Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

비밀번호에 대한 소비자 인식, 더욱 혁신적인 인증을 받아들일 준비가 됐다

여러 연구 보고서에 따르면, 소비자는 좀 더 혁신적인 인증 절차를 받아들일 준비가 됐다.    사이버 공격을 막기 위해 고객 인증 절차를 강화하려는 CISO는 최종 사용자에게 너무 복잡하거나 혼란스럽거나 부담되지 않으면서 엄격한 보안을 제공할 수 있는 방법을 원한다. 또한 도전 질문이나 안면 인식과 같은 접근 방식에 있어 개인정보보호에 대한 문제도 고려해야 한다. 소비자의 태도는 항상 변하기 때문에 고객에게 가장 적합한 인증 방법을 선택하는 것은 매우 중요한 일이다. 이에 팬데믹은 매우 큰 영향을 미쳤다. 소비자들은 매장 내 쇼핑을 할 수 없게 되자 온라인 소매로 전환했다. 전문가에 따르면, 소비자는 식품과 같은 것을 디지털로 구매하는 것이 익숙해지면서 모바일 뱅킹이나 디지털 지갑과 같은 다른 형태의 디지털 상거래에도 더 익숙해졌다.  그러나 세대별 차이는 분명 존재한다. 예를 들어, 페이먼트닷컴(PYMNTS.com)과 노크노크(NokNok)에 따르면, ‘디지털 네이티브’ 세대의 소비자는 쇼핑 사이트, 결제 수단, 은행과 같은 여러 플랫폼과 모든 기기 간에 원활하게 이동할 수 있기를 기대한다. 이런 초연결 고객은 비밀번호 없는 인증(passwordless authentication)과 같은 혁신적인 보안 초치에 좀더 개방적이다.  관련 연구진들이 공통으로 인식하는 한 가지는 비밀번호가 가장 성가신 인증 방법이며, 최소한의 보호만 제공한다는 것이다. 소비자는 기업이 비밀번호 기반 인증에서 생체 인식(지문 또는 안면 인식) 다단계 인증(MultiFactor Authentication, MFA) 또는 사용자가 볼 수 없는 인증 방법과 같은 좀 더 현대적인 대안으로 전환하기를 원하고 있다.    소비자, 보안을 최우선으로 한다  신용정보기관 익스피리언(Experian)의 2021 글로벌 ID 및 사기 보고서에 따르면, 응답자의 55%가 온라인 거래를 할 때 보안이 최우선이라고 답했다. 익스피리언이...

비밀번호 보안 생체인식 2021.10.01

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.   보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다. 인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다. 자동화 봇을 이용한 소셜 엔지니어링 공격 이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다. 인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다. ‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확...

보안 이중인증 OTP 2021.09.30

글로벌 칼럼 | 일부 앱의 기만적 '정보보호 공지', 애플의 대책이 필요하다

앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.     앱 개인정보보호의 문제 애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다. 최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다. 사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.   상황을 해결하는 방법 전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다. 린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다. 어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 ...

정보보호 보안 앱스토어 2021.09.29

제로 트러스트와 SASE를 통한 차세대 클라우드 보안의 완성 - IDG Summary

재택근무라는 낯선 IT 서비스 환경의 새로운 보안 문제를 어떻게 풀어야 할까. 최근 들어 그 대안으로 주목받고 있는 것이 SASE(Secure Access Service Edge)다. 기업 외부에서 직원이 업무용 서비스에 접속할 때, 사용자 기기와 업무 서비스를 운영하는 클라우드 사이에 퍼블릭 엣지 클라우드를 만든 후 여기에서 필요한 보안 서비스를 일괄 제공하는 것이다. SASE로의 전환 흐름은 소수 기업에만 의미가 있는 것이 아니다. 이제는 점차 많은 기업이 지적, 물적 자산 전체를 클라우드 기반 운영, 관리로 전환하고 있다. 기존 보안 체계로 감당할 수 없는 위험에 대응하고, 특히 재택근무라는 새로운 IT 업무 환경을 적극적으로 지원해야 하는 기업이라면 SASE를 중심으로 보안 전략을 전면적으로 재검토해야 할 시점이다. 주요 내용 - 코로나가 몰고 온 IT 환경의 근본적 변화 - 낡은 보안과 새로운 업무환경의 괴리 - SASE를 통한 차세대 클라우드 보안 완성 - RBI, 알려지지 않은 공격을 막는 유일한 SASE 기술 - SASE 활용 시나리오 2가지와 여전히 남은 문제 - 제로 트러스트와 SASE 중심의 새 보 안전략 필요

SASE 제로트러스트 보안 2021.09.29

IDG 블로그 | 윈도우·크롬·애플, ‘빅 3’ 보안 업데이트 톺아보기

이번 주 ‘빅 3’라고 불릴 만한 주요 업데이트가 있었다. 운영체제(윈도우), 브라우저(구글 크롬), 휴대폰(애플)이다. 모두 제로데이 취약점을 해결하는 것이 주요 내용이었다.   크롬 브라우저와 아이폰은 가능한 빨리 업데이트하는 것이 좋지만, 윈도우 업데이트는 언제나 유보하는 것을 추천한다. 업데이트로 인한 부작용이 있는지 먼저 살펴봐야 하기 때문이다.  이제 3가지 업데이트를 하나씩 살펴보자. 우선 애플 기기를 먼저 업데이트하는 것이 좋다. 이번 주 애플의 iOS 14.8 업데이트에는 페가수스 스파이웨어 패치가 포함돼 있다. 페가수스 스파이웨어는 휴대폰 카메라나 마이크, 문자 메시지, 전화, 이메일 등에 접근해 정보를 탈취하는 소프트웨어로, 아이폰이 주된 공격 대상이다. 늘 그렇듯이 애플 업데이트는 와이파이가 연결된 상태에서 휴대폰을 충전 상태로 두면 밤사이 실행된다. 업데이트가 제대로 되었는지 확인하고 싶다면, ‘설정’ 애플리케이션의 ‘일반’ 탭으로 들어가 ‘소프트웨어 업데이트’ 탭을 클릭하자. 업데이트 후에는 일부 앱에서 비밀번호를 다시 요구할 수 있으니 아이클라우드 키체인에 주요 비밀번호를 미리 저장해두는 것을 추천한다. 이번 업데이트 버전은 iOS에서는 14.8, iPad OS는 14.8, 맥OS 카탈리나는 보안 업데이트(Security Update) 2021-005이며 빅 서는 11.6이다. 크롬 브라우저 업데이트에서는 현재 보안을 위협하는 취약점 2가지에 대한 패치가 이뤄졌다. 윈도우와 맥, 리눅스 운영체제에서는 93.0.4577.82 버전 크롬 브라우저가 최신 버전이다. 크롬 OS를 사용하는 일부 기기에서는 계정에 로그인할 때 검은 화면이 뜨는 오류가 발생했다는 사례도 있다. 마지막으로 윈도우다. 도메인 혹은 기업 사용자 중에서 그룹 정책(Group Policy)으로 프린터를 제어할 때 발생하는 문제가 해결됐을 거라고 기대하는 사용자가 있다면, ‘마이크로소프트식’ 뉴 노멀에 온 것을 환영한다. 프린터 관리 방법은 ...

보안업데이트 보안 iOS 2021.09.17

'경영진이라면 명심!' 보안 전략 전체를 망가뜨리는 8가지 함정

2021년 5월 발생한 콜로니얼 파이프라인 공격은 훼손된 비밀번호를 악용해 가상 사설 네트워크(VPN)으로 회사 네트워크에 침입한 사건이다. 2017년 에퀴팍스 공격은 널리 알려졌음에도 패치되지 않았던 취약점이 진입점이었다. 그리고 트위터에서 일어난 비트코인 사기는 트위터 직원을 노린 스피어 피싱 공격에서 시작되었다.  물론 완벽한 보안 프로그램이라는 것은 존재하지 않지만, 수 년간 발생한 여러 보안 사건은 기업의 사이버보안 부서가 어떤 것도 그냥 지나쳐서는 안 된다는 점을 여실히 보여준다.  성공적인 보안 전략을 망가뜨릴 수 있는, 그리고 기업에서 쉽게 간과하기 쉬운 8가지 함정을 정리한다.     보안 사고은 기술만이 아니라 경영 전체의 위험임을 잊어버리는 것 UN 프로젝트 조달 기구(United Nations Office for Project Services, UNOPS)의 CISO   닐 하퍼는 사이버 보안이 이사회 차원의 관심사가 되었지만, 최고 임원은 물론이고 CISO까지 보안을 비즈니스가 아닌 기술적 위험으로만 여기는 경우가 빈번하다고 말했다.  얼핏 말장난 같지만 그렇지 않다. 하퍼는 기업 경영진이 사이버 보안을 너무 협소하게 바라볼 경우 부적정인 영향이 있다고 말했다.  하퍼는 “정보 보안을 비즈니스 위험으로 생각하지 않고, 단지 기술 위험으로만 본다면 보안이 기업 전체의 기반이라는 점을 간과하게 된다. 그 결과, CISO는 전적인 인정을 받지 못하고, 보고체계도 임원보다 2~3 단계 아래의 직위에 보고한다. 그 경우 임원 수준에서 전략에 대해 의견을 개진할 수 없다”라고 설명했다.  하퍼는 CISO가 이해관계자와 관계를 증진할 때 상황을 반전시키는 것을 여러 차례 목격했다고 강조했다. 즉, CISO는 이해 관계자의 위험과 목표를 이해하면서 이들과 교류하고 이들에게 보안 계획이 위험과 목표에 어떻게 대처하는지를 설명할 수 있어야 한다는 의미다.   컴플...

보안 2021.09.15

SaaS 거버넌스 계획이 필요한 이유와 도입시 고려해야 할 사항

SaaS 도입 속도가 IaaS 소비량을 크게 앞서고 있다. 그럼에도 불구하고 기업들은 거의 인프라 보안에만 집중하고 있다. 이제 기업들은 SaaS 사용과 관련된 위험을 낮추기 위해 보안 조치를 구현하는 SaaS 거버넌스 계획을 고려해야 한다. 이 계획에는 준법감시 프레임워크, 문서화/상당한 주의, 지속적인 모니터링과 위험 감소를 위한 기술적 조치의 조합이 포함된다.   클라우드 도입에 관한 보안 논의의 상당 부분이 AWS, 마이크로소프트 애저, 구글 클라우드 등의 IaaS(Infrastructure as a Service)/PaaS(Platform as a Service) 제공업체에 집중되는 데는 그만한 이유가 있다. 기업들은 엄청난 IaaS 도입 증가를 경험했으며 잘못된 IaaS 구성과 관련된 무수히 많은 보안 사고를 목격했다.  하지만 잘못 구현되어 안전하지 못한 SaaS로 인한 위험은 간과되고 있다. 가트너는 SaaS가 가장 큰 공공 클라우드 시장으로 유지될 것으로 전망했으며, 이 전망 이후 코로나19로 인해 SaaS 사용이 전례 없이 폭증했다. 또한 기업들은 일반적으로 3대 클라우드 서비스 제공업체를 비롯, 소수의 IaaS 제공업체만 이용하면서 많은 SaaS 제품을 소비하는 경향이 있다. 2020년 블리스풀리(Blissfully)의 조사에 따르면, 대기업은 최대 288개의 SaaS 앱을 사용하며 중소기업은 100개 이상을 사용하고 있는 것으로 나타났다. 기업이 IaaS 보안을 강화하기 시작했을 수 있지만 더 광범위하고 다양한 SaaS 부문은 그렇지 않을 가능성이 높다. 이런 현실로 인해 IaaS 제공업체보다 SaaS 제공업체의 비승인 IT 사용이 만연하며, 그 이유는 시장에 SaaS 제품이 많고 신용카드만으로도 손쉽게 소비할 수 있기 때문이다. 자일로(Zylo)의 연구에 따르면, 기업들은 월 평균 10개의 SaaS 제품을 추가하고 있으며 이 가운데 IT 부서가 직접 관리하는 것은 25%에 불과했다. 관리되지 않는 SaaS 위험...

SaaS 거버넌스 클라우드 2021.08.19

기업에 위험한 5가지 유형의 모바일 앱

기업 모바일 기기에서 실행되는 미승인 소프트웨어와 애플리케이션은 보안에 있어 악몽과 같은 존재다. 여기에는 동료와의 효율적인 원격 통신, 또는 다운로드 가능한 메시징, 파일 공유 앱을 통한 기업 문서 관리와 같은 일반적으로 섀도우 IT(Shadow IT)라고 부르는 비즈니스 요구를 충족시키는 앱 등이 포함된다. 뿐만 아니라 사교, 피트니스, 게임, 스포츠 시청 등 업무와 관련되지 않은 생활이나 엔터테인먼트 목적의 앱에 이르기까지 다양하다.     기업 기기에서 관리되지 않은 개인 앱은 데이터 유출, 사이버 공격, 악의적인 서드파티로부터의 직원 활동 감시 등 기업에 잠재적인 위험으로 간주되는 여러 요소를 포함해 악용할 수 있는 수많은 벡터와 취약점을 야기한다. 포레스터 보안 및 위험 분석가 스티브 터너는 “이런 앱은 기업에서 관리하지 않으며 직원이 무심코 다운로드, 사용함으로써 다양한 데이터, 개인정보 보호 및 기타 정책을 침해할 수 있다”라고 말했다.   웹루트(Webroot) 선임 위협 연구원 켈빈 머레이는 코로나 19 팬데믹의 발발 이후, 원격 근무로 대거 전환하면서 원치 않는 앱으로 인한 기업의 위험이 더욱 심화됐다”라고 말했다. 머레이는 “대면 회의와 상호 작용이 줄어들면서 직원들은 이메일이나 팀즈 통화와 같은 격식없이 소통할 새로운 방법을 찾고 있다. 그러나 원치 않는 앱을 통해 새로운 공격 전술, 익스플로잇 및 도구가 등장하면서 모바일 기기와 앱이 지금처럼 기업에 큰 위협이 된 적은 없었다”라고 설명했다.  사용자는 사이버 범죄자가 자신을 표적으로 삼을 것이라고 믿지 않는 경향이 있지만, 이런 앱들은 종종 개인정보에 대한 과도한 접근이나 특권 계정과의 통합을 요청한다. 교활한 공격자에게는 매우 효과적인 위협 벡터가 될 수 있다.  금융서비스 플랫폼 웨이브머니(Wave Money) CISO 도미닉 글런든은 “모바일 기기에 대한 공격에는 사용자 데이터에 접근하거나 도청하기 위한 원격 접속 트...

모바일앱 보안 위협 2021.08.09

2021 사이버보안 채용 현황 "보안 일자리, 언제나 많다"

정보 보안 일자리는 언제나 전망이 밝았다고 말하는 것도 지나치지 않다. 게다가 미국의 경우, 기업들이 코로나19의 제약으로부터 풀려나고 직장의 ‘뉴노멀(normal)’에 마주치면서 구직자에게는 더할 나위 없이 좋은 시절이 도래했다. 다시 말해 높은 구인 수요, 증가하는 급여, 그리고 어디서나 일할 수 있는 기회가 생겨났다.    '어떤 일자리의 수요가 가장 높은지', '구직 기회가 가장 많은 곳은 어디인지'라는 질문에 관한 대답은 둘 다 매우 광범위하다고 컨설트넷(ConsultNet)의 사이버보안 구인 전략가 테럴 TJ 잭슨은 진단했다.  여전히 코로나19 팬데믹의 여파가 정보 보안 취업 시장의 주된 원동력이라는 사실은 부정할 수 없다.  텍사스주 오스틴에 소재한 IT 전문가 네트워크인 스파이스웍스(Spiceworks)의 기술 인사이트 책임자인 피터 차이는 “원격 근무로의 이동은 팬데믹 이전과 비교할 때 인력 수 면에서 2배가 증가했다”면서, “보안 전문가 등 IT 전문가 대다수가 원격 근무로 인해 기기 및 데이터를 보안하는 일이 더 어렵다고 말했다. 본인의 기기를 이용해 가정 네트워크로 연결된 사람의 문제는 말할 것도 없다. 따라서 이들 기기를 보안하는 일만으로도 보안 전문가의 일이 훨씬 더 많아졌다. 이제 공격 표면이 훨씬 더 넓어졌다”라고 설명했다.   차이는 “또한 랜섬웨어는 여러 해 동안 뉴스 첫머리를 장식했지만 공격은 더 증가하고 있다. 요구하는 몸값은 커지고 있고, 표적은 더 중요해지고 있다. 따라서 이는 아마도 보안 전문가의 필요에 대한 최고의 촉매제 역할을 한다”라고 분석했다.  수요가 가장 높은 보안 직무 및 스킬  위협 지형이 극적으로 넓어짐에 따라 정보 보안 분야에서 가장 수요가 높은 일자리가 (구인 게시물 기준으로) 여전히 보안 분석가 직무임은 새삼스러울 게 없다. 그 다음은 취약점 분석가 또는 침투 테스터가 근접하게 뒤를 잇는다. 구직자 분석업체인 버닝 글래스 테...

보안 사이버보안 정보보안 2021.07.28

컨테이너 및 쿠버네티스 보안에 대한 계층화된 접근 방식

컨테이너는 애플리케이션과 그 종속 요소를 단일 이미지로 패키징하여 개발에서 테스트, 프로덕션에 이르는 전 과정에서 활용할 수 있다는 장점 때문에 광범위하게 사용되고 있습니다. 컨테이너를 사용하면 물리 서버, VM(가상 머신), 프라이빗 클라우드 또는 퍼블릭 클라우드와 같은 다양한 배포 대상과 환경에 걸쳐 일관성을 쉽게 유지할 수 있습니다. 쿠버네티스는 기업용 컨테이너 오케스트레이션 플랫폼입니다. 많은 조직에서 컨테이너를 사용하여 필수 서비스를 실행하는 오늘날, 컨테이너의 보안 유지는 무엇보다 중요한 문제입니다. 이 문서에서는 컨테이너화된 애플리케이션을 위한 핵심 보안 요소에 대해 설명합니다. <16p> 주요 내용 - 컨테이너와 쿠버네티스의 포괄적 보안: 계층 및 라이프사이클 - 애플리케이션 자체에 보안 구축 - 배포: 배포에 필요한 구성, 보안 및 컴플라이언스 관리 - 실행 중인 애플리케이션 보호 - 강력한 에코시스템으로 폭넓은 보안 범위 제공  

컨테이너 쿠버네티스 보안 2021.07.15

'털릴 것인가, 지킬 것인가?' PC와 온라인 기본 보안 수칙 5가지

개인정보 보호는 단순한 스마트한 특성이 아니라 거의 필수에 가깝다. 전 세계가 점차 연결되면서 개인정보의 중요성은 점차 커진다. 웹 사이트를 공격해 유출된 정보를 악용하고, 다른 계정에 침투하거나 개인용 컴퓨터에 랜섬웨어를 설치하고 돈을 요구하는 세력들은 이익을 위해서라면 망설임 없이 누구에게라도 악몽을 선사할 것이다. 기업 수천 곳이 무릎을 꿇었던 카세야 랜섬웨어 공격에서 이미 그런 상황이 벌어졌다.   하지만 희망이 없는 것은 아니다. 기본적인 보안 원칙만 준수해도 인터넷 세상에서 발생하는 대다수 공격에서 스스로를 보호할 수 있다. 기사에서 소개하는 5가지 보안 작업은 너무나 간단해서 완료까지 오래 걸리지도 않는다. 지금 바로 실행에 옮기고 편안한 마음으로 잠자리에 들자.   1. 비밀번호 관리자를 사용하라 가장 큰 보안 위험은 비밀번호 재사용이다. 주요 웹 사이트와 서비스에서 일어나는 대규모 데이터 유출 사태는 거의 주기적으로 일어나고 있다. 여러 계정에 똑같은 이메일, 똑같은 비밀번호를 사용하다가 웹 사이트에서 데이터가 유출되면, 공격자는 그 정보를 악용해 다른 계정까지 해킹할 수 있다. 따라서 소유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 스스로를 보호할 수 있지만, 계정을 생성한 모든 웹 사이트의 비밀번호가 기억하는 것은 불가능에 가깝다. 비밀번호 관리자가 필요한 것이 바로 이 단계다. 비밀번호 관리자는 강력한 무작위 비밀번호를 생성하고 정보를 저장하며 웹 사이트와 소프트웨어의 로그인 필드를 자동으로 채운다. 브라우저도 기본적인 비밀번호 관리 기능을 제공하기 시작했다. 브라우저 내장 기능은 유사시에 사용할 수 있을 정도지만 아주 완전하지는 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(무료 요금제를 제공하는 서비스도 많다).   2. 이중 인증을 활성화하라 대부분의 주요 서비스는 현재 이중 인증 기능을 제공하고 있으며, 민감한 개인정보를 취급하는 경우에는 더욱 그렇다. 가능할 경우라...

보안 백업 비밀번호관리자 2021.07.09

기업 네트워크 보안의 ‘맹점’ 액티브 디렉토리 인증서 서비스

윈도우 기업 네트워크의 핵심인 액티브 디렉토리(Active Directory, 이하 AD)는 사용자와 컴퓨터의 인증과 권한을 처리하는 서비스로, 수십년간 보안 전문가의 연구 대상이기도 했다. 하지만 AD의 PKI(Public Key Infrastructure) 컴포넌트는 이 정도로 면밀히 조사되지 않았다. 한 보안 연구 팀에 따르면, 이는 계정과 도메인 수준에서 권한 상승과 침해를 초래할 수 있는 여러 구성상의 실수가 존재할 수 있다. 보안 업체인 스펙터옵스(SpectreOps)의 연구원인 윈 슈뢰더와 리 크리스텐슨은 새 보고서를 통해 “AD 인증서 서비스(Active Directory Certificate Services, 이하 AD CS)는 파일 시스템 암호화부터 디지털 서명, 사용자 인증까지 모든 것을 제공하는 PKI 구현 기술이다. AD CS는 AD 환경에 기본 설치되지 않는다. 하지만 경험상 기업 환경에 널리 배포되어 있고, 이 인증서 서비스를 잘못 구성했을 때 초래되는 영향이 아주 크다”라고 설명했다.     AD CS 동작 방식 AD CS는 비공개 기업 인증 기관(certificate authority, 이하 CA)을 설정하는 데 사용된다. 사용자와 디바이스 ID 또는 계정을 공개-비공개 키 쌍에 연결하는 인증서를 발급하는 데 사용되어, 이 키 쌍을 파일 암호화, 파일 또는 문서 서명, 인증 등에 사용할 수 있다. AD CS 관리자는 인증서 발급 방법, 대상, 작업, 보유 기간 및 암호화 설정에 대한 청사진 역할을 하는 인증서 템플릿을 정의한다. 즉, HTTPS처럼 CA가 서명한 인증서는 AD 인프라가 특정 공개-비공개 키 쌍을 신뢰하도록 하는 증거다. 따라서 AD CS로부터 인증을 받으면 인증 받은 사용자나 컴퓨터는 키 쌍을 생성하고 원하는 다양한 설정과 함께 공개 키를 CSR(Certificate Signing Request)의 일부로 CA에 보낸다. CSR은 제목 필드의 도메인 계정 형식으로 사용자 신원과 인증서를 생...

액티브디렉토리 AD AD CS 2021.06.21

IDG 블로그 | 애플이 사용자 데이터를 수집하고 개인정보를 보호하는 방법

애플은 사용자 중심의 개인정보보호를 강조하면서, 아마존이나 구글, 페이스북 및 여러 경쟁 기업과의 핵심 차별점으로 내세우고 있다. 그렇다고 애플이 사용자 정보를 전혀 수집하지 않는 것은 아니다.  한 Macworld 독자의 질문 덕분에 애플이 직접적으로 추적하고, 추천과 광고에 활용하는 앱과 서비스가 무엇인지 살펴보게 됐다. 애플이 데이터와 전혀 상호작용하지 않는 경우도 있고, 서버를 통한 데이터 액세스 없이 디바이스 기반의 결과만 제공하기도 하며, 다른 경우에는 어떤 데이터를 활용하고 있는지 공개해 사용자가 비활성화할 수 있게 하고 있다. 애플은 매우 개인적인 데이터와 관련해선 엔드 투 엔드 암호화(End-to-End Encryption, 이하 E2EE)를 적용한다. E2EE는 각 디바이스에 저장되는 암호화된 키에 의존하며, 애플은 이 키에 액세스할 수 없다. iOS, 아이패드OS, 맥OS가 디바이스 간에 정보를 동기화할 때 E2EE를 사용하며, 애플은 이 정보를 복호화할 수 없고, 사용자 역시 icloud.com을 통해 액세스할 수 없다. 사용자가 알아두면 좋을 주요 앱과 서비스가 데이터를 어떻게 수집하고, 애플이 데이터 보호를 위해 어떤 조처를 했는지 살펴본다.   애플의 디지털 매장 앱 스토어 등 애플의 디지털 매장에서 사용자의 행동은 개인화된 광고와 관련 상품 추천에 영향을 끼친다. 맞춤형 광고는 iOS에서는 설정 > 개인 정보 보호 > Apple 광고 > 맞춤형 광고에서 비활성화할 수 있다. 추천은 설정 > 계정 이름 > 미디어 및 구입 항목 > 맞춤형 추천에서 비활성화할 수 있다.    구매 신뢰 점수 애플은 사용자의 대략적인 통화 횟수나 이메일 송수신 횟수 등 디바이스 사용을 추적해서 특정 구매 활동이 합법인지를 판단해 사기를 방지한다. 하지만 이 점수는 사용자의 디바이스에서 측정되며, 애플은 측정에 사용되는 요소를 알기 위해 이를 분석할 수 없고, 일정 기간이 지나면 데이...

애플 보안 개인정보호 2021.06.17

구글 크롬 URL 간소화 실험 중단 “보안 문제 있어”

이달 초 크로미움(Chromium) 프로젝트의 버그 데이터베이스 속 메모에 따르면, 크롬에서 URL을 축소해 도메인만 보여주는 실험이 중단됐다. 6월 7일 버그 데이터베이스에 업데이트된 메모에 따르면, 크롬 팀의 소프트웨어 엔지니어 에밀리 스타크는 “이 실험은 관련 보안 메트릭스를 이동하지 않으므로 출시하지 않을 것”이라고 적었다.    스타크가 언급한 실험은 크롬과 마이크로소프트 엣지를 포함한 여러 브라우저의 오픈소스 프로젝트인 크로미움을 대상으로 한 것으로, 브라우저 주소줄에 표시되는 내용을 간소화하려는 시도다. 예를 들어, Computerworld의 기사 URL이 https://www.computerworld.com/article/3082024/google-android-chrome-os-flip-flops.html 라면, 여기서 computerworld.com이라는 합법적 도메인만 주소 표시줄에 표시하는 것이다. 이를 통해서 도메인에 교묘하게 알파벳을 바꾸거나 추가해서 사용자를 속이려는 시도를 줄일 수 있다고 생각한 것이다. 2020년 8월 구글은 이 실험을 공식화했는데, 스타크는 이 프로젝트를 맡았던 3명의 멤버 중 하나다. 스타크는 당시 “우리의 목표는 URL을 줄여 보여주는 것이 사용자가 악성 웹사이트를 방문하고 있는지 알게 하는 데 도움이 되어 피싱이나 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것”이라고 밝혔다. 해당 실험은 2020년 10월 초에 출시된 크롬 86 버전부터 적용되어, 이후 버전 크롬에서 사용자는 직접 chrome://flags 옵션 페이지의 설정을 통해 URL 간소화를 활성화할 수 있었다.  당연히 기존 크롬 UI와 UX에 익숙한 사용자들의 반발도 있었다. 이에 따라 구글은 5월 25일에 공개한 크롬 91 버전에서는 URL에서 ‘http://’만 없애고, 설정 페이지의 URL 간소화 선택 옵션을 삭제했다. 한편, 다른 브라우저, 특히 사파리의 경우는 도메인만 보여주는 URL 정책을 ...

구글 크롬 URL 2021.06.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.