Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

인증

'애저 AD'에 숨겨진 새로운 위험과 대응 방안은?

최근 ‘애저 AD(Azure Active Directory)’에서 입증된 것처럼, 하이브리드 클라우드 ID 및 액세스 관리 서비스는 네트워크 인증 프로세스에 복잡성과 공격 기회를 추가한다.  로컬 윈도우 액티브 디렉토리 네트워크가 NTLM 릴레이 및 패스-해시 공격에 취약하다는 건 오랫동안 알려진 사실이다(NTLM 릴레이 및 패스-해시는 공격자가 네트워크를 통해 측면 이동하고, 추가 시스템 및 리소스에 액세스할 수 있는 공격이다). 이러한 공격 중 일부는 윈도우 네트워크 내부에서 사용되는 인증 프로토콜 설계를 악용하기 때문에 마이크로소프트의 소프트웨어 변경으로 간단히 패치할 수 없다. 기업은 더 엄격한 구성과 추가 제어를 포함하는 심층 방어 조치를 취해야 한다.  네트워크 일부가 로컬이고, 다른 일부는 클라우드에 있는 하이브리드 네트워크 도입으로 기업들은 이제 ‘애저 AD’ 등의 서비스를 활용하여 다양한 시스템을 인증하고 있다. 하지만 애저 AD는 다른 프로토콜을 사용하고, 조직의 네트워크 가능성을 확장하는 새 기능이 있다는 점에서 로컬 AD와 상당히 다르다. 하지만 지난달 블랙햇 USA 보안 컨퍼런스에서 발표된 내용에 따르면 이는 공격자에게 새로운 가능성도 제공한다.    ‘Pass-the-hash’에서 ‘Pass-the-certificate’로 패스-더-해시(Pass-the-hash)는 해커가 손상된 시스템에서 로컬에 저장된 자격증명의 해시 버전을 추출하고, 이를 다른 시스템에 인증하는 데 사용하는 공격이다. NTLM 릴레이는 클라이언트와 서버 간 인증 요청을 가로채고, 둘 사이의 챌린지 및 응답을 릴레이하여 공격자가 클라이언트 대신 인증 받을 수 있도록 하는 방법이다. 이러한 공격 방식은 일반적으로 해커 그룹이 표적 공격을 할 때 사용된다.  하지만 애저 AD는 윈도우 네트워크의 표준 인증 프로토콜인 NTLM 또는 커버로스(Kerberos)를 사용하지 않기 때문에 기존의 패시-더-해시 및 릴레이 공격...

마이크로소프트 애저 애저 AD 애저 액티브 디렉토리 2022.09.07

"영지식 인증 기대주" zk-SNARK의 이해

zk-SNARK는 'zero-knowledge succinct non-interactive argument or knowledge'의 줄임말로, 가장 보편적인 영지식 프로토콜이다. 영지식 시스템은 현재 활발히 개발되는 영역으로, 인증 방식을 완전히 바꿀 수 있는 만큼 의미가 크다. 수학적으로 매우 복잡하지만 다행히 전반적인 개념을 이해하기는 어렵지 않다.     영지식이란 영지식은 진술을 검증할 때 가능한 가장 작은 양의 정보만 사용하는 것으로, 부가적인 데이터 전송을 피할 수 있는 증거를 마련하는 방식이다. 이 기술의 출발점은 1980년대에 나온 ‘대화형 증명 시스템의 지식 복잡성(Knowledge Complexity of Interactive Proof Systems)’이라는 논문이다. 이름에서 짐작할 수 있듯 이 논문은 대화하는 시스템 간에 진술을 입증하는 데 있어 지식이 어떻게 동작하는지를 이해하는 데 초점을 맞췄다. 이 논문에 영감을 준 논문이 있는데 바로 1971년 스티븐 쿡이 발표해 컴퓨터 과학에서 복잡성 이론 분야에 불을 지핀 중대한 논문인 '정리 증명 절차의 완전성(The Completeness of Theorem Proving Procedures)'이다. 쿡의 논문이 알고리즘의 복잡성을 명시적으로 살펴보고 경계를 설정하려 시도했다면, 지식 복잡성 논문은 이와 유사하게 증명에서 지식의 상한과 하한을 정하고 지식에 명확한 초점을 뒀다.   영지식과 인증 일반적으로 증명을 통해 인증을 이해하는 것은 불가능하다. 둘 이상의 소프트웨어 시스템이 통신할 때 한 시스템이 어떤 주장을 한다면 다른 시스템에 그 주장을 어떻게 증명해야 할까? 영지식은 이것이 이뤄지는 방법을 살펴보면서 기본적인 접근 방법의 대안으로 지식 유출의 양을 줄여 전체적인 시스템의 보안을 개선하는 방법을 제공한다. 예를 들어 기본 접근 방식에서 시스템은 암호에 대한 지식을 갖고 있다고 주장할 수 있다. 이를 다른 시스템에 증명하기 위해 암호가 전송된다....

zk-SNARK 영지식 인증 2022.08.24

"사일로, 사각지대…" IAM 전략의 문제를 드러내는 6가지 징후

‘ID 및 액세스 관리(IAM; Identity and Access Management)’ 시스템 구축 시 발생하는 실수는 지속적인 영향을 미칠 수 있다. 최악의 상황을 파악하고 방지하는 방법을 살펴본다. 기업은 수십 년 동안 ‘ID 및 액세스 관리(IAM)’ 전략을 개발하고 실행해왔다. IDC의 보안 제품 프로그램 책임자 제이 브레츠만은 “메인프레임 시분할 처리로 시작됐기 때문에 새로운 것은 없다”라고 말했다. 하지만 오랜 역사에도 불구, 여전히 실수가 발생할 가능성이 있으며, 특히 기업이 IAM 플랫폼을 업그레이드할 때는 더욱더 그렇다. 여기서는 IAM 전략의 실패 조짐을 알려주는 6가지를 소개한다.    1. 사용자는 애플리케이션에 액세스할 수 없지만 범죄자는 가능하다 IAM 플랫폼의 주된 목적은 합법적인 사용자가 필요한 리소스에 액세스할 수 있도록 하는 동시에, 악의적인 사용자를 차단하는 것이다. 반대 상황이 발생한다면 뭔가 잘못됐다는 뜻이다. 버라이즌의 데이터 침해 사건 보고서(Verizon Data Breach Incident Report)에 따르면 도난당한 자격 증명은 지난해 가장 보편적인 공격 방법이었다. 전체 데이터 침해 사건의 절반 그리고 웹 애플리케이션 침해의 80% 이상과 관련돼 있었다. 브레츠만은 기업이 보통 단순한 사용자 이름과 비밀번호 조합에서 벗어나, 문자 메시지로 발송되는 일회용 비밀번호를 추가하는 정도의 대응을 한다고 언급했다. 그러나 큰 도움이 되지 않으며 오히려 사용자의 불편을 초래한다고 지적하면서, “제대로 하기만 한다면 IAM으로 단순한 SSO(Single Sign-On) 및 MFA 이상의 효과를 거둘 수 있다. IT 시스템 액세스를 요청하는 다양한 사용자를 이해하고 연결 문제를 해결하는 것이다”라고 전했다. 포레스터의 애널리스트 안드라스 씨저에 의하면 엔터프라이즈 IAM 시스템 사용자에는 직원, 비즈니스 파트너, 최종 고객이 포함되며, 모두 다른 접근 방식이 필요하다. 직원 및 비즈니스 파트너...

ID 및 액세스 관리 IAM 인증 2022.07.08

ID와 신뢰의 중요성 "가상과 현실이 만나는 지점"

소프트웨어 세계에서 ID란 사람이나 장소, 사물을 소프트웨어 리소스에 검증 가능한 방식으로 매핑하는 것이다. 인터넷 활동에는 거의 예외 없이 다음과 같은 ID가 사용된다. •    페이스북 ID •    이메일 주소 •    웹사이트 로그인 이름과 비밀번호 누구나 여러 개의 ID를 갖고 있다. 즉, 가상 세계에서 다른 사람이 내가 누구인지 인지하고 나와 소통하는 방식은 여러 가지다. 예를 들어, 필자에게는 다음과 같은 ID가 있다. •    트위터: @leeatchison •    링크드인: leeatchison •    이메일 주소: lee###@####.com •    전화번호: (360) ###-#### ID는 각기 다른 방식으로 나를 친구, 가족, 동료, 파트너, 거래 업체에게 식별해 준다. 모두가 항상 ID를 사용하기 마련이다. ID는 사람 이상의 것을 나타내기도 한다. 실제 세계에서 다루는 대상 이 가상 세계에도 존재할 때는 모두 ID와 ID 관리가 필요하다. •    예금 계좌에 들어 있는 돈이나 보유한 주식 •    방금 이용한 우버 차량의 운전사 •    배송 주소 •    판매 제품의 재고 수준 •    온라인으로 주문한 피자 이렇듯 ID는 어디에나 있다. 그러나 가상 세계의 항목을 실제 세계의 항목과 연계하려면 두 항목이 하나이며 같다는 것을 검증해야 한다. 즉, 항목을 식별하고 연관성을 검증할 수단이 필요하다.   범죄자가 개입하려는 단계가 바로 여기다. 이들은 타인의 인스타그램 계정 로그인 정보를 탈취하거나 타인이 힘들게 번 돈이 저축된 예금 계좌의 소유권을 가로채려고 한다. 이처럼 범죄자가 가상 ...

ID 인증 인가 2022.07.06

IDG 블로그 | 모바일 생체 인증의 한계와 극복 방법

모바일 인증 분야에서 안타까운 사실은 가장 초기에 지원하는 보안 옵션이 가장 효과적이지 못한 방법이라는 것이다. 예컨대 휴대폰에 가장 먼저 탑재된 생체 인증 기술인 지문 인식은 기기의 청결 상태나 사용자의 손가락 부상 여부처럼 다양한 요인의 영향을 받는다. 지문 인식 이후에는 안면 인식이 휴대폰에서 대중화됐다.   이론상 안면 인식은 지문 인식보다 더 정확해야 한다. 수학적으로 봤을 때 안면 인식이 지문 인식보다 더 많은 데이터 포인트를 검사하기 때문이다. 하지만 안면 인식을 실제로 사용하다 보면 문제가 발생한다. 휴대폰과 얼굴 사이의 거리가 정확해야 하지만, 사용자는 휴대폰이 안면을 인식하는 정확한 시점을 알 수 없다. 안면 인식을 요청하고 2초 후에 스캔이 진행된다고 해도, 필자의 경험상 40%의 확률로 안면 인식에 실패한다. 애플이 안면 인식을 처음 도입했을 당시에는 다른 가족 구성원의 휴대폰 잠금을 해제할 수 있었다. 일란성 쌍둥이에 국한된 경우가 아니라 부모와 자식 사이에서도 가능했다.  최근 중국에서 발생한 한 사례도 애플의 안면 인식 기술에 고질적인 문제점이 있다는 사실을 증명한다. 중국에서 한 남성이 잠든 여성(전 여자친구)의 눈꺼풀을 강제로 당겨서 안면 인식으로 휴대폰 잠금을 해제한 뒤, 여성의 통장에서 돈을 인출한 사건이다.  우선 이런 사례는 헤어진 여자친구와 다시 만나는 좋은 방법이 아니다. 사이버보안 관점에서 본다면, 모바일 기기에서 사용하는 인증 방법이 다른 기기보다 훨씬 더 엄격해야 한다는 의견에 힘을 실어준다. 가장 좋은 방법은 비밀번호나 핀 번호, 상대적으로 취약한 생체 인증 방식을 날씨 확인과 같은 중요도가 낮은 작업에만 적용하는 것이다. 은행 업무나 소셜 미디어 로그인, 엔터프라이즈 시스템 연결과 같은 작업에는 행동 분석 정보까지 인증해야 한다. 행동 분석 정보를 인증하면 악의적인 행위자가 개인을 흉내 내기 어렵다. 악의적 행위자가 사용자의 휴대폰에 물리적으로 접근할 수 있다는 가정하에,...

인증 생체인증 지문인식 2022.01.04

액티브 디렉토리 인증서 서비스의 잘못된 구성을 확인하는 방법

필자는 기업 네트워크 보안의 ‘맹점’ 액티브 디렉토리 인증서 서비스(Active Directory Certificate Services, AD CS)에 대한 기사를 흥미롭게 읽었다.   보안업체 시큐어옵스(SecureOps)는 파워셸로 작성된 PSPKIAudit이라는 감사 툴킷을 개발했으며, 8월 초 블랙햇(Black Hat) USA 2021 컨퍼런스에서 2가지 공격형 도구인 서티파이(Certify)와 포지서트(ForgeCert)를 출시할 예정이다. 그러나 필자는 도메인이 계정 또는 도메인 탈취로 이어지는 공격에 취약한지 여부를 빨리 확인하고 싶었다. AD CS의 잘못된 구성을 찾기 위한 단계 필자는 다음과 같은 단계에 따랐다. 1. 승격된 권한의 파워셸 프롬프트에서 다음 명령을 사용해 원격 서버 관리 도구 인증서 서비스(Remote Server Administration Tools Certificate Services)와 액티브 디렉토리 기능을 설치한다. Get-WindowsCapability -Online -Name "Rsat.*" | where Name -match "CertificateServices|ActiveDIrectory" | Add-Windows 2. 다음 명령으로 PSPKIAudit을 다운로드해 PSPKIAudit 폴더에 압축을 푼다. cd PSPKIAudit Get-ChildItem -Recurse | Unblock-File 3. 다음 명령으로 PSPKIAudit을 가져온다. Import-Module .\PSPKIAudit.psm1 경우에 따라 '경고: 'PSPKIAudit' 모듈에서 가져온 일부 명령의 이름에 검색을 어렵게 할 수 있는 승인되지 않은 동사가 포함되어 있습니다(WARNING: The names of some imported commands from the module 'PSPKIAudit' include unapproved verbs that might make them less discoverab...

액티브디렉터리 인증 AD CS 2021.07.12

네트워크에서 서로를 확인하는 방법… '802.1X' LAN 인증의 유래와 작동 방식

기업 LAN에서 한 기기를 다른 기기에 연결해야 할 때가 있다. 이때 다른 기기가 통신하려는 바로 그 기기임을 확인하기 위해 서로를 인식할 수 있는 표준적인 방법이 필요하다. 바로 이것이 802.1x가 하는 일이다. 802.1x의 유래와 작동 방식을 알아보자.     802.1x의 정의 IEEE 802.1x는 로컬 영역 네트워크(local area networks, LANs)에서 상대 기기와 연결하는 기기에 대한 인증을 제공하는 방식을 정의한 표준이다. 네트워크 스위치와 액세스 포인트가 RADIUS 등 전용 인증 서버로 인증 의무를 이관하는 메커니즘을 제공한다. 따라서 네트워크상의 기기 인증은 수많은 네트워크 하드웨어에 걸쳐 분산되지 않고 중앙에서 관리하고 갱신할 수 있다. 이 표준의 이름은 IEEE 802.11 와이파이 표준을 연상시키지만, 802.1X는 유선 네트워킹이 전부였던 시절까지 거슬러 올라간다. 오늘날에는 유선 및 무선 네트워크 모두의 보안을 강화하는 데 쓰인다. 이 프로토콜은 중앙 인증 서버에 의존하기 때문에 소규모 홈 네트워크가 아니라 일반적으로 기업 LAN에서 사용된다.   PPP, EAP 및 EAPOL 인터넷을 오래 사용한 사람은 다이얼 업 모뎀 시절 인터넷에 접속하는 방식으로 포인트-투-포인트 프로토콜(Point-to-Point, PPP)을 기억할 것이다. 그러나 이 프로토콜은 DSL에 걸친 터널링 방식으로, VPN의 일부로 사용되기도 했다. PPP 가운데 한 부분은 이용자 이름/비밀번호에 기반한 인증 메커니즘을 정의했다. 이는 홈 이용자에게 적절했지만, 기업 이용자는 보통 더 확실한 방식이 필요했다. 그래서 등장한 것이 확장 가능 인증 프로토콜(Extensible Authentication Protocol, EAP)이다. EAP는 PPP의 인증 프로토콜 내에 자리했고 여러 인증 방식을 위한 보편적 프레임워크를 제공했다. EAP는 소유권적 인증 시스템을 배제하고, 비밀번호, 챌린지 응답 토큰, 공공 키 인...

801.1X 인증 2021.05.03

글로벌 칼럼 | 소모적인 인증 개발 '암흑시대' 끝이 보인다

메시지 또는 영상 통화 기능은 트윌리로(Twilio)로 실행할 수 있다. 신용카드 결제 처리는 스트라이프(Stripe)로 해결된다. 머신 러닝 모델 실행 또는 컴퓨터 리소스 확장이 필요하거나 팟캐스트를 비롯한 수백 가지 다른 서비스의 기록이 필요하다면 클라우드 제공업체를 통한 API만 있으면 된다. 반면, 해당 애플리케이션에서 사용자에게 권한을 부여하거나 거부하는 일은 만만치 않다.   허가 기능은 (인증 기능과 더불어) 앱 개발자에게 가장 기본적으로 필요한 것에 속하지만 이를 실행하는 일은 여전히 엄청난 골칫거리다. 랜달 데게스가 “필자가 웹사이트와 모바일 앱, API 서비스의 인증 및 허가 기능을 구축하려고 할 때마다 막막하지 않은 적이 거의 없었다”라고 지적한 것이 2017년인데, 2021년에도 사정은 마찬가지다. 오소(Oso)는 상황이 개선될 것으로 자신한다. 최근 세쿼이아(Sequoia) 시리즈 A 펀딩을 받은 이 업체는 개발자가 빠르게 허가 기능을 사용할 수 있도록 라이브러리와 사전 구축 통합 기능을 제공하는 한편, 개발자가 필요에 따라 얼마든지 수정할 수 있는 폴라(Polar) 정책 언어를 내장해 제공한다. 오소 CEO 그래함 네레이는 한 인터뷰에서, 허가 기능이 “소프트웨어에서 개별화 또는 추상화가 필요한 다음 계층”이라고 말했다. 필자 역시 동의하며 이와 같은 개발자의 근본적인 고충을 해결하는 기업이 큰 성공을 거둘 가능성이 높다고 생각한다.   허가 기능 구현의 어려움 데게스가 2017년에 지적한 내용은 구체적으로 다음과 같다.   “사용자 등록과 로그인을 지원하는 간단한 웹사이트를 구축하려고 해도 여전히 하급 허가 개념을 알고 이해해야 한다. 또한, 애플리케이션에서 가장 중요한 데이터인 사용자 개인정보를 보호하기 위해 이러한 개념을 안전하고 안정적으로 구현해야 한다. 내가 무슨 프로그래밍 언어를 사용하든 마찬가지다. 결과적으로 미션 크리티컬하고 고도로 민감한 정보를 다루며 잘못하면 큰 사업 손실을 초래할 수...

인증 오소 Oso 2021.03.25

"코로나19가 위험 평가 및 대응 방식을 변화시켰다" 2020 보안 우선순위 보고서

새로운 IDG 설문 조사에 따르면, 코로나19로 인해 기관과 기업이 보안 위험을 평가하고 대응하는 방식이 바뀌었다.   보안 계획과 예산 책정은 언제나 모험이다. 현재 위험을 평가하고 가장 가능성이 높은 위협을 예측할 수 있지만, 사이버보안 위험의 유일한 상수는 예측 불가능성(unpredictability)이다. 그 위에 전 세계적인 전염병이 더해지면 CISO는 2021년 리소스를 어디에 요청하고 할당할 것인지 결정하기가 거의 불가능한 상황에 처하게 된다.  IDG는 11월 보안 우선순위 연구 보고서를 발표했다. 이 보고서는 코로나19 시대에 현재 보안의 초점이 무엇인지, 코로나19가 2021년 보안 우선순위와 지출을 주도할 요소를 어떻게 변화시켰는지를 보여주는 것이 목적이다. 미국, 아시아/태평양 및 유럽의 522명의 보안 전문가를 대상으로 한 이번 설문 조사에 따르면, 전염병은 기업이 위험을 평가하고 대응하는 방식을 영구적으로 변화시켰다.  새로운 관점에서 위험 바라보기   코로나19의 여파로 위협 행위자는 공격을 강화했다. 공격자는 많은 사람이 현재 원격으로 일하고 있기 때문에 더 취약해질 것을 알고 있다. 예를 들어, 지난 1년동안 발생한 보안 사고의 36%가 회사에 접속하기 위한 피싱 공격과 관련된 것으로 나타났다.  또한 공격자들은 직원의 업무 공간이 집으로 이동하면서 발생하는 업무 중단이 보안 및 IT 팀을 약하게 만든다는 것을 알고 있다. 응답자는 보안 사고의 29%가 패치가 적용되지 않은 소프트웨어 취약점과 관련이 있다고 답했으며, 대기업은 보안 사고의 34%가 잘못 구성된 서비스나 시스템에서 발생한다고 응답했다.  기업이 이런 위협에 대응하기 위해 IT 및 보안 시스템을 변경함에 따라 공격자는 새로운 약점을 찾아내기 위해 공격 전술을 바꿀 것으로 예상된다. 결과적으로 기업은 위험 평가와 대응 전략을 검토하고 있다. IDG 설문조사 응답자의 62%는 전염병이 위험에 대한 접근 방식...

보안우선순위 제로트러스트 위험평가 2020.12.02

SSL 및 TLS 인증서를 관리하고 추적하는 4가지 모범 사례

대다수 사람은 보안 소켓 계층(Secured Sockets Layer, SSL)과 전송 계층 보안(Transport Layer Security, TLS)을 당연하게 생각한다. 그러나 시간이 지남에 따라 SSL과 TLS 인증서의 이용은 극적으로 변화해왔다. 과거에는 보안 트랜잭션을 취급하는 웹사이트만이 SSL 인증서에 의한 보호를 제공했다. 현재 검색 엔진들은 모든 것이 인증서로 보호되도록 요구한다.    해커는 SSL의 약점을 이용해 인증 정보에 액세스했다. 따라서 불안전한 SSL 프로토콜은 폐기되고 좀 더 안전한 프로토콜에 자리를 내주었다. 대다수 사람은 푸들(Padding Oracle On Downgraded Legacy Encryption, POODLE) 취약점이 처음 공개됐을 때 SSL에 약점이 있음을 알게 됐을 것이다. 푸들은 SSL 3.0이 ‘블록 암호 모드 패딩’을 취급하는 방식에 결함이 있음을 드러냈다. CISA(Certified Information Systems Auditor) 공지는 이를 다음과 같이 지적했다.  SSL 3.0은 낡은 암호화 표준이고, 대개 TLS에 의해 대체됐지만, 대다수 SSL/TLS 구현은 원활한 사용자 경험을 위해 SSL 3.0과의 하위 호환성을 유지하며 구형 시스템과 연동한다. 클라이언트와 서버 측이 모두 한가지 TLS 버전을 지원하더라도, SSL/TLS 프로토콜 스위트는 프로토콜 버전 협상을 허용한다(이는 ‘다운그레이드 댄스’라고도 불린다). 푸들 공격은 보안 접속 시도가 실패할 때 서버가 SSL 3.0 등 구식 프로토콜로 회귀한다는 사실을 악용한다. 접속 실패를 유발할 수 있는 해커라면 SSL 3.0의 이용을 강제하며 새로운 공격을 시도할 수 있다. 푸들 이전에는 비스트(BEAST)가 있었다. 이는 SSL 공격의 일종이고, 한 HTTPS 세션 상에서 ‘블록 단위 선택 경계 공격(Block wise Chosen Boundary Attack, BCBA)'을 통해 평문 HTTP 헤더를...

SSL TLS 인증 2020.08.14

로그인 정보를 보호하기 위한 8가지 대책

평균적인 네트워크 관리자가 가지고 있는 비밀번호는 몇 개나 될까? 평균적인 최종 사용자는? 답은 ‘많다’이다. 이 비밀번호를 보호하려면 어떻게 해야 할까? 인증 정보를 보호하는 것에 관한 사용자 교육의 현황은 어떠한가?    마셔블(Mashable)의 최근 기사에 따르면, 한 공격자는 회사의 슬랙 계정 상에서 몇몇 내부 트위터 시스템에 관한 인증 정보를 알아냈다. 이게 사실이라면(해킹 출처에 관해서는 상충된 보도들이 있다) 이는 네트워크 관리자가 인증 정보를 제대로 관리하지 못한다는 것을 의미한다. 관리자가 그 정도라면 사용자 역시 인증 정보를 제대로 관리하지 않는다고 보아도 무방할 것이다.  네트워크 관리자와 사용자가 인증 정보를 보다 잘 보호하도록 하기 위해 어떤 조치를 취해야 할까? 이는 교육과 인식으로 귀결된다.  소셜 엔지니어링에 대한 저항을 구축한다  네트워크 관리자와 최종 사용자에게 피싱이 주는 영향, 그리고 공격자가 약점을 파고드는 방식을 교육하라. 공격자는 소셜 미디어를 통해 조직 안에서 누가 무슨 역할을 맡고 있고 누구를 추적할 것인지를 파악한다. 유명한 해커인 케빈 미트닉은 한때 CEO와 임원 목록이 담긴 한 워싱턴 주 책자를 이용해 회사에 액세스한 적이 있다. 공공 장소에서 소셜 게시글을 억제해 정보가 공격자에게 노출되는 것을 피하도록 경고한다.   인증을 확인하는 데 쓰이는 정보를 보호한다  소셜 미디어 상에서 설문조사 질문에 답하지 말도록 사용자에게 경고한다. 흔히 이런 ‘무작위 질문’은 전형적인 비밀번호 초기화 질문 내지 비밀번호 검증 프로세스로부터 유래한다. 최초의 직업이나 좋아하는 자동차에 대해 묻는 페이스북 게시글에 답변한다면 공격자는 비밀번호 초기화 답변 데이터베이스를 축적할 수 있다.  사용자가 브랜드 랜딩 페이지를 인식할 수 있도록 교육한다  오피스 365 또는 마이크로소프트 365의 경우 브랜딩을 이용하는 것이 좋다. 이는 사용자...

로그인 비밀번호 인증 2020.08.13

디지털 ID의 4가지 핵심 문제점과 새로운 접근법이 필요한 이유

현재 디지털 아이덴티티(IDentity, 이하 ID)는 누군가의 리소스 액세스 권한을 승인하고 인증하는 방법 이상의 역할을 하고 있다. 신원 및 액세스 관리(Identity and Access Management, IAM)는 더 전체적인 모델, 일반 사용자 주도형 모델로 발전했다. 이를 견인한 것은 프라이버시와 사이버보안에 대한 압력, 더 많은 기능에 대한 필요성이다. 소비자 IAM 시스템이 제공해야 하는 서비스는 디지털 ID의 정의와 어떤 기능을 수행해야 하는지에 대한 새로운 사고방식을 요구한다.   기업과 기관, ID 관련 업계는 포인트 솔루션 사고방식에서 벗어날 필요가 있다. 디지털 ID는 이제 지속적이면서 동적으로 개인, 관련된 엔티티(실체)를 대표할 수 있어야 한다. 이렇게 하면 온보딩(onboarding)과 신뢰 수준(Confidence Level, 보증)을 배치하는 것이 더 쉬워지고, 보안과 제어가 강화되는 이점이 있다. ID가 디지털 라이프가 될 때의 디지털 ID란 무엇인가? 그냥 말 장난에 불과할까? 아니면 기술적으로 달성가능하고 필요한 것일까? 이번 기사에서는 필자가 오랜 시간 ID 서비스를 고안하면서 터득한 교훈과 디지털 ID가 단순히 누군가의 리소스 액세스 권한을 승인과 인증하는 방법 이상이라고 생각하는 이유를 설명한다. 디지털 라이프 구축하기 필자는 아주 실용적인 사람이다. 무언가 필요하다고 강력히 주장을 할 경우, 이를 뒷받침할 실제적인 애플리케이션(특정 용도)이 존재한다. 즉, ‘디지털 ID’가 아닌 ‘디지털 라이프’라는 말을 사용한 것은, 두 가지 개념이 모두 존재하고 각각의 달성 방법에 대한 관점이 존재한다는 의미다. 먼저, ‘디지털 라이프를 위한 구현’이 무슨 의미일까? 라이프, 즉 인생은 변화에 관한 것이다. 태어나서, 부모로부터 독립한다. 그리고 결혼을 하거나, 인생의 파트너를 찾는다. 아이를 갖게 되며, 이 아이들이 이런 과정을 반복한다. 때론 건강이 크게 나빠질 수도 있다. 나이가 들고, 삶을 마감한다....

인증 보증 신원 2020.03.24

벤처캐피탈 보안 투자, '인증'과 '계정 관리'에 몰린다

사이버보안 스타트업에 대한 벤처캐피탈(VC) 투자가 지난해 많이 늘어난 것으로 나타났다. 사이버보안 전문 기업에 대한 투자 건수가 2018년보다 급증했다. NVCA(National Venture Capital Association)의 벤처 모니터(Venture Monitor) 보고서에 따르면, 사이버보안 분야에 대한 이러한 VC 투자 열풍은 전례를 찾을 수 없을 정도다. 일반적으로 벤처 투자는 투자한 기업이 인수 또는 상장했을 때 수익을 올리기 위한 것이다. 이런 측면에서 보안 투자 열풍을 분석해 보면 지난해 사이버보안 인수합병이 매우 활발했다는 점을 들 수 있다. 150개 이상, 총 230억 달러에 달하는 인수합병 계약이 체결됐다. 투자액만 보면 양상이 조금 다를 수 있다. NVCA 데이터를 보면, 사이버보안 스타트업에 대한 전체 벤처 투자가 2018년 65억 달러에서 2019년 50억 달러로 줄어든 것으로 나온다. 이는 PwC/CB인사이트의 2019년 벤처 투자 현황 자료와도 맥을 같이 한다. 이 자료에서는 사이버보안을 따라 분석하지 않았지만, 2019년 전체 벤처 투자가 2018년보다 9% 줄어든 1,080억 달러에 그쳤다. 그러나 2018년부터 자료를 별도로 분석해보니 사이버보안 스타트업에 대한 벤처 투자는 줄지 않고 오히려 빠르게 늘고 있다(NVCA나 다른 업체가 '사이버보안'을 어떻게 정의하는지는 확실치 않다. 문의했지만 답변을 듣지 못했다). 이 데이터를 보면, 디지털 보안에 집중하는 기업(클라우드 스토리지 같은 다른 사업을 지원하기 위한 간헐적인 보안 활동을 하는 기업은 제외)의 경우 투자 건수가 2018년 대비 65% 늘어났고 전체 액수도 70% 커졌다. 사이버보안에 대한 전체 투자액은 2018년 39억 달러에서 2019년에는 27억 달러 늘어난 66억 달러를 기록했다. 이와 같은 성장을 이끈 가장 큰 요인은 투자 건수의 증가다. 2018년 133건에서 2019년 219건으로 늘어났다. 반면 평균 투자액은 약간 늘어나는 데 그쳤다. 2...

벤처캐피탈 투자 인증 2020.03.12

“위기의 API 보안” 당면 과제와 AI 중심의 해법

API가 디지털 트랜스포메이션 이니셔티브의 핵심으로 부상했다. 기업 직원, 파트너, 고객 및 기타 관계자는 디지털 생태계 전반에서 API를 통해 애플리케이션과 데이터, 비즈니스 기능에 액세스할 수 있다. 그 결과 API라는 중요한 기업 자산을 목표로 하는 해커들의 공격도 당연히 함께 증가했다.   게다가 문제는 갈수록 더 악화될 것으로 보인다. 가트너는 “2022년까지 API 오용이 가장 빈번한 공격 벡터가 되면서 기업 웹 애플리케이션의 데이터 침해로 이어질 것”이라고 예측했다. 많은 기업은 이에 대응해 인증, 승인, 쓰로틀링(Throttling)과 같은 메커니즘을 제공하는 API 관리 솔루션을 구축했다. API 생태계 전반에서 API에 액세스할 수 있는 사람과 그 빈도를 제어하려면 이러한 솔루션이 반드시 필요하다. 또한 조직은 내외부 API 전략을 수립하면서 동적인 인공지능(AI) 기반 보안을 구축해 API를 대상으로 한 더욱 교묘한 공격의 증가에도 대처해야 한다. 여기서는 조직이 API 생태계 전반에서 보안과 무결성, 가용성을 보장하기 위해 도입해야 하는 API 관리와 보안 툴을 살펴본다.   규칙 기반 및 정책 기반 보안 수단 규칙 기반 및 정책 기반 보안 확인은 정적 또는 동적으로 수행할 수 있으며, 모든 API 관리 솔루션의 필수 요소다. API 게이트웨이는 API 액세스를 위한 주 진입점 역할을 한다. 따라서 일반적으로 요청이 수신되면 보안, 속도 제한, 쓰로틀링 등과 관련된 정책 및 규칙을 기준으로 요청을 확인하고 정책을 적용한다. 정적/동적 보안 확인이 제공하는 부가적인 가치를 살펴보자. 정적 보안 확인 정적 보안 확인은 일반적으로 사전에 정의된 규칙 집합 또는 정책을 기준으로 메시지 데이터를 검증하므로 요청 볼륨이나 이전 요청 데이터에 대한 의존성이 없다. 게이트웨이에서 다양한 정적 보안 스캔이 실행되면서 SQL 인젝션, 결합 파싱(cohesive parsing) 공격, 엔티티 확장 공격, 스키마 포이즈닝(s...

인증 인공지능 API 2020.01.31

"어떤 프로토콜을 사용해야 할까" 4개의 인증 사용례

인증(Authentication) 시스템을 내부에 호스팅하든 외부에 호스팅하든, 인증 프로토콜을 선택할 때는 신중을 기해야 한다. 사용례에 맞는 프로토콜을 사용하면 최소한의 노력으로 전체 시스템을 안전하게 운영하고 미래의 확장에 대비하고 표준과의 호환성도 확보할 수 있다. 또한 사용자의 ID를 외부 서비스에서 사용할 수 있도록 하는 경우, 서비스에서 프로세스를 안전하게 유지하면서 이 데이터를 쉽게 소비할 수 있는지도 고려해야 한다.   인증은 리소스에 대한 액세스를 승인하기 위해 어떤 방법으로 사용자를 식별하는 것을 의미한다. 여기서 논하는 프로토콜은 SAML 2.0, 오픈ID 커넥트(OIDC), 오쓰(OAuth)2다. 오쓰2는 인증 프로토콜은 아니지만 사용자가 페이스북, 아마존과 같은 소셜 서비스를 통해 로그인할 수 있도록 하는 등의 사용례에서 워낙 광범위하게 사용되고 있어 포함했다. ID, 인증, 승인 프로토콜 ID(Identity), 인증, 승인(Authorization) 이 세 가지 프로토콜은 기능 측면에서 상호 겹치는 부분이 많다. - ID 프로토콜은 사용자의 영구 식별자, 전화번호, 이메일 주소와 같이 시스템에서 사용자를 장기적으로 식별해서 인증하고 리소스 액세스를 승인하는 데 사용할 수 있는 정보를 제공한다. 가장 잘 알려진 사례는 SAML과 OIDC다. - 인증 프로토콜에 반드시 개인 식별자가 포함되지는 않는다. 예를 들어 커베로스(Kerberos) 시스템은 일시적인 익명 키의 교환을 기반으로 하는 시스템인데, 키 자체에는 식별 데이터가 포함되지 않는다. - 오쓰2, UMA와 같은 승인 프로토콜은 리소스 소유자에게 인증 정보 공유를 요구하지 않으면서 보호되는 리소스를 획득하기 위한 수단을 제공한다. 양방향 사용자 동의는 이러한 프로토콜의 중요한 측면이다. 오쓰2 프로토콜은 ID와 인증에 흔히 사용되며, 이때 식별자와 같이 오쓰2 프로세스에 반환되는 사용자 데이터를 사용한다. ID 프로토콜은 유연함 덕분에 정부, 기업, 소비자...

인증 ID 프로토콜 2019.12.09

How To : 마이크로소프트 오피스 365에서 기본 인증을 비활성화하는 방법

공격자들은 네트워크 액세스를 확보하기 위해 더 약한 자격 증명과 비밀번호를 얻으려 할 것이다. 중소기업들은 다양한 기능을 위해 사용하는 공유 받은 편지함을 설정하는 경우가 많다. 공유 받은 편지함의 자격 증명 한 세트가 유출되는 경우 해당 기업에 방대한 영향을 끼칠 수 있다.   MFA(Multi-Factor Authentication)을 활성화한 경우 보호를 위해 충분한 조치를 취했다고 생각할 수 있다. 하지만 오피스 365 이행의 레거시 인증을 비활성화하지 않는 한 여전히 위험에 처해 있는 것이다. 기본 인증은 비활성화하지 않는 한 모든 오피스 365 이행에서 기본으로 활성화된다. 우선 오피스 365가 여전히 기본 인증을 지원하고 있는지 어떻게 알 수 있을까. 마이크로소프트 아웃룩을 열고 비밀번호를 묻기 위해 팝업되는 인증 창을 보자. 수년 동안 보아온 전통적인 인증 창처럼 보인다면 기본 인증이 여전히 활성화되어 있는 것이다.   참고로, 모든 화면은 2019년 6월에 촬영했다. 오피스 365와 애저는 유동적인 플랫폼이기 때문에 이후에 업데이트될 수 있다.  기본 인증을 비활성화하기 전에 어떤 애플리케이션이 사용하고 있는지 검토한다. 많은 애플리케이션이 기본 인증에 의존하고 있으며 현대적인 인증으로 제한될 준비가 되어 있지 않다. 애저 포털(Azure Portal)의 애저 액티브 디렉터리(Azure Active Directory)로 이동하고 로그인을 검토한다. "열(Columns)"을 클릭하고 보기에 클라이언트 로그인을 추가한 후 "확인"을 클릭한다. 오래된 레거시 인증을 사용해 로그인하는 애플리케이션을 검토한다.  오피스 365와 연계된 서드파티 애플리케이션이 여전히 기본 인증을 사용할 수 있다. 예를 들어, 네이티브 아이폰 메일 애플리케이션은 여전히 기본 인증에 의존하고 있다. 기본 인증을 비활성화하면 MFA가 활성화된 후 아이폰 익스체인지 메일 프로필을 설정해야 할 수도 있다. 이를 설정하기 위해 아이폰...

인증 오피스365 이중인증 2019.07.19

글로벌 칼럼 | 모든 IoT 전문가는 어디에서 탄생하는가?

IoT의 빠른 성장으로 다기능 전문가를 육성해야 할 필요성이 커졌다. 새로운 전문가는 전통적인 네트워킹과 인프라 전문 지식을 데이터베이스 및 리포팅 기술과 결합할 수 있어야 한다. 만약 IoT가 수많은 약속을 온전히 지키려면, 똑똑하고 기술력을 갖춘 훈련된 군단이 필요할 것이다. 현재로서는 이런 전문가들이 어디에서 올지 확실하지 않다. 필자는 자산 최적화 소프트웨어 업체인 아스펜테크(AspenTech)의 제품 관리 및 연구개발 담당 수석 디렉터 키스 플린과 이와 관련한 이메일을 주고받았다. 플린은 IoT 우산 하에 있는 새로운 기술을 다룰 때는 기술을 구성하고 데이터를 해석할 줄 아는 인력이 필요하다고 주장한다. 또 기존 교육기관이 IoT 전문 과정을 운영할 필요성도 커졌을 뿐만 아니라 잘 짜인 커리큘럼을 갖춘 IoT 전문 사설 대학의 가능성도 있다고 말했다.    플린은 “미래에는 IoT 프로젝트가 오늘날의 일반적인 데이터 관리나 자동화 프로젝트와는 완전히 다를 것이다. 미래는 좀 더 전체론적인 기술력과 영역을 오가는 역량을 필요로 한다”고 강조했다. 또 IoT가 매년 30%씩 성장하면서 몇 가지 전문 기술보다는 “네트워킹이나 인프라 같은 전통적인 배치 기술부터 데이터베이스와 리포팅 기술, 심지어 기본적인 데이터 과학까지 모든 것을 한꺼번에 이해하고 한꺼번에 사용해야 할 것”이라고 덧붙였다.    모든 IoT 컨설턴트의 기회 플린은 “IoT 교육을 받은 인력에게 첫 번째 큰 기회는 컨설팅 영역”이라며, “컨설팅 업체는 산업 트렌드에 적응하거나 문을 닫거나 해야 하는데, IoT 인력은 이들 업체가 IoT 프로젝트에 자리를 지키고 IoT 컨설팅이란 새로운 비즈니스를 하는 데 일조할 것”이라고 전망했다. 문제는 신생업체나 소규모 업체이다. 규모가 큰 업체는 서로 다른 기술력을 가진 인력을 채용할 방법이 있지만, 작은 조직과 소규모 IoT 프로젝트는 양쪽을 모두 다 할 수 있는 인력이 필요하다. 플린은 “IoT는 모든 지...

인증 교육 전문가 2019.06.27

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.