Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

마스터카드, “셀카” 활용한 모바일 결제 보안 시스템 개발 중

마스터카드가 온라인으로 상품을 구입할 때 비밀번호 대신 셀카로 사용자 인증을 하는 새로운 앱을 개발 중이다. BBC의 보도에 따르면, 휴대폰, 태블릿, PC에서 모두 이용할 수 있는 이 앱은 올여름에 미국과 영국을 포함한 14개국에 출시될 예정이다. 마스터카드는 지난여름부터 이 앱을 테스트했다. 셀카 인증을 하기 위해서는 사진으로 시스템을 속이지 않기 위해서 그때그때 사진을 찍어야만 한다. 애플의 터치ID 같은 시스템을 통한 지문 인증도 가능하다. 마스터카드는 이 데이터를 저장하거나 범죄자들이 이용하지 못하는 방법으로 전송한다고 설명했다. 대부분 온라인 구매는 추가 인증을 요구하지 않으며, 단순히 신용카드 정보만 입력한다. 하지만 마스터카드는 때때로 비정상 거래로 인식될 경우 비밀번호를 요구할 수 있다. 이때 마스터카드 앱을 설치한 사용자들은 카메라 앞에서 포즈를 취하거나 지문 스캔을 요구하는 알림을 받게 된다. 이러한 아이디어는 마스터카드가 사기를 방지하면서 더 편리한 신원 인증 시스템을 만들기 위해 고안한 것이다. BBC가 지적한 것처럼 사기 때문에 발생하는 비용은 보통 높은 거래 수수료로 상인들에게 돌아가기 때문에, 더 좋은 시스템은 이런 수수료를 낮출 수 있는 방안이다. 한편, 생체 인식은 빠르게 모바일 기기의 표준으로 자리 잡고 있다. iOS와 안드로이드 모두 지문만으로 앱 내 결제가 가능하다. 마스터카드의 계획은 생체 인증이 내장되지 않은 웹사이트나 지문 인식 시스템이 탑재되지 않은 휴대폰에서도 이용할 수 있는 방안이다. 비록 셀카 기반의 인증이 아직 완전히 증명된 것은 아니지만, 최소한 신용카드 정보 도난을 방지하는 한 방안이 될 수 있을 것이다. editor@itworld.co.kr  

사진 비밀번호 사용자인증 2016.02.24

“왜 하필 테러 사건에?”…유난히 강경한 애플, 오랫동안 별러왔다

샌 버나디노 테러 사건의 결정적인 증거물인 아이폰 5c 데이터 액세스와 관련해 FBI에 협조하라는 판결이 있은 후 애플의 항소 시일은 단 사흘 남았다. 블룸버그 통신에 따르면, 애플은 2월 26일까지 답변을 제출해야 한다. 심사숙고하기에 충분한 시간은 아니지만, 사실 애플은 이 논쟁을 수 년간 준비해왔다. 아이폰 출시 후 애플은 기존에도 수 차례 아이폰 데이터 추출에 협조했다. 그러나 갈수록 스마트폰이 건강 기록, 금융 데이터, 사진, 영상, 이메일 등 사적인 기록의 저장소가 되어감에 따라 애플은 정부의 문지기 역할에 대해 입을 다물기 시작했다. 2014년 에드워드 스노든이 미국 정부의 감청, 감시 기록을 폭로한 후 애플은 비밀번호로 잠그는 데이터 암호화를 도입한 iOS8을 선보였다. iOS8에서는 사용자의 비밀번호를 모르면 기기에서 데이터를 추출할 방법이 없어 사실상 애플이 정부 수사 기관에 협조하는 것이 불가능해진 것이다. 애플은 비암호화된 아이클라우드 계정 등 가능한 수사 기관의 요청에는 계속 협력해 왔지만, 지난해 가을 가능한 경우에도 하드웨어 해킹에 협조하지 않겠다고 밝혔다. 미국 FBI는 비밀번호로 잠긴 아이폰 해킹에 애플이 협조하기를 요청했다. 애플은 현재 법원에서 IOS 7 기반인, 즉 데이터가 암호화되지 않은 아이폰 잠금 해제에 협조하라는 브룩클린 사건을 다투고 있으며, 아직 판결이 내려지지 않은 상태다. 그러나 샌 버나디노 총격 테러 사건의 핵심인 아이폰 5c는 상황이 다르다. FBI는 잘못된 비밀번호를 10번 이상 입력해도 아이폰 데이터가 자동으로 지워지지 않고, 다시 비밀번호를 입력할 때까지 지연 시간도 필요하지 않은 iOS를 개발하라고 요청하고 있다. 이 경우 FBI가 무작위 비밀번호를 입력하고 테러 용의자 사에드 리즈완 파룩의 아이폰 데이터에 접근할 수 있기 때문이다. 애플 사건을 지켜보며 우려하는 많은 사용자들은 왜 애플이 하필 이번 사건에 사용자 프라이버시를 들고 나왔는지 의아해 하고 있다. 사실 대다수 ...

프라이버시 비밀번호 FBI 2016.02.23

백악관 “백도어 요구 아니다” vs. IT 업계 “말장난일 뿐”

FBI와 애플 간 백도어 판결에 관련해 미국 백악관도 의견을 냈다. 백악관은 “정부의 목적은 애플 아이폰의 보안을 위협하는 것이 아니”라며, “단지 12월 2일 샌 버나디노 테러 사건 용의자의 아이폰이 관련된 사건 하나에만 협조를 구하는 것”이라는 설명을 덧붙였다. 구글, 모질라 등 다른 IT 업체와 시민 단체는 모두 애플의 입장을 지지한다는 견해를 밝혔다. 지난 화요일 캘리포니아 법원이 내린 명령은 애플 CEO 팀 쿡의 즉각적인 반발을 불러일으켰다. 쿡은 정부가 애플에 아이폰 백도어 제공을 명령한다고 주장하는 성명을 발표했다. 미국 캘리포니아 중앙 법원의 쉐리 핌 치안 판사는 필요할 경우 서명된 소프트웨어 제공을 포함해 FBI가 IOS 9가 설치된 아이폰 5C의 잠금을 푸는 데 협조해야 한다고 판결했다. 10번 이상 잘못된 비밀번호를 입력할 경우 데이터가 삭제되는 자동 삭제 기능을 우회하는 기술을 제공해야 한다는 의미다. 백악관 대변인 조쉬 어니스트는 수요일 언론 브리핑에서 미국 법무부는 “애플에 새로운 백도어를 만들거나 제품 설계를 다시 하라고 요구하는 것이 아니”라고 설명했다. 개별 테러 사건의 증거물을 위해 “단지 영향을 미칠 수 있는 일회성 수단을 마련하라고 요청할 뿐”이라는 것이다. 어니스트 대변인은 법무부가 이번 사건에서 애플의 협조가 중요하다고 결론을 낸 이유를 언급하며, 동시에 법무부와 FBI가 샌 버나디노 테러 사건 수사에 있어 최대한 백악관의 전적인 협조를 바라고 있다고도 덧붙였다. 아이폰 한 대가 관련된 일회성 협조 요청이므로 애플이 이에 수긍해야 하며, 치명적인 테러범죄에 관련된 기기에도 역시 협조해야 한다는 주장은 테러와의 전쟁이라는 맥락에서 일부의 지지를 얻고 있다. 어디까지 영향을 미칠까 그러나 애플 CEO 팀 쿡은 수사기관의 협조 요구가 점차 증가할 것이라는 전조라고 주장한다. 애플은 이미 뉴욕 법원에서 각성제를...

백도어 비밀번호 법무부 2016.02.19

트위터, 비밀번호 복구 버그로 1만명 사용자 개인 정보 노출

트위터가 사용자 1만 명에게 이메일 주소와 휴대폰 전화번호가 외부에 노출됐을 가능성이 있다고 알렸다. 이유는 트위터 웹 사이트 비밀번호 복구 기능에 있던 버그다. 사용자 정보 유출은 지난 주 하루 중 24시간 동안 일어났으나 트위터는 수요일에야 사용자들에게 이 사실을 알렸다. 트위터는 블로그를 통해 “버그를 부당하게 이용해 다른 계정에 접근한 사용자는 영구적으로 계정이 정지될 것이며, 수사 기관의 철저한 조사 및 고발 절차를 위해 적절한 협조를 구할 예정”이라고 밝혔다. 웹 사이트 기능이 부당하게 악용돼 이메일 주소나 휴대폰 번호 등 다른 사용자의 식별 정보를 노출하는 것은 드문 사례에 속한다. 지난 2012년 페이스북은 모바일 웹 사이트에서 전화번호 검색 횟수를 제한했다. 해커들이 보안 상의 헛점을 이용해 전화번호를 연속해서 검색하고 기존 사용자 정보와 대조할 위험이 있었기 때문이다. 개인 정보 유출은 일반 사용자에게는 추적이 어려울 수 있다. 예를 들어, 최근 온라인 데이트 웹사이트 어덜트 프렌드 파인더나 애슐리 메디슨에서의 데이터 유출은 당연스럽게도 배우자, 파트너, 친구 등이 데이트 사이트에 가입한 것을 몰랐던 많은 사람들의 분노를 샀다. 그러나 대다수 사용자가 심지어 이메일 주소가 웹 사이트의 비밀번호 복구 시스템에 등록됐는지 누구라도 알아볼 수 있었다는 사실을 알지 못했다. 사용자의 가입 정보 보호에 있어서 웹 사이트만 의지해서는 안 된다. 등록 정보 유출 자체는 매우 흔한 사례이기 때문이다. 보안적 관점에서 보자면 프라이버시에 높은 가치를 두는 사용자들은 하이재킹 등으로부터 계정을 보호하는 다양한 도구를 사용해야 한다. 예를 들어 2단계 인증을 활성화하는 방식이 있다. 트위터는 ‘로그인 인증’ 기능을 제공한다. 사용자가 휴대폰에 전송된 1회용 코드를 입력하는 방식이다. 여기에 더해 비밀번호 변경 시에 사용자의 이메일 주소나 전화번호 등 추가 정보를 요구하는 옵션도 있다. 이들 옵...

개인정보 유출 이메일 2016.02.19

미 법원 “아이폰 잠금 풀어라”…팀 쿡, 즉각 반발

미국 연방 법원이 지난해 12월 2일 미국 캘리포니아 주 샌 버나디노에서 14명의 희생자를 낸 테러 사건 용의자 사에드 파룩의 아이폰 5c를 수사하고 있는 FBI에 애플이 협조해야 한다는 판결을 내렸다. 애플 CEO 팀 쿡은 즉각 연방 재판소 판결에 반발했다. 쿡은 미국 정부가 애플에 “애플 사용자의 보안을 위협하는 전례 없는 조치를 취하라고 요구했다”며, 수요일 애플 웹 사이트에 공개 서한을 발표했다. 또, 공개적인 논의가 필요하다며 사용자, 고객, 국가가 “정말 위험에 처한 것이 무엇인지 이해해야 한다”는 입장을 밝혔다. 최근 IT 업계의 제품 및 서비스에 대한 암호화 사용이 부쩍 늘었다. 암호화 때문에 테러리스트 추적이 어려워졌다는 발언을 한 FBI 국장 제임스 코미를 포함, 미국 정부 관료들은 IT 제품의 암호화를 비판해왔다. 반대로 IT 업계는 암호화가 개인의 프라이버시를 보호한다는 입장을 견지하며 의무적 백도어 제공에 반대했다. 미국 당국은 재판부에 수사관들이 아이폰 비밀번호를 10번  이상 잘못 입력한 후에 활성화되는 아이폰의 자동 삭제 기능이 수사에 방해가 된다고 진술했다. 미국 캘리포니아 주 중앙 법원의 쉐리 핌 치안 판사는 화요일, 애플에 기술적 도움을 제공하라고 명령했다. 여기에는 요청을 받을 경우 서명된 소프트웨어를 제공해 기기에서의 활성화 여부와 상관 없이 자동 삭제 기능을 우회하거나 무시할 수 있게 지원하는 것도 포함된다. 이 경우 FBI 수사관들이 비밀번호 잠금을 풀고 데이터에 접근하기 위해 여러 가지 다양한 조합 방식을 시도할 수 있게 된다. 핌 판사는 판결문에서 “애플의 합리적 기술 지원은 다음 사항을 포함하나 이에 한정되지 않는다. 서명된 아이폰 소프트웨어 파일, 복구 번들 파일이나 해당 기기에 로딩될 수 있는 그 외 소프트웨어 이미지 파일(SIF)을 FBI에 제공할 것. SIF 파일은 RAM에서 구동 및 로드되며, 실제 휴대폰, 사용자 데이터 ...

프라이버시 백도어 비밀번호 2016.02.18

애플, 암호화 백도어 제공할까?…”유사 요청 늘어날 경우 부담돼”

미국 법원이 수사기관에 범죄 사건 용의자의 소유인 아이폰 5s의 비밀번호 해제를 강제할 수 있는가 하는 문제가 여전히 난항이다. 애플이 뉴욕 법원의 빠른 결단을 요구하고 나섰다. 미국 법무부는 일명 ‘모든 영장 법’이라는 법률을 언급하며 정부가 보관하고 있는 아이폰 보안 시스템 우회에 대한 애플의 협조를 요청했다. 이에 대해 애플 측 변호사는 미국 뉴욕 동부 지법의 관할 판사에게 보낸 서한에서 애플이 예전에도 유사한 요청을 받은 적이 있다고 밝혔다. 또, “정부가 정부 소유의 애플 기기 보안 해제에 협조 요청 하기 위해 ‘모든 영장 법’을 적용할 의향이 있다는 조언을 받았다”고 덧붙였다. 미국 정부는 관할 법원에 지난해 10월 각성제 소지 및 배포로 기소된 용의자 준 펭이 유죄를 인정했다고 전했다. 그러나 구형이나 판결 전이므로 정부가 피고인의 아이폰 5s에서 증거를 찾기 위해 계속 수사를 진행하고 있으며, 아이폰 5s의 비밀번호 해제에 대한 협조 명령이 내려진 것은 아니라고 언급했다. 애플의 서한에서는 심리에서 법원이나 당사자가 아닌 애플 등의 제 3자가 수사 과정에 협조해 스마트폰의 보안 메커니즘 해제를 요구받을 수 있는가의 문제가 충분히 논의됐다고 밝히고 있다. 즉, 애플은 “법원은 이미 결정을 내릴 준비가 되어 있다고 본다”는 입장이다. 제임스 오렌슈타인 담당 판사는 약 3개월 간 최종 결정을 보류하고 있다. 이 사건의 판결이 차후 관련 사건에 미칠 파장을 고려하고 있는 것으로 보인다. 현재 미국의 일부 법률 전문가나 사법 당국 관계자들은 애플이 결국 수사 기관이 스마트폰의 암호화된 데이터에 접근할 수 있도록 백도어를 제공하게 될 것이라고 의견을 선회하고 있다. 미국 캘리포니아 주에서는 스마트폰 제조 업체와 운영 체제 공급 업체의 당국에 암호화 해제 지원을 목적으로 하는 법안이 제정됐고, 뉴욕 주 상원 의회는 암호화된 스마트폰 판매를 금지하는...

암호화 백도어 비밀번호 2016.02.16

IDG 블로그 | 허술한 비밀번호를 바꿔 디지털 인생을 지켜내는 몇 가지 방법

지금 사용하는 비밀번호를 다른 사람에게 말할 수 있는가? 아마도 그럴 사람은 없을 것이다. 그러나 다른 사람의 비밀번호를 추측할 수 있는 확률은 상당히 높다. 스플래시데이터가 발표한 2015년 최악의 비밀번호는 여전히 ‘123456’과 ‘password’였다. 사이버 범죄자들이 비밀번호를 해킹하는 것이 얼마나 쉬운지 일반 사용자들이 안다면 아마 깜짝 놀랄 것이다. 물론 모두가 너무나 간절하게 안전한 대안을 원하고 있다. 그러나 지금으로서는 일반 사용자들이 택할 수 있는 옵션은 두 가지뿐이다. 보안에 취약한 비밀번호를 모두 조금이라도 어렵게 만드는 것, 그리고 온라인에서 시작되고 있는 대안 비밀번호에 관심을 가져보는 것이다. 단어가 아니라 문장으로 만들자 조금 더 안전한 비밀번호를 위한 제 1원칙은 단순한 단어나 숫자 나열을 피하는 것이다. CIO 출신 보안 전문가 에드워드 스노든도 지난해 존 올리버와의 인터뷰에서 이 점을 지적했다. 이를 위해서는 단어가 아닌 문장으로 비밀번호를 만들어야 하고, 사전에서 흔히 찾을 수 있는 쉽고 간단한 단어는 피해야 한다. 예를 들어 올리버의 비밀번호인 “admiralalongzogostpenis420YOLO”는 우스꽝스럽기 그지없지만, 이 문장을 생각해 낸 당사자는 좀처럼 비밀번호를 잊지 않는다. 또 “admiral1”같은 단순한 단어보다 훨씬 알아내기 어렵다. 물론 사용자는 위의 두 가지 예는 참고만 하고 자기만의 독특한 비밀번호를 생각해야 할 것이다. 또한, 비밀번호는 8자 이상으로 만들되 스스로에 대한 정보를 되도록 드러내지 말아야 한다. 어머니의 결혼 전 성 등 알려고 하면 누구나 알 수 있는 정보는 더 이상 적절하지 않다. 대다수 사용자들이 똑같은 비밀번호를 계속 재활용하는 실수를 저지르고 있다. 그 어느 때보다도 많은 웹 사이트와 소셜 미디어가 등장하고 있는 지금, 어느 정도 현실에 안주해버리기가 쉽다....

프라이버시 비밀번호 생체인증 2016.02.05

2015년 최악의 비밀번호 “여전히 123456”

매년 반복되는 웹사이트 해킹의 장점도 있다. 보안 연구원들이 사용자명과 비밀번호를 입수해 우리에게 최악의 비밀번호가 무엇인지 알려줄 수 있다는 점이다. 비밀번호 관리 업체인 스플레시데이터(SplashData)는 2015년 최악의 비밀번호를 발표했다. 2015년에 유출된 200만 개 이상의 비밀번호를 분석한 이번 보고서에서는 사용자들이 점차 긴 비밀번호를 사용하고는 있으나(좋은 점), 무작위가 아닌 간단한(나쁜 점) 비밀번호를 사용하는 것으로 나타났다. 대표적인 예가 ‘1234567890’과 qwertyuiop’다. 하나는 그저 숫자이고, 다른 하나는 QWERTY 키보드의 최상단 키를 나열한 것일뿐이다. 더 흔한 비밀번호는 기본적인 숫자 조합이나 스포츠를 활용한 것이다. 또한 ‘스타워즈: 깨어난 포스’가 큰 인기를 끌었는데, 많은 사람들이 이와 관련된 비밀번호인 ‘starwars’ ‘solo’ ‘princess’ 등을 사용했다. 다음은 스프레시데이터가 공개한 최악의 비밀번호 25선이며, 2014년의 순위와 비교해봤다. 1. 123456(변화없음) 2. password(변화없음) 3. 12345678(1단계 상승) 4. qwerty(1단계 상승) 5. 12345(2단계 하락) 6. 123456789(변화없음) 7. football(3단계 상승) 8. 1234(1단계하락) 9. 1234567(2단계 상승) 10. baseball(2단계 하락) 11. welcome(신규) 12. 1234567890(신규) 13. abc123(1단계 상승) 14. 111111(1단계 상승) 15. 1qaz2wsx(신규) 16. dragon(7단계 하락) 17. master(2단계 상승) 18. monkey(6단계 하락) 19. letmein(6단계 하락) 20. login(신규) 21. princess(신규) ...

비밀번호 123456 2016.01.20

트렌드 마이크로 AV 프로그램에 보안 구멍 “비밀번호 탈취 가능”

한 보안 전문가가 공격으로부터 컴퓨터를 보호하도록 설계된 안티바이러스 프로그램이 때로는 해커들에게 ‘문’이 되기도 한다는 점을 발견해 주목받고 있다. 구글의 정보 보안 엔지니어 타비스 오만디는 트렌드 마이크로(Trend Micro)의 안티바이러스 제품에서 어느 웹사이트에서나 원격으로 코드를 실행하고 사용자의 비밀번호를 탈취할 수 있는 버그를 발견했다고 전했다. 트렌드 마이크로는 이 사실을 시인하면서 자동 업데이트로 이 문제를 수정했다고 말했다. 트렌드 마이크로의 글로벌 위협 커뮤니케이션 관리자인 크리스토퍼 버드는 “우리의 표준 취약성 대응 프로세스의 일환으로 그와 함께 취약점을 발견하고 해결했다”라면서, “고객들은 자동 업데이트를 통해 보호를 받게 될 것”이라고 설명했다. 오만디는 트렌드 마이크로와 공식적으로 주고받은 이메일을 공개하면서, 트렌드 마이크로의 늑장 대응에 답답함을 표했다. 그는 “사용자와의 상호작용 없이 멋대로 코드를 실행할 수 있을뿐만 아니라, 인터넷 상의 누구나 아무도 모르게 사용자의 비밀번호를 훔칠 수 있다는 의미”라면서, “내가 크게 놀란만큼 모든 사람들이 이 문제의 심각성을 알길 바란다”고 전했다. 트렌드 마이크로의 안티바이러스 제품에는 비밀번호 관리자가 포함되어 있으며, 사용자들은 이를 통해서 비밀번호를 선택해 불러올 수 있다. 이 관리자는 자바스크립트로 작성되어 있으며, API 요청을 처리하도록 여러 개의 HTTP RPC(remote procedure call) 포트에 열려 있다. 오만디는 30초 만에 원격 코드를 받아들이는 하나를 찾을 수 있었다고 전했다. 또한, 이 관리자에 저장되어 있는 비밀번호에 접근할 수 있는 API도 찾았다. 전체적으로 오만디는 인터넷에 노출된 70개의 API를 찾았다. 그는 트렌드 마이크로가 코드 감사를 위한 외부 컨설턴트를 고용해야 한다고 주장했다. 안티바...

안티바이러스 비밀번호 트렌드마이크로 2016.01.13

윈도우 10 비밀번호 문제 해결책 3가지

마이크로소프트는 사용자들이 마이크로소프트 온라인 계정을 활용하길 원한다. 편리성과 프라이버시의 균형을 어떻게 생각하는지, 그리고 마이크로소프트를 얼마나 신뢰하는지에 따라 이것이 좋을 수도, 싫을 수도 있다. 하지만 편리성을 더 중요하게 생각한다 하더라도, 윈도우 로그온 비밀번호보다 기억하거나 타이핑하기가 더 어려운 마이크로소프트 계정 비밀번호를 이용하고 싶진 않을 것이다. 3가지 해결방안이 있다. 마이크로소프트 계정 비밀번호 변경 마이크로소프트 계정 비밀번호가 PC를 부팅할 때마다 입력하기엔 너무 복잡하다면, 이것을 변경할 수 있다. 하지만 너무 단순해서도 안 된다. 온라인 비밀번호는 로컬 비밀번호보다 훨씬 해킹에 취약하므로, 충분히 길면서도 복잡하고, 추측할 수 없지만, 기억하거나 입력하기 쉬운 비밀번호를 만들어야 한다. 이런 비밀번호를 생각해뒀다면, www.microsoft.com으로 가서 로그인 하고, 아바타를 클릭한 다음 ‘계정 보기’를 누른다. 계정 페이지에서 왼쪽에 있는 ‘비밀번호 변경’을 클릭하고, 안내에 따라 비밀번호를 바꾼다. PIN 사용하기 윈도우 10에 마이크로소프트 계정의 비밀번호를 사용하지 않는 방법도 있다. 대신 PIN을 이용하면 된다. 숫자만으로 구성된 PIN이 영어 대문자 소문자, 기호 등이 합쳐져 있는 비밀번호만큼 안전할 수 있을까? 로컬에서만 유지하면 된다. PIN이 인터넷으로 돌아다니지 않는 한 해킹될 염려는 적다. 보안을 위한 또 다른 장치도 있는데, 윈도우 10의 PIN은 최대 10자리까지 숫자를 설정할 수 있다. 긴 숫자일 수록 안전할 것이다. PIN을 이용하기 위해서는 시작 메뉴 상단의 아바타를 클릭하고 ‘계정 설정 변경’을 선택한다. 왼쪽 패널에서 ‘로그인 옵션’을 클릭한 다음, ‘PIN’ 항목에서 ‘추가’를 클릭하고 안내...

계정 비밀번호 마이크로소프트 2016.01.05

2016년 정보보안 전문가들의 소원 목록

정보 보안은 가장 빠르게 성장하고 IT 영역에서 가장 역동적인 분야 가운데 하나다. 이 분야는 지능적 공격이 빠르게 증가하면서 정보보안 전문가들을 새로운 도전에 임하게 만드는 점이 흥미롭다. 2016년이 다가오면서 여러 보안 전문가들에게 자신의 정보보안 부문 소원이 무엇인지 물어보았다. 새해를 맞이해 전문가들은 '세계 평화'에 상응하는 사이버 안전을 희망했지만, 어떤 이들은 자신만을 위한 디지털 레드 라이더 공기총을 바라기도 했다. editor@itworld.co.kr

암호화 정보보안 비밀번호 2015.12.22

“기억하기 쉽지만 남들은 모를” 안전한 비밀번호를 만드는 6가지 방법

우리 모두는 기존의 사용자 이름 + 비밀번호 시스템이 문제가 있다는 사실을 알고 있다. 러시아 해커들이 10억 개 이상의 비밀번호를 보유하고 있는 것으로 알려져 있으며 새로운 해킹에 관한 소식이 정기적으로 전해지고 있는 상황에서 해커들이 아직 여러분의 비밀번호를 갖고 있지는 않더라도 언젠가는 그렇게 될 것이라 예상할 수 있다. 네트워크 보안 기업 플로우트랙(FlowTraq)의 CEO 빈센트 버크는 "대부분의 웹 사이트와 기업들은 최소 8자리에 대소문자, 숫자, 하나 이상의 특수 문자가 포함되어 있는 비밀번호를 요구한다”고 지적했다. HP ESP(Enterprise Security Products)의 CTO 제이콥 웨스트는 이런 종류의 비밀번호 정책은 실제로 전반적인 보안을 감소시켰다고 보고있다. 그는 "우리는 비밀번호 정책을 분별할 수 있어야 한다. 인간은 절대로 이런 요건을 충족시킬 수 없다"라고 말했다. 사람들은 이런 비밀번호를 기억하지 못하기 때문에 같은 비밀번호를 반복적으로 사용한다. 사실 RSA와 PI(Ponemon Institute)가 11월에 진행한 연구에 따르면 소비자의 69%가 여러 사이트에서 비밀번호를 반복적으로 사용하고 있으며, 그 중 약 50%는 이미 데이터 해킹 피해를 입은 경험이 있었던 것으로 나타났다. 지갑도 분실 또는 도난 위험이 있기 때문에 비밀번호 목록을 지갑에 보관하는 것도 좋지 못하다. 도둑이 비밀번호 목록을 확인하여 사용하는지 여부에 상관 없이 모든 비밀번호를 잊어버리고 모든 사이트의 접속을 수동으로 리셋해야 할 것이다. 그리고 자신이 더 이상 사용하지 않는 이메일 주소에 연결되어 있는 사이트가 없기를 간절히 기도할 것이다. 또한 해당 목록에 업무 관련 비밀번호가 많다면 이런 비밀번호를 종이에 기록해 두었다가 잃어버린 것과 관련하여 고용주와 문제가 발생할 수도 있다. 보안 벤더 아이덴티브(Identiv)의 CEO 제이슨 하트는 "사실 비밀번호는 유효기...

패스워드 비밀번호 2015.11.13

IDG 블로그 | 비밀번호 없는 로그인, 개인이 곧 스마트폰인 시대

지난 주 야후는 혁신적인 개념을 로그인에 도입했다. 비밀번호 없이 야후 이메일 계정에 접속할 수 있는 시스템이다. 도대체 비밀번호란 뭘까? 곰곰이 생각해 보면, 비밀번호란 개인을 인증하는 수단이다. 자기 자신만 알고 있는 한 묶음의 지식을 무작위로 생성하는 것이다. 나중에 정말 자기 자신이라는 것을 입증하기 위해서는 그 지식에 완전히 통달해있다는 것을 증명해야 한다. 오직 본인만이 특정한 질문에 대한 답이 “핫도그658”인 이유를 알고 있다. 그러므로 인증을 통과해 접속할 수 있는 사람은 본인 한 명뿐인 것이다. 비밀번호는 최소한 타인이 훔치거나 추측해서 알아맞추기 전까지는 훌륭한 인증 방식이다. 어카운트 키라는 이름의 야후 메일 접속 시스템은 이렇게 작동한다. 어카운트 키 모바일 앱을 설치하고, 사용자 명과 비밀번호를 입력해 로그인한다. 프로필 아이콘을 두드린 후 설정에서 어카운트키를 선택하고 활성화 한다. 바로 여기서 비밀번호 인증이 핸드폰 기기 인증으로 변한다. 이제 비밀번호 없이도 휴대폰에서 야후 메일에 접속할 수 있다. 야후에 따르면, 어떤 다른 기기나 데스크톱 컴퓨터에서 야후 메일을 확인하려고 할 때마다 정말 사용자 본인이 맞는지를 확인하는 알림이 스마트폰으로 발송된다. 이는 곧 야후가 생각하기로는, ‘사용자 본인’은 더 이상 자신에 대한 온갖 관련 정보를 파악하고 있는 사람이 아닌 것이다. ‘본인’이라고 할 수 있는 사람은 자신의 스마트폰에 물리적으로 접촉 가능한 사람뿐이다. 즉 사용자 본인의 확인 수단으로 스마트폰을 쓸 뿐 아니라, 사용자 자체가 스마트폰으로 인식되기 시작한 것이다. 인증된 개인이란 곧 인증된 스마트폰에 접속할 수 있는 사람인 것이다. 새로운 정체성의 세계에 온 것을 환영한다. 비밀번호, 사인, 집 주소 등을 중요하게 생각하지 않는 기업이 점점 더 늘어나고 있다. 인증된 스마트폰을 가지고 있는 사람이 본인인 것이다. 주소없이 배달...

지문인식 패스워드 인증 2015.10.29

업데이트 : 윈도우 관리자 비밀번호를 잊어버렸을 때 해결방법

관리자 비밀번호를 잊어버린 상황에서도 윈도우에 로그인하는 방법이 있다. 윈도우 PC에 등록한 다른 관리자 계정이 없어도 말이다. 보안 측면에서 봤을 때는 그리 추천하고 싶은 방법은 아니다. 그러나 사용자도 모르는 상태에서 해당 컴퓨터가 악용되고 있다는 로그가 남지 않는다는 점에서 합법적이라고 볼 수 있다. 비밀번호를 바꾸는 것 뿐이지, 이를 노출하는 속임수가 아니기 때문이다. 또한, 암호화된 데이터에 액세스하는 것도 아니다. 그래서 중요한 파일은 사전에 암호화를 할 필요가 있다. 윈도우 7과 윈도우 10 사용자를 위해 윈도우 관리자 비밀번호를 재설정하는 방법을 설명하고자 한다. 윈도우 8 사용자라면 윈도우 10 가이드를 참고하는 것이 좋다. 윈도우 7 윈도우 7 시스템 복구 디스크가 필요하다. 윈도우 7 을 설치한 다른 사람 컴퓨터(64bit가 아니라 32bit)에서 시스템 복구 디스크를 만들면 된다. 시스템 복구 디스크를 만드는 방법은 블로그에서 손쉽게 찾을 수 있다. 비밀번호를 바꾸기 위해서는 시스템 복구 디스크에서 부팅해야 한다. 프롬프트 창이 뜨면 아무 키나 누른다. 시스템 복구 옵션 화면이 뜬다. 운영체제 위치를 확인하고 메모에 표시해둔다. C 드라이브 또는 D로 표시될 것이다. ‘다음’ 버튼을 클릭한다. 다음 화면에서 명령 프롬프트(Command Prompt)를 선택한다. 다음 명령어를 입력한다. 명령어 줄마다 엔터를 입력해야 한다. x에는 아까 메모한 드라이브를 입력한다. x: cd windows\system32 ren utilman.exe utilhold.exe copy cmd.exe utilman.exe exit 이제 이 디스크를 제거하고 리부팅한다. 로그인 화면에서 왼쪽 하단에 있는 버튼을 눌러 명령 프롬프트를 재실행한다. 명령 프롬프트에서 "net user 사용자_이름 비밀번호”를 입력한다. 비밀번호를 교체해야 하는 사용자 이...

윈도우7 비밀번호 HOWTO 2015.10.19

야후 메일, “비밀번호 없는 로그인”…푸시 알림으로 인증 방식 변경

지난 3월 문자 메시지에 기반한 2단계 인증을 비밀 번호 시스템에 도입한 야후가 이제 패스워드 없이 야후 메일에 로그인하는 야후 어카운트 키(Yahoo Account Key)를 공개했다. 어카운트 키는 향후 다른 야후 서비스로도 확대될 예정이다. 어카운트 키는 2단계 인증만큼 효율적으로 작동해 사용자가 스마트폰이나 태블릿으로 접근해 로긴할 경우를 인증할 수 있다. 차이가 있다면 어카운트 키는 2단계 인증같이 사용자가 비밀 번호를 입력한 후에 따라나오는 부차적인 백업 수단이 아니라는 점이다. 어카운트 키는 계정에 로그인하는 1차 우선 수단으로 사용된다. 비밀번호를 없앤 야후의 접근 방식은 인증 전문 앱이나 문자 메시지에서 전송된 4자리 숫자를 입력하는 것에 의존하지 않는다. 그 대신 사용자가 야후 메일에 접근하려고 시도하면 비밀번호를 입력할 필요 없이 알림이 바로 모바일 기기에 전송된다. 인증 과정을 거치기 위해서는 사용자를 확인하는 질문에 예스나 노를 선택하면 된다. 마치 트위터가 채택한 2단계 인증 방식과 유사하지만, 야후에서는 보조적인 수단이 아니라 1차 확인 수단으로 사용된다는 점이 다르다. 어카운트 키는 새롭게 공개된 야후 메일 모바일 앱에 탑재된 기능으로 이외에도 발신자 별 메일 검색, 검색 단어 제안, 이메일 입력 인터페이스 개선 등의 변화가 있다. 또한, 야후 메일은 아웃룩과 AOL 이메일 지원을 시작해 이들 주소로 야후 메일에 로그인할 수 있다. 복수 계정 지원은 출시일을 기준으로 미국 사용자에 한해 데스크톱 앱에서만 가능하다. 야후 메일 앱은 IOS 앱스토어에 등록돼 전세계적으로 배포되고 있으며, 안드로이드 버전도 수 주 안에 출시될 예정이다. editor@itworld.co.kr  

로그인 비밀번호 사용자인증 2015.10.16

로그미인, 비밀번호 관리 솔루션 ‘라스트패스’ 인수

신원 및 엑세스 관리 전문 업체인 로그미인(LogMeIn)이 비밀번호 관리 솔루션 라스트패스(LastPass) 개발 업체 마바솔(Marvasol)을 인수한다. 인수가는 미화로 1억 1,000만 달러~1억 2,500만 달러 사이로 예상된다. 로그미인은 엔터프라이즈 시장에서 탄탄한 기반을 갖고 있는 반면, 마바솔은 비밀번호 스토리지 도구인 라스트패스와 비밀번호 공유 빛 그룹 엑세스 기능으로 입지를 강화하고 있다. 라스트패스는 각 서비스의 비밀번호를 암호화 버전으로 클라우드에 저장해서 안전한 브라우저 플러그인 및 웹 인터페이스를 통해 거의 모든 인터넷 연결 디바이스에서 하나의 비밀번호로 서비스에 접근할 수 있게끔 해주는 도구다. 인터넷 익스플로러, 크롬, 파이어폭스, 사파리의 플러그인뿐만 아니라 안드로이드와 iOS에 앱도 제공하고 있다. 라스트패스나 대시래인(Dashlane)같은 온라인 비밀번호 스토리지 서비스는 1패스워드(1Password)나 키패스(KeePass), 패스워드 세이프(Password Safe) 같은 단독 앱들과 경쟁한다. 로그미인은 더 일반 소비자 지향적인 라스트 패스의 소비자와 도구들이 BYOD 및 BYOA(bring-your-own-app)에 중요한 요소로 보고 있다. 로그미인은 지난 해 인수한 멜디움(Meldium)의 신원 관리 도구를 라스트패스에 추가할 예정이다. 멜디움은 박스(Box), 기트허브(Github), 구글 앱스(Google Apps) 등 협업 도구를 위한 팀용 비밀번호 관리 도구로, 향후 라스트패스 브랜드로 합쳐질 전망이다. editor@itworld.co.kr

암호 비밀번호 로그미인 2015.10.12

안드로이드 홈 화면에서 잠겨진 비밀번호를 우회하는 새로운 해킹 방법

지금까지 PIN이나 패턴 인식으로 자신을 보호할 수 있다. 하지만 이를 위해 모든 제조업체들이 매월 업데이트를 할 필요가 있다. 자신의 기기가 현재 심각한 보안 문제를 갖고 있다고 생각하는 이는 아무도 없을 것이다. 하지만 이번 해킹은 그것을 할 수 있다. 아스 테크니카(Ars Technica)의 의해 공개된 이 동영상은 누군가 긴급 전화를 사용해 잠긴 폰에 들어가는 권한을 획득할 수 있음을 보여준다. 이 스마트폰은 비밀번호로 보호받고 있음에도 불구하고 말이다. 이 동영상에서는 통화 창에서 강력한 문자열을 기입한다. 그리고 그것들을 기기의 클립보드에서 복사한 뒤, 그것을 통해 해커는 잠긴 기기에서 카메라를 열 수 있다. 그리고 옵션 메뉴에 접속하고 비밀번호 입력창에 여러 문자열들을 붙여 넣는다. 그러자 이 폰은 잠금이 해제됐다. 이 취약점은 안드로이드 5.0 운영체제에서 소개됐으며 넥서스 기기에 발표된 LMY48M 안드로이드 5.1.1 빌드에서는 해결됐다. 그러나 다양한 종류의 안드로이드 기기들은 넥서스와는 다를 수 있다. 이는 자신의 기기가 업데이트가 될 때까지 이 해킹에 취약점을 갖고 있을 수 있다는 걸 의미한다. 다행스럽게도 이 공격은 자신의 기기를 언락하기 위해 비밀번호를 사용할 때만 가능하다. 그래서 자신을 보호하려면 PIN이나 패턴 인식을 사용하면 된다. 만약 지문 인식을 사용하는 이라면 좀더 안전성을 유지하기 위해 백업으로 PIN 또는 패턴 인식을 할 필요가 있다. 올해는 아무래도 안드로이드 보안을 위한 좋은 해는 아닌 듯 하다. 스테이지프라이트(Stagefright)의 큰 공포를 겪은 직후이기 때문에 이런 작은 해킹에도 다들 주목한다. 구글과 기기 제조업체들이 매주 새로운 해킹에 대해 모든 이들이 그들의 게임을 안전하게 즐길 수 있도록 좀더 나은 보안을 필요하다. editor@itworld.co.kr

해킹 비밀번호 보안 2015.09.17

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.