로그인으로 사용자를 인증할 수 있는 장치와 플랫폼이 더 넓고 다양하게 확대될 전망이다. 2023년으로 예정되어 있는 암호 없는 로그인이 본격적인 궤도에 오르면, 고객들은 더 빠르고 쉽고 편리한 로그인 과정을 일관되고 안전하게 제공받을 수 있게 된다. 이를 위해 FIDO 얼라이언스((Fast IDentity Online Alliance)와 W3C(World Wide Web Consortium)에서 만든 암호 없는 로그인 표준에 대한 지원을 확대한다. 암호 없는 로그인 표준을 애플, 구글, 마이크로소프의 주요 장치와 플랫폼 차원에서 본격적으로 지원하게 되면, 다양한 웹과 앱의 사용자 인증이 스마트폰의 지문 인식, 얼굴 인식, 패턴 인식, 핀(PIN) 번호 만으로 암호 없이 가능해진다. 사용자 등록과 인증을 통해 '암호 없는 로그인' 설정이 완료되면, 지문 또는 얼굴 인식, 음성 인식, 핀 번호, 패턴 등 스마트폰 잠금을 해제하는 것과 같은 방법으로 암호 없이 사이트나 서비스에 로그인할 수 있다. (자료 : FIDO Alliance) 물론 지금도 FIDO 얼라이언스나 W3C에서 제공하는 암호 없는 로그인을 활용해, 다양한 장치에서 웹 사이트 등을 로그인할 때 암호 없는 로그인을 제공할 수 있다. 하지만 현재는 암호 없는 로그인을 사용하기 위해 각 장치로 웹사이트나 앱에 로그인하는 과정이 필요하다. 이번 발표는 이러한 플랫폼 구현을 두 가지 새...

2022.05.09

2021년 주목해야 할 사이버 보안 스타트업 12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

스타트업 ID 패스워드 크리덴셜 사이버공격

2021.07.12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

2021.07.12

‘새 패스워드를 강요하지 말라?’··· 비밀번호 보안에 대한 최신 조언 10가지

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

패스워드 비밀번호 패스워드 매니저 MFA SSO NIST

2021.04.19

2013년 이후 가장 널리 쓰이는 비밀번호는 무엇이었을까? 상상할 수 있는 특히 단순한 비밀번호, 즉 ‘123456’이다. 그리고 ‘password’, ‘Qwerty’ 등이 이어진다.  노드패스(NordPass)가 데이터 침해에 의해 노출된 비밀번호 분석을 바탕으로 선정한 2020년 ‘올해의 가장 흔한 비밀번호들’에 따르면 아직도 ‘123456’을 비밀번호로 사용하는 사람이 수없이 많다. 이 6자리 숫자는 여러 해에 걸쳐 다른 순위 목록에서도 높은 위치를 차지했다. 스플래시데이터(SplashData)는 위와 비슷한 방식을 이용해 목록을 만든 결과, ‘123456’은 2011년과 2012년 2위를 차지했고, 그 후 2019년까지 매년 1위 자리를 고수했다. 다른 황당한 비밀번호도 수없이 많다. 위에서 언급한 ‘password’ (언제나 상위 5위권이었고, 2011년과 2012년에는 1위였음), ‘qwerty’ (언제나 10위권 내), 그리고 약간 변형된 ‘12345678’ (언제나 6위권 내) 등이다.  2020년의 가장 흔했던 비밀번호 10가지  노드패스의 흔한 비밀번호 순위에 따르면 2020년 가장 흔히 사용된 최악의 비밀번호 10가지는 아래와 같다.      123456     123456789     picture1     password     12345678     111111     123123     12345     1234567890     senha 스플래시데이터, 영국의 국가 사이버 보안 센터(National Cyber Security Center, NCSC)등에서 나온 다른 최악의 비밀번호 목록들도 비슷하다. 쉽게 상상할 수 있는 수열, 표준 QWERTY 키보드 상에 서로 인접한 문자로 이루어진 ‘단어’들은 언제나 높은...

2021.04.19

MS 액티브 디렉토리에서 ‘도메인 암호 보안’ 강화하기

제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다. 마이크로소프트의 LAPS 툴킷을 사용할 것 어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다. “[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.” 도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다.  첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다. -> '해킹에 강한' ...

액티브 디렉토리 LAPS 툴킷 2FA 임무 분리 도메인 암호 정책 패스워드 NIST

2021.04.16

제로 트러스트(zero trust)의 개념은 ‘그 어떤 것도 다짜고짜 신뢰해서는 안 된다’라는 것이다. 많은 기업이 제로 트러스트로 가기 위해 노력 중이지만 아직 미치지 못하고 있다. 제로 트러스트에 다다르기 전까지는 네트워크 보호 강화 조치를 취해야 한다. 마이크로소프트 환경에서 우석적으로 해야 할 도메인에서의 암호 처리 개선 요령을 소개한다. 마이크로소프트의 LAPS 툴킷을 사용할 것 어떤 조직이든 일단 마이크로소프트 LAPS(Local Administrator Password Solution) 툴킷을 배치하는 것부터 시작해야 한다. 마이크로소프트의 다운로드 페이지에서 설명하는 지침은 다음과 같다. “[LAPS 솔루션은] 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 수평 에스컬레이션 위험을 완화합니다. LAPS는 AD에 있는 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장하고 컴퓨터의 해당 AD 개체에 있는 기밀 특성으로 보호합니다. 컴퓨터에서 AD에 있는 자체 암호 데이터를 업데이트할 수 있으며, 도메인 관리자가 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.” 도메인에 가입되지 않은 머신이나 클라우드 가상 머신으로 이동하는 사람들을 위해 애저 마켓플레이스(Azure Marketplace)는 인튠 가입 머신에 고유한 관리자 암호를 배치할 수 있는 여러 가지 옵션을 제공하고 있다.  첫번째는 시너직스 랩(Synergix Labs)의 LAPS 위드 인튠(LAPS with Intune)이다. 이 밖에 시저닉스 랩의 LAPS 포 애저(LAPS for Azure)와 그레이코벨 솔루션(GreyCorbel Solutions)의 APME(Admin Password Manager for Enterprise)도 있다. 클라우드로 자산을 옮길 때 로컬 관리자 암호를 통해 공격자가 손쉽게 침입하는 일이 없도록 해 주는 솔루션들이다. -> '해킹에 강한' ...

2021.04.16

랜섬웨어 피해자가 되는 7가지 경로와 대비책

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 보호 ...

랜섬웨어 취약점 패스워드 권한 RDP

2020.11.23

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 보호 ...

2020.11.23

애플, FIDO 협회 합류··· 비밀번호 대체 시도에 동참

애플이 온라인 서비스와 앱에 로그인하기 위한 패스워드를 다른 보다 빠르고 안전한 방법으로 대체하는 인증 표준 그룹인 FIDO 협회(FIDO Alliance)에 가입했다. 애플로서는 다소 이례적인 움직임이다. 이로써 애플은 IT 거대 기업 중 마지막으로 FIDO(Fast IDentity Online)에 합류했다. 현재 아마존, 페이스북, 구글, 인텔, MS, RSA, 삼성, 퀄컴 그리고 VM웨어가 합류하고 있는 이 그룹에는, 이 밖에도 아메리칸 익스프레스, ING, 마스터카드, 페이팔, 비자, 웰스 파고와 같은 12개 이상의 금융서비스 회사가 참여하고 있다. J. 골드 어소시에이트의 사장 겸 수석 애널리스트인 잭 골드는 “애플은 새로운 조직에 합류하는 데 있어서 보통 앞서 움직이지 않는다. 가입하기 전에 충분히 알기 위해 종종 기다린다. 이번 FIDO 합류는 애플치고는 상당히 이례적인 행보다. 애플은 자사의 기술을 업계 표준으로 제시하려는 경우는 종종 있지만, 일반적으로 멀티벤더 업계 표준을 조기에 채택하지는 않기 때문이다”라고 말했다. 그는 이어 “내 생각에 FIDO의 경우 애플이 동참해야 한다는 압박감을 느끼고 있을 만큼 충분한 모멘텀을 갖고 있다. 특히 클라우드 기반 세계 및 인증 측면에서 FIDO는 기업이 무시할 수 없는 핵심 이니셔티브로 인정받고 있다”라고 말했다. 가트너 보안 및 프라이버시 연구 책임자인 데이비드 마흐디 또한 애플의 이러한 움직임이 주목할 만하다고 평가했다. 마흐디는 “암호 없는 세상을 실현하기 위한 의미 있는 움직임이다. 애플의 가입은 주목할 만한 조치다”라고 말했다. 2012년에 조직된 FIDO의 목적은 본질적으로 불안정한 암호 사용 대신 서비스와 앱에 대해 2단계 인증을 추진하는 것이다. 버라이즌의 데이터 유출 조사 보고서에 따르면, 해커에 의한 모든 보안 유출의 81%가 도난 되거나 엉성한 비밀번호 때문이다.   버라이즌은 보고서는 “사용자 이름/이메일 주소 및 비밀번호에 의존하는 경우 소비자 기기에서 다른 ...

애플 인증 비밀번호 패스워드 FIDO

2020.02.25

애플이 온라인 서비스와 앱에 로그인하기 위한 패스워드를 다른 보다 빠르고 안전한 방법으로 대체하는 인증 표준 그룹인 FIDO 협회(FIDO Alliance)에 가입했다. 애플로서는 다소 이례적인 움직임이다. 이로써 애플은 IT 거대 기업 중 마지막으로 FIDO(Fast IDentity Online)에 합류했다. 현재 아마존, 페이스북, 구글, 인텔, MS, RSA, 삼성, 퀄컴 그리고 VM웨어가 합류하고 있는 이 그룹에는, 이 밖에도 아메리칸 익스프레스, ING, 마스터카드, 페이팔, 비자, 웰스 파고와 같은 12개 이상의 금융서비스 회사가 참여하고 있다. J. 골드 어소시에이트의 사장 겸 수석 애널리스트인 잭 골드는 “애플은 새로운 조직에 합류하는 데 있어서 보통 앞서 움직이지 않는다. 가입하기 전에 충분히 알기 위해 종종 기다린다. 이번 FIDO 합류는 애플치고는 상당히 이례적인 행보다. 애플은 자사의 기술을 업계 표준으로 제시하려는 경우는 종종 있지만, 일반적으로 멀티벤더 업계 표준을 조기에 채택하지는 않기 때문이다”라고 말했다. 그는 이어 “내 생각에 FIDO의 경우 애플이 동참해야 한다는 압박감을 느끼고 있을 만큼 충분한 모멘텀을 갖고 있다. 특히 클라우드 기반 세계 및 인증 측면에서 FIDO는 기업이 무시할 수 없는 핵심 이니셔티브로 인정받고 있다”라고 말했다. 가트너 보안 및 프라이버시 연구 책임자인 데이비드 마흐디 또한 애플의 이러한 움직임이 주목할 만하다고 평가했다. 마흐디는 “암호 없는 세상을 실현하기 위한 의미 있는 움직임이다. 애플의 가입은 주목할 만한 조치다”라고 말했다. 2012년에 조직된 FIDO의 목적은 본질적으로 불안정한 암호 사용 대신 서비스와 앱에 대해 2단계 인증을 추진하는 것이다. 버라이즌의 데이터 유출 조사 보고서에 따르면, 해커에 의한 모든 보안 유출의 81%가 도난 되거나 엉성한 비밀번호 때문이다.   버라이즌은 보고서는 “사용자 이름/이메일 주소 및 비밀번호에 의존하는 경우 소비자 기기에서 다른 ...

2020.02.25

칼럼 | 이베이 계정을 탈퇴하면서...

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

CIO 온라인 피싱 생체인증 FIDO 스캠 정철환 패스워드 전자상거래 계정 비밀번호 암호 피싱 사기 이베이 이메일 인증체계

2019.07.01

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

2019.07.01

칼럼 | 기업의 올바른 비밀번호 변경 정책은?

윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다. 종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다. 마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다. NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.   준수성 때문에 여전히 비밀번호 만료가 요구된다 필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다. 비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다 "해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에...

해킹 피싱 패스워드 보안 정책 비밀번호 정책

2019.05.13

윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다. 종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다. 마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다. NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.   준수성 때문에 여전히 비밀번호 만료가 요구된다 필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다. 비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다 "해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에...

2019.05.13

비밀번호 관리 앱의 장단점 7가지

필자는 보안이 중요한 웹사이트와 서비스에 최신 비밀번호를 고려해야 한다는 주제로 글을 써왔다. 또 다시 조언한다면 내용은 다음과 같을 것이다. -    다중 인자 인증(MFA)을 사용하라. -    MFA를 선택할 수 없는 경우 비밀번호 관리 앱을 사용해 각 웹사이트 또는 보안 영역마다 가능한 길고 고유한 무작위 비밀번호를 생성한다. -    비밀번호 관리 앱이 불가능한 경우 길고 단순한 패스프레이즈를 사용한다. -    모든 경우에 보편적인 비밀번호(“password” 또는 “qwerty” 등)를 사용하지 말고 사이트들에서 비밀번호를 재사용하지 않는다. 이 조언은 NIST 특수 문서 800-63 디지털 신원 가이드에 대한 필자의 입장에 반하는 것으로 보일 수 있다. NIST SP 800-63에서는 가능한 경우 비밀번호가 아닌 방식을 사용하도록 권고하며, 매우 길고 복잡한 비밀번호를 사용하는 강제력에는 확실히 반하기는 하지만, 비밀번호 길이나 복잡성에는 제한이 없다. 길고 복잡하며 빈번하게 바뀌는 비밀번호 생성과 사용은 강제한다고 잘 되는 것이 아니다. 여러 웹사이트에서 같은 비밀번호나 약간 다른 비밀번호를 사용하기 때문에 패턴을 파악하기 쉬워지기도 한다. 같은 사람이 MFA 또는 기타 비 기억 인증 방식을 사용하는 경우 반복적인 비밀번호와 패턴 사용의 전반적인 위험이 줄어든다. 그러므로, 기억할 필요가 없는 길고 복잡한 비밀번호를 생성하여 사용하는 비밀번호 관리 앱을 사용할 때는 이 두 가지를 최대한 활용할 수 있다.   비밀번호 관리 앱 앱으로 전향한 이유 지금까지 수 년 동안 비밀번호 관리 앱 앱을 테스트하고 추천했다. 처음에는 코드와 작업의 품질 및 보안이 의심스러웠었다. 초기 버전은 결국 익스플로잇 공격과 해킹 사례가 언론에 보도되고 말았다. 그러나 현재 인기가 많은 비밀번호 관리 앱...

비밀번호 패스워드 비밀번호관리자

2018.12.11

필자는 보안이 중요한 웹사이트와 서비스에 최신 비밀번호를 고려해야 한다는 주제로 글을 써왔다. 또 다시 조언한다면 내용은 다음과 같을 것이다. -    다중 인자 인증(MFA)을 사용하라. -    MFA를 선택할 수 없는 경우 비밀번호 관리 앱을 사용해 각 웹사이트 또는 보안 영역마다 가능한 길고 고유한 무작위 비밀번호를 생성한다. -    비밀번호 관리 앱이 불가능한 경우 길고 단순한 패스프레이즈를 사용한다. -    모든 경우에 보편적인 비밀번호(“password” 또는 “qwerty” 등)를 사용하지 말고 사이트들에서 비밀번호를 재사용하지 않는다. 이 조언은 NIST 특수 문서 800-63 디지털 신원 가이드에 대한 필자의 입장에 반하는 것으로 보일 수 있다. NIST SP 800-63에서는 가능한 경우 비밀번호가 아닌 방식을 사용하도록 권고하며, 매우 길고 복잡한 비밀번호를 사용하는 강제력에는 확실히 반하기는 하지만, 비밀번호 길이나 복잡성에는 제한이 없다. 길고 복잡하며 빈번하게 바뀌는 비밀번호 생성과 사용은 강제한다고 잘 되는 것이 아니다. 여러 웹사이트에서 같은 비밀번호나 약간 다른 비밀번호를 사용하기 때문에 패턴을 파악하기 쉬워지기도 한다. 같은 사람이 MFA 또는 기타 비 기억 인증 방식을 사용하는 경우 반복적인 비밀번호와 패턴 사용의 전반적인 위험이 줄어든다. 그러므로, 기억할 필요가 없는 길고 복잡한 비밀번호를 생성하여 사용하는 비밀번호 관리 앱을 사용할 때는 이 두 가지를 최대한 활용할 수 있다.   비밀번호 관리 앱 앱으로 전향한 이유 지금까지 수 년 동안 비밀번호 관리 앱 앱을 테스트하고 추천했다. 처음에는 코드와 작업의 품질 및 보안이 의심스러웠었다. 초기 버전은 결국 익스플로잇 공격과 해킹 사례가 언론에 보도되고 말았다. 그러나 현재 인기가 많은 비밀번호 관리 앱...

2018.12.11

칼럼 | ‘인증’의 미래는 ‘기계’다

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

암호 이중인증 사용자 인증 패스워드 MFA 암호문 패스프레이즈

2018.10.05

미래에는 인증이 어떤 방식으로 이뤄질까? 일단 복잡한 패스워드(암호), 패스프레이즈(암호문 ; passphrase), 다중 인증(Multi-Factor Authentication, MFA)이 아니다. 대신 대부분의 인증이 사용자에 보이지 않는 백그라운드에 발생하고 처리된다. 신용카드 회사들이 사기 행위 탐지에 사용해 온 방식과 유사하다. 이 분야의 ‘천재’들인 신용카드 회사들은 수십 년 동안 ‘로우 프릭션(저 마찰)’, 위험 기반 인증 방식을 사용해왔다. 그리고 이들의 경험과 인텔리전스가 나머지 디지털 세상으로 이식되고 있다. 인증에 있어, 패러다임 변화가 발생하는 것이다. 이런 변화를 의미하는 표현은 ‘지속적이고, 마찰이 없고, 위험과 행위(행동)에 기반을 둔 인증’이다. 패스워드가 효과적이지 못하다고 비판하는 사람들은 더 긴(그러나 불필요하게 복잡하지 않은) 패스프레이즈와 MFA를 ‘해결책’으로 제시하는 경우가 많다. 다행히 그렇게 되지 않을 것이다. 패스워드, 긴 패스프레이즈, MFA의 문제점이 있다. 요약하자면 자주 변경해 사용해야 하는 길고 복잡한 패스워드는 사용자와 기업의 침해 위험을 높인다. 미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 몇 년 동안 NIST 특별 간행물(NIST Special Publication) 800-63을 통해, 사용자와 기업이 이런 패스워드를 사용하지 말 것을 권고하고 있다. 많은 전문가들이 길고 복잡하지 않은 패스프레이즈를 해결책으로 추천한다. 또 패스워드 관리도구와 MFA를 더 많이 사용할 것을 촉구하는 전문가도 늘어나고 있다. 그러나 현재를 기준으로 가장 좋은 조언을 제공했을 때의 문제점은 사람들이 이 조언을 장기간 효력이 있는 최고의 조언으로 잘못 생각한다는 것이다. 오늘날 길고 복잡한 패스워드를 자주 변경해 사용하...

2018.10.05

칼럼 | 암호 보안에 ‘독’이 되는 구닥다리 규제

암호 정책에 대한 ‘좋은 말씀’ 한두 마디쯤 오고 가지 않는 컨퍼런스는 없다. 왜, 흔히 하는 이야기들 있지 않은가. • 암호는 최소 8~12글자일 것. 길면 길수록 좋다. • 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등). • 90일에 한번, 또는 그보다 자주 번호를 바꿀 것 • 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것 세계적으로 명망 높은 컴퓨터 보안 전문가들부터 기업의 CEO, 그리고 보안 컨설턴트라는 사람들 까지도 입을 모아 위와 같이 조언한다. 하루라도 위와 같은 조언을 듣지 않고 넘어가는 날이 없을 정도다. 어제도 들었고 내일도 들을 것이다. 문제는 이것이 틀린 조언이라는 것이다. 시대착오적인데다, 애초에 그다지 ‘좋은’ 조언도 아니었다. 오히려 데이터는 이런 조언들을 지키는 기관의 보안 리스크가 증가하고 있음을 보여 준다. 불행히도, 한물간 암호 보안 규칙을 준수하고자 노력하는 기관 및 개인들은 앞으로도 수년 동안 잘못된 관행을 답습하게 될 것이다. 참으로 슬픈 일이 아닐 수 없다. 그렇다면 시의성 있고 유효한 암호 보안 조언은 무엇인가? 지금으로부터 약 10여 년 전, 일련의 보안 과학자들은 데이터 분석을 통해 전통적인 암호 보안 강화 조언들이 정말 암호를 더 안전하게 만들어 주는지 보고자 했다. 필자가 가장 좋아하는 컴퓨터 보안 전문가들 중에 마이크로소프트의 수석 연구원인 코맥 헐리 박사가 있다. 그는 기존의 암호 보안 방식이 지니는 문제점들에 대해 그 누구보다 많은 글을 쓴 사람일 것이다. 그는 이 밖에도 검증 받지도 않은 채 오랜 시간 신봉되어 온 각종 보안 관련 조언들에 대해 비판적 입장을 유지하고 있다. 그는 자신의 2017년 저서 “해커를 해킹하다(Hacking the Hack...

보안 규제 암호 패스워드

2018.06.04

암호 정책에 대한 ‘좋은 말씀’ 한두 마디쯤 오고 가지 않는 컨퍼런스는 없다. 왜, 흔히 하는 이야기들 있지 않은가. • 암호는 최소 8~12글자일 것. 길면 길수록 좋다. • 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등). • 90일에 한번, 또는 그보다 자주 번호를 바꿀 것 • 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것 세계적으로 명망 높은 컴퓨터 보안 전문가들부터 기업의 CEO, 그리고 보안 컨설턴트라는 사람들 까지도 입을 모아 위와 같이 조언한다. 하루라도 위와 같은 조언을 듣지 않고 넘어가는 날이 없을 정도다. 어제도 들었고 내일도 들을 것이다. 문제는 이것이 틀린 조언이라는 것이다. 시대착오적인데다, 애초에 그다지 ‘좋은’ 조언도 아니었다. 오히려 데이터는 이런 조언들을 지키는 기관의 보안 리스크가 증가하고 있음을 보여 준다. 불행히도, 한물간 암호 보안 규칙을 준수하고자 노력하는 기관 및 개인들은 앞으로도 수년 동안 잘못된 관행을 답습하게 될 것이다. 참으로 슬픈 일이 아닐 수 없다. 그렇다면 시의성 있고 유효한 암호 보안 조언은 무엇인가? 지금으로부터 약 10여 년 전, 일련의 보안 과학자들은 데이터 분석을 통해 전통적인 암호 보안 강화 조언들이 정말 암호를 더 안전하게 만들어 주는지 보고자 했다. 필자가 가장 좋아하는 컴퓨터 보안 전문가들 중에 마이크로소프트의 수석 연구원인 코맥 헐리 박사가 있다. 그는 기존의 암호 보안 방식이 지니는 문제점들에 대해 그 누구보다 많은 글을 쓴 사람일 것이다. 그는 이 밖에도 검증 받지도 않은 채 오랜 시간 신봉되어 온 각종 보안 관련 조언들에 대해 비판적 입장을 유지하고 있다. 그는 자신의 2017년 저서 “해커를 해킹하다(Hacking the Hack...

2018.06.04

암호 재사용부터 결제 보호까지··· 최신 보안 핀테크 사례 3가지

신생 핀테크 업체들은 오늘날 보안 과제 중 가장 중요한 문제에 도전하고 있다. 최근 주목 받고 있는 신생 핀테크 업체 세 곳이 보안을 기반으로 어떻게 경쟁하고 있는지 살펴보자. Image Credit: Getty Images Bank KYC(Know Your Client) 개인의 신원을 밝히는 것이 금융 산업 보안의 핵심이다. 주요 금융 기관에게 계좌를 개설하려면 직접 방문해야 하고 정부가 발행한 신원 서류에 서명하고 나서 수 시간 또는 수 일을 기다려야 한다. 하지만 오늘날 고객은 계좌 개설을 포함해 더 빠른 서비스를 요구한다. 2010년에 설립된 트룰리우(Trulioo)는 신원을 확인하는 새로운 접근방식을 개발해, 이베이, 킥스타터, 스퀘어, 페이팔 등을 고객으로 확보했다. 일반적으로 금융 기관은 몇몇 신원 서류에 의존하지만, 트룰리우는 재산 파일, 유틸리티 데이터, 신용 이력, 경계 사항 목록, 건강보험 등록번호, 직접 마케팅 데이터 등 더 광범위한 데이터 소스를 활용해 신원을 확인한다. 이를 통해 수 초 안에 '검증' 또는 '미검증' 등급을 결정한다. 트룰리우의 CEO 존 존스는 "우리가 확인하는 핵심 정보는 이름, 주소, ID 번호, 생년월일 등 KYC(Know Your Client) 컴플라이언스에 핵심이 되는 속성이지만 휴대폰과 이메일까지 확장할 수 있다. 각 기업 고객의 상황에 맞춰 데이터 소스를 조정한다"고 말했다. 이어 "고객 신원에 대한 높은 수준의 신뢰성 확보가 점점 더 중요해지고 있다. 우리의 다음 목표는 전통적이지 않은 데이터 세트를 더 많이 활용해 고객 결제 기록 등의 신원을 파악하는 것이다"라고 덧붙였다. 긍정적인 의미의 비밀번호 재사용 보안 인증은 언제나 사용자에게 부담스러운 것이다. 그래서 캐나다의 인증 서비스 업체인 시큐어키 테크놀로지(SecureKey Technologies)는 이를 스펙트럼으로 분할하는 방법을 고안했다....

컴플라이언스 인증 패스워드 핀테크 KYC 금융보안

2016.08.19

신생 핀테크 업체들은 오늘날 보안 과제 중 가장 중요한 문제에 도전하고 있다. 최근 주목 받고 있는 신생 핀테크 업체 세 곳이 보안을 기반으로 어떻게 경쟁하고 있는지 살펴보자. Image Credit: Getty Images Bank KYC(Know Your Client) 개인의 신원을 밝히는 것이 금융 산업 보안의 핵심이다. 주요 금융 기관에게 계좌를 개설하려면 직접 방문해야 하고 정부가 발행한 신원 서류에 서명하고 나서 수 시간 또는 수 일을 기다려야 한다. 하지만 오늘날 고객은 계좌 개설을 포함해 더 빠른 서비스를 요구한다. 2010년에 설립된 트룰리우(Trulioo)는 신원을 확인하는 새로운 접근방식을 개발해, 이베이, 킥스타터, 스퀘어, 페이팔 등을 고객으로 확보했다. 일반적으로 금융 기관은 몇몇 신원 서류에 의존하지만, 트룰리우는 재산 파일, 유틸리티 데이터, 신용 이력, 경계 사항 목록, 건강보험 등록번호, 직접 마케팅 데이터 등 더 광범위한 데이터 소스를 활용해 신원을 확인한다. 이를 통해 수 초 안에 '검증' 또는 '미검증' 등급을 결정한다. 트룰리우의 CEO 존 존스는 "우리가 확인하는 핵심 정보는 이름, 주소, ID 번호, 생년월일 등 KYC(Know Your Client) 컴플라이언스에 핵심이 되는 속성이지만 휴대폰과 이메일까지 확장할 수 있다. 각 기업 고객의 상황에 맞춰 데이터 소스를 조정한다"고 말했다. 이어 "고객 신원에 대한 높은 수준의 신뢰성 확보가 점점 더 중요해지고 있다. 우리의 다음 목표는 전통적이지 않은 데이터 세트를 더 많이 활용해 고객 결제 기록 등의 신원을 파악하는 것이다"라고 덧붙였다. 긍정적인 의미의 비밀번호 재사용 보안 인증은 언제나 사용자에게 부담스러운 것이다. 그래서 캐나다의 인증 서비스 업체인 시큐어키 테크놀로지(SecureKey Technologies)는 이를 스펙트럼으로 분할하는 방법을 고안했다....

2016.08.19

비밀번호 안녕··· 대세화 앞둔 안면·지문 인식 기술

정부, 기업, 금융, 소비자 및 여타 시장에서 보안 기술을 폭넓게 도입할 것으로 예상되는 가운데, 안면과 지문 인식 기술 분야가 향후 5년 간 크게 성장할 것으로 예상된고 있다. 시장조사기관 트렌드포스(TrendForce)에 따르면 안면 인식 기술 시장은 2015년 2억 3,000만 달러에서 2019년 4억 5,000만 달러로 성장할 전망이다. 약 18%의 연간성장률(CAGR)에 해당한다. 이 기관은 또 지문 인식 센서 분야의 경우 센서 출하량이 2014년 3억 1,600만 개에서 2015년 4억 9,900만 개로 급증했다며 아이폰의 기여도가 컸다고 전했다. 아울러 2020년에는 16억 개의 출하가 예상된다고 덧붙였다. 매출 측면에서는 2015년 18억 6,000만 달러 수준이었지만 2020년에는 26억 달러 규모를 형성할 것으로 예상됐다. 지역별 안면 인식 솔루션 시장 규모, 2015~2019년. / 트렌드포스, 2016년 1월 스마트폰에서의 홍채 인식 분야도 도약을 앞두고 있다는 진단이다. IHS 수석 애널리스트 제이미 폭스는 "홍채 인식 기술이 최근 일부 스마트폰에 도입됐다. 후지쯔 애로우 NX-F04G, 루미아 950가 그것이다"라고 이메일을 통해 밝혔다. 그는 2015년 홍채 기술 지원 기기가 전체의 1% 이하였지만 LG와 삼성이 2016년 중 이를 도입할 계획임에 따라 시장이 커질 것으로 예상된다고 밝혔다. 한편 트렌드포스는의 크리스티 린 애널리스트는 지문 인식 기술이 더 지배적이기는 하지만 안면 인식 기술의 경우 쉽게 복제되기 어려운 특성을 가진다고 강조했다. 그녀는 "이에 더해 안면 인식 기술은 소비자 분야에 더 넓게 수용될 가능성이 크며, 더 넓은 응용처를 지니고 있다"라고 분석했다. 오늘날에는 보안 및 모니터링 분야에 주로 활용되고 있지만 향후 스마트 리테일이나 모바일 결제 분야로 확장될 것이라는 예측이다. 실제로 지난해 알리바바의 지불 플랫폼 알리페이는 ...

비밀번호 안면 인식 패스워드 바이오 PIN 지문 인식

2016.01.26

정부, 기업, 금융, 소비자 및 여타 시장에서 보안 기술을 폭넓게 도입할 것으로 예상되는 가운데, 안면과 지문 인식 기술 분야가 향후 5년 간 크게 성장할 것으로 예상된고 있다. 시장조사기관 트렌드포스(TrendForce)에 따르면 안면 인식 기술 시장은 2015년 2억 3,000만 달러에서 2019년 4억 5,000만 달러로 성장할 전망이다. 약 18%의 연간성장률(CAGR)에 해당한다. 이 기관은 또 지문 인식 센서 분야의 경우 센서 출하량이 2014년 3억 1,600만 개에서 2015년 4억 9,900만 개로 급증했다며 아이폰의 기여도가 컸다고 전했다. 아울러 2020년에는 16억 개의 출하가 예상된다고 덧붙였다. 매출 측면에서는 2015년 18억 6,000만 달러 수준이었지만 2020년에는 26억 달러 규모를 형성할 것으로 예상됐다. 지역별 안면 인식 솔루션 시장 규모, 2015~2019년. / 트렌드포스, 2016년 1월 스마트폰에서의 홍채 인식 분야도 도약을 앞두고 있다는 진단이다. IHS 수석 애널리스트 제이미 폭스는 "홍채 인식 기술이 최근 일부 스마트폰에 도입됐다. 후지쯔 애로우 NX-F04G, 루미아 950가 그것이다"라고 이메일을 통해 밝혔다. 그는 2015년 홍채 기술 지원 기기가 전체의 1% 이하였지만 LG와 삼성이 2016년 중 이를 도입할 계획임에 따라 시장이 커질 것으로 예상된다고 밝혔다. 한편 트렌드포스는의 크리스티 린 애널리스트는 지문 인식 기술이 더 지배적이기는 하지만 안면 인식 기술의 경우 쉽게 복제되기 어려운 특성을 가진다고 강조했다. 그녀는 "이에 더해 안면 인식 기술은 소비자 분야에 더 넓게 수용될 가능성이 크며, 더 넓은 응용처를 지니고 있다"라고 분석했다. 오늘날에는 보안 및 모니터링 분야에 주로 활용되고 있지만 향후 스마트 리테일이나 모바일 결제 분야로 확장될 것이라는 예측이다. 실제로 지난해 알리바바의 지불 플랫폼 알리페이는 ...

2016.01.26

구글, '폰으로 비밀번호 대체' 테스트 중

구글이 비밀번호 퇴출에 한걸음 더 다가섰다. 스마트폰을 사용하는 방식이다. 한 레딧 사용자가 게재한 게시글에 따르면, 스마트폰으로 계정에 로그인하는 방식이 일부 사용자를 대상으로 테스트되고 있다. 스마트폰을 계정 정보와 연계시키면, 이후부터는 이메일 주소를 입력하는 것만으로 접속할 수 있는 것이 골자다. 로힛 폴 테스터가 레딧에 게재한 화면. 비밀번호를 입력하는 단계가 없다. 이 스마트폰 로그인 방식을 어디에 이용할 수 있는지에 대한 세부정보가 공개되지 않고 있다는 점에서 테스트 초기 단계인 것으로 관측된다. 구글은 대규모 공개에 앞서 소수의 사용자 그룹을 대상으로 테스트를 진행하는 방식을 즐겨 이용하고 있다. ciokr@idg.co.kr 

구글 인증 비밀번호 패스워드

2015.12.23

구글이 비밀번호 퇴출에 한걸음 더 다가섰다. 스마트폰을 사용하는 방식이다. 한 레딧 사용자가 게재한 게시글에 따르면, 스마트폰으로 계정에 로그인하는 방식이 일부 사용자를 대상으로 테스트되고 있다. 스마트폰을 계정 정보와 연계시키면, 이후부터는 이메일 주소를 입력하는 것만으로 접속할 수 있는 것이 골자다. 로힛 폴 테스터가 레딧에 게재한 화면. 비밀번호를 입력하는 단계가 없다. 이 스마트폰 로그인 방식을 어디에 이용할 수 있는지에 대한 세부정보가 공개되지 않고 있다는 점에서 테스트 초기 단계인 것으로 관측된다. 구글은 대규모 공개에 앞서 소수의 사용자 그룹을 대상으로 테스트를 진행하는 방식을 즐겨 이용하고 있다. ciokr@idg.co.kr 

2015.12.23

'이제는 헤어져야 할 시간' 좀비처럼 끈길긴 기술 10가지

마치 좀비 같은 존재들이 IT 분야에 있다. 오래 전에 죽은 기술이 여전히 배회하는 현상이다. 이런 기술적 좀비들은 그들의 수명이 다하고도 살아남아서 우리와 섞여 미래로 함께 가고 있다. 사라질 줄 모르는 운영체제, 구식 커뮤니케이션 방법, 말도 안되게 느린 I/O 포트, 더 이상 있으면 안될 자리에 있는 물건 등이 그것이다. ciokr@idg.co.kr

팩스 패스워드 VGA XP 구형 구식

2015.11.04

마치 좀비 같은 존재들이 IT 분야에 있다. 오래 전에 죽은 기술이 여전히 배회하는 현상이다. 이런 기술적 좀비들은 그들의 수명이 다하고도 살아남아서 우리와 섞여 미래로 함께 가고 있다. 사라질 줄 모르는 운영체제, 구식 커뮤니케이션 방법, 말도 안되게 느린 I/O 포트, 더 이상 있으면 안될 자리에 있는 물건 등이 그것이다. ciokr@idg.co.kr

2015.11.04

블로그 | 비밀번호 없는 로그인, 스마트폰이 곧 신원인 시대

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

야후 아우디 온 디맨드 부메랑 샤이프 어카운트 키 지문인식 패스워드 로그인 비밀번호 인증 스쿠트

2015.10.30

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 휴대폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

2015.10.30

"쉽고 안전!" 한 튜링상 수상자가 제안하는 비밀번호 알고리즘 트릭

인터넷 상에서 패스워드는 거추장스러운 존재다. 그러나 한 튜링 상 수상자가 안전하면서도 쉬운 알고리즘 접근법을 제시했다. 단 연습이 조금 필요하다. 오늘날 인터넷 사용자는 평균 약 20여 개의 비밀번호를 활용하고 있는 것으로 조사되고 있다. 문제는 기억하기 쉬울수록 안전성도 떨어진다는 사실이다. 또 같은 비밀번호를 여러 곳에서 이용하면 위험성도 더 커지기 마련이다. 1995년 튜링 상을 수상한 바 있는 카네기 멜론 대학 컴퓨터 공학 교수 마누엘 블룸은 자신이 이에 대한 답을 찾았다고 주장한다. 그가 '휴먼 컴퓨테이블'(human computable) 패스워드라고 부르는 방법을 이용하면 안전할 뿐더러 사이트마다 제각각으로 설정한 비밀번호를 외울 필요도 없다는 것. 그러나 이를 위해서는 알고리즘과 개인 프라이빗 키 등을 이용한 활용법에 익숙해져야 한다. 여기에 웹사이트 이름을 접목해 독특한 패스워드를 만들어내는 방식이다. 마누엘 블룸은 지난주 하이델베르그 작가 포럼(Heidelberg Laureate Forum)에서 "나의 경우 패스워드를 외울 필요가 없다"라며, "아내가 REI 웹사이트 비밀번호를 물어왔을 때 REI에 가입여부조차도 기억하지 못했다. 그러나 만약 가입했다면 아마 비밀번호는 이것일 것이라고 말할 수 있었다"라고 말했다. 웹사이트 이름을 활용하는 그의 알고리즘은 다음과 같다. 만약 한 사람의 개인키 문자가 26개의 알파벳과 10개의 숫자로부터 만들어진 비표준순서의 6 X 6 매트릭스로 구성됐다고 하자. 첫 줄은 리노타입 타입세팅 머신(E,A,T,O,I,N)으로 구성돼 있다. 나머지 문자들은 구형 기기들에서 활용되는 순서에 따라 배열돼 있다. 그 이후는 0부터 9까지의 숫자다. 웹사이트 이름을 비밀번호로 변환시키기 위해 사용자는 이 매트릭스를 이용하는데, 알고리즘이 지시하는 문자로 치환하게 된다. 블룸의 사례는 콤파스 방향을 이용하는 시스템이었다. 만약 사이...

비밀번호 패스워드 알고리즘 튜링 마누엘 블룸

2015.09.01

인터넷 상에서 패스워드는 거추장스러운 존재다. 그러나 한 튜링 상 수상자가 안전하면서도 쉬운 알고리즘 접근법을 제시했다. 단 연습이 조금 필요하다. 오늘날 인터넷 사용자는 평균 약 20여 개의 비밀번호를 활용하고 있는 것으로 조사되고 있다. 문제는 기억하기 쉬울수록 안전성도 떨어진다는 사실이다. 또 같은 비밀번호를 여러 곳에서 이용하면 위험성도 더 커지기 마련이다. 1995년 튜링 상을 수상한 바 있는 카네기 멜론 대학 컴퓨터 공학 교수 마누엘 블룸은 자신이 이에 대한 답을 찾았다고 주장한다. 그가 '휴먼 컴퓨테이블'(human computable) 패스워드라고 부르는 방법을 이용하면 안전할 뿐더러 사이트마다 제각각으로 설정한 비밀번호를 외울 필요도 없다는 것. 그러나 이를 위해서는 알고리즘과 개인 프라이빗 키 등을 이용한 활용법에 익숙해져야 한다. 여기에 웹사이트 이름을 접목해 독특한 패스워드를 만들어내는 방식이다. 마누엘 블룸은 지난주 하이델베르그 작가 포럼(Heidelberg Laureate Forum)에서 "나의 경우 패스워드를 외울 필요가 없다"라며, "아내가 REI 웹사이트 비밀번호를 물어왔을 때 REI에 가입여부조차도 기억하지 못했다. 그러나 만약 가입했다면 아마 비밀번호는 이것일 것이라고 말할 수 있었다"라고 말했다. 웹사이트 이름을 활용하는 그의 알고리즘은 다음과 같다. 만약 한 사람의 개인키 문자가 26개의 알파벳과 10개의 숫자로부터 만들어진 비표준순서의 6 X 6 매트릭스로 구성됐다고 하자. 첫 줄은 리노타입 타입세팅 머신(E,A,T,O,I,N)으로 구성돼 있다. 나머지 문자들은 구형 기기들에서 활용되는 순서에 따라 배열돼 있다. 그 이후는 0부터 9까지의 숫자다. 웹사이트 이름을 비밀번호로 변환시키기 위해 사용자는 이 매트릭스를 이용하는데, 알고리즘이 지시하는 문자로 치환하게 된다. 블룸의 사례는 콤파스 방향을 이용하는 시스템이었다. 만약 사이...

2015.09.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8