Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

야후, 사상 최대 규모 5억 명 개인정보 유출···"특정 국가가 사주한 해커" 주장

5억 개 이상의 야후 서비스 이메일과 비밀번호가 도난 당한 사실이 뒤늦게 밝혀졌다. 야후는 특정 국가의 지원을 받는 대규모 해커 집단의 범죄라고 주장했다. 야후는 목요일, 2014년 말 발생한 해킹의 일환으로 사용자 이름, 이메일 주소, 전화번호, 해시화된 비밀번호가 도난 당했다며, 도난 당한 개인정보 데이터베이스가 지난달 개인정보 암거래 사이트에 매물로 등록된 것이 밝혀졌다고 발표했다. 그러나 사용자 데이터를 판매한 해커는 도난 데이터 규모가 사용자 2억 명 분량이며 지난 2012년에 획득한 것이라고 주장하고 있다. 목요일에 보도된 대규모 해킹과의 연관 여부는 아직 확실히 알려지지 않았다. 그러나 야후는 피해 사용자들에게 해킹 사실을 알리고 비밀번호를 변경할 것을 주문했다. 야후는 성명을 통해 “2014년 이후 비밀번호를 변경한 적이 없다면, 새로운 비밀번호를 설정할 것을 권장한다”고 밝혔다. 또, 사용자 계정과 관련해 비정상적인 활동을 발견할 경우 야후에 알려 달라고 당부했다. 야후는 도난 당한 대다수 비밀번호가 보안 도구 비크립트(bcrypt)로 암호화돼 있어 실제 데이터를 추출하기는 어려울 것이라고 주장했다. 그러나 일부 계정의 경우 비밀번호 확인이나 본인 인증에 쓰이는 보안 질문과 답변 데이터도 유출된 것으로 알려졌다. 한편, 야후는 내부 보안 부서의 조사 결과 신용카드 정보, 은행 계좌 정보 등은 유출 데이터에 포함되지 않았다고 밝혔다. 또, 아직 야후 네트워크 상에 해커들이 잠복해 있다는 증거를 찾지 못했다고 덧붙였다. 야후는 현재 데이터 유출 피해 사용자들을 위한 질문 및 답변 페이지를 마련하고, 유출 경위에 대해 사법 당국에 수사를 요청한 상태다. editor@itworld.co.kr

야후 해커 해킹 2016.09.23

글로벌 칼럼 | '신디케이션'이 되고 있는 데이터 침해 사고

데이터 침해 사고는 '죽음'과 '세금'처럼 일상에서 피할 수 없는 '현실'로 자리를 잡았다. 또한 점점 더 커지고, 흉악해지고 있는 추세다. 매일 수 많은 데이터 침해 사건이 발생하고 있다. Credit: Victorgrigas, CC BY-SA 3.0, via Wikimedia Commons 필자는 매일 데이터 침해에 대한 기사와 보고서를 읽는다. 그리고 데이터 침해에 대한 주제가 발전하고 있음을 깨닫는다. 확연히 드러난 주제 3가지는 '도난 당한 기기', '나쁜 비밀번호', 그리고 '패칭(patching)'이다. 사이버범죄자들이 자동차 트렁크에 놓아둔 노트북 컴퓨터를 훔쳐갔다. 노트북 컴퓨터 도난 사고가 관여된 데이터 침해 사고 소식을 접할 때마다 헛웃음이 나오게 만드는, 그리고 자주 접하는 '표현'이 하나 있다. "비밀번호로 노트북 컴퓨터를 보호하고 있으니 문제 없어!"라는 말이다. 이는 돌진하는 트레일러를 얇은 철망으로 막을 수 있다고 생각하는 것이나 마찬가지다. 아주 간단히 비밀번호로 보호된 노트북 컴퓨터에는 금방 액세스할 수 있다. 이를 위한 도구도 정말 많다. 아주 좋지만 무료인 도구도 있다. 다음 침해 소스는 나쁜(취약한) 비밀번호다. 이는 아주 흔한 문제다. 시스템에 원격 액세스할 수 있는 크리덴셜이 '사용자명: $company, 비밀번호: $company'인데, 사이버범죄자가 시스템에 침입하기 위해 굳이 제로데이 공격을 준비할 필요가 있을까? 이와 관련된 사용자 인식 측면의 문제가 있다. 공격자들은 표적에 피싱 공격을 이용한다. 사람들의 호기심이라는 기본 욕구를 자극, 링크를 클릭하도록 만드는 것이다. 우리는 사용자에게 설득력 높은 방법으로 위험을 교육하는데 더 많은 노력을 기울여야 한다. 3번째로 많이, 그리고 지속적으로 발생하는 문제는 바로 패칭이다. 누구나 보안 패치...

비밀번호 도난 데이터침해 2016.09.21

How-To : "밀기 동작 한 번으로 로그인 끝" 휴대전화로 구글 로그인하기

온라인 계정을 보호해야 하는 이유에 대해서는 충분히 이해한다. 특히 모든 서비스에 연동돼 있는 구글 계정은 더욱 중요하므로, 강력하고 긴 비밀번호로 온갖 위험에서 보호해야 할 것이다. 그러나 길고 어려운 비밀번호는 곧잘 잊어버리게 되고, 구글 계정이 잠겼을 때 비밀번호 관리자 프로그램을 여는 것도 귀찮을 때가 있다. 내가 진짜 나라는 사실을 더 쉽게 증명할 방법은 없을까? 새로운 구글 기능으로 기존의 비밀번호를 버리고 아이폰이나 안드로이드 스마트폰으로 구글 계정에 접속하는 방법이 있다. 순서대로 따라해보자. 계정 로그인 설정에 들어가기안드로이드 : 설정 > 구글 > 로그인 및 보안(Sign-in & security) 차례로 선택하고 “휴대전화를 사용해서 로그인하세요.” 섹션이나 설정 메뉴에서 사진으로 로그인하기를 선택한다. iOS : Ios1용 공식 구글 앱을 설치한다. 로그인 후 위 왼쪽의 지메일 주소를 두드린다. 구글 계정 설정 > 로그인 및 보안 메뉴에서 “비밀번호 입력하기가 번거로우신가요?” 배너를 선택하자. 데스크톱 : 브라우저에서 구글 계정에 로그인한 후, 오른쪽 위에 있는 프로필 사진을 클릭하면 파란색 ‘마이 어카운트(My Account)’ 버튼이 보인다. 로그인 및 보안 메뉴에서 “비밀번호 입력하기가 번거로우신가요?” 배너를 클릭하자. 휴대폰 로그인 기능 켜기 그 다음에는 다시 한 번 비밀번호를 입력하게 되는데, 휴대폰으로 로그인하기 기능을 설정한 후로는 이제 입력할 일이 없을 것이다. 다시 한 번 파란색 ‘설정(Set it up) 버튼을 누른다. 이제 구글 로그인에 등록할 휴대폰을 가져온다. 휴대전화 항목의 드롭다운 메뉴에서 등록할 휴대폰을 운영체제에 따라 선택한다. 필요에 따라 추가로 다른 전화를 등록할 수도 있다. 휴대폰 홈 화면이 잠금화면으로 보호돼 있는지 확인한다. 아니라...

로그인 비밀번호 구글 2016.09.09

“사람의 약점은 영원하다” 정기적인 비밀번호 변경이 더 나쁜 이유

보안 전문가들은 수십 년 동안 최고의 기술도 사람의 약점 앞에서는 힘을 쓰지 못한다고 말해왔다. 그런데 일반적인 통념도 마찬가지인 듯싶다. 온라인 비밀번호가 온라인 인증의 주된 방법으로 이용된 이후 일반적인 통념은 매달 비밀번호를 바꿔야 개인이나 조직의 보안이 개선된다는 것이었다. 그러나 FTC(Federal Trade Commission)의 로리 크래너 최고 기술자는 그렇게 생각하지 않는다. 그녀는 올해 초 “의무적인 비밀번호 변경을 다시 생각해 볼 시기"라는 블로그 게시글로 언론의 관심을 끌었다. 그녀는 이달 초 라스베가스에서 열린 B사이드스(BSides) 보안 컨퍼런스의 키노트 연설에서도 똑같은 말을 했다. 그녀는 꽤 오랜 기간 반복했던 주장을 강조했다. 그녀는 FTC에서 일하기 2년 전, 카네기 멜론 대학(Carnegie Mellon University)에서 컴퓨터 사이언스 및 공학, 공공 정책 교수로 재직하던 동안 TED 토크에 참여했었다. 이 TED 토크에서 그녀는 비밀번호를 너무 자주 바꾸는 것은 '득보다 실'이 크다고 주장했다. 공격자가 새 비밀번호를 더 쉽게 해킹할 수 있는 이유는 비밀번호 자체가 아니라 사람들이 갖고 있는 특성 때문이다. 그녀는 연구 결과를 인용해 "비밀번호를 자주 변경해야 할 경우 쉬운 비밀번호부터 이용하기 시작하고, 공격자가 쉽게 예측할 수 있는 방법으로 비밀번호를 변경하는 경향이 있다"고 지적했다. 그녀는 약 6년 전인 2009~2010년 동안 노스 캐롤라이나 대학 채플 힐(University of North Carolina at Chapel Hill)에서 실시한 조사에서 이런 경향이 입증됐다고 주장했다. 당시 연구원들은 교직원과 학생, 교수 등이 더 이상 사용하지 않는 1만 개 계정의 비밀번호를 이용했다. 그리고 기존 비밀번호를 해킹할 경우 새 비밀번호를 쉽게 해킹할 수 있다는 사실을 발견했다. 사용자는 기존 비밀번호를 조금 바꿔 ...

암호 변경 비밀번호 2016.09.05

토픽브리핑 | 비밀번호 이후의 시대를 준비하는 대안 인증 기술들

온라인 계정의 비밀번호나 사용자 주민등록번호 등은 이미 손쉬운 해킹 대상이 된 지 오래다. 라스트패스같은 비밀번호 관리 앱도 지난해 사용자 계정 정보 유출 사고에 시달렸다. 이 때문에 모든 부가 앱이 하나의 계정에 연결되는 구글, 페이스북 등의 서비스나 금융권을 중심으로 이중 인증이나 2단계 인증 방식이 보편화했다. 인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 두 번째는 휴대폰이나 특별 USB 키처럼 사용자가 보유한 것, 마지막은 지문이나 DNA처럼 사용자 그 자체에 해당하는 데이터다. 이중 인증과 2단계 인증은 조금 다른데, 이중 인증은 두 가지 이상의 다른 인증 요소를 채택하고, 2단계 인증은 이메일이나 문자 메시지로 비밀번호와 일회용 코드를 보내는 등 하나의 요소를 두 번에 걸쳐 사용하는 것을 의미한다. 이중 인증에 대해 알아야 할 5가지 크롬북, PIN 번호로 잠금 해제 기능 도입 “디지털 라이프를 보호하라” 구글 계정 2단계 인증 설정의 모든 것 최근 미국 표준기술연구원(The National Institute of Standards and Technology)은 IT 업체를 상대로 SMS를 통한 2단계 인증 사용 중단을 권고했다. SMS로 전달되는 데이터가 중간에 탈취될 수 있어 보안에 취약하다는 이유에서다. "SMS 메시지 통한 2단계 인증 방식, 보안 위험 높아" NIST 새 권고안 비밀번호와 함께 널리 쓰이는 이중 인증 수단으로는 먼저 생체인식 기술을 꼽을 수 있다. 모바일 기기에 적극적으로 도입된 생체인식은 지문, 안면, 홍채, 음성 인식 등 개인의 독특한 생체정보를 판별하여 본인임을 인증하는 보안 기술이다. 윈도우 10의 핵심 앱인 헬로는 안면을 입체적으로 인식한다. 지문 인식도 가능한데, 두 가지 방식 모두 인텔 리얼센스 카메라나 지문 인식 센서같은 전용 하드웨어가 필요하다. 비밀번호 안녕··· ...

인증 비밀번호 생체인식 2016.08.26

How-To : "보안 위험을 무릅쓰고" 윈도우 10에서 로그인 비밀번호 없애기

최근 윈도우 전원 설정을 바꿔서 윈도우 10 비밀번호를 없애는 방법이 많이 논의되고 있다. 노트북이 아닐 경우에만 비밀번호 프롬프트를 제거할 수 있는 팁인데, 여기서는 완전히 비밀번호를 없애는 방법을 알아본다. 다시는 비밀번호를 입력할 필요가 없을 것이다. 물론 로그인 비밀번호를 없애면 누구든 개인 PC를 들여다볼 수 있게 되고, 따라서 보안에 취약해진다는 단점이 있다는 것을 미리 기억해야 한다. 이 방법은 가정용 PC를 사용하고, 비밀번호를 쓰지 않아도 모르는 사람이 PCp에 접근할 확률이 거의 없는 사용자들만을 대상으로 한다. 또, 윈도우 10 홈 에디션인 필자의 개인 PC 시스템에서 적용된 것이라는 점도 밝혀 둔다. 우선, 윈도우 10 시작 메뉴 옆의 검색 창에 Netplwiz라고 입력하고, 검색 결과에 나오는 애플리케이션을 클릭한다. 이 윈도우 창에서는 윈도우 사용자 계정과 기타 비밀번호 속성을 수정할 수 있다. 맨 위에 있는 ‘사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음’이라는 항목에 체크 표시를 지운다. 맨 아랫줄 ‘적용’을 클릭하면, 현재 비밀번호를 입력하는 창이 뜬다. 비밀번호를 2번 입력하면 완료다. 컴퓨터를 다시 시작하거나 PC가 절전모드에서 활성화되면 이제 비밀번호를 입력하지 않고도 윈도우에 로그인할 수 있다. 그러나 처음 질문했던 독자에게 이 방법을 알려주자, 독자는 자신의 레노버 PC에서는 먹히지 않는다고 말했다. 레노버 등의 PC 제조업체가 사용자의 부주의를 막기 위해 약간의 조정을 거쳐 PC를 출고했을지도 모르는 일이다. 레노버 사용자 지원 팀은 사용자들이 비밀번호를 없앨 수 있다고 답변했지만 실제로 그런지는 아직 확인되지 않았다. 다른 델 노트북에서는 문제 없이 위의 방식을 적용할 수 있었다. 마지막으로 한 가지, 보안 위험이 있는데도 비밀번호 입력이 너무나 불편하다면, 복잡한 비밀번호 대신 최소 4자리의 PIN 번호로 로...

로그인 비밀번호 윈도우 2016.08.26

라스트패스 파이어폭스용 확장 프로그램, 하이재킹 위험 발견돼

한 구글 보안 담당자가 라스트패스를 원격으로 하이재킹할 수 있는 방법을 찾았다고 주장했다. 처음에는 사용자를 악성 웹 사이트로 유도한다. 이후 파이어폭스용 라스트패스 확장 프로그램에서 보안 결점을 찾아 악용한다. 라스트패스는 수요일 취약점 두 개가 발견됐다며, 파이어폭스 사용자에 대한 보안 픽스를 배포했다고 말했다. 최초 발견자는 구글 보안 담당자 태비스 오만디로 알려졌다. 오만디는 화요일 트위터로 “정말 라스트패스를 사용해도 되는 것인가? 치명적인 보안 허점 몇 가지를 발견했다”고 전했다. 라스트패스는 소프트웨어 특성 상 어떤 취약점이라도 사용자에게 큰 위험을 가져올 수 있다. 여러 개의 각기 다른 웹 사이트에서 사용되는 모든 비밀번호를 안전하게 저장하고 필요할 때마다 불러오는 프로그램이기 때문이다. 오마디 외에 디텍티파이 랩(Detectify Lab) 소속의 마티아스 칼슨도 라스트패스의 보안 취약점을 발견했다. 칼슨은 원격으로 라스트패스를 하이재킹할 수 있는 허점을 발견했다고 말했다. 이 경우에는 크롬 브라우저 확장 프로그램이 사용됐다. 브라우저용 라스트패스 확장 프로그램은 일반적으로 사용자가 방문하는 웹 사이트에 자동으로 저장된 비밀번호를 불러와 대신 입력해준다. 칼슨은 라스트패스 크롬 확장프로그램이 방문하는 사이트마다 특정 HTML 코드를 덧붙여 웹 사이트 주소를 분석하고 도메인을 구분해 알맞은 비밀번호를 입력한다고 말했다. 문제는 이 HTML 코드가 손상되기 쉽다는 점이다. 라스트패스는 다른 웹 사이트를 방문할 때에도 비밀번호를 자동 입력할 수 있다. 칼슨은 이 버그를 발견하고 가짜 URL을 생성한 후 현재 사용자가 트위터를 방문했다고 라스트패스를 속이는 실험을 했다. 그러자 라스트패스는 사용자의 트위터 비밀번호를 가짜 URL에 입력했다. 해커들 역시 악성 웹 사이트를 구축하고 라스트패스 사용자의 방문을 유도하는 방식으로 이 보안 취약점을 악용할 수 있다. 비밀번호를 수집하는 악성 웹 사이...

파이어폭스 비밀번호 라스트패스 2016.07.28

IDG 블로그 | "이 와중에 꼼수를..." 자세히 읽어야 알 수 있는 인터파크의 유출 내역

인터파크의 1,000만 개인정보 유출 사건은 여러모로 상당한 큰 파장을 불어일으키고 있다. 인터파크 측은 고객정보를 유출한 것에 대해 사죄하면서 APT 공격으로 어쩔 수 없이 개인정보를 유출했지만 보안에는 최선을 다했다는 입장이다. 하지만 인터파크의 사과문과 유출 내역에서 보여준 꼼수는 이들의 진정성에 의심을 품게 만들고 있다. 이는 인터파크가 1,000만 고객의 개인정보를 유출한 후, 개인정보 유출여부 확인 결과다. 유출된 개인정보는 "아래와 같다"면서 네모 상자 속에 유출 내역이 기재되어 있다. 이름, 생년월일, 휴대폰번호, 이메일, 주소가 유출됐음을 확인할 수 있다. 그러나 해당 문장에는 ID와 암호화된 비밀번호라는 단어가 붙어있다. 이를 무심코 읽으면 ID와 암호화된 비밀번호는 유출되지 않았다는 말로 해석된다. 하지만 다시 읽어 보면 아이디와 비밀번호는 기본적으로 유출됐다는 내용이다. 유출된 내용은 "아래와 같다"면서 아래 속에 아이디와 비밀번호를 포함시키지 않은 것이다. 이로 인해 일반 사용자 가운데 대다수가 아이디와 비밀번호는 유출되지 않은 걸로 내용을 파악하고 있었다. 특히 인터파크의 사과문이나 공지에서도 비밀번호가 유출됐다는 내용은 어디에도 보이지 않는다. 다만 개인별로 유출 항목에 차이가 있다는 내용이 있다. 그런데 지금까지 살펴본 개인 사용자마다의 유출 내역에서 이름, 생년월일, 휴대폰번호, 이메일, 주소이외에 다른 내역이나 사항들을 본 적이 없다. 결국 인터파크가 밝힌 "유출 항목에 차이가 있다"는 말은 허위에 가까우며, 이 문장의 진정한 의도는 아이디와 비밀번호를 유출했다는 말을 숨기기 위한 장치였음을 파악할 수 있다. 인터파크 사건을 지켜 본 한 보안 관계자는 "지금 인터파크가 무슨 말을 해도 비판과 욕을 들을 것이다. 하지만 유출 확인 결과 속에 이런 꼼수를 부린 것은 불난 집에 기름을 끼얹는 행위다"고 말했다. ...

비밀번호 인터파크 개인정보유출 2016.07.27

“귀찮은 비밀번호 없이 편하게 사는 법” 윈도우 절전 모드 해제하기

한동안 다른 일을 하다가 컴퓨터로 돌아오면 어김없이 윈도우 비밀번호를 다시 입력해야 한다. 윈도우에서는 기본 설정으로 부팅 시 또는 절전 모드에서 다시 작동할 때 비밀번호를 입력하게 돼 있다. 타인이 이메일이나 아마존 구입내역을 실수로라도 들여다보는 일을 방지해준다는 나름의 이유가 있다. 그러나 안전한 장소에서 PC를 사용한다는 전제 하에 번거로운 비밀번호 입력 과정을 생략하고 기본 설정을 변경할 수도 있다. 귀찮은 반복 입력을 피하는 3가지 방법을 소개한다. 1. 절전 모드는 이제 그만 언제나 컴퓨터가 켜져 있다면 비밀번호를 입력하지 않아도 된다. 실질적인 불이익도 있다. 전력을 필요 이상으로 쓰게 되고, 노트북 배터리를 소모하고, 전기 요금도 더 나올 것이다. PC가 외부인으로부터 무방비 상태에 놓이게 된다는 위험도 있다. 제어판 > 전원 옵션을 선택하거나 윈도우 10 사용자라면 시작 메뉴에서 오른 클릭을 한 후 전원 옵션을 고른다. 절전 모드에서 ‘없음’을 선택하면 된다. 2. 절전 모드 해제 시 비밀번호 안 쓰기 윈도우가 절전 모드에서 다시 깨어나 작동할 때 비밀번호를 요구하지 않도록 설정할 수 있다. 1번 방법에서 문제가 된 전력 낭비를 해결할 수 있다. 그러나 여전히 PC 보안은 불안하다. 윈도우 10에서는 시작 메뉴에서 오른 클릭으로 전원 옵션을 선택한 후, ‘전원 단추 정의 및 암호 보호 설정’을 선택한다. 다시 절전 모드 해제 시 암호 보호 사용 항목에서 ‘암호 보호를 사용하지 않음’을 체크한다. 3. 비밀번호를 쉽게 만든다 영문 대소문자와 숫자, 특수 문자가 뒤섞인 20자짜리 비밀번호를 매번 입력하는 것은 괴로운 일이다. 윈도우 8이나 10은 4자리 숫자인 PIN 번호를 사용해 로그인할 수 있는 기능이 있다. 물론 보안 면에서는 긴 비밀번호보다 취약하지만 아예 잠가두지 않는 것보다는 훨씬 낫다. editor@itworl...

비밀번호 절전모드 HOWTO 2016.07.05

글로벌 칼럼 | 해커에게 오래된 비밀번호의 가치란

해커들은 사용자가 매일 사용하는 새로운 서비스를 공격하는데, 수년 전 도난당한 오래된 비밀번호를 사용하기 시작했다. 다른 서비스를 해킹하기 위해 오래 전에 다른 서비스에서 훔친 비밀번호의 사용하는 것은 최근 떠오르는 추세 가운데 하나다. 최근 트위터, 링크드인, 마이스페이스 등에서 비밀번호를 훔친 이들은 16년 된 마이스페이스(MySpace) 계정에 게재된 것으로 공격을 시도한 것으로 알려져 화제가 됐다. 첫번째 당황스러운 것은 비밀번호를 유출한 채로 수년이 지나는 것은 그리 큰일도 아니라는 점이다. 5년 또는 10년 전, 서비스들은 사용자들의 인증 정보가 시장에 나오기 전에 해당 사용자에게 오래된 자신의 비밀번호를 긴 것으로 변경하도록 강제했다. 그것으로 서비스들은 자신을 보호해왔다. 예를 들어, 2012년에 발생했던 링크드인 비밀번호 절도에 대해 링크드인은 해킹당했다고 믿는 모든 계정들의 비밀번호를 의무적으로 초기화하는 등의 즉각적인 대응을 했다. 이런 대응은 충분했고 유출 피해를 막았다. 그러나 사실 우리는 이제 공격의 두번째 단계를 목도하고 있다. 이에 대해 동조하거나 하지않거나 관계없이 제대로 파악할 수 없다.  깃허브(GitHub)에 올라온 유출된 비밀번호를 보면, 지금까지 유출된 오래된 비밀번호의 부분집합들이 수천 개의 기업과 수백만의 개발자를 위한 아주 실체적이고, 그리 오래되지 않은, 그리고 매우 중요한 서비스에서 광범위하게 사용하고 있음을 알 수 있다. 6월 15일 깃허브 보안팀이 깃허브 닷컴 계정의 다수에 미승인 접속을 시도하려는 움직임이 포착해 이에 대한 경고를 표하는 보고서가 나왔다. "공격자들은 과거 해킹된 바 있는 다른 온라인 서비스에서 나온 이메일 주소와 비밀번호 목록으로 깃허브 계정 접속을 시도하고 있다"고 말했다. 한 서비스에서 오래된 비밀번호는 다른 서비스를 공격하는데 사용된다. 만약 사용자가 다수의 온라인 서비스에 접속하기 위해 자신의 기본 비밀번호를...

비밀번호 오래된 vintage 2016.06.20

'암호 관리 프로그램' 제대로 쓰기 5계명

거의 매주 데이터 유출 사건이 터지고 있다. 이들 사건은 단순하지만 불편한 진실, 즉 여전히 많은 사람이 쉬운 암호를 그것도 여러 사이트에서 동일하게 사용한다는 것을 잘 보여준다. 그렇다고 해서 수십 개의 복잡한 암호를 기억하는 것은 거의 불가능하다. 암호를 바꿀 때마다 수정한 암호 공책을 갖고 다닐 수도 없다. 그래서 등장한 것이 바로 '암호 관리 프로그램'이다. 사람들이 이 프로그램에 기대하는 핵심 기능이기도 하다. 1. 계정별로 다른 암호를 설정하라 암호 유출 사고는 '가능성'의 문제가 아니라 '시기'의 문제이다. 따라서 각 온라인 계정마다 다른 암호를 사용해 해킹의 피해를 줄여야 한다. 다른 암호를 사용하는 것 외에 해커가 예상할 수 없는 암호를 만드는 것도 중요하다. 바로 여기서 암호 관리 프로그램이 큰 역할을 할 수 있다. 이런 프로그램은 모바일 기기를 포함해 거의 모든 브라우저와 운영체제에서 아주 쉽게 사용할 수 있다. 2. 암호는 복잡하게 만들어라 암호 관리 프로그램 대부분은 복잡한 암호를 만드는 기능을 지원하는데, 이것은 매우 중요하다. 일반적으로 웹사이트는 사용자 비밀번호를 암호화한 형태로 저장한다. 이를 '해시(hashes)'라고 한다. 그러나 이 작업에 사용한 알고리즘에 따라 해시를 깨뜨리고 암호를 빼낼 수 있다. 이때 암호를 복잡하게 설정하면 해시에서 비밀번호를 추출하기 더 어려워진다. 대문자와 소문자, 숫자, 특수기호 등을 조합해 총 12자리 이상의 암호를 사용하는 것이 좋다. 개별 암호는 이렇게 관리한다고 해도 암호 관리 프로그램에 로그인하는 '마스터 암호'는 여전히 기억해야 한다. 가끔은 어떤 이유로 암호 관리 프로그램을 사용할 수 없을 때 이메일 같은 몇몇 주요 계정의 비밀번호가 필요할 때가 있다. 이런 때를 대비해 기억하기 쉬운 암호를 만들고자 한다면 숫자와 대문자를 조합하는 것이 좋다. 예를 들면 'DogsCatsRabb...

암호 비밀번호 라스트패스 2016.06.20

How-To : PIN과 비밀번호, 무엇이 다를까?

PIN 번호와 비밀번호의 목적이 동일하므로 차이점을 알 수 없다는 사용자들이 많다. 비밀번호처럼 개인 정보 번호인 PIN(Personal Information Number, PIN)도 본인 확인 수단으로 사용되며 타인의 데이터 접근을 막는다. 눈에 띄는 차이는 PIN은 0에서 9까지의 숫자로 한정되며, 일반적인 비밀번호는 숫자, 대소문자, 문장 부호를 포함할 수 있다는 것이다. 그러나 이외에도 각각의 효과가 있다. PIN은 입력하기 쉽다는 장점이 있다. 특히 터치 스크린에서 편리하다. 선택의 폭은 상대적으로 좁지만 작은 자판이 아니라 큼지막한 숫자 버튼 몇 개를 누르면 된다. 안드로이드 키패드 핀/비밀번호 비밀번호를 쓰는 이유는 무엇일까? 훨씬 더 안전하기 때문이다. PIN에서는 숫자만 사용하므로 10개의 옵션만 존재하지만 비밀번호는 스페이스 키까지 포함해 95개의 문자를 조합할 수 있다. 비밀번호 조합이 다양할수록 보안은 강화되기 마련이다. 이 단순한 차이가 얼마나 영향을 미칠까? 10개의 숫자를 사용하는 PIN 조합은 100억 개지만, 10개의 문자를 사용하는 비밀번호 조합은 5,900만조 개가 있다. 지구 상에 살아있는 사람들이 각각 80억 종류의 서로 다른 비밀번호를 사용할 수 있다는 뜻이다. 이런 점도 고려해 보자. 10개의 문자로 이루어진 비밀번호는 상대적으로 짧은 편이다. 그러나 10자리 숫자는 매우 길게 느껴진다. 대다수 사용자는 4자리나 6자리 PIN 번호를 사용한다. 이렇게 되면 가능한 조합은 1만~100만 개로 확 줄어든다. 이쯤 되면 왜 비밀번호가 아니라 PIN을 쓸까 궁금해지는데, 물론 이유가 있다. 비밀번호가 해킹 당하는 실제적인 위험은 인터넷에서 온다. 비밀번호는 온라인 계정을 더욱 강력하게 보호한다. PIN은 편의성을 높이므로 손 안에 있는 기기의 잠금 기능에 적합하다. 비밀번호와 PIN의 차이는 윈도우 10에서 잘 드러난다. 윈도우 계정은 클라우드 기반 마이크로소프트 계정을 사...

비밀번호 PIN HOWTO 2016.06.16

리크드소스, 트위터 사용자 3,200만 명 로그인 정보 유출 주장

리크드소스가 최근 3,200만 명의 트위터 로그인 개인정보 데이터베이스를 입수했다고 보도했다. Tessa88@expliot.im으로 알려진 익명 사용자로부터 입수한 데이터다. 동시에 리크드소스는 누구나 자신의 로그인 인증 정보를 검색할 수 있는 프리미엄 모델을 제시했지만, 유출된 정보를 전부 보기 위해서는 서비스 요금을 내야 한다. 24시간 요금은 비트코인과 페이팔 중 어떤 결제 수단을 선택하느냐에 따라 각각 2~4달러이며, 연간 이용료는 200달러가 넘는다. 로그인 개인 정보 데이터베이스를 보유하고 있다고 주장하는 곳은 많다. 그러나 리크드소스는 이 트위터 로그인 정보 데이터베이스가 “유효한 실제 정보”라고 판단했다. 15개의 사용자 계정에 문의한 결과 전부 비밀번호가 맞아떨어졌다는 것이다. 리크드 소스는 이 로그인 정보가 트위터에서 바로 유출됐는지 여부를 단언할 수는 없다고 말했다. 대신 일반 사용자들이 맬웨어에 감염되고, 이후 사용자 계정과 암호화되지 않은 비밀번호가 브라우저에서 유출됐을 가능성을 제시했다. 또 최초 맬웨어 타깃이 주로 러시아 사용자였다고 말했다. 자신의 로그인 정보가 유출됐는지를 알고 싶다면 리크드소스 홈페이지에서 확인해 볼 수 있다.  유출된 정보에는 이메일과 비밀번호가 포함돼 있다. 확인 과정을 위해서 리크드소스에 가입할 필요는 없다. 각각의 검색 결과에서 어떤 사이트의 로그인 정보가 유출됐는지가 나타나므로 해당되는 계정의 비밀번호를 재설정해야 한다. 안전한 브라우징은 필수 누구나 한 번쯤은 로그인 개인정보를 해킹당할 수 있다. 웹 사이트가 사용자의 로그인 데이터를 철저하게 감시하는지 아닌지에 사용자들이 관여할 수 없기 때문이다. 그럼에도 불구하고 위험을 낮출 수 있는 여러 가지 방법은 있다. 일반적으로 많이 알려진 온라인 보안 위협에 방어하기 위해서는 최신 브라우저를 사용해야만 한다. 1패스워드, 대쉬레인, 라스트패스 등 비밀번호 전문 관리 소프트웨어를 사용하는 것도 도움이...

해킹 유출 트위터 2016.06.10

텀블러 계정 6,500만 개 암시장서 거래... 비밀번호 초기화 필요

몇 주 전 텀블러 사용자들에게는 사용자 이메일 주소와 비밀번호가 유출됐다는 공지가 전달됐다. 텀블러는 정확한 피해 규모는 밝히지 않았는데, 최근 그 규모가 6,500만 개에 이른다는 보도가 나왔다. 현재 텀블러에서 유출된 데이터는 더리얼딜(TheRealDeal)이라는 토르의 암시장 웹사이트에서 사용자 ‘peace_of_mind’가 판매하고 있다. 이 사용자는 링크드인에서 훔친 1억 6,700만 개의 사용자 정보도 판매 한 바 있다. 최근 그는 마이스페이스에서 훔친 것으로 보이는 3억 6,000만 개의 계정과 성인용 데이트 사이트인 Fling.com의 계정 4,000만 개를 추가로 올렸다. 텀블러가 5월 12일 보낸 보안 안내문에 따르면, 거래되고 있는 데이터는 텀블러가 야후에 인수되기 전인 2013년 초에 도난당한 것으로 추정된다. 보안 연구원인 트로이 헌트는 해당 데이터의 사본을 입수해 웹사이트에 공개하고, 사용자들이 데이터 유출 사고에 관련이 있는지 스스로 알아볼 수 있도록 하고 있다. 헌트에 따르면, 이메일 주소와 비밀번호가 솔트(salted) 및 해시(hash) 처리되어 있다. 해싱(hashing)은 해시 함수를 이용해서 고유의 해시값을 생성하는 것으로, 이론적으로는 공격자가 해시값을 비밀번호로 복호화할 수 없어서 비밀번호 확인과 데이터베이스 저장에 유용하다. 하지만 MD5나 SHA1같은 일부 구형 해싱 알고리즘을 뚫을 수 있는 다양한 크랙 기법이 존재한다. 이것이 링크드인 데이터 유출에서 발생했던 문제인데, 링크드인의 비밀번호 해시는 바닐라 SHA1으로 생성되어, 연구원들이 전체의 80%를 크랙할 수 있었다. 다행히도 텀블러의 경우 이 해시들이 ‘솔트’ 처리되어 있다. 해시값을 생성하기 전에 비밀번호에 무작위 텍스트를 추가하는 방식이다. 이 방식을 이용하면 솔트 자체가 해킹당한 것이 아니라면 비밀번호 크랙이 더욱 어렵다. 그렇다 하더라도 사용자들은 완전히 안심할 수 없으며...

링크드인 마이스페이스 해킹 2016.06.01

링크드인, 전사용자에게 비밀번호 초기화 요청 메일 보냈다

1억 6,700만의 링크드인 계정 정보가 지하세계에서 판매되고 있다는 소식이 전해진 후, 링크드인 측은 데이터 유출 사실을 파악하고 전 사용자에게 비밀번호 변경을 요청하는 메일을 보냈다. 링크드인은 각 사용자에게 보내는 메일에서 "링크드인 계정에 잠재적인 위험이 발생했다"면서, "사용자들은 다음 로그인 때 안전을 위해 비밀번호를 초기화할 필요가 있다"고 전했다. 또한 비밀번호 초기화 방법을 자세히 설명해놓았다. 이는 비밀번호를 잃어버렸을 때 행하는 일반적인 프로세스다. 이번에 유출된 비밀번호가 비록 암호화가 되어 있지만, 이전 사례로 봐서 암호화가 해제되는 건 시간 문제다. 다른 웹사이트에서도 동일한 비밀번호를 사용하는 링크드인 사용자가 있다면 반드시 해당 웹사이트의 비밀번호도 변경해야 한다. 세계 최대 규모의 비즈니스 SNS 서비스인 링크드인은 전세계 4억 3,300만의 사용자를 보유하고 있으며, 국내 사용자 수는 약 110만이다. 한편 링크드인은 이번 유출 사고 경위에 대해서는 아직 파악하지 못한 상태다. 한 보안 전문가는 이번에 유출된 사용자 정보는 2012년 링크드인 고객 정보 유출 당시, 공개되지 않은 나머지 데이터로 추정하고 있다. editor@itworld.co.kr

링크드인 비밀번호 개인정보유출 2016.05.20

1억 6,700만 링크드인 사용자 정보, 지하 시장에서 "판매 중"

한 해커가 1억 6,700만 링크드인(LinkedIn) 사용자 계정 정보가 포함된 한 데이터베이스를 팔려고 한다. 더리얼딜(TheRealDeal)이라는 어느 한 다크 시장 웹사이트에 한 사용자가 1억 6,737만 940명의 사용자 ID와 이메일 주소, 비밀번호 해시를 포함한 데이터셋을 5비트코인, 약 262만 원에 판매하겠다고 게재했다. 이 판매 광고에 따르면, 이 데이터베이스는 링크드인의 전체 데이터베이스가 아니다. 링크드인의 등록 회원은 4억 3,300만이다. 자신이 유출 사고로부터 영향을 받았는지 확인할 수 있는 온라인 보안 감시 사이트인 HIBP(Have I been pwned) 창설자 트로이 헌트는 이 데이터는 적법하게 유출된 것으로 생각한다. 헌트는 이 데이터 셋에서 약 100만 개의 기록에 접속했다. 헌트는 이메일을 통해 "나는 이 데이터의 서브셋을 봤는데, 이는 합법적이었다"고 말했다. 2012년 데이터 유출 사고를 겪은 바 있는 링크드인은 당시 650만 사용자 기록과 비밀번호 해시가 온라인에 게재됐다. 이는 2012년 유출 사고가 생각보다 더 큰 규모였다는 걸 의미하며, 도난당한 데이터의 나머지가 이제 수면으로 올라왔을 가능성이 높다. 링크드인은 이런 의문에 대해 대응을 하지 않았다. 판매자와의 접촉은 실패로 돌아갔다. 하지만 데이터 유출 저장 웹사이트인 리크드소스(Leakedsource) 운영자는 그들이 데이터셋 복제품을 갖고 있다고 주장하면서 이 데이터가 2012년 링크드인 유출 사고로부터 나온 것이라고 믿는다. 2012년 6,500만 링크드인 비밀번호 해시가 유출됐을 때, 해커들은 이 가운데 60% 이상을 풀었다. 그래서 새롭게 노출된 1억 1,700만 비밀번호 해시 또한 안전을 담보할 수 없다. 나쁜 것은 많은 링크드인 사용자들이 2012년 유출 사고 이후 자신들의 비밀번호를 변경하지 않은 채 사용했을 가능성이 높다는 점이다. 헌트는 HIBP(Have I Be...

링크드인 사용자 계정 2016.05.19

최종 사용자의 5가지 나쁜 보안 습관과 해법

최종 사용자들은 종종 조직의 보안 전략에서 가장 약한 연결고리가 되곤 한다. 이런 사용자들의 보안 행동을 강력하게 만들어 줄 5가지 해법이 있다. Credit:Pixabay 내일로 일을 미루거나, 꼼지락거리거나, 손톱을 깨무는 행위 등은 모두 개인적인 나쁜 습관들이다. 그러나 회사를 마비시킬 수 있는 습관에는 아무도 나쁘다고 하지 않는다. 보안에 관한 한 일부 나쁜 개인 습관들은 해킹, 데이터 유출 또는 절취, 또는 유사한 형태의 보안 침해 등 엄청난 파괴력이 나타날 수 있다. 그나마 좋은 소식은 간단한 몇 단계를 통해 사용자들에게 보안 베스트 프랙티스를 교육해 문제에서 해법의 일부로 만들 수 있다는 것이다. 엔드포인트 보안 솔루션 업체 버클리(Barkly) 수석 콘텐츠 매니저 조나단 크로우는 조직의 보안을 향상시켜 줄 5개의 간단한 방법을 제공해 임직원들이 조금이나마 보안 지식을 가질 수 있도록 도와준다. 1. 모든 계정에 동일 비밀번호 사용 비밀번호 관리 업체 스플래시데이터(SplashData)는 매년 인터넷 사용자의 안전하지 않은 비밀번호들을 모아 최악 중 최악인 비밀번호 목록을 발행한다. 자신의 비밀번호가 123456이나 'password'와 같은 비밀번호를 사용하는 것은 여전히 일상적인 일이다. 이런 상황은 항상 공격자들을 초대한다. 그렇긴 하지만 사용자들이 각각의 계정마다 강력하고 독특한 비밀번호를 만들어 기억한다는 것은 비현실적이다. 해법: 비밀번호 관리자(password manager)를 사용하라. 비밀번호 관리자는 무작위의, 안전한 비밀번호를 생성해 주는 기능만 있는 것이 아니다. 암호화하고 기억하고 있어 사용자가 이를 갖고 있지 않아도 된다. 2. 처음 보는 링크와 첨부파일을 확인하지 않고 클릭하기 오늘날 공격자들의 메시지 기술은 사용자들에게 적법하게 보이도록 깜짝 놀랄 정도로 진화했다. 바이러스를 퍼트리거나 시스템 접속 권한을 획득하기 위해 소셜 엔지니어링 기술을 사용해 사용자들이...

패치 업데이트 비밀번호 2016.04.05

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.