Offcanvas

ID

2021년 주목해야 할 사이버 보안 스타트업 12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

스타트업 ID 패스워드 크리덴셜 사이버공격

2021.07.12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

2021.07.12

SSO가 보안과 사용자 경험을 개선하는 방법

싱글사인온(Single Sign-On, SSO)은 하나의 로그인 인증 정보를 사용해 여러 애플리케이션에 접근할 수 있는 중앙화된 세션 및 사용자 인증 서비스다. SSO의 장점은 간편함이다. 지정된 플랫폼 하나에서 인증되면 이후 매번 로그인과 로그아웃을 반복할 필요없이 다양한 서비스를 사용할 수 있다.   잘 구현된 SSO는 생산성, IT 모니터링 및 관리, 보안 통제 측면에서 매우 유익하다. 관리자는 하나의 보안 토큰(사용자 이름/암호 쌍)으로 여러 시스템과 플랫폼, 앱 및 기타 리소스에 대한 사용자 접근을 활성화하거나 비활성화할 수 있다. SSO는 비밀번호 분실이나 취약한 비밀번호의 위험도 낮춰준다. 싱글사인온의 작동 원리 SSO를 구현하는 데 사용할 수 있는 표준은 여러 가지지만 기본 패턴은 동일하다. 핵심은 애플리케이션이 사용자 인증 책임을 다른 애플리케이션이나 서비스로 넘길 수 있게 해준다는 데 있다. 사용자가 로그인하는 애플리케이션 또는 웹사이트에는 이메일 클라이언트부터 은행 웹사이트, 네트워크 공유에 이르기까지 다양한 서비스 공급업체가 존재한다. 이와 같은 플랫폼에는 대부분 사용자 인증을 위한 자체적인 기능이 포함된다. 그러나 SSO를 사용하면 그 책임이 하나의 ID 공급업체(일반적으로 SSO 플랫폼 자체)에 주어진다.  사용자가 하나의 서비스에 접근하기 위해 로그인을 시도하면 서비스 공급업체는 ID 공급업체와 교신해 사용자가 주장하는 본인임이 입증됐는지를 확인한다. 서비스 공급업체는 인증과 관련된 매개변수를 둘 수 있다. 예를 들어 ID 공급업체가 이중 인증(Two-Factor Authentication, 2FA) 또는 생체 인증을 사용하도록 요구할 수 있다. ID 공급업체는 사용자에게 로그인을 요청할 수도 있고, 사용자가 최근에 로그인한 적이 있다면 다시 요청하지 않고 서비스 공급업체에게 최근에 로그인했음을 알릴 수도 있다. 서비스 및 ID 공급업체는 당사자 간 상호 신뢰를 위해 디지털 서명되는 작은 크기의 구조화된 ...

SSO 2FA ID

2021.05.14

싱글사인온(Single Sign-On, SSO)은 하나의 로그인 인증 정보를 사용해 여러 애플리케이션에 접근할 수 있는 중앙화된 세션 및 사용자 인증 서비스다. SSO의 장점은 간편함이다. 지정된 플랫폼 하나에서 인증되면 이후 매번 로그인과 로그아웃을 반복할 필요없이 다양한 서비스를 사용할 수 있다.   잘 구현된 SSO는 생산성, IT 모니터링 및 관리, 보안 통제 측면에서 매우 유익하다. 관리자는 하나의 보안 토큰(사용자 이름/암호 쌍)으로 여러 시스템과 플랫폼, 앱 및 기타 리소스에 대한 사용자 접근을 활성화하거나 비활성화할 수 있다. SSO는 비밀번호 분실이나 취약한 비밀번호의 위험도 낮춰준다. 싱글사인온의 작동 원리 SSO를 구현하는 데 사용할 수 있는 표준은 여러 가지지만 기본 패턴은 동일하다. 핵심은 애플리케이션이 사용자 인증 책임을 다른 애플리케이션이나 서비스로 넘길 수 있게 해준다는 데 있다. 사용자가 로그인하는 애플리케이션 또는 웹사이트에는 이메일 클라이언트부터 은행 웹사이트, 네트워크 공유에 이르기까지 다양한 서비스 공급업체가 존재한다. 이와 같은 플랫폼에는 대부분 사용자 인증을 위한 자체적인 기능이 포함된다. 그러나 SSO를 사용하면 그 책임이 하나의 ID 공급업체(일반적으로 SSO 플랫폼 자체)에 주어진다.  사용자가 하나의 서비스에 접근하기 위해 로그인을 시도하면 서비스 공급업체는 ID 공급업체와 교신해 사용자가 주장하는 본인임이 입증됐는지를 확인한다. 서비스 공급업체는 인증과 관련된 매개변수를 둘 수 있다. 예를 들어 ID 공급업체가 이중 인증(Two-Factor Authentication, 2FA) 또는 생체 인증을 사용하도록 요구할 수 있다. ID 공급업체는 사용자에게 로그인을 요청할 수도 있고, 사용자가 최근에 로그인한 적이 있다면 다시 요청하지 않고 서비스 공급업체에게 최근에 로그인했음을 알릴 수도 있다. 서비스 및 ID 공급업체는 당사자 간 상호 신뢰를 위해 디지털 서명되는 작은 크기의 구조화된 ...

2021.05.14

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

CSO 사이버보안 Saas 공격 봇 공격 ID 오스제로 Auth0 오스제로 시그널즈 Auth0 Signals 전자상거래 IP 로그인 스크립트 기반 공격

2020.06.17

오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.   지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다.  지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다.  이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다.  오스제로 작동 방식  오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다.  규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤...

2020.06.17

IoT 보안을 강화하는 7가지 보안 프랙티스

사물 인터넷(Internet of Thins, IoT)의 가장 큰 걱정거리 중 하나는 네트워크, 데이터, 장비의 보안을 확보하는 것이다. IoT 보안 관련 사고는 이미 발행했기 때문에 IT와 보안, 네트워크 관리자가 비슷한 사건이 발생할 것이라고 우려하는 것은 당연한 일이다. 의료 정보 관련 보안 표준 및 감수 회사인 HITRUST의 표준 담당 부사장이자 CISO인 제이슨 톨은 “모두가 마찬가지지만, 특히 엄격한 환경에서는 사물 인터넷 장비에 유의해야 한다”면서 “문제는 이러한 장비를 네트워크, 시스템, 데이터에 연결하고 인터랙션하는 방식이다”라고 강조했다.  그렇다면 기업이 IoT 보안을 강화하기 위해 해야 할 것은 무엇인가? 수많은 선택지가 있으며, 그 중 일부 프랙티스는 그렇게 확실한 것만은 아닐 수 있다.      작은 것부터 시작하는 IoT 보안  리서치 및 컨설팅 회사인 ITIC의 사장 로라 디디오는 IoT 보안을 강화하려면 우선 네트워크 인프라의 가장 작은 요소, 즉 코드부터 손을 봐야 한다고 지적했다. 디디오는 “대다수 IoT 기기는 매우 작다. 따라서 소스 코드는 C, C++, C# 같은 ‘보편적 언어’로 쓰여지는 경향이 있다. 이들은 흔히 메모리 유출, 버퍼 오버플로우 취약점 같은 흔한 문제가 있으며, 네트워크에서 흔한 감기 같은 것이다”고 말했다.  디디오는 이들 문제가 성가시면서 한 번에 없어지지 않는 것이라며, “IoT 환경에서는 이런 문제가 확산되어 큰 문제가 될수 있다. 최고의 방어는 반복적 테스트”라고 지적했다. 또 IoT 장비를 위해 사용되는 우수한 테스팅 툴이 시중에 많이 있다고 덧붙였다. 대표적인 예가 버퍼 오버플로우에 대한 스택 쿠키이다. 스택 쿠키는 무작위 데이터 스트링으로, 프로그램 카운터 레지스터의 바로 앞 스택에 삽입된다. 버퍼 오버플로우가 발생하면 데이터가 스택 쿠키로 오버플로우된다. 디지오는 “버퍼 오버플로우가 발생할 때 스택 쿠키가 덮어쓰기 된다”고...

ID 오버플로우 액세스제어 프랙티스

2019.06.27

사물 인터넷(Internet of Thins, IoT)의 가장 큰 걱정거리 중 하나는 네트워크, 데이터, 장비의 보안을 확보하는 것이다. IoT 보안 관련 사고는 이미 발행했기 때문에 IT와 보안, 네트워크 관리자가 비슷한 사건이 발생할 것이라고 우려하는 것은 당연한 일이다. 의료 정보 관련 보안 표준 및 감수 회사인 HITRUST의 표준 담당 부사장이자 CISO인 제이슨 톨은 “모두가 마찬가지지만, 특히 엄격한 환경에서는 사물 인터넷 장비에 유의해야 한다”면서 “문제는 이러한 장비를 네트워크, 시스템, 데이터에 연결하고 인터랙션하는 방식이다”라고 강조했다.  그렇다면 기업이 IoT 보안을 강화하기 위해 해야 할 것은 무엇인가? 수많은 선택지가 있으며, 그 중 일부 프랙티스는 그렇게 확실한 것만은 아닐 수 있다.      작은 것부터 시작하는 IoT 보안  리서치 및 컨설팅 회사인 ITIC의 사장 로라 디디오는 IoT 보안을 강화하려면 우선 네트워크 인프라의 가장 작은 요소, 즉 코드부터 손을 봐야 한다고 지적했다. 디디오는 “대다수 IoT 기기는 매우 작다. 따라서 소스 코드는 C, C++, C# 같은 ‘보편적 언어’로 쓰여지는 경향이 있다. 이들은 흔히 메모리 유출, 버퍼 오버플로우 취약점 같은 흔한 문제가 있으며, 네트워크에서 흔한 감기 같은 것이다”고 말했다.  디디오는 이들 문제가 성가시면서 한 번에 없어지지 않는 것이라며, “IoT 환경에서는 이런 문제가 확산되어 큰 문제가 될수 있다. 최고의 방어는 반복적 테스트”라고 지적했다. 또 IoT 장비를 위해 사용되는 우수한 테스팅 툴이 시중에 많이 있다고 덧붙였다. 대표적인 예가 버퍼 오버플로우에 대한 스택 쿠키이다. 스택 쿠키는 무작위 데이터 스트링으로, 프로그램 카운터 레지스터의 바로 앞 스택에 삽입된다. 버퍼 오버플로우가 발생하면 데이터가 스택 쿠키로 오버플로우된다. 디지오는 “버퍼 오버플로우가 발생할 때 스택 쿠키가 덮어쓰기 된다”고...

2019.06.27

칼럼 | 복잡, 잡다한 디지털 신원 분야 ‘ID 재사용’이 대안 될까?

디지털 신원을 다루는 컨퍼런스가 나날이 늘고 있다. 그러나 최근의 한 컨퍼런스에서 한 전문가는 “20년이 지났지만 누구나 사용할 수 있는 디지털 신원(ID)을 만드는데 아무런 진전이 없다”라고 토로했다.  모두가 접근할 수 있고, 복잡한 이해관계자 생태계에서 두루 사용할 수 있게 한다는 신원 개념은 사실 생각보다 훨씬 까다로울 수 있다. 수많은 전문가들이 컨퍼런스에서, 회합에서, 소셜 미디어에서 해법을 도출하기 위해 고심 중이지만 문제는 계속된다. 왜 아직까지도 디지털 신원과 관련된 상호운용성과 이질적 시스템은 뜨거운 감자인 것일까?   디지털 신원 세계의 현실  현재의 신원 지형은 ‘유동적’이라고 할 수 있다. 수많은 이용 사례에 걸쳐 수많은 접근법이 있다. 온갖 잡다한 해법의 집합이다. 일반적으로, 신원 지형은 아래와 같이 분류할 수 있다.  • 국민 ID(citizen identity) : 수많은 정부가 이미 국민 ID에 정착했거나 이를 준비 중이다. 예를 들어 영국의 경우 베리파이 시스템(Verify scheme)은 이제 6년이 되었고, 400 만명이 넘는 사용자가 19가지 정부 서비스와 관련해 이를 사용 중이다. 그러나 여기에 그칠 뿐 아직까지 상업적 재사용에 이르지 못하고 있다.  • ID 모바일 앱 : 요티(Yoti) 같은 앱은 요티 앱 생태계 참여자가 사용할 수 있는 모바일 기기 기반의 ID를 제공한다. 2019년 5월 현재 요티는 700만 명 이상의 이용자를 확보했고, 수백 곳의 관계자가 요티 ID를 소비한다. 시큐어키(SecureKey)의 ‘베리파이닷미(Verified.me) 등 여타 ID 앱도 상당 수 출현 중이다.  한편 언급할 가치가 있지만 아직 초기 단계인 또 다른 프로젝트라면 마스터 카드와 삼성의 “모바일 기기에서 디지털 신원을 편리하고 안전하게 증명하는 … 더 나은 방식을&r...

계정 ID CIAM 디지털 신원

2019.05.28

디지털 신원을 다루는 컨퍼런스가 나날이 늘고 있다. 그러나 최근의 한 컨퍼런스에서 한 전문가는 “20년이 지났지만 누구나 사용할 수 있는 디지털 신원(ID)을 만드는데 아무런 진전이 없다”라고 토로했다.  모두가 접근할 수 있고, 복잡한 이해관계자 생태계에서 두루 사용할 수 있게 한다는 신원 개념은 사실 생각보다 훨씬 까다로울 수 있다. 수많은 전문가들이 컨퍼런스에서, 회합에서, 소셜 미디어에서 해법을 도출하기 위해 고심 중이지만 문제는 계속된다. 왜 아직까지도 디지털 신원과 관련된 상호운용성과 이질적 시스템은 뜨거운 감자인 것일까?   디지털 신원 세계의 현실  현재의 신원 지형은 ‘유동적’이라고 할 수 있다. 수많은 이용 사례에 걸쳐 수많은 접근법이 있다. 온갖 잡다한 해법의 집합이다. 일반적으로, 신원 지형은 아래와 같이 분류할 수 있다.  • 국민 ID(citizen identity) : 수많은 정부가 이미 국민 ID에 정착했거나 이를 준비 중이다. 예를 들어 영국의 경우 베리파이 시스템(Verify scheme)은 이제 6년이 되었고, 400 만명이 넘는 사용자가 19가지 정부 서비스와 관련해 이를 사용 중이다. 그러나 여기에 그칠 뿐 아직까지 상업적 재사용에 이르지 못하고 있다.  • ID 모바일 앱 : 요티(Yoti) 같은 앱은 요티 앱 생태계 참여자가 사용할 수 있는 모바일 기기 기반의 ID를 제공한다. 2019년 5월 현재 요티는 700만 명 이상의 이용자를 확보했고, 수백 곳의 관계자가 요티 ID를 소비한다. 시큐어키(SecureKey)의 ‘베리파이닷미(Verified.me) 등 여타 ID 앱도 상당 수 출현 중이다.  한편 언급할 가치가 있지만 아직 초기 단계인 또 다른 프로젝트라면 마스터 카드와 삼성의 “모바일 기기에서 디지털 신원을 편리하고 안전하게 증명하는 … 더 나은 방식을&r...

2019.05.28

"암호 없는 '신원 인증' 꿈꾼다"··· MS '비트코인 기반' ID 네트워크

마이크로소프트는 1년 이상의 검토 작업을 거쳐 탈중앙화 신원(DID) 확인용 블록체인 플랫폼으로 비트코인을 선정했다. 이 시스템의 사용자는 암호화된 데이터베이스 허브를 통해 온라인 대리 인격에 안전하게 접근할 수 있다. 이러한 새로운 ID 네트워크의 등장으로 암호가 없어질 수도 있다. 예를 들면, 기업은 가상 버튼을 하나 클릭하는 것만으로 신입 사원의 배경을 확인하고 채용할 수 있다. 은행 고객은 개인 식별 정보를 공개하지 않고도 역시 버튼 하나 클릭하는 것으로 대출 신청 시 자신의 신원을 증명할 수 있다. 마이크로소프트 ID 부문 프로그램 관리 부사장 알렉스 사이먼스는 최근 블로그를 통해 “모든 사람이 스스로 보유하고 통제하는 탈중앙화된 디지털 ID가 필요하다. 이를 지원하는 자기 소유 식별자는 안전하고 개인정보를 보호하는 방식의 상호 작용이 가능하다. 이러한 자기 소유 ID는 우리 삶 속에 매끄럽게 통합돼야 하고 디지털 세계에서 하는 모든 일의 중심에 자리 잡아야 한다”라고 말했다. 블록체인 기반 ID 시스템은 디지털 지갑에 의존한다. 디지털 지갑은 온갖 종류의 개인정보와 금융정보에 대한 저장소 역할을 한다. 이러한 정보의 공유는 구체적인 요청이 있고 난 뒤에, 또한 공개 키를 쥐고 있는 사용자의 허가가 있어야만 이루어질 수 있다(일반적인 비트코인 네트워크에서 디지털 지갑은 비트코인 화폐를 저장한다). DID 시장에는 현재 여러 기업이 활동하고 있다. 가트너의 수석 연구 대표 호만 파라만드에 따르면, 이들은 초기 연구개발 단계에 있거나 시험 프로젝트에서 제품을 테스트 중이다. 물론 이들 중에서 마이크로소프트가 단연 최대 규모다. 마이크로소프트의 프로젝트 ION(Identity Overlay Network)은 오픈소스 계층 2 네트워크로, 비트코인 블록체인 위에서 운영된다. 회사 측에 따르면 이러한 방식은 DID 시스템의 성능을 크게 향상해 '초 당 수만 건'을 처리할 수 있다. 비트코인의 내재적인 문제 ...

마이크로소프트 ID 비트코인 블록체인

2019.05.16

마이크로소프트는 1년 이상의 검토 작업을 거쳐 탈중앙화 신원(DID) 확인용 블록체인 플랫폼으로 비트코인을 선정했다. 이 시스템의 사용자는 암호화된 데이터베이스 허브를 통해 온라인 대리 인격에 안전하게 접근할 수 있다. 이러한 새로운 ID 네트워크의 등장으로 암호가 없어질 수도 있다. 예를 들면, 기업은 가상 버튼을 하나 클릭하는 것만으로 신입 사원의 배경을 확인하고 채용할 수 있다. 은행 고객은 개인 식별 정보를 공개하지 않고도 역시 버튼 하나 클릭하는 것으로 대출 신청 시 자신의 신원을 증명할 수 있다. 마이크로소프트 ID 부문 프로그램 관리 부사장 알렉스 사이먼스는 최근 블로그를 통해 “모든 사람이 스스로 보유하고 통제하는 탈중앙화된 디지털 ID가 필요하다. 이를 지원하는 자기 소유 식별자는 안전하고 개인정보를 보호하는 방식의 상호 작용이 가능하다. 이러한 자기 소유 ID는 우리 삶 속에 매끄럽게 통합돼야 하고 디지털 세계에서 하는 모든 일의 중심에 자리 잡아야 한다”라고 말했다. 블록체인 기반 ID 시스템은 디지털 지갑에 의존한다. 디지털 지갑은 온갖 종류의 개인정보와 금융정보에 대한 저장소 역할을 한다. 이러한 정보의 공유는 구체적인 요청이 있고 난 뒤에, 또한 공개 키를 쥐고 있는 사용자의 허가가 있어야만 이루어질 수 있다(일반적인 비트코인 네트워크에서 디지털 지갑은 비트코인 화폐를 저장한다). DID 시장에는 현재 여러 기업이 활동하고 있다. 가트너의 수석 연구 대표 호만 파라만드에 따르면, 이들은 초기 연구개발 단계에 있거나 시험 프로젝트에서 제품을 테스트 중이다. 물론 이들 중에서 마이크로소프트가 단연 최대 규모다. 마이크로소프트의 프로젝트 ION(Identity Overlay Network)은 오픈소스 계층 2 네트워크로, 비트코인 블록체인 위에서 운영된다. 회사 측에 따르면 이러한 방식은 DID 시스템의 성능을 크게 향상해 '초 당 수만 건'을 처리할 수 있다. 비트코인의 내재적인 문제 ...

2019.05.16

Q&A로 알아보는 생체인식 보안과 모바일 해킹

아이폰의 페이스 ID 안면 인식 기능이나 은행의 멋지고 새로운 지문 스캐너가 프라이버시를 보장하고 해커들이 민감한 개인 또는 금융 데이터에 액세스하지 못하게 할 것이라고 생각한다면 다시 생각해 보자. 신용평가 업체 익스페리안(Experian Plc)은 새로운 보고서를 통해 2019년에는 사이버 공격이 생체인식 해킹을 정조준할 것이며, 터치 ID 센서, 안면 인식 기술, 패스코드의 취약성이 노출될 것이라고 전망했다. 생체인식 데이터는 가장 안전한 인증 방법으로 여겨지고 있지만, 도난 또는 변경이 가능하며 센서를 조작 또는 위장할 수도 있고, 센서가 과도한 사용으로 열화될 수 있다. 하지만 익스페리안의 조사에 따르면, 63%나 되는 기업들이 덜 안전한 비밀번호를 강화하거나 대체하기 위해 생체인식 인증 시스템을 이행했거나 배치할 계획이다. 사실 금융권은 21세기에 들어서면서부터 생체인식 시스템을 추구했다. 또한 GDPR이 기타 프라이버시 규제가 적용되는 새로운 보안 기준으로 인해 이중 인증 또는 독립형 보호 옵션의 하나로 생체인식 도입이 크게 증가했다. 마찬가지로 해커들도 다시금 생체인식을 주목하고 있다. 터치 스크린, 안면 인식, 패스코드에 대한 공격이 증가하고 있는데, 익스페리안에 따르면, 이들이 지난 해 상위 5개의 데이터 유출 트렌드였다. 예를 들어, 2015년에는 OPM(Office of Personnel Management)이 해킹을 당해 5백만 개 이상의 암호화되지 않은 지문이 도난되기도 했다. 이번 보고서는 기업이 모든 계층에서 생체인식 시스템을 보호할 것으로 권고한다. 생체인식 데이터는 암호화하여 안전한 서버에서 보관해야 한다. 생체인식 데이터의 처리 방식에도 프라이버시 규정이 적용되겠지만, 관련 정보는 여전히 대부분 규제가 적용되지 않고 있다. 센서, 스캐너, 기타 하드웨어가 이상을 더욱 잘 감지할 때까지 생체인식을 이중 인증 시스템의 한 부분으로만 사용해야 한다. <컴퓨터월드>는 익스페리언의 데이터 유출 대책 담당 부사장 ...

해킹 생체인식 ID 신용정보

2019.01.09

아이폰의 페이스 ID 안면 인식 기능이나 은행의 멋지고 새로운 지문 스캐너가 프라이버시를 보장하고 해커들이 민감한 개인 또는 금융 데이터에 액세스하지 못하게 할 것이라고 생각한다면 다시 생각해 보자. 신용평가 업체 익스페리안(Experian Plc)은 새로운 보고서를 통해 2019년에는 사이버 공격이 생체인식 해킹을 정조준할 것이며, 터치 ID 센서, 안면 인식 기술, 패스코드의 취약성이 노출될 것이라고 전망했다. 생체인식 데이터는 가장 안전한 인증 방법으로 여겨지고 있지만, 도난 또는 변경이 가능하며 센서를 조작 또는 위장할 수도 있고, 센서가 과도한 사용으로 열화될 수 있다. 하지만 익스페리안의 조사에 따르면, 63%나 되는 기업들이 덜 안전한 비밀번호를 강화하거나 대체하기 위해 생체인식 인증 시스템을 이행했거나 배치할 계획이다. 사실 금융권은 21세기에 들어서면서부터 생체인식 시스템을 추구했다. 또한 GDPR이 기타 프라이버시 규제가 적용되는 새로운 보안 기준으로 인해 이중 인증 또는 독립형 보호 옵션의 하나로 생체인식 도입이 크게 증가했다. 마찬가지로 해커들도 다시금 생체인식을 주목하고 있다. 터치 스크린, 안면 인식, 패스코드에 대한 공격이 증가하고 있는데, 익스페리안에 따르면, 이들이 지난 해 상위 5개의 데이터 유출 트렌드였다. 예를 들어, 2015년에는 OPM(Office of Personnel Management)이 해킹을 당해 5백만 개 이상의 암호화되지 않은 지문이 도난되기도 했다. 이번 보고서는 기업이 모든 계층에서 생체인식 시스템을 보호할 것으로 권고한다. 생체인식 데이터는 암호화하여 안전한 서버에서 보관해야 한다. 생체인식 데이터의 처리 방식에도 프라이버시 규정이 적용되겠지만, 관련 정보는 여전히 대부분 규제가 적용되지 않고 있다. 센서, 스캐너, 기타 하드웨어가 이상을 더욱 잘 감지할 때까지 생체인식을 이중 인증 시스템의 한 부분으로만 사용해야 한다. <컴퓨터월드>는 익스페리언의 데이터 유출 대책 담당 부사장 ...

2019.01.09

MS, '블록체인 기반 ID 시스템' 대규모 테스트

마이크로소프트가 자체 개발한 블록체인 기반 분산 디지털 신원 관리 플랫폼의 테스트를 시작한다. 사용자가 암호화된 데이터베이스 허브를 통해 자신의 온라인 페르소나를 소유하고 여기에 안전하게 접속하도록 지원한다. 마이크로소프트는 지난 수년간 블록체인과 다른 분산 원장 기술을 활용해 개인 프라이버시와 보안, 제어 권한을 확대하는 새로운 형태의 디지털 신원 방법을 개발해 왔다. 마이크로소프트의 아이덴티티 디비전 수석 제품 관리자 앤커 파텔은 블로그를 통해 "새로운 디지털 신원 모델이 필요한 시점이다. 물리적 세계와 디지털 세계에 대한 보안 접속과 개인 프라이버시를 강화하는 방식이다. 많은 앱과 서비스에 대해 넓은 범위의 승인을 제공하거나, 개인의 신원 데이터가 수많은 업체에 공유되는 형태는 안된다. 암호화된 보안 디지털 허브가 그 대안이다. 개개인이 여기에 신원 데이터를 저장하고 이에 대한 접속도 쉽게 통제할 수 있다"라고 설명했다. 지난 달 마이크로소프트는 ID2020 얼라이언스에 가입했다. 블록체인 기반의 오픈소스 디지털 신원 시스템을 만드는 글로벌 프로젝트다. 미국내 시민은 물론, 경제적, 사회적 여건 때문에 제도가 허술한 국가의 시민들을 위한 시스템이다. 특히 법적인 신원 확인 문제로 기본권을 보장 받지 못하고 선거, 의료보험, 주거, 교육 같은 서비스를 누리지 못하는 사람에게 도움을 주기 위한 것이다. 최근 마이크로소프트는 ID2020과의 협력과 자체 연구를 통해 쌓은 블록체인 개발 성과를 공개했다. 먼저, 새로운 오픈 원장 ID 플랫폼은 마이크로소프트의 클라우드를 기반으로 한 마이크로소프트 어센티케이터(Microsoft Authenticator) 애플리케이션을 활용한다. 이 애플리케이션은 이미 기업과 일반 소비자에게 이중인증을 지원하고 있다. 마이크로소프트는 이른바 '자주적 디지털 신원 플랫폼(self-sovereign digital identity platform)'을 활성화하기 위해 다른...

마이크로소프트 신원 ID 블록체인

2018.02.14

마이크로소프트가 자체 개발한 블록체인 기반 분산 디지털 신원 관리 플랫폼의 테스트를 시작한다. 사용자가 암호화된 데이터베이스 허브를 통해 자신의 온라인 페르소나를 소유하고 여기에 안전하게 접속하도록 지원한다. 마이크로소프트는 지난 수년간 블록체인과 다른 분산 원장 기술을 활용해 개인 프라이버시와 보안, 제어 권한을 확대하는 새로운 형태의 디지털 신원 방법을 개발해 왔다. 마이크로소프트의 아이덴티티 디비전 수석 제품 관리자 앤커 파텔은 블로그를 통해 "새로운 디지털 신원 모델이 필요한 시점이다. 물리적 세계와 디지털 세계에 대한 보안 접속과 개인 프라이버시를 강화하는 방식이다. 많은 앱과 서비스에 대해 넓은 범위의 승인을 제공하거나, 개인의 신원 데이터가 수많은 업체에 공유되는 형태는 안된다. 암호화된 보안 디지털 허브가 그 대안이다. 개개인이 여기에 신원 데이터를 저장하고 이에 대한 접속도 쉽게 통제할 수 있다"라고 설명했다. 지난 달 마이크로소프트는 ID2020 얼라이언스에 가입했다. 블록체인 기반의 오픈소스 디지털 신원 시스템을 만드는 글로벌 프로젝트다. 미국내 시민은 물론, 경제적, 사회적 여건 때문에 제도가 허술한 국가의 시민들을 위한 시스템이다. 특히 법적인 신원 확인 문제로 기본권을 보장 받지 못하고 선거, 의료보험, 주거, 교육 같은 서비스를 누리지 못하는 사람에게 도움을 주기 위한 것이다. 최근 마이크로소프트는 ID2020과의 협력과 자체 연구를 통해 쌓은 블록체인 개발 성과를 공개했다. 먼저, 새로운 오픈 원장 ID 플랫폼은 마이크로소프트의 클라우드를 기반으로 한 마이크로소프트 어센티케이터(Microsoft Authenticator) 애플리케이션을 활용한다. 이 애플리케이션은 이미 기업과 일반 소비자에게 이중인증을 지원하고 있다. 마이크로소프트는 이른바 '자주적 디지털 신원 플랫폼(self-sovereign digital identity platform)'을 활성화하기 위해 다른...

2018.02.14

칼럼 | 현 시점에서 유효한 ID 관리 조언

ID(Identity)는 컴퓨터 보안 방어에서 의미있는 유일한 보안 장벽이다. 만일 여러 영역에 접근 가능한 하나의 로그온 정보가 해킹된다고 가정하면 물리적인 장벽이나 방화벽, 보안 도메인, 숲, 영역, 가상 네트워크할 것 없이 다른 모든 것은 아무런 의미가 없다. 오늘날 ID 솔루션은 수십만 개에 이르는 보안 도메인에 하나의 로그온 정보로 접속 가능하다. 경이롭게도 이와 동시에 전반적인 위험은 줄여준다. 어떻게 이런 일이 가능할까? 인터넷 초기 상황 컴퓨터와 네크워크 사용 초기 시절에는 대부분의 사람이 로그온 이름과 비밀번호를 한 가지로 통일했다. 이는 매우 위험한 방식이었다. 컴퓨터 한 대가 해킹 당하면, 똑같은 로그온 정보를 공유하는 다른 모든 컴퓨터도 피해를 입을 공산이 크기 때문이다. 따라서 시스템 별로 각기 다른 접속 비밀번호를 만들라는 권고 사항이 생겼다. 과도기 상황 대부분의 사람이 접속하는 자료가 비밀번호로 보호되고 그 종류도 수십 개 내지 수백 개에 이르는 상황이 도래했다. 사용자들은 수많은 사이트에서 각기 다른 비밀번호를 사용하기 위해 비밀번호를 다 적어두거나 아니면 비밀번호 관리자나 모종의 싱글사인온(Single Sign-On, SSO) 솔루션을 사용해야 했다(비밀번호를 적어 두는 방법은 절대 금물이다. 비밀번호 관리자는 비밀번호를 모두 저장해 주고 사용자가 다른 여러 사이트를 방문할 때 자동 로그인하게 해 줄 수도 있다). SSO 솔루션은 기업에서 꽤 인기를 끌었고 비밀번호 관리자는 일반 가정에서 꽤 널리 사용되었다. 그러나 모든 보안 도메인과 플랫폼에 걸쳐 두 가지 솔루션이 모두 일관성있게 작동한 적은 없었다. 적용 범위가 넓은 SSO 솔루션 몇 가지가 개발되어 시범 사용됐지만 폐기됐다. 마이크로소프트에서 원래 내놓았던 패스포트(Passport)와 분산형 오픈ID(OpenID) 표준이 대표적인 예다. 과도기의 SSO 솔루션들은 하나같이 전역적인 사용과 수용을 약속했지만 모두 실패하고 말았다. 현재 상황 ...

ID identity

2017.06.15

ID(Identity)는 컴퓨터 보안 방어에서 의미있는 유일한 보안 장벽이다. 만일 여러 영역에 접근 가능한 하나의 로그온 정보가 해킹된다고 가정하면 물리적인 장벽이나 방화벽, 보안 도메인, 숲, 영역, 가상 네트워크할 것 없이 다른 모든 것은 아무런 의미가 없다. 오늘날 ID 솔루션은 수십만 개에 이르는 보안 도메인에 하나의 로그온 정보로 접속 가능하다. 경이롭게도 이와 동시에 전반적인 위험은 줄여준다. 어떻게 이런 일이 가능할까? 인터넷 초기 상황 컴퓨터와 네크워크 사용 초기 시절에는 대부분의 사람이 로그온 이름과 비밀번호를 한 가지로 통일했다. 이는 매우 위험한 방식이었다. 컴퓨터 한 대가 해킹 당하면, 똑같은 로그온 정보를 공유하는 다른 모든 컴퓨터도 피해를 입을 공산이 크기 때문이다. 따라서 시스템 별로 각기 다른 접속 비밀번호를 만들라는 권고 사항이 생겼다. 과도기 상황 대부분의 사람이 접속하는 자료가 비밀번호로 보호되고 그 종류도 수십 개 내지 수백 개에 이르는 상황이 도래했다. 사용자들은 수많은 사이트에서 각기 다른 비밀번호를 사용하기 위해 비밀번호를 다 적어두거나 아니면 비밀번호 관리자나 모종의 싱글사인온(Single Sign-On, SSO) 솔루션을 사용해야 했다(비밀번호를 적어 두는 방법은 절대 금물이다. 비밀번호 관리자는 비밀번호를 모두 저장해 주고 사용자가 다른 여러 사이트를 방문할 때 자동 로그인하게 해 줄 수도 있다). SSO 솔루션은 기업에서 꽤 인기를 끌었고 비밀번호 관리자는 일반 가정에서 꽤 널리 사용되었다. 그러나 모든 보안 도메인과 플랫폼에 걸쳐 두 가지 솔루션이 모두 일관성있게 작동한 적은 없었다. 적용 범위가 넓은 SSO 솔루션 몇 가지가 개발되어 시범 사용됐지만 폐기됐다. 마이크로소프트에서 원래 내놓았던 패스포트(Passport)와 분산형 오픈ID(OpenID) 표준이 대표적인 예다. 과도기의 SSO 솔루션들은 하나같이 전역적인 사용과 수용을 약속했지만 모두 실패하고 말았다. 현재 상황 ...

2017.06.15

가트너 선정 '주목해야 할 IoT 보안 업체 4곳'

사물인터넷은 관련 디바이스를 안전하게 사용할 방법을 찾고 있는 기업들에게 보안이라는 과제를 제시하고 있다. 가트너는 바로 이 문제를 해결하고자 하는 업체들을 조사한 후, 4곳의 업체를 기대주로 지목했다. 가트너는 이 목록이 관련 업체를 모두 포괄하는 것은 아니지만, 이들 흥미롭고 새롭고 혁신적인 업체와 제품과 서비스에 주목할 필요가 있다고 강조했다. editor@itworld.co.kr

암호화 인증 사물인터넷 ID

2015.05.15

사물인터넷은 관련 디바이스를 안전하게 사용할 방법을 찾고 있는 기업들에게 보안이라는 과제를 제시하고 있다. 가트너는 바로 이 문제를 해결하고자 하는 업체들을 조사한 후, 4곳의 업체를 기대주로 지목했다. 가트너는 이 목록이 관련 업체를 모두 포괄하는 것은 아니지만, 이들 흥미롭고 새롭고 혁신적인 업체와 제품과 서비스에 주목할 필요가 있다고 강조했다. editor@itworld.co.kr

2015.05.15

"암호를 버려라" 획기적인 보안 ID 기술 8선

암호라는 개념이 처음 등장한 이래 사람들은 열심히 암호를 사용해왔다. 사이버 범죄가 증가하고 인증을 요구하는 시스템과 서비스가 확산된 지금은 기억하기 어려운 복잡한 암호를 수시로 새로 만들어야 하는 상황이다. 그렇다면 여기 소개하는 기술들이 정말 시스템과 서비스를 안전하게 해줄까? 언젠가는 암호도 과거의 유물이 될 것이다. 전자 알약에서 디지털 문신에 이르기까지, 여기 소개하는 8가지 혁신은 암호를 일일이 기억할 필요 없이 시스템과 신원을 보호할 수 있는 미래를 지향한다. 이미 실현된 기술도 있고 실용의 문턱에 다다른 기술도 있으며 아직 초기 아이디어에 불과한 수준의 기술도 있지만 공통점은 이러한 각 사례를 통해 보안과 신원 기술 분야에서 아직 개척되지 않은 무한한 가능성을 엿볼 수 있다는 점이다. editor@itworld.co.kr

뇌파 암호 지문 홍채 ID 문신 알약

2014.09.30

암호라는 개념이 처음 등장한 이래 사람들은 열심히 암호를 사용해왔다. 사이버 범죄가 증가하고 인증을 요구하는 시스템과 서비스가 확산된 지금은 기억하기 어려운 복잡한 암호를 수시로 새로 만들어야 하는 상황이다. 그렇다면 여기 소개하는 기술들이 정말 시스템과 서비스를 안전하게 해줄까? 언젠가는 암호도 과거의 유물이 될 것이다. 전자 알약에서 디지털 문신에 이르기까지, 여기 소개하는 8가지 혁신은 암호를 일일이 기억할 필요 없이 시스템과 신원을 보호할 수 있는 미래를 지향한다. 이미 실현된 기술도 있고 실용의 문턱에 다다른 기술도 있으며 아직 초기 아이디어에 불과한 수준의 기술도 있지만 공통점은 이러한 각 사례를 통해 보안과 신원 기술 분야에서 아직 개척되지 않은 무한한 가능성을 엿볼 수 있다는 점이다. editor@itworld.co.kr

2014.09.30

대규모 데이터 유출로 2초마다 신원 사기 피해 발생

최신 신원 사기 동향을 담은 재블린 스트래티지&리서치(Javelin Strategy & Research)의 보고서가 나왔다. 그동안 소소한 데이터 유출 사건들은 많았지만 요즘처럼 온 나라가 떠들썩한 적은 없었다. 하지만 데이터 유출은 이미 시작 단계에 있다. 가장 문제가 되는 것은 데이터를 도난 당한 후 민감한 고객 정보에 무엇이 발생하느냐다. 재블린 스트래티지&리서치는 신원 사기에 대한 11번째 연간 보고서를 발표했는데, 이 보고서는 지난해 10월 미국 소비자 5,634명을 대상으로 조사한 것으로 결과는 그다지 고무적이지 않았다. 기업의 데이터베이스와 정제되기 전 데이터를 훔친 공격자들은 일반적으로 그것들을 이용하지 않는다. 이 데이터는 다른 범죄자들이 신용과 신원을 도용할 수 있도록 일반적으로 지하 암시장 거래소에서 판매되며 훔친 신용카드 데이터를 구매 인증에 이용하기부터 개인 계좌를 훔치거나 새로운 가짜 계정을 만드는데 쓰인다. 2012년에는 데이터 유출로 신원 사기 피해를 입은 개인은 4명 중 1명이었다. 하지만 2013년에는 3명 중 1명으로 늘어났다. 2013년 직불카드 정보가 유출됐던 소비자 중 46%가 같은 해 사기 피해자가 됐으며 사회보장번호가 유출된 소비자의 경우 16%가 피해를 입었다. 이 보고서에서 한 가지 긍정적인 면도 있다. 신원 사기의 금전적인 피해가 180억 달러로 줄어들었다는 점이다. 10년 전 이는 약 3배인 480억 달러였다. 이 수치에 대한 논란이 여전히 있긴 하지만 피해를 입은 소비자 수가 계속해서 증가해 2013년 약 1,310만 명인 점을 감안하면 그나마 다행이라고 할 수 있다. 재블린의 보안, 리스크 및 사기 담당 선임 애널리스트인 알 파스쿠알은 "소비자와 기업이 노력을 게을리 해서는 안된다"고 강조했다. "우리는 범죄자들이 계정에 초점을 맞추는 접근 방식을 택하고 유출된 데이터를 보호하는 정보를 사용하는데 효율적이라는 점을 발견했...

데이터 유출 ID 신원 신용카드 계정 공격 해커 사기 은행 해킹 계좌

2014.02.07

최신 신원 사기 동향을 담은 재블린 스트래티지&리서치(Javelin Strategy & Research)의 보고서가 나왔다. 그동안 소소한 데이터 유출 사건들은 많았지만 요즘처럼 온 나라가 떠들썩한 적은 없었다. 하지만 데이터 유출은 이미 시작 단계에 있다. 가장 문제가 되는 것은 데이터를 도난 당한 후 민감한 고객 정보에 무엇이 발생하느냐다. 재블린 스트래티지&리서치는 신원 사기에 대한 11번째 연간 보고서를 발표했는데, 이 보고서는 지난해 10월 미국 소비자 5,634명을 대상으로 조사한 것으로 결과는 그다지 고무적이지 않았다. 기업의 데이터베이스와 정제되기 전 데이터를 훔친 공격자들은 일반적으로 그것들을 이용하지 않는다. 이 데이터는 다른 범죄자들이 신용과 신원을 도용할 수 있도록 일반적으로 지하 암시장 거래소에서 판매되며 훔친 신용카드 데이터를 구매 인증에 이용하기부터 개인 계좌를 훔치거나 새로운 가짜 계정을 만드는데 쓰인다. 2012년에는 데이터 유출로 신원 사기 피해를 입은 개인은 4명 중 1명이었다. 하지만 2013년에는 3명 중 1명으로 늘어났다. 2013년 직불카드 정보가 유출됐던 소비자 중 46%가 같은 해 사기 피해자가 됐으며 사회보장번호가 유출된 소비자의 경우 16%가 피해를 입었다. 이 보고서에서 한 가지 긍정적인 면도 있다. 신원 사기의 금전적인 피해가 180억 달러로 줄어들었다는 점이다. 10년 전 이는 약 3배인 480억 달러였다. 이 수치에 대한 논란이 여전히 있긴 하지만 피해를 입은 소비자 수가 계속해서 증가해 2013년 약 1,310만 명인 점을 감안하면 그나마 다행이라고 할 수 있다. 재블린의 보안, 리스크 및 사기 담당 선임 애널리스트인 알 파스쿠알은 "소비자와 기업이 노력을 게을리 해서는 안된다"고 강조했다. "우리는 범죄자들이 계정에 초점을 맞추는 접근 방식을 택하고 유출된 데이터를 보호하는 정보를 사용하는데 효율적이라는 점을 발견했...

2014.02.07

"데이터 유출 피해 고객 최대 7,000만 명 추산" 쇼핑몰 타깃

ID 도난으로 이메일 주소, 우편 주소, 기타 정보가 유출됐을 수 있다고 타깃이 전했다. 미국 쇼핑몰 타깃(Target)의 데이터 유출로 최대 7,000만 명이 피해를 입을 것으로 추산됐다. 이는 타깃은 12월 중순 예상했던 피해 고객 수보다 3,000만 명 더 늘어날 숫자다. 신용카드와 직불카드 데이터 유출 외에 해커들은 고객의 이름, 우편 주소, 전화 번호, 이메일 주소를 확보했다고 타깃은 지난 10일 금요일에 발표한 성명서에서 밝혔다. 타깃은 추가로 피해를 입은 고객과, 지속적인 포렌식 조사로 파악한 추가 정보를 발견했다고 이 회사는 전했다. 타깃이 고객의 이메일를 가지고 있으면, 데이터 유출 피해를 입은 사람들에게 직접 연락해볼 것이라고 이 회사는 말했다. 타깃은 이 이메일에서 고객에게 개인 정보를 요청하지 않는다고 강조했다. 12월 중순 타깃은 해커들이 11월 27일부터 12월 15일까지 신용카드와 직불카드 정보를 훔쳤다고 발표했다. 이 회사의 회장, 사장 겸 CEO인 그렉 슈타인하펠은 "우리 고객들이 이 정보가 도난당한 것을 얼마나 힘들어 하는지 잘 알고 있다. 그리고 고객들이 이를 겪게 해서 정말 죄송하다”라고 성명서에서 밝혔다. "고객들이 이 사건과 관련한 사실을 이해하고 공유하는 것이 타깃 조직 전체와 내게 중요하다는 것을 이들이 알아 주었으면 한다”라고 그는 덧붙였다. 타깃은 데이터 유출과 관련된 부당 청구 비용을 지불하겠다고 약속했다. 또한 이 회사는 1년 동안 타깃의 미국 매장에서 쇼핑하는 고객들에게 신용정보 모니터링과 ID 도난 보호를 제공할 방침이다. 데이터 유출에 대한 좀더 자세한 내용은 타깃의 웹 사이트에서 확인할 수 있다. ciokr@idg.co.kr

데이터 유출 ID 피해 타깃 쇼핑몰 소매 고객 정보 신용카드 유통 직불카드

2014.01.13

ID 도난으로 이메일 주소, 우편 주소, 기타 정보가 유출됐을 수 있다고 타깃이 전했다. 미국 쇼핑몰 타깃(Target)의 데이터 유출로 최대 7,000만 명이 피해를 입을 것으로 추산됐다. 이는 타깃은 12월 중순 예상했던 피해 고객 수보다 3,000만 명 더 늘어날 숫자다. 신용카드와 직불카드 데이터 유출 외에 해커들은 고객의 이름, 우편 주소, 전화 번호, 이메일 주소를 확보했다고 타깃은 지난 10일 금요일에 발표한 성명서에서 밝혔다. 타깃은 추가로 피해를 입은 고객과, 지속적인 포렌식 조사로 파악한 추가 정보를 발견했다고 이 회사는 전했다. 타깃이 고객의 이메일를 가지고 있으면, 데이터 유출 피해를 입은 사람들에게 직접 연락해볼 것이라고 이 회사는 말했다. 타깃은 이 이메일에서 고객에게 개인 정보를 요청하지 않는다고 강조했다. 12월 중순 타깃은 해커들이 11월 27일부터 12월 15일까지 신용카드와 직불카드 정보를 훔쳤다고 발표했다. 이 회사의 회장, 사장 겸 CEO인 그렉 슈타인하펠은 "우리 고객들이 이 정보가 도난당한 것을 얼마나 힘들어 하는지 잘 알고 있다. 그리고 고객들이 이를 겪게 해서 정말 죄송하다”라고 성명서에서 밝혔다. "고객들이 이 사건과 관련한 사실을 이해하고 공유하는 것이 타깃 조직 전체와 내게 중요하다는 것을 이들이 알아 주었으면 한다”라고 그는 덧붙였다. 타깃은 데이터 유출과 관련된 부당 청구 비용을 지불하겠다고 약속했다. 또한 이 회사는 1년 동안 타깃의 미국 매장에서 쇼핑하는 고객들에게 신용정보 모니터링과 ID 도난 보호를 제공할 방침이다. 데이터 유출에 대한 좀더 자세한 내용은 타깃의 웹 사이트에서 확인할 수 있다. ciokr@idg.co.kr

2014.01.13

편리하고 쉬운 '이중 인증 툴'··· 8종 비교 분석

최신 이중 인증 시스템인 하드웨어 토큰을 대체하는 기술로 스마트폰이 부상하고 있다. 사용자 ID와 암호에만 의존하는 것은 위험 천만한 일이다. 바로 그 때문에 이중 인증 서비스가 필요한 것이다. 네트워크월드는 스마트폰 앱, 문자메시지, 전화 등의 소프트 토큰(soft tokens)을 사용하는 추가 인증 절차를 의미하는 8가지 이중 인증 툴을 테스트해보았다. 대상 업체들은 셀레스틱스(Celestix), 마이크로소프트, RSA, 세이프넷, 시큐어오쓰(SecureAuth), 시만텍, 텍스트파워(TextPower), 배스코(Vasco)다. ciokr@idg.co.kr

마이크로소프트 시만텍 암호 RSA 세이프넷 이중 인증 ID 셀레스틱스 시큐어오쓰

2013.05.23

최신 이중 인증 시스템인 하드웨어 토큰을 대체하는 기술로 스마트폰이 부상하고 있다. 사용자 ID와 암호에만 의존하는 것은 위험 천만한 일이다. 바로 그 때문에 이중 인증 서비스가 필요한 것이다. 네트워크월드는 스마트폰 앱, 문자메시지, 전화 등의 소프트 토큰(soft tokens)을 사용하는 추가 인증 절차를 의미하는 8가지 이중 인증 툴을 테스트해보았다. 대상 업체들은 셀레스틱스(Celestix), 마이크로소프트, RSA, 세이프넷, 시큐어오쓰(SecureAuth), 시만텍, 텍스트파워(TextPower), 배스코(Vasco)다. ciokr@idg.co.kr

2013.05.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8