Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

‘억 소리 난다’ 21세기 최대 데이터 침해 사고 15건

이제 계정 몇백만 개가 탈취당하는 사건은 흔하다. 2000년대에 들어선 이후 수십억 건이 넘는 계정과 사용자 정보를 유출한 데이터 침해 사고 15건을 모아봤다.    오늘날같이 데이터가 사업의 중심이 된 환경에서 데이터 침해는 한 번에 수억 명 또는 수십억 명의 사람에게 피해를 준다. 디지털 전환이 데이터의 이동을 가속했고, 해커가 일상생활의 데이터 의존성을 악용하면서 데이터 침해도 함께 확대됐기 때문이다. 미래의 사이버 공격이 얼마나 커질지 알기는 어렵지만 이미 엄청난 규모에 도달했다는 점은 분명하다. 투명성을 위해 이 목록은 영향을 받는 사용자 수, 노출된 기록 수 또는 영향을 받는 계정 수를 기준으로 작성됐다. 해커가 악의적인 의도로 데이터를 탈취한 사고와 기업이 실수로 데이터를 보호하지 않아 노출된 사고를 구분했다. 후자는 이 목록에 포함되지 않았다.  다음은 최근 21세기에 들어 가장 그 피해 규모가 컸던 데이터 침해 사고 15가지다.   1. 야후 사고 날짜 : 2013년 8월  피해 규모 : 계정 30억 개  사고가 일어난 지 거의 7년이 지난 지금도 1위를 차지하는 사고는 2013년 야후 사태다. 회사는 2013년 해당 침해가 발생했다는 사실을 2016년에 밝혔다. 야후는 당시 버라이즌에 인수되는 과정에 있었는데, 해킹그룹이 10억 명에 달하는 야후 사용자의 계정 정보에 접근한 것으로 추정됐다. 1년도 채 되지 않아 야후는 노출된 사용자 계정의 수가 30억이라고 발표했다. 회사는 피해 계정 수가 늘어났다고 해서 새로운 "보안 문제"가 발생한 것이 아니며 모든 "추가 영향을 받는 사용자 계정"에 이메일을 보냈다고 말했다.  이 공격에도 불구하고 버라이즌 인수는 완료됐지만, 금액이 하향 조정됐다. 버라이즌의 CISO 찬드라 맥마혼은 당시 "버라이즌은 최고 수준의 책임과 투명성을 다하고자 전념하고 있으며, 진화하는 온라인 위협의 지형에서 사용자와 네트워크의 안전과 보안을...

데이터침해 데이터 유출 비밀번호 2022.11.11

How-To : “안드로이드 비밀번호가 생각나지 않을 때” 잠금 화면 해제하는 6가지 방법

스마트폰이 잠겼는가? 당황하지 말자. 누구나 겪는 일이고 나중에 또 겪을 수 있는 일이다. 다행히도 스마트폰을 잠금 해제할 방법이 있다. 그러니 패턴, 핀 혹은 암호를 잊어버려 스마트폰에 접근할 수 없더라도 걱정하지 말자. 희망은 있다. 잠금 화면은 의도적으로 풀기 어렵게 설계됐지만 안전하게 우회할 수 있는 몇 가지 방법이 있다. 일단 요즘 스마트폰 대부분은 로그인 과정에서 생체 인식 옵션을 제공한다. 따라서 먼저 손가락 스캐너 혹은 안면 인식 소프트웨어를 활용해보자. 이러한 설정을 할 수 없는 경우 시도해볼 수 있는 다른 방법은 다음과 같다.    1. 구글 내 기기 찾기 가장 즉각적인 해결 방법은 ‘구글 내 기기 찾기(Find My Device)’를 활용하는 것이다. 이전에는 안드로이드 기기 관리자(Android Device Manager)로 불렸던 서비스다. 먼저 구글 내 기기 찾기 웹사이트에 접속해서 구글 계정 로그인을 하자. 최신 기기이면서 위치 설정이 켜져 있고, 데이터 혹은 와이파이가 연결되어 있다면 기기 정보가 표시될 것이다.  여러 기기 중 잠금 해제를 원하는 기기를 클릭하고, 보안 기기(Secure Device)를 클릭한다. 그다음 기기 지우기(Erase Device)를 탭하고 확인 버튼을 누른다. 이 과정을 거쳤다면 완전히 새로운 암호를 설정할 수 있다. 초반에는 일부 사진 및 앱을 잃을 수 있으나 향후 구글 계정을 통해 백업 정보를 불러와 복구할 수 있는 경우도 있으니 참고하자. 기기 관리자가 기기를 찾지 못할 경우 페이지 혹은 앱을 몇 번 새로고침하면 된다. 결국에는 찾을 수 있을 것이다. 또한 윈도우라면 강력 새로고침(단축키는 CTRL+F5이다)을 시도해 캐시를 삭제할 수도 있다.    2. 스마트 락 활성화 ‘스마트 락(Smart Lock)’은 안드로이드 스마트폰에서 자체적으로 제공하는 기능이다. 스마트폰 위치를 인식하고 있을 경우 암호 없이 잠금 해제할 때 쓸 수 있다. 그러...

안드로이드 잠금해제 비밀번호 2022.10.27

“비밀번호 저장부터 생성까지” 편리한 무료 비밀번호 관리 프로그램 3선

요즘처럼 데이터 유출 사고가 자주 발생하는 시대에는 비밀번호 해킹이 자주 이뤄질 수밖에 없다. password12345처럼 단순하게 비밀번호를 설정해서 그런 것이 아니다. 비밀번호 하나를 조금씩 변형해 사용하거나, 글자를 숫자로 대체하는 등의 전략을 사용한 비밀번호도 이제 쉽게 해킹된다. 무작위 비밀번호를 사용하면 좋지만, 해당 비밀번호를 문서 또는 엑셀 파일 등에 따로 저장한다면 다시 해킹 위험은 올라간다. 이런 경우 비밀번호 관리 프로그램을 사용하면 보안성과 편의성 모두를 얻을 수 있다.    유료 형태의 비밀번호 관리 프로그램은 훌륭한 기능을 제공하지만, 요즘은 무료 프로그램만 잘 활용해도 취약한 비밀번호를 사용하면서 생기는 위험을 줄일 수 있다. 특히 다양한 비밀번호를 한곳에 안전하게 모아두는 동시에 한 개의 비밀번호만 기억하면 된다는 장점이 있다. 무료 비밀번호 관리 프로그램은 다양하기 때문에 취향에 맞는 것을 골라 이용하면 된다. 다음은 무료 비밀번호 관리 프로그램 중에서도 유용한 프로그램을 선별한 것이다. 아래 목록에 나온 프로그램 외에 구글의 비밀번호 관리 프로그램도 조만간 업데이트될 예정인데, 무료 버전을 이용한다면 충분히 비밀번호를 보호할 수 있을 것이다. 구글의 비밀번호 관리 프로그램은 크롬이나 안드로이드를 통해 이용할 수 있다.    비트워든 비트워든(Bitwarden)은 무료 버전과 유료 버전 모두 제공하는데, 일반적인 상황이라면 무료 버전을 이용하면 된다. 비트워든은 접속 기기 종류와 개수 상관없이 무제한으로 이용할 수 있으며, OTP 기반 이중 인증을 지원하고, 비밀번호 개수를 원하는 만큼 저장할 수 있다. 여기에 프라이버시 보호를 위해 클라우드 호스팅이 아닌 셀프 호스팅을 선택해 데이터를 관리할 수 있다. 최근 비트워든은 무작위 비밀번호 외에 이메일 마스킹 서비스 통합을 통해, 무작위 사용자 이름과 이메일 별칭을 생성하는 보안 기능을 추가했다. 일반적으로 경쟁 제품은 무료 사용자에게 ...

비밀번호 관리자 무료 2022.09.07

구글, iOS 등 모바일 크롬 비밀번호 관리 기능 집중 강화 나선다

지난 금요일 구글이 크롬의 비밀번호 관리자 기능을 집중 강화하고 있다. iOS도 포함돼 있다. 구글은 안드로이드에서의 사이트 로그인을 관리 감독하고 유출 가능성이 있을 경우 새로운 비밀번호를 만드는 기능을 제공한다고 발표했다. 각각의 단계별 변화를 밝히지는 않았지만 구글은 향후 수 개월 안에 순차적으로 새 기능이 적용될 것이라고 언급했다. 흥미로운 것은 아이폰의 비밀번호 관리 기능이다. 안드로이드 스마트폰에서는 이미 구글이 비밀번호 관리 및 저장 기능을 담당하고 있는데 이 기능을 아이폰에도 적용하겠다는 것이다. 애플은 iOS에서의 앱과 실행에 엄격한데 아마도 구글은 비밀번호 관리 기능을 브라우저 앱에 적용해 감시를 피할 것으로 보인다.   그러나 안드로이드는 여전히 구글의 '안방'이다. 안드로이드 운영체제에서는 꾸준히 비밀번호에 집중한 새 기능이 출시될 예정이다. 구글은 ID를 가져와서 비밀번호를 자동으로 입력하는 기능을 예로 들었다. 터치투필(Touch-To-Fill)이라는 기능은 한 번의 터치로 비밀번호 자동 입력과 로그인을 담당할 예정이다. 사용자가 직접 기존 비밀번호를 관리하는 기능도 있다. 안드로이드 스마트폰 홈 화면에 저장된 비밀번호 목록으로 바로가는 아이콘을 생성하는 것이다. iOS에는 해당하지 않는다. 비밀번호 자동 확인 기능 역시 개선된다. 구글은 이미 사용자 비밀번호를 정기적으로 확인해 자격증명 유출 목록에 있는지 검사하고 있다. 만일 유출된 것으로 확인되면 비밀번호 변경을 제안한다. 개선된 기능이 적용되면, 보통 이메일로 웹사이트 비밀번호 변경과 확인이 오가는 것과 달리 독자적인 비밀번호 변경을 제안한다. 안드로이드, 크롬 OS, iOS, 리눅스, 윈도우 크롬 사용자는 비밀번호 유출 경고를 받을 수 있다. 구글은 또한 사용자가 비밀번호 관리자에 기존 비밀번호를 수동으로 추가할 수도 있을 것이라고 밝혔다. editor@itworld.co.kr 

비밀번호관리자 비밀번호 구글크롬 2022.07.04

글로벌 칼럼ㅣ급증하는 데이터 침해, ‘비밀번호’라는 기본에 충실할 때

IT 및 보안 팀은 속속 변화하고 있는 보안 위험에 대비하여 가장 기본적인 접근 권한인 비밀번호의 보안을 보강해야 한다.  최근 몇 달 동안 일반 사용자와 기업 계정으로 로그인할 때 2단계 혹은 다중 인증이 증가했음을 느꼈을 것이다. 이러한 인증수단이 이렇게 널리 쓰이기 시작한 이유는 소비자와 기업을 신분 위조, 데이터 침해, 비밀번호 스키밍 및 피싱/랜섬웨어 공격에서 보호하기 위함이다.      미국의 비영리기관인 신원절도자원센터(ITRC, Identity Theft Resource Center)의 통계에 따르면 데이터 침해 사건의 약 92%가 사이버 공격과 관련 있으며, 2022년 1분기에 일어난 데이터 침해 사건은 지난해 같은 기간보다 14% 더 많은 것으로 나타났다.  또한 2022년 1분기 데이터 침해 통지의 절반가량(367건 중 154건)이 유출 원인을 기재하지 않아 가장 큰 공격 벡터는 '알 수 없음(Unknown)'인 것으로 조사됐다. 2021년보다 40% 더 많은 수치다.  그렇다면 CISO는 어떻게 이러한 사이버 보안 공격에 대비할 수 있을까? CISO는 계속 진화하는 위협, 시스템 취약성 및 해커들을 막기 위해 끊임없이 변화하는 환경에 적응하면서 최신 보안 기술을 꿰고 있어야 한다.  2022년의 사이버 공격  2022년은 이미 ‘기업 보안 공격의 해’라고 해도 과언이 아닐 만큼 보안 사건투성이였다. 남미에서 활동하는 랩서스(Lapsus$)라는 유명한 해커 그룹은 여러 사이버 공격을 저질렀으며, 엔디비아, 삼성, T-모바일, 보다폰 등을 상대로 한 공격의 주범으로 확인됐다.  T-모바일 해킹은 2022년 3월 랩서스 그룹의 일원이 피싱이나 다른 형태의 소셜 엔지니어링 기법으로 직원 계정을 침해하여 T-모바일의 네트워크를 해킹한 사건이었다. 일단 T-모바일의 고객 계정 데이터베이스에 접근하자마자 해커들은 미국 국방부 및 FBI와 연결된 T-모바일 계정...

비밀번호 2FA 이중인증 2022.06.14

비밀번호 관리자 아직도 안 쓰는 '잘못된' 이유 6가지

개인 보안 활동은 여전히 경시되고 있다. 특히 비밀번호의 경우에는 더욱 그렇다. 똑 같은 비밀번호를 재사용하고, 쉽게 알아낼 수 있는 비밀번호를 고집하고, 보안 수칙 변화에 주의를 기울이지 않는 사용자가 많다. 우수한 비밀번호 관리자 프로그램이 많지만, 이들 사용자가 비밀번호 관리자를 사용하지 않는 이유도 분명히 설득력이 있다. 이해할 만하다. 그러나 결코 옳은 행동은 아니다.   비밀번호는 집 현관문의 자물쇠와 같다. 도시에서 산다면(복잡한 인터넷 생태계를 고려해 도시로 예를 들어 보자) 모두가 최소 1개 이상의 자물쇠를 사용하고 있을 것이다. 하지만 문 손잡이 자물쇠를 선택하면 숙련된 절도범이 통과하는 데 1분 정도밖에 걸리지 않는다. 절도를 막기 위해서는 최소한 여분의 잠금 장치가 있어야 하며, 우범지대에서는 두꺼운 문, 문 앞 강철 게이트, 견고한 힌지와 나사를 사용할 것이다.   열쇠에만 의지할 필요도 없다. PIN 패드, 블루투스 판독기 같은 여러 출입 방법이 있고 보안 구성도 다양하게 맞출 수 있다.   비밀번호 관리자도 마찬가지다. 생활 패턴을 크게 바꾸지 않고서도 필요에 따라 자신에게 적합한 제품을 선택할 수 있다. 비밀번호 관리자를 사용하지 않는 사용자의 주장을 하나씩 논파해 보자.   착각 1 : 나만의 시스템이 잘 작동하고 있다 아직도 문자가 아니라 숫자와 기호만 써도 되고, 오래된 비밀번호를 계속 사용해도 괜찮다고 생각하는 사람이 많다. 하지만 이런 전략은 이제 강력하지 않다. 필자의 동료 마크 해크먼은 비밀번호 해킹, 습관적인 비밀번호 패턴 추론이 얼마나 쉬운지를 기사로 썼다. 디지털 도어의 자물쇠를 여는 것이 점점 쉬워지는 것이다. 계정을 탈취하려는 시도가 절대 없을 것이라는 확신도 머지 않아 철회하게 될 것이다. 데이터 유출 빈도와 범위는 계속 증가하고 있다. 중요한 서비스가 점차 온라인화되면서 해로운 결과도 늘어난다. 자신만의 긴 무작위 비밀번호를 만들어놨더라도 비밀번호 관리자가 만드...

비밀번호 패스워드 비밀번호관리자 2022.06.10

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

How-To : 애플 비밀번호에 확인 코드를 추가하는 방법

계정 로그인에 확인 코드를 도입하는 것은 계정 탈취를 막는 강력한 방법이 될 수 있다. 이중 인증(Two-factor authentication, 2FA)은 계정 이름이나 이메일 주소, 비밀번호 정보 외에도 사용자에게 전송되거나 앱이 생성한 코드에 대한 액세스 권한이 필요하다. 특히, 사용자 정보는 지난 몇 년 동안 수십억 개 계정이 유출돼 취약하다. 따라서 보안을 강화하려면 확인 코드를 추가하는 것이 좋다.   애플은 애플 ID에 자체 2FA 시스템을 적용했으며, 한동안 다른 시스템을 지원하지 않았다. iOS와 아이패드OS, 맥OS가 수차례 릴리즈된 이후, 메시지 앱은 텍스트로 전송된 2FA 코드를 인식하기 시작했고, iOS와 아이패드OS의 퀵타입(QuickType) 및 맥OS용 사파리 드롭다운 메뉴에 있는 자동 채우기 프롬프트를 통해 2FA 코드를 자동 입력하는 기능을 지원했다. 애플은 iOS 15 및 아이패드OS 15, 맥OS용 사파리 15에서 2FA 시스템을 더욱 개선했다. 이제 애플은 구글이 처음 보급해 현재 널리 사용되고 있는 인증 코드인 TOTP(Time-based One Time Password)를 직접 지원한다. 참고로 TOTP 생성 시 무료 앱인 오시(Authy)를 사용하는 것이 더 좋다. 오시(Authy)가 구글 어센티케이터(Google Authenticator)보다 훨씬 더 유연하고 다른 장치와 안전하게 동기화되기 때문이다. 이밖에 원패스워드(1Password)와 다른 비밀번호 관리자도 TOTP 지원 기능을 추가했다. 애플이 자사 비밀번호 기능으로 TOTP를 지원하는 것은 좋은 현상이다. 아이클라우드 키체인(iCloud Keychain)을 활성화하면 연결된 모든 장치에서도 확인 코드가 안전하게 동기화된다. 몬터레이에서는 사파리>환경설정>암호 탭이나 시스템 환경설정의 ‘암호’ 섹션에 다른 비밀번호 관리자에 저장된 비밀번호를 추가할 수 있다. 이전 맥OS 릴리즈에서는 오직 이 방법을 통해서만 비밀번호에 액세스할 수 ...

애플 비밀번호 확인코드 2022.04.06

글로벌 칼럼 | 비밀번호 변경의 악순환을 끝내는 방법

매년 이맘때면 필자는 회사의 사이버 보험 신청 양식을 채운다. 그리고 보험회사는 매년 우리 회사가 강력한 비밀번호를 사용하고 자주 변경할 것을 권장하는지를 묻는다. 이 질문은 필자를 상당히 괴롭히는데, 사실 비밀번호를 그렇게 자주 바꾸지는 않기 때문이다. 대신에 위험도에 적절하게 맞는 인증 프로세스를 사용한다. 비밀번호를 사용하는 것은 제일 마지막에 기대는 것이 좋다.   무엇보다도 웹 사이트에 담겨 있는 정보와 데이터를 생각해야 한다. 가장 잘 보호하고자 하는 사이트가 가장 취약할 때도 있다. 할 수 있다면, 사이트 액세스에 항상 이중인증을 추가한다. 모든 다중인증이 기술이 다 똑같은 것은 아니지만, 어떤 것이라도 없는 것보다는 낫다. 만약 이중인증 때문에 공격자가 다른 사이트로 발길을 돌린다면, 성공한 것이다. 은행이나 금융기관이 종종 인증 소프트웨어를 더디게 적용하는 경우가 있는데, 이때문에라도 사용자 이름과 비밀번호, 그리고 이중인증 툴로 보완해야만 한다. 보통은 스마트폰으로 전송되는 텍스트를 이용한다. 물론 스마트폰 SIM 칩도 복제할 수 있고, 공격자가 사용자의 폰인 것처럼 위장해 텍스트를 가로챌 수도 있다. 그래도 대다수 사용자는 이 프로세스를 이용해 훨씬 더 안전해진다. 사용자 이름과 비밀번호만 사용해 은행에 액세스하는 것은 계정을 위험에 빠트리는 일이다. 솔직히 말해, 비밀번호라고 다 같은 것은 아니다. 만약 한 비밀번호를 다른 웹 사이트, 다른 은행 계정에 재사용한다면, 훨씬 더 위험해진다. 공격자는 흔히 해킹된 비밀번호를 훔치거나 사들여 이를 다른 사이트에 액세스하는 데 재사용하려 들기 때문이다. 비밀번호를 재설정하라는 알림을 받았다면, 그리고 해당 계정에 로그인하려 한 적이 없다면, 그건 아마도 공격자가 비밀번호 스터핑 공격을 시도하는 것이다. 그러니 같은 비밀번호는 어디에서도 쓰지 말아야 한다. 온라인 서비스 사용자는 오랫동안 사용자 이름과 비밀번호를 다양하게 사용하라는 권고를 들었다. 어떤 사이트는 사용자의 정보를 다...

패스워드 비밀번호 이중인증 2022.03.08

크롬에서 필요없는 자동 완성 항목을 지우는 방법

이사를 한 다음에 구글 크롬의 자동 완성 옵션에서 옛날 주소를 삭제하는 방법을 모른다면? 아니면 친구가 노트북을 사용하면서 남긴 양식 입력 정보가 자신의 크롬 브라우저에 남아 있다면? 이런 거치적거리는 정보를 말끔히 지우는 방법을 알아보자. 우선은 크롬 브라우저의 설정 메뉴를 찾아야 한다. 주소창에 chrome://settings를 입력하거나 오른쪽 상단의 삼점 메뉴에서 설정을 클릭한다.  여기서 사용자가 지우고자 하는 자동 완성 내용에 따라 경로가 달라진다. 자동 완성 기능을 끄고 켤 수도 있고, 특정 자동완성 내용만 삭제할 수도 있고, 모든 내용을 전부 지울 수도 있다. 자동 완성 설정을 관리하고 특정 입력 내용을 삭제하려면, 우선 크롬 설정 창의 왼쪽 목록에서 자동 완성을 선택한다. 자동 완성은 비밀번호, 결제 수단, 주소 및 기타의 3가지 영역으로 나뉘어 있다. 이들 영역을 클릭하면, 관련 자동 완성 데이터와 추가 설정 옵션이 나타난다.   비밀번호 항목을 보면, 비밀번호 저장 여부를 묻도록 하거나 크롬이 크리덴셜을 보유한 사이트에 자동으로 로그인할 것인지 선택할 수 있다. 크롬에 비밀번호를 저장했다면, 알려진 보안 문제에 대해 유출된 비밀번호를 확인하는 기능도 제공한다. 저장된 비밀번호는 전체를 내보낼 수 있으며, 각각의 비밀번호를 복사, 수정, 제거할 수 있다. 결제 수단 역시 결제 정보를 저장해 자동 완성 기능을 사용할 것인지 여부와 이렇게 저장된 정보를 서드파티에 제공할 것인지 여부를 선택할 수 있다. 새로 결제 수단을 입력할 수 있으며, 기존에 저장된 정보를 편집하고 삭제할 수 있다.  주소 및 기타 항목 역시 주소 저장 및 자동 입력 여부를 선택할 수 있으며, 새로운 주소를 추가하거나 기존 주소 정보를 편집, 삭제할 수 있다. 전화번호, 이메일 배송지 주소 등의 정보를 포함한다.    자동 완성 데이터를 한꺼번에 삭제하려면, 자동 완성 메뉴가 아니라 개인정보 및 보안 메뉴로 이동해야...

크롬 자동완성 주소 2021.12.10

IDG 블로그 | ‘비밀번호 필요 없는 보안’은 가능할까?

비밀번호 구성이 단순하던 시절, 비밀번호는 꼭 필요한 골칫덩이였다. 하지만 150억 개 이상의 크리덴셜이 다크웹에서 거래되고 있는 지금은 비밀번호 안전을 유지하는 것이 일종의 과학 프로젝트가 됐다.   많은 전문가가 비밀번호를 최소 12가지의 무작위 문자로 구성하고, 한 사이트에서 사용한 비밀번호를 다른 사이트에서 사용하지 말라고 조언한다. 각 사이트별 비밀번호를 모두 기억하는 것에 한계가 있기 때문에, 비밀번호 관리자 같은 서비스가 등장하기도 했다. 하지만 이런 비밀번호 관리자 앱도 마찬가지로 비밀번호로 보호된다.  웹사이트 운영자만큼이나 비밀번호를 싫어하는 사람은 없을 것이다. 개인정보 관리 스타트업 비욘드 아이덴티티(Beyond Identity)가 사용자 1,000명을 대상으로 실시한 설문조사 결과, 2/3는 새로운 비밀번호 설정 때문에 신규 계정 생성을 중단했다고 답했다. 3/4는 비밀번호 재설정 문제로 물건 구매를 포기했다.  비밀번호를 모두 없앨 수 있을까? 좋은 소식은 수많은 업체가 많은 시간과 비용을 투입해 비밀번호를 없애는 방법 개발에 매진한다는 점이다. 나쁜 소식은, 그럼에도 불구하고 비밀번호가 완전히 사라지지 않는다는 것이다. 대표 솔루션 ‘오쓰(OAuth)’도 보편화 쉽지 않아 선도 업체를 중심으로 비밀번호가 필요 없는 솔루션이 꾸준히 발전하고 있다. ID 및 액세스 관리 업체 옥타(Okta)나 핑 아이덴티티(Ping Identity), 원로그인(OneLogin), 시스코와 같은 업체는 사전 승인된 사이트에 대해서는 비밀번호 없이 접근할 수 있는 기업용 서비스를 제공한다. 서비스 이용을 위해서는 비밀번호가 필요하지만, 일단 승인된 후에는 자유롭다. 단점을 꼽자면 업무 외적으로 사용하는 은행이나 넷플릭스는 승인된 사이트 목록에서 찾을 수 없다. 일반 사용자가 가장 많이 사용하는 것은 오쓰(OAuth)다. 새로운 계정을 생성하는 대신 페이스북이나 구글, 애플처럼 신뢰할 수 있는 사이트의 로그인 정보를 다른...

비밀번호관리 비밀번호 2021.12.07

비밀번호에 대한 소비자 인식, 더욱 혁신적인 인증을 받아들일 준비가 됐다

여러 연구 보고서에 따르면, 소비자는 좀 더 혁신적인 인증 절차를 받아들일 준비가 됐다.    사이버 공격을 막기 위해 고객 인증 절차를 강화하려는 CISO는 최종 사용자에게 너무 복잡하거나 혼란스럽거나 부담되지 않으면서 엄격한 보안을 제공할 수 있는 방법을 원한다. 또한 도전 질문이나 안면 인식과 같은 접근 방식에 있어 개인정보보호에 대한 문제도 고려해야 한다. 소비자의 태도는 항상 변하기 때문에 고객에게 가장 적합한 인증 방법을 선택하는 것은 매우 중요한 일이다. 이에 팬데믹은 매우 큰 영향을 미쳤다. 소비자들은 매장 내 쇼핑을 할 수 없게 되자 온라인 소매로 전환했다. 전문가에 따르면, 소비자는 식품과 같은 것을 디지털로 구매하는 것이 익숙해지면서 모바일 뱅킹이나 디지털 지갑과 같은 다른 형태의 디지털 상거래에도 더 익숙해졌다.  그러나 세대별 차이는 분명 존재한다. 예를 들어, 페이먼트닷컴(PYMNTS.com)과 노크노크(NokNok)에 따르면, ‘디지털 네이티브’ 세대의 소비자는 쇼핑 사이트, 결제 수단, 은행과 같은 여러 플랫폼과 모든 기기 간에 원활하게 이동할 수 있기를 기대한다. 이런 초연결 고객은 비밀번호 없는 인증(passwordless authentication)과 같은 혁신적인 보안 초치에 좀더 개방적이다.  관련 연구진들이 공통으로 인식하는 한 가지는 비밀번호가 가장 성가신 인증 방법이며, 최소한의 보호만 제공한다는 것이다. 소비자는 기업이 비밀번호 기반 인증에서 생체 인식(지문 또는 안면 인식) 다단계 인증(MultiFactor Authentication, MFA) 또는 사용자가 볼 수 없는 인증 방법과 같은 좀 더 현대적인 대안으로 전환하기를 원하고 있다.    소비자, 보안을 최우선으로 한다  신용정보기관 익스피리언(Experian)의 2021 글로벌 ID 및 사기 보고서에 따르면, 응답자의 55%가 온라인 거래를 할 때 보안이 최우선이라고 답했다. 익스피리언이...

비밀번호 보안 생체인식 2021.10.01

최고의 비밀번호 관리자와 선택 시 고려해야 할 기능

일반 사용자의 비밀번호 사용 행태는 심하게 좋지 않다. 비밀번호의 상위 항목 1, 2위는 여전히 ‘123456’과 ‘password’이며, 사용자들은 비밀번호를 너무 자유롭게 공유하고 항상 잊어버린다. 사용자의 온라인 보안을 보장할 수 있는 비밀번호가 가장 큰 장애물이 된 것이다. 이는 좋은 비밀번호 관리자(Password Manager)를 사용해야 하는 이유이기도 하다.    비밀번호 관리자는 안전한 비밀번호의 특징인 고유하고 복잡한 로그인을 기억해야 하는 부담을 덜어준다. 필요할 때에는 로그인 정보를 다른 사용자와 안전하게 공유할 수 있다. 또한 이 도구는 로컬 또는 클라우드에서 가상의 보관소에 로그인 정보를 암호화하고 단일 마스터 비밀번호로 잠그기 때문에 비밀번호 자체를 보호한다. 보안을 강화하고 싶다면 비밀번호 관리자를 사용하는 것이 좋다. 웹 브라우저가 비밀번호 관리 기능을 제공하기 시작했지만, 이것만으로는 충분하지 않다.  비밀번호 관리자는 기능과 비용면에서 매우 다양하므로 가장 인기있는 2가지 제품을 비교했다. 양 제품 모두 윈도우, 맥 OS, 안드로이드, iOS와 주요 브라우저를 지원한다. 그리고 이 모든 기능을 사용하면 여러 기기에서 데이터를 동기화할 수 있지만, 추가 비용을 지불해야 할 수도 있다.  사용자가 가장 많이 선택한 2가지 제품과 비밀번호 관리자를 구매할 때 고려해야 할 사항은 다음과 같다.  최고의 비밀번호 관리자, 라스트패스  라스트패스(LastPass)는 비밀번호 관리자가 요구하는 모든 기능을 다 보유하고 있다. 고유하고 복잡한 비밀번호를 쉽게 생성하고, 로그인 자격 증명을 캡처, 관리하며, 여러 기기와 동기화할 수 있다. 또한 신뢰하는 다른 사용자와 공유할 수 있다. 비밀번호 감사 및 업데이트 기능을 사용하면 한두 번 마우스 클릭만으로 취약하거나 중복된 비밀번호를 식별하고 제거할 수 있다. 신용카드 번호와 기타 개인 데이터를 저장해 구매, 서비스 가입 또는 청구서...

비밀번호 비밀번호관리자 Password Manager 2021.08.24

토픽 브리핑 | 익숙한 만큼 위험한 습관, 비밀번호

아이디와 비밀번호를 입력해 필요한 웹 서비스를 사용하는 과정은 이미 현대 생활의 일부가 되었다. 2020년 인터넷 사용자 1명은 이메일 주소 1개당 평균 200개 이상의 온라인 계정을 연결해 사용하는 것으로 알려졌다. 2년 사이 50%도 넘게 늘어난 규모이고, 온라인 계정이 늘어나면서 관리도 복잡해졌다. 비밀번호 도난 시의 위험이 크다는 것을 잘 알고 있으면서도, 사람들은 만들기 쉽고 기억하기 쉬운 비밀번호를 오래 사용하는 경향이 있다. 원하는 서비스에 제때 접속하지 못하는 불편이 너무나 크기 때문이다.   라스트패스의 조사에 따르면 모든 계정에 똑같은 비밀번호를 쓰는 사용자는 전체의 59%에 이른다. 좋아하는 비밀번호를 거의 바꾸지 않고, 심지어 데이터 도난 사고가 발생한 후 비밀번호를 그대로 사용하는 비율도 매우 높다. 지난 수년 간 야후, 디즈니+, 페이스북 등 유명 웹 사이트에서 대규모의 비밀번호 유출 사고가 이어졌지만, 수억 명이라는 피해 규모에 놀라기는 쉬워도 손에 익어버린 이메일 비밀번호를 바꾸기는 어렵다. 익숙하고 편리하지만, 그만큼 위험한 습관인 셈이다.  디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워 페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출 해킹은 여전히 보안 공격 중 가장 비중이 크다. 버라이즌의 조사에 따르면 해킹은 2020년 전체 보안 침해의 45%를 차지해 맬웨어(17%)나 피싱(22%)을 크게 앞섰다. 한 연구는 유추하기 쉬운 단어, 기업 이름, 유명인 이름 등을 변형해 만든 비밀번호는 이미 공격자의 ‘비밀번호 사전’에 실려 있어 무차별 대입 공격에 매우 취약하다고 발표했다. “비밀번호 하나로 돌려막는 당신을 노리는” 사전대입공격이란 비밀번호 해독기, '해시캣'이 필요한 이유 해킹 툴킷을 위한 필수 비밀번호 크래커, '존더리퍼'의 작동 방식 저장된 비밀번호를 보호하는 최선의 방법, 해싱의 정의와 작동 방식 여러 인터넷 브라우저가 자체적으로 아이디와 비밀번호를 암호화해 저장하는 기능을 제공...

비밀번호 비밀번호관리자 생체인증 2021.02.05

"계정부터 윈도우까지" 내 책상 위 개인정보 단속하는 5대 보안 수칙

요새 세상에서 개인정보 보호는 현명한 조치인 동시에 필수 조치다. 세상이 긴밀하게 연결될수록 개인정보의 가치는 더욱 중요해진다. 웹사이트 공격으로 유출된 정보를 사용해 피해자의 다른 계정을 해킹하거나 컴퓨터를 인질로 잡아 몸값을 요구하거나, 방법과 상관없이 악의적인 공격자는 주머니에 돈을 챙길 수 있다면 피해자의 하루를 망치는 데 주저함이 없을 것이다.  하지만 전혀 희망이 없는 것은 아니다. 몇 가지 기본 보안 원칙을 따르면 월드와이드웹에서 발견되는 대부분의 공격으로부터 사용자를 보호할 수 있다. 더 좋은 점은 이 5가지 쉬운 보안 작업을 설정하는 시간이 얼마 들지 않는다는 것이다. 지금 바로 실행하면 밤에 걱정을 덜고 잠자리에 들 수 있다.   1. 비밀번호 관리자 사용하기 가장 큰 보안 위험으로 비밀번호 재사용이 꼽힌다. 주요 웹사이트와 서비스에서는 놀랄 만큼 정기적으로 대규모 데이터 해킹이 보고된다. 여러 계정에 같은 이메일과 비밀번호를 사용하는 경우, 이 계정이 유출되면 공격자가 이 정보를 사용해 다른 계정을 해킹할 수 있다.  보유한 모든 계정에 강력하고 고유한 비밀번호를 사용하면 이런 위험을 방지할 수 있다. 하지만 계정을 만드는 모든 웹사이트마다 다른 임의의 비밀번호를 기억하는 것은 거의 불가능하다. 바로 이 부분이 비밀번호 관리자가 필요한 부분이다. 이러한 도구는 강력한 무작위 비밀번호를 생성하고, 정보를 저장하며, 웹사이트와 소프트웨어의 로그인 필드를 자동으로 채울 수 있다. 브라우저들은 기본적인 비밀번호 관리 도구도 제공하기 시작했다. 그러나 유사시를 대비하기 위함이지만 전반적으로 충분하지 않다. 적절한 비밀번호 관리자에 투자하는 것은 그만한 가치가 있다(특히 무료 버전을 제공하는 서비스가 많다).   2. 이중인증(2FA) 활성화 국제 생체 인증 표준 협회 FIDO 얼라이언스(FIDO Aliance)의 U2F 개방형 표준과 호환되는 USB 키 드라이브와 기타 소형 장치는 이중인증을 단순화할...

2FA 이중인증 비밀번호 2021.02.05

저장된 비밀번호를 보호하는 최선의 방법, 해싱의 정의와 작동 방식

해싱(Hashing)은 다양한 유형의 입력 값의 진본성(Authenticity)과 무결성(Integrity)을 검증하기 위해 사용할 수 있는 암호 기법 프로세스다.  데이터베이스에 평문 비밀번호를 저장하지 않기 위해 인증 시스템에서 널리 사용되고 있지만 파일, 문서, 기타 유형의 데이터를 검증하는 데에도 사용되고 있다. 해싱 함수를 잘못 사용하면 심각한 데이터 유출로 이어질 수 있지만, 처음부터 해싱을 사용하지 않아 민감한 데이터를 보호하지 않는 것이 더 좋지 않다.    단방향 암호 기법 해싱과 양방향 암호화 비교  해싱은 단방향 암호 기법 함수인 반면, 암호화(Encryption)는 양방향으로 작동하도록 고안되었다. 암호화 알고리즘은 입력 값과 비밀 키를 가져다 암호문(ciphertext)이라는 무작위처럼 보이는 출력값을 생성한다. 이 작업은 가역적이다. 비밀 키를 알거나 가진 사람이 암호문을 복호화해 원본 입력값을 판독할 수 있다. 해싱 함수는 비 가역적이다. 해싱 함수의 출력값은 해시값, 다이제스트(Digest) 또는 해시(Hash)라 불리는 고정된 길이의 문자열이다. 본래의 값으로 변환할 수 없기 때문에 반드시 비밀로 유지할 필요가 없다.  하지만 해싱 함수의 한 가지 중요한 함수는 해시 되었을 때 고유한 입력값이 항상 같은 해시값으로 귀결되어야 한다는 점이다. 2개의 입력값이 같은 해시값을 가질 수 있다면 이것을 충돌(collision)이라고 부르며 컴퓨터를 사용해 충돌 등을 얼마나 쉽게 찾을 수 있는지에 따라 보안 관점에서 해시 함수가 깨진 것으로 간주될 수 있다. 해싱은 데이터베이스에 비밀번호를 저장할 때 항상 암호화보다 더 많이 사용된다. 그 이유는 해킹 발생 시 공격자가 평문 텍스트에 접근할 수 없고 웹사이트가 사용자의 평문 비밀번호를 알 이유가 전혀 없기 때문이다.  여러 기업에서 ‘우리의 직원들은 절대로 비밀번호를 묻지 않습니다’라는 공지를 받은 적이 있다면 그것이 바로...

해싱 암호화 비밀번호 2021.01.18

마이크로소프트 엣지, 비밀번호 자동 생성 지원

구글 크롬 브라우저의 장점 중 하나는 웹사이트에서 새 계정을 만들 때 고유한 비밀번호를 자동 생성하고, 저장한 다음, 사이트를 재방문했을 때 자동으로 입력해주는 것이다. 마이크로소프트 엣지 역시 이제 같은 기능을 지원하는데, 과정이 조금 더 복잡하고 모바일 어센티케이터(Authenticator) 앱이 필요하다.  이 새로운 기능은 이미 웹사이트를 위한 2FA(two-factor authenticator) 솔루션으로 사용되는 iOS 및 안드로이드용 어센티케이터 앱 내의 비밀번호 관리 및 자동 완성 기능에 대한 퍼블릭 프리뷰의 일부다. 지금까지는 해당 사이트에 대한 비밀번호를 직접 만들어 원하는 경우에 엣지에 저장할 수 있었다. 이제는 어센티케이터가 고유한 비밀번호를 생성하고, 저장하며, 사이트를 재방문했을 때 자동완성해준다. 하지만 프로세스가 간단하진 않다. 크롬에서는 새로운 계정을 만들 때 “비밀번호” 텍스트 상자만 클릭하면 크롬이 제안하는 강력하고 고유한 비밀번호 옵션을 선택할 수 있고, 크롬 데스크톱 브라우저나 안드로이드용 크롬에서 사용할 수 있다.    하지만 마이크로소프트 생태계 내에서는 모바일 환경에서 어센티케이터 앱을 사용해야만 한다. 즉, 새로운 계정을 만들 때 PC가 아닌 휴대폰으로 해야 한다는 것이다. 어센티케이터 앱이 고유한 비밀번호를 만들고 저장한 다음 데스크톱 PC의 엣지 브라우저에 동기화한다. 데스크톱 버전의 엣지에는 비밀번호 생성 기능이 아직 없다. 비밀번호는 사용자 소유의 디바이스를 확인하는 2FA를 통해 가장 잘 보호된다는 마이크로소프트의 믿음 때문으로 보인다. 이것이 사실이긴 하지만, 휴대폰이 없는 사람이나 사소한 작업을 위해 PC 작업을 중단하고 싶지 않은 사람에겐 다소 불편하다.  엣지의 비밀번호 자동 생성 기능을 이용하려면 어센티케이터 앱을 다운로드한 후, 다음과 같이 설정해야 한다.    iOS : 설정 > Face ID 및 암호 > 암호 &g...

엣지 브라우저 마이크로소프트 2020.12.17

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.