Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

패스워드

엣지 브라우저, 유출된 패스워드 즉각 업데이트 기능 추가

마이크로소프트는 크롬의 패스워드 관리 기능과는 차별화되는 손쉬운 패스워드 업데이트 기능을 엣지 브라우저에 추가했다고 밝혔다.  새로운 기능은 브라우저에 저장되어 있는 유출 패스워드 문제에 대한 마이크로소프트의 해법이다. 만약 사용자의 이메일과 패스워드가 유출됐고 해당 패스워드가 브라우저에 저장되어 있다면, 브라우저는 사용자에게 유출 여부를 알려준다. 하지만 이렇게 유출된 패스워드를 어떻게 할 것인지는 또 다른 문제이다. 사용자는 문제의 사이트로 찾아가 해당 사이트의 메커니즘에 따라 패스워드를 변경해야 한다. 크롬은 해당 페이지로의 원클릭 버튼을 제공해 복구 과정을 최대한 단축했다. 하지만 패스워드 자체를 바꾸는 것은 여전히 사용자의 몫이다. 물론 크롬이 제안하는 자동 생성된 복잡한 패스워드를 사용할 수도 있지만, 이 경우 해당 사이트는 패스워드를 생성한 브라우저로 접속해야만 한다.   엣지의 ‘손쉬운 업데이트’ 기능은 설정/프로필의 암호 페이지에서 저장된 암호 목록의 옆에 있는 3점 버튼에서 ‘변경’을 클릭하면 된다. 현재는 파일럿 테스트 단계라 일부 사용자에게는 나타나지 않을 수도 있다. 보안 측면에서 마이크로소프트 엣지는 구글 크롬의 뒤를 바짝 쫓고 있다. 지난 5월 구글은 크롬의 새 버전에서 패스워드 페이지로의 링크와 자동 변경 기능을 제공할 계획이라고 약속했다. 하지만 필자의 경험으로는 크롬이 제공하는 링크는 해당 사이트의 패스워드 페이지로 제대로 연결되지 않는 경우가 많았다. 엣지의 새 기능은 조금 더 잘 동작하기를 기대해 본다. editor@itworld.co.kr

엣지 패스워드 암호 2021.11.19

2021년 주목해야 할 사이버 보안 스타트업 12

사이버 보안 분야의 신기술을 알고 싶다면, 관련 스타트업이 무엇을 하는지 지켜보면 된다. 스타트업은 보통 혁신적인 아이디어만으로 시작하며, 설치 기반이나 주류 업계의 접근법으로부터 자유롭다. 그래서 종종 아무도 해결하지 못하는 문제에 덤벼들고는 한다. 단점이라면 자원과 성숙도가 부족하다는 것. 그래서 스타트업의 제품이나 플랫폼을 도입하는 것은 기업에는 상당한 위험이며, 고객과 솔루션 업체의 관계도 보통과는 다르다. 하지만 성공적인 관계를 맺으면, 기업의 경쟁력을 높이거나 보안 자원에 대한 부담을 줄이는 엄청난 혜택을 얻을 수 있다.   주목할 만한 보안 스타트업 12곳을 소개한다. 여기서 소개하는 스타트업은 최근 2년 이내에 새로 설립했거나 스텔스 모드를 끝낸 곳이다.   애브노멀 시큐리티(Abnormal Security) 2019년 설립된 애브노멀 시큐리티는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 애브노멀의 AI 기반 접근법은 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버 공격을 암시하는 비정상적인 활동을 파악할 수 있도록 한다. 이를 통해 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 인증서 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며, 마이크로소프트 오피스 365, 구글 지스위트, 슬랙과 같은 다른 기업용 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.    아피로(Apiiro) 아피로는 2020년 스텔스 모드에서 벗어났다. 공동 설립자 겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이며 주기적인 '개발자 나중'(developer-last) 접근법에서 자동 위험 기반 '개발자 우선’(developer-first) 접근법"으로 전환하는 것을 목표로 한다고 밝혔다. 아피로 플랫폼은 API로 모든 온프레미스와 클라...

스타트업 ID 패스워드 2021.07.09

드롭박스, 비밀번호 관리자 무료 제공 “기능은 제한적”

드롭박스는 지난해, 유료 요금제의 일부로 비밀번호 관리자를 제공하기 시작했다. 하지만 16일, 드롭박스는 이 기능을 무료 사용자에게도 제공한다고 발표했다. 다만, 드롭박스의 비밀번호 관리 기능은 다른 무료 비밀번호 관리자를 대체하기엔 부족해 보인다.   4월부터 드롭박스 베이직 사용자는 패스워드(Passwords)라는 이름의 드롭박스 비밀번호 관리자를 사용할 수 있게 된다. 하지만 저장할 수 있는 암호가 최대 50개, 동기화 가능한 디바이스 숫자가 3대로 제한된다. 추후 다른 사용자와 비밀번호를 안전하게 공유할 수 있는 기능이 추가될 예정이다. 드롭박스 패스워드 서비스는 요청 시 비밀번호를 자동 입력해준다. 드롭박스는 윈도우, 맥, iOS, 안드로이드용 앱을 ‘영지식 암호화(zero-knowledge encryption)’로 제공하기 때문에, 저장된 비밀번호는 사용자만 알 수 있다. 조금 더 정교한 패스워드 서비스를 원하면, 무료 베이직 요금제가 아닌 월 11.99달러의 드롭박스 플러스 요금제를 사용해야 한다. 플러스 사용자에게는 PIN으로 추가 보호되는 암호화된 스토리지인 드롭박스 볼트(Dropbox Vault)도 제공된다. 이번 드롭박스의 발표는 화요일부터 라스트패스(LastPass)의 무료 버전 기능이 줄어드는 것과 무관하지 않아 보인다. 라스트패스 무료 사용자는 화요일부터 컴퓨터나 휴대폰 등 한 카테고리의 디바이스에서만 무제한으로 암호를 저장 및 동기화할 수 있다. editor@itworld.co.kr  

드롭박스 비밀번호관리자 암호관리자 2021.03.17

윈도우용 크롬에서도 아이클라우드 패스워드 쓴다

애플이 윈도우 애플리케이션용 아이클라우드를 업데이트했다. 이 앱과 윈도우용 크롬 아이클라우드 패스워드 확장기능을 이용하면 아이클라우드 키체인을 사용할 수 있다. 이 밖에도 폴더 공유 사용자 인터페이스를 개선했고, 지원하는 모든 플랫폼에서 이들 폴더를 더 쉽게 공유, 접근할 수 있도록 바뀌었다.   윈도우용 아이클라우드는 아이클라우드를 사용하는 모든 이에게 필수 툴이다. 최근 들어 아이패드나 아이폰을 구매했지만 주로 윈도우 PC를 사용하거나, 혹은 멀티 플랫폼을 사용하는 이들이라면 더 그렇다.   윈도우용 아이클라우드 새 버전을 설치하면, '패스워드' 섹션에서 아이클라우드 키체인 로고를 볼 수 있다. 크롬용 아이클라우드 패스워드 확장기능이 아직 나오지 않아 현재는 크롬을 완벽하게 지원하지는 않지만, 곧 이 확장기능 배포를 시작할 것이라는 보도가 잇따르고 있다. 이 확장기능까지 설치하면 윈도우용 크롬 브라우저에서 아이클라우드 키체인 패스워드에 접근할 수 있다.   나인투파이브구글에 따르면, 현재까지 애플이 내놓은 유일한 크롬 확장 기능은 아이클라우드 북마크다. 이 확장기능을 이용하면 사용자가 아이클라우드에 저장한 사진과 동영상, 메일, 캘린더, 파일은 물론 다른 중요한 정보를 윈도우 PC에서도 최신 상태로 유지할 수 있다. 이 툴은 매우 정교하다. 사진의 경우  PC에 저장한 이미지의 라이트 버전을 유지하고, 북마크는 다른 브라우저의 최신 북마크를 자동으로 사파리에 동기화한다. 기본적으로 문서와 이미지 등 사용자의 가장 중요한 정보를 어떤 기기에서든 동기화해 사용할 수 있도록 지원하는 앱이다.   아이클라우드 북마크는 애플이 2002년 애플 엑스포 파리 행사에서 공개한 아이싱크(iSync)의 기능을 이어받았다는 점에서 흥미롭다. 당시 애플 CEO 스티브 잡스는 아이싱크가 맥을 모바일로 옮긴 것이라며 '뭔가 매우 중요한 것의 시작'이라고 표현했다.   아이싱크는 오픈 싱크ML 표준을 활용해 맥 사용자가 연락처...

아이클라우드 크롬 패스워드 2021.02.02

웹 브라우저 패스워드 관리 기능만으로는 부족한 이유

과거에는 브라우저에 패스워드를 저장하지 않는 것이 상식이었다. 하지만 더는 진실이 아니다. 최신 브라우저는 훨씬 안전할 뿐만 아니라 이중인증으로 보호되는 계정과 연결되어 있다.   주요 브라우저 대부분은 이제 기본적인 패스워드 관리자 역할을 넘어 강력한 패스워드 생성 기능을 놓고 경쟁하고 있다. 마이크로소프트 엣지 브라우저가 마지막으로 이 기능을 지원하며 경쟁에 참여했다. 하지만 전문가들은 여전히 독립적인 서드파티 패스워드 관리자를 사용하는 것이 훨씬 안전하다고 지적한다. 일단 브라우저의 패스워드 관리자를 사용하면, 몇 가지 골칫거리를 해결할 수 있다는 것은 확실하다. 무엇보다도 강력하고 유일무이한 패스워드를 모든 웹 사이트와 서비스에 마음껏 사용하면서도 패스워드를 잊어버릴 걱정은 하지 않아도 된다. 물론 해당 웹 사이트가 해킹을 당하면, 범죄자가 사용자의 로그인 정보를 악용할 위험까지는 막을 수 없다. 일부 브라우저는 보안 사고로 사용자의 로그인 정보가 유출되었다며 즉각 패스워드를 바꾸라고 알려주기도 한다.    하지만 브라우저 기반 패스워드 관리자는 사용자를 해당 브라우저에 묶어 놓는다. 예를 들어, 크롬 브라우저의 패스워드 관리자를 사용한다면, 사용자의 로그인 정보는 구글 계정과 동기화된다. 따라서 파이어폭스나 엣지로 특정 웹 사이트에 로그인하려면, 당연히 패스워드가 자동으로 입력되지는 않는다. 크롬에만 저장되어 있기 때문이다. 게다가 자동으로 생성되는 길고 긴 임의의 패스워드를 사용한다면, 크롬에 로그인하지 않고는 해당 로그인 정보를 기억해내지 못할 것이다. 모바일 웹 사이트나 모바일 앱에 로그인하는 것도 상당한 골칫거리이다. 물론 크롬에 패스워드를 저장하는 안드로이드 사용자나 사파리에 패스워드를 저장하는 아이폰 사용자라면, 구글이나 애플 계정에 연결된 모바일 앱에 좀 더 쉽게 로그인할 수 있다. 패스워드 관리자가 필요한 이유   반면에 라스트패스(LastPass)나 대시레인(Dashlane) 같은 서...

패스워드 크롬 엣지 2021.01.26

랜섬웨어 피해자가 되는 7가지 어리석은 방법과 대비책

랜섬웨어 공격자를 도와주지 말자. 지금 윈도우 네트워크의 이들 취약점을 확인해 보면, 깜짝 놀랄 것이다. 랜섬웨어가 다시 기승을 부리기 시작했다. 보도에 따르면, 공격자는 의료기관을 노리고 회의 초대나 송장으로 위장한 피싱 공격을 사용한 것으로 드러났다. 이런 초대장에는 구글 문서 링크가 포함되어 있는데, 링크의 PDF는 다시 프리뷰나 테스트 같은 이름의 실행 파일로 연결된다. 일단 랜섬웨어가 시스템에 진입하면, 공격자는 피해자의 네트워크에 남겨진 그야말로 쉽게 딸 수 있는 열매를 따먹고, 옆으로 이동해 더 많은 피해를 입힌다.   이렇게 쉽게 문이 열리는 것은 막을 수 있는 일이며, 오래되고 잊힌 설정이나 구식 정책의 결과물일 수도 있다. 여기서는 7가지 흔한 윈도우 네트워크 취약점을 점검해 랜섬웨어 침입자를 막는 방법을 소개한다.   그룹 정책 등록정보에 저장된 패스워드 그룹 정책 등록정보에 패스워드를 저장해 본 적이 있는가? 2014년 MS14-025 패치는 그룹 정책 등록정보에 안전하지 않은 방법으로 패스워드를 저장하는 기능을 삭제했다. 하지만 기존 패스워드를 삭제하지는 않았다. 랜섬웨어 공격자는 파워셸 스크립트 Get-GPPPassword를 사용해 남아있는 패스워드를 획득했다. 그룹 정책 등록정보를 이런 식으로 패스워드를 저장한 적이 있는지 확인하기 바란다. 이외에도 자격 증명을 스크립트나 배치 파일에 남겨둔 적은 없는지 생각해보라. 관리 프로세스를 점검해 패스워드가 노트패드 파일처럼 보호되지 않는 파일에 남아있지 않은지도 확인해야 한다.   원격 데스크톱 프로토콜 사용 아직도 안전하지 않은 RDP(Remote Desktop Protocol)를 사용하는가? 여전히 공격자가 무작위 대입 공격으로 자격 증명을 수집해 웹에 열려 있는 RDP로 침입했다는 보도가 나온다. 원격 데스크톱으로 서버나 가상머신, 심지어 애저 서버를 구축하는 것은 매우 쉽다. 특정 IP 주소에만 액세스를 허용하거나 다중 인증을 사용하는 등 최소한의 ...

랜섬웨어 취약점 패스워드 2020.11.20

구글 비밀번호 관리자 제대로 활용하기

아직도 모든 비밀번호를 기억한 다음에, 직접 사이트에 입력하려는 사용자가 있다면, 잘못하는 것이라고 말하고 싶다.   요즘 사용자가 계속 유지해야 하는 수많은 자격 증명을 생각하면, 인간의 머리로 이 모든 구체적인 내용을 저장하는 작업을 처리할 방법이 없다. 최소한 복잡하고 독보적이며 사이트마다 반복적이지 않은 비밀번호를 사용한다면, 그렇다. 비밀번호 관리자가 필요한 이유가 여기에 있다. 비밀번호 관리자는 사용자의 모든 로그인 정보를 저장하고 있다가 필요할 때 입력 창을 채워준다.   이런 용도를 위한 전용 앱이 필요한 이유도 충분하지만, 구글은 크롬에 자체 비밀번호 관리 시스템을 내장했다. 전용 앱만큼은 아니지만, 아무것도 사용하지 않는 것보다는 훨씬 낫다.    구글 비밀번호 관리자의 기본 무엇보다도 구글의 ‘비밀번호 관리자(Password Manager)’를 실행하기 위해 사용자가 어떤 것도 할 필요가 없다. 한때 구글 스마트 록(Smart Lock) 기능의 일부로 여겨졌던 이 시스템은 안드로이드부터 iOS, 크롬 OS 전반에 걸쳐 동작한다. 다른 데스크톱 플랫폼이라도 크롬으로 로그인하는 곳이라면, 사용할 수 있다. 그리고 보통은 기본값으로 활성화된다. 크롬 브라우저 내에서 특정 사이트에 사용자 이름과 비밀번호를 입력할 때마다 자격 인증을 저장하는 팝업을 볼 수 있다. 또한 새로운 사이트에 로그인할 때 사용자를 위해 복잡한 새 비밀번호도 만들어준다. 그리고 자격 증명을 저장한 사이트에 다시 방문하면, 스마트 록이 사용자 이름과 비밀번호 입력창을 채워준다. 한 사이트에 하나 이상의 자격 증명이 관련되어 있을 때는 원하는 계정을 선택할 수 있도록 해준다. 특정 안드로이드 앱에도 자동으로 로그인할 수 있다. 이 기능은 다소 산발적으로 작동하는데, 언제 제대로 작동하는지 알기는 어렵다.    구글 비밀번호 관리자 설정 조정하기 저장된 비밀번호를 살펴보고 편집하거나 비밀번호 관리자의 설정을 조정하거나 ...

크롬 패스워드 자동완성 2020.06.01

How-To : 윈도우 10에서 로그인 패스워드를 삭제하는 방법

물론 PC의 로그인 패스워드를 없애는 것은 좋지 않은 생각이다. 하지만 자신 외에 다른 사람은 절대로 건드릴 일 없는 PC라면, 패스워드를 제거해 성가신 단계를 건너뛰는 것도 생각해 볼 수 있다. 전원 설정을 조작해 패스워드를 다시 입력하지 않도록 할 수도 있지만, 우회책에 불과하다. 패스워드 자체를 제거해 다시는 입력하지 않아도 되는 간단한 방법을 알아보자. 다시 한 번 강조하지만, 패스워드는 불편한 만큼 중요하다. 다른 사람이 사용할 일이 없는 PC라고 해도 도난이나 절도의 위험은 있다는 것도 잊지 말기 바란다. 우선 윈도우 10 시작 메뉴 검색바에서 netplwiz를 입력하고, 검색 결과에서 해당 프로그램을 실행한다.    netplwiz를 실행하면 윈도우의 사용자 계정 및 여러 패스워드 관련 제어 항목에 액세스할 수 있다. 상단의 ‘사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음(E)’의 선택을 해제한다.  적용 버튼을 클릭하면 현재의 패스워드를 묻는다. 두 번 입력하는 것으로 설정 작업은 끝이다. 이제 PC를 재기동해 보면, 패스워드를 묻는 화면이 나타나지 않을 것이다. 흥미로운 것은 netplwiz 내에는 패스워드가 정확한지 확인하는 기능이 없다는 것이다. 따라서 현재 패스워드를 묻는 창에서 잘못된 패스워드를 입력하면, PC를 재기동할 때 에러 메시지를 보여준다. 이 때는 원래 계정으로 로그인해 netplwiz에서 정확한 패스워드를 입력하면 된다.  참고로 이 방법은 윈도우 10 프로와 윈도우 10 홈 모두에서 테스트했는데, 윈도우 10 2018년 10월 업데이트와 2019년 5월 업데이트에서 정상적으로 동작했다. 또 레노버 PC에는 적용되지 않았던 때도 있었는데, 최근 확인해 본 결과 제대로 동작했다. 회사에서 관리자가 윈도우 그룹 정책을 강제로 적용한 경우에도 적용되지 않을 수 있다. editor@itworld.co.kr

패스워드 로그인 윈도우10 2019.10.22

“해킹당한 패스워드 즉시 확인” 크롬과 파이어폭스에 기본 기능으로 통합

구글은 웹 기반의 유출 패스워드 점검 서비스를 크롬의 경보 시스템 일부로 통합할 계획이다. 패스워드 체커(Password Checker) 서비스는 크롬의 자체 패스워드 관리자에 저장된 사용자명과 패스워드의 조합을 검사하고, 이를 잘 알려진 데이터 유출 사고에서 드러난 정보와 비교한다. 웹 버전 서비스는 크롬 브라우저의 패스워드 관리 기능인 passwords.google.com에서 확인할 수 있다. ‘비밀번호 확인’을 요청하면, 구글은 해킹된 비밀번호나 재사용된 비밀번호, 그리고 취약한 비밀번호를 사용하는 계정까지 보여준다. 현재까지는 안정적인 크롬 브라우저 버전에 통합된 것은 없다. 웹 기반 대시보드만 나온 상태이다. 하지만 구글은 지난 달 크롬 77을 발표하며 해킹된 패스워드 경보 시스템을 크롬 브라우저에 통합할 계획이라고 밝힌 바 있다. 당시는 상세한 정보를 공개하지 않았지만, 의도는 분명했다. 이번 달에 파이어폭스에 처음으로 탑재될 기능과 비슷한 기능을 크롬에도 갖추겠다는 것이다. 현재 윈도우용 크롬 78 베타나 아직은 안정적이지 않은 크롬 79 카나리 버전에는 새로운 패스워드 점검 시스템이 비밀 옵션 화면에 숨겨져 있다. 이 기능을 이용하려면 실험실에서 패스워드 유출 탐지 관련 기능을 찾아 활성화하고, 브라우저 설정에서 패스워드 자동입력을 선택해야 한다.  이제 사고나 해킹으로 유출된 사용자명과 패스워드를 입력하면, 크롬이 해당 패스워드가 이미 유출되었고 변경해야만 한다고 알려준다. 또한 팝업에는 비밀번호 확인 버튼도 포함되어 있어 패스워드 체커 서비스를 바로 이용할 수 있다.   지난 달 구글은 해킹당한 패스워드에 대한 경보 기능을 10월 22일 발표되는 크롬 78에 탑재할 계획이라고 밝혔다. 같은 날 모질라도 비슷한 경보 기능을 탑재한 파이어폭스 새 버전을 발표할 예정이다. 하지만 지난 주 패스워드 경보 개발 관련 크로미엄 버그 보고서 중 하나가 이 기능을 12월 10일 발표되는 크롬 79에 탑재되는 기능으로 설명...

모질라 파이어폭스 유출 2019.10.07

"취약점 분명히 존재"···'그럼에도 불구하고' 암호 관리 앱을 써야 하는 이유

최근 일부 유명 암호 관리 도구에서 취약점을 발견한 조사 연구가 여럿 발표됐다. 공격자는 취약점을 악용해 컴퓨터에 액세스해 메모리로부터 암호를 수집할 수 있다. 그 밖에도 메모리 안의 비밀 정보를 보호하는 것은 소프트웨어 업계에서 계속되어 온 문제이고, 전문가들은 암호를 훔치는 더 쉬운 방법도 많다고 지적해왔다. 소프트웨어 취약점 발견에서 지금까지 양호한 성적을 거둔 보안 컨설팅 업체인 인디펜던트 시큐리티 이벨류에이터(Independent Security Evaluators, ISE) 지난 주 보고서를 통해 보안 업계에서 논란을 불렀다. ISE는 데스크톱 버전의 라스트패스(LastPass), 대시레인(Dashlane), 원패스워드 버전 4(1Password version 4), 원패스워드 버전 7(1Password version 7), 키패스(KeePass)를 테스트하였다. ISE는 이들 앱을 암호 볼트가 잠긴 채 실행되지 않음, 암호 볼트가 풀린 채 실행됨, 암호 볼트가 잠긴 채 실행되는 각 3가지 상태를 시험하면서 앱이 얼마나 강력한 보안을 제공하는지 조사했다고 밝혔다.   해커가 메모리에서 암호를 찾을 수 있는 이유  암호 관리자는 사용자의 마스터 암호에서 유래한 키에 의해 암호 데이터베이스를 암호화한다. 사용자가 마스터 패스워드를 입력하면 키가 프로그램 메모리로 로드 되고 볼트가 해제된다. 또한 볼트에 저장된 일부 또는 전체 개별 암호는 이용되는 동안 프로그램의 메모리에 일시적으로 복사될 수 있다. ISE는 앱이 비밀 정보를 메모리에서 얼마나 잘 제거하는지 관찰했고, 일부 앱이 ‘잔여 버퍼’를 잔류시키는 것을 발견하였다. 이 버퍼는 앱이 실행 중이면서 암호 볼트는 닫힌 상태인 동안 마스터 암호나 개별 사용자 암호의 복구를 허용할 수 있다. 사용자가 의도적으로 잠그거나 로그아웃했기 때문이다. 그러나, 테스트 대상 앱은 모두 앱이 실행되지 않을 때 패스워드 데이터베이스를 충분히 안전하게 보호했다. 데이터베이스가 ...

패스워드 암호 비밀번호 2019.02.28

“얼마나 안전하고, 얼마나 편리할까?” 비밀번호 관리 앱의 7가지 장점과 단점

필자는 보안이 중요한 웹사이트와 서비스에 최신 비밀번호를 고려해야 한다는 주제로 글을 써왔다. 또 다시 조언한다면 내용은 다음과 같을 것이다. -    다중 인자 인증(MFA)를 사용하라. -    MFA를 선택할 수 없는 경우 비밀번호 관리 앱을 사용해 각 웹사이트 또는 보안 영역마다 가능한 길고 고유한 무작위 비밀번호를 생성한다. -    비밀번호 관리 앱이 불가능한 경우 길고 단순한 패스프레이즈를 사용한다. -    모든 경우에 보편적인 비밀번호(“password” 또는 “qwerty” 등)를 사용하지 말고 사이트들에서 비밀번호를 재사용하지 않는다. 이 조언은 NIST 특수 문서 800-63 디지털 신원 가이드에 대한 필자의 입장에 반하는 것으로 보일 수 있다. NIST SP 800-63에서는 가능한 경우 비밀번호가 아닌 방식을 사용하도록 권고하며, 매우 길고 복잡한 비밀번호를 사용하는 강제력에는 확실히 반하기는 하지만, 비밀번호 길이나 복잡성에는 제한이 없다. 길고 복잡하며 빈번하게 바뀌는 비밀번호 생성과 사용은 강제한다고 잘 되는 것이 아니다. 여러 웹사이트에서 같은 비밀번호나 약간 다른 비밀번호를 사용하기 때문에 패턴을 파악하기 쉬워지기도 한다. 같은 사람이 MFA 또는 기타 비 기억 인증 방식을 사용하는 경우 반복적인 비밀번호와 패턴 사용의 전반적인 위험이 줄어든다. 그러므로, 기억할 필요가 없는 길고 복잡한 비밀번호를 생성하여 사용하는 비밀번호 관리 앱을 사용할 때는 이 두 가지를 최대한 활용할 수 있다.   비밀번호 관리 앱 앱으로 전향한 이유 지금까지 수 년 동안 비밀번호 관리 앱 앱을 테스트하고 추천했다. 처음에는 코드와 작업의 품질 및 보안이 의심스러웠었다. 초기 버전은 결국 익스플로잇 공격과 해킹 사례가 언론에 보도되고 말았다. 그러나 현재 인기가 많은 비밀번호 관리 앱 앱...

패스워드 비밀번호 비밀번호관리자 2018.12.10

IDG 블로그 | 클라우드 보안을 극대화하는 방법

사용자 교육이 최고의 보안 기술보다 더 효과적이다. 포네몬 연구소(Ponemon Institute)의 조사에 따르면, 기업 데이터 침해의 주된 원인 중 하나는 빈약한 교육 훈련으로 인한 내부 태만이다. 직원들이 제대로 교육을 받고 적절한 프랙티스를 따르면, 사이버 공격이나 데이터 유출의 위험성을 줄일 수 있다. 실제로 최신 클라우드 보안 소프트웨어와 최고의 보안 프랙티스를 사용하는 것보다 이런 방법이 위험을 줄이는 데는 더 효과적이다. 하지만 안타깝게도 대부분 기업이 보안 문제를 그저 기술적인 것으로 치부한다. 심지어 클라우드 기반 시스템을 틀어막는 엄청난 일을 해도 보안 위험은 그대로인데, 이제 직원들이 최대의 보안 허점이 되기 때문이다. 이런 허점을 막는 유일한 방법은 교육 훈련뿐이다. 교육 훈련에는 누군간 전화나 이메일로 사용자 ID나 패스워드를 요청해도 알려주지 않아야 한다는 기초적인 것도 포함된다. 또는 쉽게 도난 당할 수 있는 노트북의 기업 데이터 스토리지와 관련한 정책을 갖추는 것도 포함되며, 이런 보안 정책은 기업 구성원 모두가 반드시 지켜야 한다. 시험 삼아 피싱 이메일을 보내보면, 약 3~5%의 직원이 정식 메일이라고 생각해 민감한 정보를 보낸다는 것을 알게 된다. 가짜 사이트가 “비밀번호를 변경하라”고 하면 현재의 인증서도 제공할 것이다. 보안 교육은 재미있지는 않다. 하지만 반드시 해야 할 일이다. 그렇지 않으면 최고의 클라우드 보안도 소용없다. 특히 이런 교육 훈련은 인사과가 아니라 IT가 주도해야 한다. 만약 IT가 적극적으로 나서지 않는다면, 성취도도 낮을 것이며, 시간이 지나면 교육 훈련의 추진력도 떨어질 가능성이 크다. 교육 훈련은 정기적으로 꾸준히 이루어져야 한다.  editor@itworld.co.kr

훈련 패스워드 사용자 2018.06.14

글로벌 칼럼 | 암호 보안에 ‘독’이 되는 구닥다리 규제

암호 정책에 대한 ‘좋은 말씀’ 한두 마디쯤 오고 가지 않는 컨퍼런스는 없다. 왜, 흔히 하는 이야기들 있지 않은가. • 암호는 최소 8~12글자일 것. 길면 길수록 좋다. • 암호는 최대한 복잡하게 설정할 것. 세 가지 이상의 글자 종류를 포함할 것이 권장 된다(대문자, 소문자, 숫자, 기호 등). • 90일에 한번, 또는 그보다 자주 번호를 바꿀 것 • 비밀번호 입력 오류(5회 이하)시 접속이 제한되도록 설정해 둘 것 세계적으로 명망 높은 컴퓨터 보안 전문가들부터 기업의 CEO, 그리고 보안 컨설턴트라는 사람들 까지도 입을 모아 위와 같이 조언한다. 하루라도 위와 같은 조언을 듣지 않고 넘어가는 날이 없을 정도다. 어제도 들었고 내일도 들을 것이다. 문제는 이것이 틀린 조언이라는 것이다. 시대착오적인데다, 애초에 그다지 ‘좋은’ 조언도 아니었다. 오히려 데이터는 이런 조언들을 지키는 기관의 보안 리스크가 증가하고 있음을 보여 준다. 불행히도, 한물간 암호 보안 규칙을 준수하고자 노력하는 기관 및 개인들은 앞으로도 수년 동안 잘못된 관행을 답습하게 될 것이다. 참으로 슬픈 일이 아닐 수 없다. 그렇다면 시의성 있고 유효한 암호 보안 조언은 무엇인가? 지금으로부터 약 10여 년 전, 일련의 보안 과학자들은 데이터 분석을 통해 전통적인 암호 보안 강화 조언들이 정말 암호를 더 안전하게 만들어 주는지 보고자 했다. 필자가 가장 좋아하는 컴퓨터 보안 전문가들 중에 마이크로소프트의 수석 연구원인 코맥 헐리 박사가 있다. 그는 기존의 암호 보안 방식이 지니는 문제점들에 대해 그 누구보다 많은 글을 쓴 사람일 것이다. 그는 이 밖에도 검증 받지도 않은 채 오랜 시간 신봉되어 온 각종 보안 관련 조언들에 대해 비판적 입장을 유지하고 있다. 그는 자신의 2017년 저서 “해커를 해킹하다(Hacking the Hack...

패스워드 암호 규제 2018.06.01

제 3자 데이터 유출로 인한 14억 개의 비밀번호가 갖는 의미

제 3자 데이터 유출로부터 얻은 10억 개 이상의 평문 비밀번호가 인터넷에서 무료로 제공되고 있다. 특히 사람은 여러 서비스에서 비밀번호를 재사용하는 경향이 있으며, 이런 크리덴셜(Credential) 가운데 일부는 수년 동안 사용되었기 때문에 특히 중소규모 기업에 심각한 위협이 되고 있다. 수년 동안 비밀번호 데이터가 범죄자 포럼에서 거래되었지만 지난 6개월 동안 순수한 비밀번호의 양 때문에 가격이 아주 낮은 수준으로 떨어졌다. 2017년, 누군가 이전에 노출된 14억 개의 크리덴셜 모음을 무료로 제공했다. 크리덴셜은 토르(Tor)를 사용하느라 고생할 필요없이 검색 엔진과 토렌트(Torrent) 클라이언트만 사용할 줄 아는 사람이라면 누구나 무료로 확보할 수 있다. B&D(Bits & Digits)의 공동 설립자 J. 테이트는 "역사상 전례 없는 일이다"며, "유출 데이터는 다크넷(Dark Net)에서 찾을 수 있다고 말하곤 했다. 하지만 이제는 공개적으로 원하는 곳에서 찾고 사용할 수 있게 되었다"고 말했다. 이 이야기를 접하면서 본지는 유출된 데이터에서 IDG 뿐만 아니라 IDG의 계열사 전현직 직원들에게 속한 수천 개의 업무용 이메일 주소와 오래된 비밀번호를 발견했다. 본지는 IT 부서와 함께 유출 당시 비밀번호가 맞는지 알아보고 유출된 비밀번호는 재등록한 것을 확인했다. 이 귀중한 데이터에는 경찰, 군사 및 스파이를 포함해 전 세계 여러 정부에서 근무하는 사람들의 이메일 주소와 비밀번호도 포함되어 있다. 미국 NSA(National Security Agency)는 해당 기관은 이렇게 유출된 크리덴셜로 인해 영향을 받지 않을 것이라고 안심시키기는 했지만 @nsa.gov 이메일 계정이 있는 사용자도 이 데이터에 포함되어 있다는 점이 불안한 것이다. 하지만 NSA처럼 위협의 양이나 질을 따지는 조직은 거의 없다. 토르만 나무라지 말자 준법을 중시하는 이는 토르를 비난...

패스워드 비밀번호 데이터유출 2018.03.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.