Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

라스트패스, 모바일 중심 사용자 전략 개편…”자신이 선택한 플랫폼에선 무료”

비밀번호 관리자 서비스인 라스트패스(LastPass)는 11일(현지 시각) 새로운 가입자가 최초로 선택한 플랫폼에 대해 무료 서비스를 제공하겠다는 전략을 공개했다. 지난 2008년 출시된 라스트패스(LastPass)는 PC 서비스는 무료로 제공하지만, 모바일 버전에서는 연간 12달러의 유료 서비스를 제공해왔다. 라스트패스 새로운 크로스플랫폼 프리미엄 영역의 기기 종류를 나누는 방식을 바꿨다. PC와 모바일 기기로 나누었던 서비스 플랫폼을 PC와 스마트폰, 태블릿으로 세분화하는 것이다. 예를 들어, 새로운 사용자가 태블릿에서 라스트패스에 가입하면 태블릿에서는 라스트패스를 무료로 사용할 수 있다. 스마트폰이나 PC에서 라스트패스에 최초 가입했을 경우에도 마찬가지다. 하나의 플랫폼 위에서는 서비스를 무료로 사용할 수 있다는 기조는 그대로 유지된다. 라스트패스는 사람들이 기술을 사용하는 방식을 제대로 겨냥하기 위해 서비스 이후 최초로 사용자 전략을 바꾼 것이라고 말했다. 라스트패스가 처음 출시됐을 때만 하더라도 PC는 전적으로 강력한 컴퓨팅 플랫폼이었다. 아이폰은 그보다 1년 전에 먼저 출시됐으며, HTC 드림(HTC Dream)은 2달 후, 아이패드는 2년 후에나 등장했던 상황이었다. 그로부터 7년 후 시간이 흘러 스마트폰에서도 PC처럼 라스트패스를 사용하려는 이용자가 늘어남에 따라 크로스플랫폼 전략을 강화한 것으로 보인다. 이미 라스트패스를 이용하고 있는 사용자들에 대해서는 큰 변화가 없을 전망이다. 만일 무료로 라스트패스를 사용하고 싶다면 새로운 이메일 계정을 등록하는 것도 방법이다. 새로운 가입자는 자신이 선택한 플랫폼에서는 라스트패스를 무료로 사용할 수 있다. PC보다는 아이패드나 안드로이드 스마트폰으로 더 많은 작업을 한다면 유용하다. 다른 플랫폼에서 동일 계정에 액세스하기 위해서는 연간 12달러의 비용을 지불해야 한다. editor@itworld.co.kr

비밀번호 라스트패스 비밀번호관리자 2015.08.12

강력한 비밀번호가 고유한 비밀번호보다 별 도움이 되지 않는 이유

이름만 들어도 그 용도를 짐작할 수 있는 어덜트프렌드파인더(AdultFriendFinder)가 해킹되고 불과 몇 개월 후, 이번에는 애슐리 매디슨(Ashley Madison)이 해킹되었다는 소식이 전해졌다. 남녀 간의 만남을 주선하는 이 사이트의 계정이 해킹되었다는 사실은 보안 리포터 브라이언 크렙스가 처음 밝혔으며 이후 업체 측이 해킹 사실을 인정했다. 애슐리 매디슨에 대한 해킹은 수백, 수천만 개의 사용자 계정을 보유한 사이트를 대상으로 하는 끊임없는 공격의 최근 사례다. 이렇게 해킹된 사이트의 계정 정보는 이곳저곳에 유포된다. 크래커는 사용자 계정을 공격하기 위해, 그리고 화이트해커들은 사용자에게 경고하기 위해 즉시 유포된 데이터를 살펴보고 있다. 이러한 계정 침해 사건들, 특히 최근 라스트패스(LastPass) 계정 정보 침해 사건을 보며 필자가 내린 결론은 사람들이 고유한 비밀번호가 아닌 강력한 비밀번호에 지나치게 집착하고 있다는 것이다. 필자는 몇 년째 고유한 비밀번호의 중요성을 주장하고 있으므로 자주 찾는 독자라면 필자가 이 이야기를 또 꺼내는 것이 지겨울지도 모르겠다. 그러나 사람들은 많은 곳에서 여전히 똑같은 비밀번호를 사용 중이고, 그중 상당수는 강력한 비밀번호조차 아니다. 그러니 이 이야기를 또 할 수밖에 없다. 비밀번호 강도의 허와 실 강력한 비밀번호란 가족 중 누군가의 이름, 애완동물의 이름, 과거나 현재의 주소 일부와 같은 그 사람의 개인 정보를 통해 유추할 수 없는 비밀번호를 말한다. 강력한 비밀번호는 무차별 공격(brute force)에 대한 저항력도 강해야 한다. 크랙된 사이트의 분석 보고서를 보면 많은 사람들이 “123456”이나 “password”를 비밀번호로 사용하고 있음을 알 수 있다. 필자는 몇 개월 전 비밀번호에 대해 구체적인 요구 사항을 제시하는 사이트 대부분이 사실상 비밀번호를 더 강화하지 못한다는 사실을 밝혀낸 비밀번호 및 보안 연구자들과 이야...

비밀번호 보안 라스트패스 2015.07.24

이모티콘 패스코드, 더 쉽고 안전하다

지난 6월 한 보안업체가 이모티콘 패스코드를 개발했다고 발표했다. 영국의 보안업체인 인텔리전트 인바이러먼트(Intelligent Environments)는 은행에서 사용할 수 있는 보안 솔루션을 내놓았다. 업체에 따르면, 이 솔루션은 일반적으로 많이 사용되는 4자리 숫자를 입력하는 핀(PIN)보다 훨씬 더 안전하다. 인텔리전트 인바이러먼트는 쉽게 잊어버릴 수도 있는 숫자 기반의 PIN 대신, 이모티콘을 활용한 자사 솔루션이 널리 확대될 것으로 기대하고 있다. 사측에 따르면, 이모티콘이 숫자보다도 기억하기가 더 쉽다. 이미지 기반의 패스코드는 최신 안드로이드 앱에도 출시되는 것으로 알려졌다. 즐거운 얼굴 수치로 접근하더라도 이모티콘의 보안성이 더 높다. 4자리 PIN의 경우, 10개의 숫자 가운데 4개를 조합하는 방식이다. 반면, 인텔리전트 인바이러먼트는 44개의 기호를 제공한다. 이는 즉, 더 많은 조합이 가능하다는 이야기로, 어떤 이모티콘을 선택하는지만 기억할 수 있다면 이론적으로 보안성을 훨씬 더 향상된다. 인텔리전트 인바이러먼트는 “자사 솔루션의 모든 경우의 수는 349만 8,308개인 반면, PIN의 경우의 수는 7,290개 수준에 그친다”고 말했다. 이미지를 기억하라 그래픽 메모리 기술인 마인드맵(Mind Map)을 창시한 토니 버잔은 “사진이나 이미지로 표현했을 때 더 많은 정보를 기억할 수 있다”고 말했다. 버잔은 인텔리전스 인바이러먼트의 웹 사이트에서 이처럼 언급했다. 사실 버잔의 아이디어는 과학적으로도 입증된 바 있다. 1997년 미국 국립과학아카데미(National Academy of Sciences)의 한 논문을 보면 단어를 기억하는 것보다는 이미지를 기억할 때 양측의 시각 및 내측 피질 영역에서 더 활발한 활동이 일어났다고 기술돼 있다. 이모티콘 이모티콘은 일본에서 시작해 전세계적으로 인기를 얻게 됐다. ASCII 이모티콘과도 비슷하지만, 더 ...

비밀번호 이모티콘 패스코드 2015.07.09

구글에서 모든 비밀번호를 동기화하는 방법

계정마다 다르게 설정한 비밀번호를 모두 기억하는 것은 거의 불가능한 일이다. 별도의 비밀번호 관리 소프트웨어가 해결책이 될 수는 있지만, 완벽하지는 않고 많은 기능을 제공하는 애플리케이션은 유료로 이용해야 한다. 한 때 라스트패스(LastPass)를 최고의 제품으로 손꼽기는 했지만, 개선되지 않은 불편한 웹 인터페이스와 최근 보안 사고를 보면서 생각이 바뀌었다. 대시레인(Dashlane)과 1패스워드(1Password)도 괜찮은 서비스지만, 둘다 아직 완벽하게 검증되지 않았다. 동일한 사이트에 속한 여러 URL를 제대로 분류하지 못해 중복 항목을 만들기도 한다. 이들 브라우저 확장 프로그램은 브라우저 속도를 떨어뜨리는 것으로 알려졌다. 아직은 복잡한 문제를 해결하기엔 불완전하다. 그런데 구글이 해결책을 들고 나왔다. 약간의 불편함을 감수할 의지가 있는 사람에겐 지금 당장 실천할 수 있는 해결책이다. 구글의 기존 비밀번호 관리 도구를 사용한다면 구글이 모든 온라인 보안을 빈틈없이 백업해주니 걱정할 것이 없다. 물론 이렇게 되면 구글이라는 바구니 하나에 모든 달걀을 담게 되지만, 구글이 달걀을 철통같이 보안을 유지한다는 점을 기억하도록 하자. 구글의 스마트 락(Smart Lock)이 곧 미래다 구글은 구글 I/O에서 비밀번호와의 전쟁을 위한 최신 무기, 스마트 락을 공개했다. 요약하자면 구글이 사용자 계정 비밀번호를 안전하게 보관하면서 크롬과 안드로이드 사이에서 이를 동기화하여 웹 사이트와 앱의 잠금을 풀어주는 방식이다. 물론 크롬을 사용해야 하고 크롬 브라우저에서 모든 사용자 이름과 비밀번호를 저장하고 백업하도록 설정해야 한다(기본적으로 설정되어 있음). 예를 들어 크롬에서 뉴욕타임스 비밀번호를 저장한 경우 안드로이드 앱에서도 자동으로 로그인된다. 따로 비밀번호를 찾아 다시 입력할 필요가 없다. 이 기능이 구글 계획대로 작동하려면 안드로이드 개발자가 앱에서 이 기능을 지원해야 한다. 구글은 발 빠르게 핵심 앱 그룹과 협력 ...

비밀번호 보안 구글 2015.07.08

토픽브리핑 | 생체인식의 대표 기술, '지문인식' 어디까지 왔나

지금까지, 그리고 앞으로도 신원확인을 위한 대표적인 수단은 단연코 비밀번호다. 하지만 비밀번호는 자주 뚫리고 도난당한다. 비밀번호가 자주 뚫리는 것은 비밀번호 보안이 원천적으로 어렵기 때문이 아니라 사용자들이 보안에 취약한 행동을 하기 때문이다. 대부분의 사람들은 예전에 쓰던 기억하기 편한 비밀번호를 변함없이 계속 쓴다. 새 비밀번호를 만들면 필연적으로 그것을 기억하려고 애써야 하기 때문이다. 이것이 바로 해커들이 찾고 있는 보안 취약점이다. 멍청한 비밀번호를 만들지 않기 위한 3단계 2014년 최악의 비밀번호도 '123456'과 'password'…전년보다 감소 이로 인해 사람들은 좀더 나은 보안과 신원인증을 위한 비밀번호를 대체할 무언가를 찾고 있으며, 수없이 많은 방법들이 등장했다. “비밀번호를 대체할” 차세대 신원 인증 기술 - IDG Tech Report 인텔과 맥아피, 비밀번호를 대체할 생체 인증 기술 개발 “암호를 버려라” 획기적인 보안 ID 기술 8선 이 가운데 가장 대표적인 차세대 신원 인증 기술이 바로 생체 인증이다. 생체 인식은 각 개인의 독특한 생체정보를 판별해 사용자를 인증하는 보안기술이다. 생체 인증에는 지문, 얼굴, 망막, 공막, 귀, 홍채, 정맥, 심박수, 뇌파 등 선천적인 신체 정보나 음성, 걸음걸이, 글씨체 등 후천적으로 습득한 특징의 패턴을 추출하는 것이 기본 원리다. ITWorld 용어풀이 | 생체인식 기술 “비밀번호를 대체할” 생체인식 기술 동향 급속도로 성장하는 생체인식 보안 기술 “비밀번호의 시대는 안녕!” MWC 2015에 등장한 생체 인식 기술들 특히 마이크로소프트는 윈도우 10에서 비밀번호를 대체할 인증수단을 도입할 계획을 세우고 있다. FIDO(Fast Identity Online) 얼라이언스에 합류한 마이크로소프트는 윈도우 10에 ...

지문인식 비밀번호 지불결제 2015.07.03

사물인터넷, 비밀번호의 시대를 종결한다

애플 워치가 비밀번호의 종말을 의미할까? 아마도 그럴 것이다. 애플 워치는 아이폰이 약 7년 전에 스마트폰 시장을 촉발했듯이 '웨어러블 기술' 영역을 확장하고 있다. 한편 이 과정에서 웨어러블 기기를 비롯한 작은 '사물 인터넷' 기술 업계가 안고 있는 한 가지 고민거리가 부상하고 있다. 바로 비밀번호다. 당연한 말이지만 애플 워치의 화면은 아주 작다. 해상도는 38mm 모델의 경우 272*340, 42mm 모델은 312*390픽셀이다. 다시 말해 전통적인 영숫자 암호를 사용하기에 적합하지 않다. 이러한 기기가 “도난에 취약하다”는 경고가 나오는 것도 그래서다. CNN.com 기사에서도 알 수 있듯이, 애플 워치 착용자는 로그인할 필요가 없고(할 수도 없음), 누구나 리셋 버튼을 누르면 워치에 저장된 모든 데이터와 설정을 지우고 자기 것으로 만들 수 있다. 아이폰과 아이패드의 경우 복합적인 암호 및 접근 제어 기능이 있어 누가 훔쳐서 데이터를 지우고 재사용하기가 어렵다. 애플 워치의 강점과 약점에 관해 토론하는 일련의 과정은 이와 같은 혁신 제품이 거치는 “과열 주기”에 항상 등장하는 요소다. 그러나 애플 워치나 그 자체적인 보안 문제에만 치중한 나머지, 정작 곧 닥칠 미래, 즉 웨어러블 기술을 활용하고 이 기술을 보호하는 방식의 빠른 변화에 관한 이야기는 묻히고 있다. 비밀번호에서 벗어나는 신세계 비밀번호 입력방식은 죽었다. 꽤 오래전부터 알고 있던 사실이다. 라스트패스(LastPass)와 같은 비밀번호 관리 도구는 플로피 디스크 보관함, 두껍고 거대한 음극선관 TV용 캐비닛과 같이 비밀번호 시대를 위한 마지막 도구다. 웨어러블을 비롯한 소형 규격 기기로의 전환은 비밀번호의 소멸을 앞당기면서, 영문자와 숫자에 기반을 둔 비밀번호 입력에 필요한 화면 크기의 의미를 퇴색시킨다. 애플 워치를 위한 인증 기술을 제공하는 보안 업체 오디(Authy)의 COO 마크 ...

패스워드 인증 비밀번호 2015.07.01

토픽브리핑 | 안전하게 비밀번호를 사용하는 똑똑한 방법

개인정보 유출 사고가 증가함에 따라 안전한 비밀번호를 사용해야 한다는 목소리가 커지고 있다.  무엇보다 가장 중요한 것은 안전한 비밀번호를 설정하는 사용자의 습관이다. 해커가 손쉽게 추적할 수 없는 복잡한 비밀번호를 설정해야 한다. 비밀번호 길이를 늘이는 것도 복잡성을 늘리는 데 도움이 되지만, 짧더라도 복잡한 비밀번호가 더 안전하다는 것을 기억하는 것이 좋다. 귀찮더라도 비밀번호 변경 안내 메시지에 따라 주기적으로 교체하는 것도 방법이다.  미국 주요 신용카드 단말기, 20년간 같은 비밀번호 사용 드러나 애플, iOS 9 기기에 6자리 비밀번호 적용 멍청한 비밀번호를 만들지 않기 위한 3단계 사이트 계정마다 서로 다른 비밀번호를 사용하는 것도 중요하다. 한 사이트에서 해킹된 아이디어와 비밀번호를 이용하여 다른 사이트에서도 로그인을 시도할 수 있기 때문이다. 그러나 사이트별 복잡한 비밀번호를 모두 기억할 수는 없으므로 비밀번호 관리자를 이용하는 것을 추천한다. 계정마다 다르게 생성한 길고 어려운 비밀번호를 모두 기억할 필요가 없어서 유용하다.  구글, 크롬 확장 프로그램 '비밀번호 경보' 출시..."피싱 공격 방지에 주력" 비밀번호를 똑똑하게 관리하는 8가지 방법 비밀번호 관리 서비스를 선택할 때 주의점 3가지 비밀번호와의 전투에서 쉽게 이기는 법, 비밀번호 관리자  사용자의 모든 계정 정보를 활용하는 만큼, 비밀번호 관리자는 보안성이 높은 암호화 해시 함수로 해시값을 비교해 사용자의 마스터 비밀번호를 검증한다. 특히 솔트(Salt)와 스트레칭(Stretching) 기법은 딕셔너리 공격과 무력화 기술에 약한 암호화 해시 함수의 안정성을 강화해준다. 솔트란 사용자마다 임의로 부여되는 32비트 이상의 문자열로, 사용자 비밀번호에 추가돼 동일한 비밀번호에 동일한 해시값이 생성되는 것을 막아준다. 스트레칭은 복잡한 연산을 반복 적용하는 것을 의미하며 반복횟수가 클수록 방어력을 ...

비밀번호 보안 2015.06.26

ITWorld 용어풀이 | 암호화 해시 함수

웹사이트에 로그인하기 위해서는 ID와 비밀번호를 입력해야 합니다. 과거에는 데이터베이스에 저장된 비밀번호와 사용자가 입력한 값을 직접 비교하는 프로세스가 일반적이었습니다. 그러나 각종 사이버 범죄와 해킹으로 정보 유출 사건이 증가함에 따라 민감한 정보를 암호화해서 저장하기 시작했죠. 사용자의 비밀번호를 암호화하는 대표적인 방법으로는 암호화 해시 함수(Cryptographic Hash Function)가 있습니다. 일반적으로 사용자가 입력한 비밀번호는 암호화 해시 함수를 거쳐 다이제스트(Digest)의 형태로 저장됩니다. 여기서 다이제스트란, 해시 함수라는 수학적인 연산을 통해 생성된 암호화된 메시지를 의미합니다. 해시 함수는 임의의 비밀번호 입력값을 문자와 숫자를 임의로 나열한 일정한 길이의 다이제스트로 전환합니다. 기존에 데이터베이스에 저장된 다이제스트와 비교해서 일치하면 서비스에 로그인할 수 있습니다. 암호화 해시 함수의 특징은 바로 '단방향'이라는 것입니다. 비밀번호를 알면 다이제스트를 바로 연산할 수는 있지만, 다이제스트만으로는 비밀번호를 역추적하는 것이 거의 불가능합니다. 이와 같은 이유로 비밀번호를 데이터베이스에 저장하는 대신, 다이제스트를 저장하는 것이 보편화되고 있습니다. 국내에서는 '개인정보보호법'과 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 통해 비밀번호, 주민등록번호와 같은 개인정보를 반드시 암호화해야 한다고 규정하고 있기도 하죠. 잘 알려진 암호화 해시 함수에는 MD5, SHA-1, SHA-256 등이 있습니다. 최근에는 HAS-150이나 MD5, SHA-1는 보안성이 취약하다는 이유로 잘 사용되지 않고 있습니다. 일반적으로 많이 사용되는 컴퓨터로도 초당 56억 개의 다이제스트를 대입할 수 있는데요, 상대적으로 다이제스트 길이가 짧은 이들 함수에서는 암호화된 비밀번호를 해독하는 데 걸리는 시간이 생각보다 길지 않기 때문입니다. 그렇지만 지금 KISA에서 권고하...

해킹 암호화 비밀번호 2015.06.25

글로벌 칼럼 | 또다시 고객 정보를 유출한 라스트패스

프랑스 취리히 공항에 머무는 동안 비밀번호 관리자 서비스를 하는 라스트패스(Lastpass)가 곤란한 상황에 처했다는 사실을 접하게 됐다. 이번주 베를린에서 열리는 연례 퍼스트 컨퍼런스(First Conference)에 참여하고 있는 동안 이와 같은 일이 발생했다. 라스트패스는 지난 15일(현지 시각) 데이터 유출을 겪은 수많은 기업 중 하나라는 불명예를 안게 됐다고 말했다. 지난 12일 라스트패스의 네트워크에는 의심스러운 활동이 포착됐다. 이 활동으로 인해 사용자의 이메일 주소, 비밀번호 힌트와 솔트(salt), 인증 해시가 노출됐다. 라스트패스는 사용자 계정에는 액세스하는 그 어떤 시도도 이루어지지 않았다고 말했다. 그러나 이러한 의심스러운 트래픽이 언제부터 감지되었는지에 대해서는 언급되지 않았다. 알다시피 라스트패스는 모든 계정의 아이디와 비밀번호를 저장해서 관리하는 중앙집중형 저장소를 제공한다. 사용자 계정 로그인을 요구하는 웹사이트 로그인 과정을 간소화해주기도 한다. 1패스워드(1Pasword)와 키패스(Keepass)와 비교해서도 무척 유용한 애플리케이션인데 , 이들 서비스보다는 정보 유출 시 크게 문제가 될 수 있다. 라스트패스는 암호화된 데이터는 유출되지 않았다고 밝혔다. “라스트패스의 암호화 도구는 수많은 사용자를 보호하기에 충분하다고 자신한다. 라스트패스는 랜덤 솔트와 서버 단에서 PBKF2-SHA256을 10만 번 반복함으로써 인증 해시를 강화했다. 게다가 클라이언트 단에서도 10만 번 시행된다. 이러한 추가적인 조치는 그 어떤 빠른 속도라도 훔친 해시로만 복호화하는 것은 어렵다.”(블로그 발췌) 물론 데이터 유출 사건은 안타까운 일이지만, 몇가지 좋은 소식도 있다. 유출 사건이 일어났다고 알렸다는 점에서 상당히 인상적이다. 잠시 몇 가지를 생각해보자. 라스트패스는 지난 12일에 자사 네트워크에 의심스러운 트래픽이 발견했으며, 그 후 3일 뒤인 15일에 바로 블로그 및 이메일을 통해 유출 소실...

유출 비밀번호 보안 2015.06.17

구글 스마트 락, 앱 자동 로그인 기능 지원한다

구글도 비밀번호 관리자 서비스를 출시했다. 구글 I/O 컨퍼런스에서 그 모습을 드러낸 구글 아이덴티티 플랫폼(Google Identity Platform)은 크롬과 안드로이드에서 비밀번호를 동기화하고 저장한다. 뉴욕타임스(New York Times)나 넷플릭스(Netflix)와 같은 사이트에서 로그인에 성공하면 해당 모바일 앱에서도 자동 로그인된다. 스마트 락(Smart Lock)의 확장 버전인 이 플랫폼은 비밀번호를 입력하지 않고도 다양한 구글 기기와 서비스에 안전하게 로그인할 수 있도록 한다. 크롬에 저장한 그 어떤 비밀번호라도 안드로이드로 안전하게 전송된다. 따라서 안드로이드 앱에서 비밀번호를 입력할 필요가 없다. 구글 플레이 서비스 7.5에 구글 아이덴티티 플랫폼이 탑재될 가능성이 크다. 구글 플레이 서비스는 거의 모든 안드로이드 기기에 대한 주요 API 및 백엔드 서비스를 총괄한다. 즉, 올해 3분기 말에 출시될 것으로 예상되는 안드로이드 M이 공개될 때까지 기다릴 필요가 없다는 것을 의미다. 비밀번호 관리자를 꿈꾸는 구글 한편, 구글 아이덴티티 플랫폼은 구글이 비밀번호와의 전쟁을 선포한 이후 선보인 최신 서비스이기도 하다. 크롬북에는 안드로이드 폰이 근처에 있으면 자동 로그인되는 스마트 락 기능을 도입한 바 있으며, 수년간 안드로이드 폰의 잠금을 해제하는 방법으로 PIN 대신 안면 인식이나 패턴 슬라이드 등도 제공했다. 또한, 개발자가 “구글 계정으로그인하기”와 같은 솔루션을 배포해 사용자가 구글 계정만으로도 해당 서비스에 안전하게 로그인할 수 있도록 했다. 라스트패스(LastPass), 대시레인(Dashlane)과 같은 서드파티 비밀번호 관리자 솔루션과 비교했을 때 구글 스마트 락의 차이점은 개발업체가 자사 앱에서 해당 기능을 직접 활성화해야 한다는 것이다. 물론 상당한 시간이 소요될 것으로 예상되므로 현재 사용하고 있는 비밀번호 관리자를 굳이 버릴 필요는 없다. 물론, 스마트락은 안드로이드와...

비밀번호 보안 구글 2015.06.01

미국 주요 신용카드 단말기, 20년간 같은 비밀번호 사용 드러나

유통업계가 신용 카드 정보 유출과의 전쟁을 벌이는 가운데, 주요 결제 단말기 업체가 20년 이상 똑같은 비밀번호가 설정된 단말기를 판매해 온 사실이 RSA 컨퍼런스에서 밝혀졌다. 이 같은 사실을 공개한 연구원 데이비드 바이언과 찰스 헨더슨에 따르면, 그 비밀번호는 ‘166816’이다. 구체적인 업체명은 밝히지 않았다. 구글 검색 결과 ‘166816’은 베리폰(Verifone)이 판매한 몇 종의 신용카드 단말기에 초기 설정으로 사용되고 있는 것으로 나타났다. 베리폰은 150개 국에서 2,700만 개의 결제 단말기를 보급하고 있다.  베리폰은 이 주장에 대해 즉답을 하지 않았다. 연구원들은 해당 업체에서 본 단말기 10대 가운데 9대에서 ‘166816’이라는 비밀번호가 사용 중인 상태라고 말했다. 부분적으로는 사용자들이 이것을 단말기의 고유 비밀번호로 잘못 생각했기 때문이다. 한편, RSA 컨퍼런스는 안일한 보안 관행을 지적하고, 해커가 시스템을 표적으로 삼는 방법을 폭로하기 위해 이용된다. 이러한 정보를 더욱 널리 알림으로써, 기업과 사용자의 사이버 보안에 대한 주의를 환기하고 나쁜 습관을 바로 잡을 수 있기를 희망하는 것이다. 사이버 범죄는 갈수록 더 PoS의 취약점을 목표로 삼는 추세다. 가장 널리 알려진 것이 타깃(Target)의 해킹 사건으로, 약 7,000만 명의 고객에 영향을 미쳤다. 홈 디포(Home Depot)에서도 최대 5,600만 명의 신용 카드 정보가 유출됐다. 니만 마커스, 화이트 로징, 마이클스, UPS스토어 등에서도 시스템이 해킹당했다. 이러한 정보 유출 때문에 미국의 결제 산업이 칩에 기반한 카드로 옮겨가고 있지만, 연구원들은 신용 카드의 보안이 만능이 아니며, 또 부분적으로는 매장 내의 결제 단말기와 다른 시스템에 의존하고 있다고 지적했다. editor@itworld.co.kr

비밀번호 신용카드 보안 2015.04.24

보안 팀을 미치게 하는 사용자의 행동들

보안 전문가로서 그저 머리를 감싸쥐고 울 수밖에 없는 경우가 생긴다. 회사를 위험에 처하게 하는 사람들의 행동은 때론 놀라울 정도다. 보안 지침을 따르지 않은 이들의 이 슬라이드쇼에 나와 있는 이야기는 전부 실화다. 대중의 비난으로부터 보호하기 위해 신원은 밝히지 않는다. editor@itworld.co.kr

USB 이메일 비밀번호 2015.04.01

MS, 윈도우 10에 생체 인식 기술 확장한다...”비밀번호보다 안전”

마이크로소프트가 차세대 운영체제인 윈도우 10에서 비밀번호를 대체할 지문, 안면, 홍채 인식으로 애플리케이션 및 웹 서비스에 로그인하는 옵션으로 제공하려는 계획을 세우고 있다. 윈도우 헬로(Windows Hello)라 불리는 이 기능은 사용자 PC로 로그인하는 데 생체 인식 기술을 활용하며, 마이크로소프트 패스포트(Microsoft Passport)는 사용자가 애플리케이션과 웹 서비스에 로그인하도록 한다. 마이크로소프트는 자사 블로그를 통해 수많은 서비스에 로그인하기 위해서는 각기 다른 비밀번호를 기억해야 하는 반면, 생체 인식은 모든 PC와 서비스에 엑세스하는 데 보다 쉽고 더 안전한 방법을 제공한다고 밝혔다. 마이크로소프트는 생체 인식이 비밀번호보다 훨씬 안전하다고 주장했다. 헬로우를 사용하면 기기에 비밀번호를 저장할 필요가 없게 된다. 사용자는 생체 인식을 옵션으로 선택할 수 있으며, 지문, 홍채, 안면 정보는 로컬에 저장되거나 타인과 공유되지 않는다. 마이크로소프트에 따르면 생체 정보는 네트워크 인증에는 사용되지 않는 것으로 알려졌다. 현재 최신 윈도우 PC에는 지문인식 스캐너가 탑재되고 있다. 마이크로소프트와 인텔은 윈도우 10의 얼굴 및 홍채 인식 기술은 인텔의 리얼센스(RealSense) 3D 카메라로 동작할 것이라고 설명했다. 현재 HP, 델, 에이서, 레노버, 에이수스에서 제조한 태블릿 및 PC에서 아직 개발 중인 인텔의 리얼센스 카메라를 이용해볼 수 있다. 그러나 이 3D 카메라는 대다수 PC에 탑재된 2D 웹캠을 대체하려는 방향으로 나아가고 있다. 오늘날 생체 인식 기술은 이미 모바일 기기에서 손쉽게 찾아볼 수 있으며, 인식도는 점차 개선되고 있다. 애플의 애플 페이(Apple Pay)는 지문으로 온라인 결제를 할 수 있도록 허용하며, ZTE는 그랜드(Grand) S3 스마트폰에 홍채 인식을 구현했다. 그러나 PC의 경우, PC와 서비스 로그인 부문에서 여전히 비밀번호가 우위를 점하고 있다. 마이크...

MS 비밀번호 생체인식 2015.03.18

급속도로 성장하는 생체인식 보안 기술

최근 다수의 연구 결과에 따르면 생체인식 보안이 빠르게 성장하고 있다. 많은 모바일 사용자들이 출입용 지문인식 등의 도구를 사용하는 데 익숙해지면서 기술이 상승세를 타고 있다. 하지만 생체인식 기술이 기업 보안 프로그램에서 중요한 부분을 차지하고 있다고 볼 수 있을까? 우선, 일부 시장 동향을 살펴보도록 하자. 생체인식 기술 시장 동향 주니퍼 리서치(Juniper Research)는 최근 보고서에서 2019년까지 생체인식 인증 앱이 매년 7억7천만 건의 다운로드 수를 기록할 것이라고 발표했다. 이는 올해와 비교하면 6백만 건이나 높아진 수치다. 해당 보고서는 애플이 NFC 결제의 토큰화에 있어서 터치 ID(Touch ID) 인증을 조합한 것을 두고 생체인식 기술을 적절하게 도입한 명확한 사례라고 인용한다. 주니퍼의 연구에 따르면 스마트폰에 지문 인식기가 탑재되는 사례가 증가함에 따라 지문 인식이 앱의 절대적인 성장에 기여할 것으로 보인다. AMI(Acuity Market Intelligence)가 발표한 또 다른 보고서에 따르면 생체인식이 도입된 스마트폰, 태블릿, 웨어러블 모바일 기기의 수요가 증가함에 따라 2020년에는 전세계 25억 명의 사용자들이 48억 개의 생체인식 장치를 필요로하게 될 것으로 보인다. 어큐어티(Acuity)는 3년 이내로 생체인식은 스마트폰 뿐만 아니라 다른 모바일 기기에서도 표준 기능으로 자리 잡을 것이라고 밝혔다. ABI 리서치(ABI Research)는 생체인식 시장 총 매출이 2015년에 1,380억 달러를 돌파할 것이라고 밝혔다. ABI 리서치는 대부분의 생체인식 기술에서 발생하는 매출은 정부 기관으로부터 비롯된다는 점을 지적했으나, 소비자들이 점차 생체인식 도구를 받아들임에 따라 2017년 말 소비자와 엔터프라이즈 영역에서의 지출은 정부를 따라잡아 시장을 주도하게 될 것으로 예상했다. 한편, 보안 전문가들은 생체인식 기술의 양면을 동시에 고려하고 있다. 생체인식, 가장 효과적인 신원 ...

지문인식 비밀번호 생체인식 2015.03.09

비밀번호를 똑똑하게 관리하는 8가지 방법

편집증이 심한 사람도 비밀번호 관리 프로그램을 사용하면 안심할 수 있다. 주요 프로그램들의 경우 기업환경에 적합하도록 강화되고 있으므로 회사에 아직 비밀번호 관리 솔루션이 없다면 여기 소개하는 프로그램 중 하나를 써도 충분할 것이다. editor@itworld.co.kr Image courtesy Joel Dinda

개인정보 비밀번호 보안 2015.02.17

2014년 최악의 비밀번호도 '123456'과 'password'…전년보다 감소

2014년 전세계에서 공통적으로 가장 많이 쓴 비밀번호는 지난해와 마찬가지로 '123456'과 'password'이었다. 그러나 이번 조사 연구 결과, 가장 많이 쓴 비밀번호가 단지 2.2%밖에 되지 않았다는 데 의미가 있다. 물론 2015년에도 일부 사람들은 여전히 '123456'이나 'password'와 같은 비밀번호를 사용할 것이다. 그러나 마침내 사람들은 자신의 비밀번호에 'password' 사용을 예전보다는 덜 하는 것으로 보인다. 비밀번호 관리 소프트웨어 개발업체인 스플래시데이터(SplashData)는 매년 가장 공통적으로 사용하는 비밀번호 25개를 선별해 발표해왔다. 스플래시데이터는 이 목록은 지난 몇 년동안 바뀐 것처럼 보이지 않지만 이 목록에 있는 비밀번호가 겨우 2.2%밖에 사용되지 않았다고 전했다. 스플래시데이터 보도자료에서 보안 전문가 마크 버넷은 "여전히 불안한 점은 있지만, 최근 연구 결과, 공통적으로 쓰이는 비밀번호가 수년동안의 조사에서보다 가장 낮은 사용률을 보였다"고 말했다. 스플래시데이터는 나쁜 비밀번호 사용이 쇠퇴한 이유에 대해서는 추정하지 않았다. 그러나 사람들이 자신의 온라인 생활을 지키기 위해 좀더 강한 비밀번호가 필요하다는 것을 알아가고 있음을 추측할 수 있다. 또한 사용자들은 최근 보안 사고로 인해 자신의 정보 유출이 불가피하며, 특히 암호화를 푸는 소프트웨어의 먹이가 되지 않도록 강한 비밀번호를 설정하는 것이 무엇보다 중요하다는 것을 알기 시작한 것으로 보인다. 스플래시데이터의 최악의 비밀번호 목록은 해커들로부터 온라인상에 게재된 유출되거나 혹은 도난당한 비밀번호들을 수집해 만들어진 것이다. 스플래시데이터는 그밖에 피해야 할 비밀번호로는 유명 스포츠나 일상적인 이름이라고 전했다. 아마도 사람 이름 비밀번호는 자신의 아이들일 것이다. 특히 이 목록에서 가장 아래 순위에 있지만 유명한...

비밀번호 password 123456 2015.01.21

비밀번호 암호화하는 법

여러 해킹 사건을 겪은 지금에 와서야 개발자들은 강력한 비밀번호가 별로 도움이 되지 않는다는 사실을 깨달았다. 그리고 완벽한 대안이 존재한다. 지난 주, 필자는 자사의 프로젝트 회의에 참석해 일부 컨설팅 소프트웨어 개발자들이 개발하고 있는 소비자용 애플리케이션에 대한 업데이트를 제공할 때 보안에 관한 통찰력을 제공할 수 있었다. 하지만 그들이 "비밀번호를 어떻게 암호화 해야 할까요?"라는 질문을 던졌을 때, 말을 잇지 못했다. 개발자들은 지난 숱한 해킹 사건에서 교훈을 얻지 못하는 걸까? 개발자들은 자신이 보안을 얼마나 신경쓰는 지에 대해 필자가 알아줄 것이라고 생각했을 수도 있다. 어쨌든 개발자들은 데이터베이스가 수집하는 비밀번호를 암호화하고 싶어했다. 하지만 안타깝게도 그닥 칭찬해 주고 싶지는 않았다. 그래서 "비밀번호를 수집하는 것이 왜 좋은가?"라는 질문이 떠오르게 되었다. 이 대화를 통해 10년 전의 상황이 떠올랐고, 우리가 겪은 여러 해킹 사건에도 불구하고 그 당시와 비교해 크게 달라진 것이 없다는 생각에 머리가 아파왔다. 10년 전에도 소프트웨어 개발자들은 데이터 보안 실무자들에게 비밀번호의 암호화 방법에 대해 질문했었고 우리는 "필요 없다"고 답했다. 당시의 핵심은 비밀번호와 신용카드 번호 같은 고객들이 제공하는 민감한 정보를 저장하지 않는 것이었다. 저장할 필요없이 검증만 하면 그만이었다. 사실 비밀번호는 검증만 하면 된다. 사용자는 로그인할 때마다 사용자명과 비밀번호를 입력해야 한다. 우리는 이 비밀번호를 가져다가 해시(Hash, MD5 또는 SHA 등의 해싱 알고리즘을 이용해 유일한 값으로 연산) 처리하고 해당 해시 값을 애플리케이션이 이전에 데이터베이스에 저장해 둔 해시 값과 비교하면 된다. 해시 값이 일치하면 사용자가 올바른 비밀번호를 입력한 것이다. 이 방법이 있기 때문에 굳이 비밀번호를 저장할 필요가 없었다. 애플리케이션은 비밀번호 입력란...

암호화 비밀번호 해시 2014.12.04

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.