Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비밀번호

트위터, 비밀번호 재설정 요구… “모두 해킹된 것은 아니다”

트위터가 보안에 구멍이 생기면서, 지난 목요일 많은 사용자들의 비밀번호를 재설정했다. 그러나 재설정된 모든 계정이 해킹된 것은 아니라고 설명했다.   트위터는 계정이 해킹됐다고 판명하면, 사용자의 비밀번호를 재설정하고 이메일로 알림을 보낸다. 그러나 이번에는 재설정이 필요한 계정 수 보다 더 많은 계정의 비밀번호를 재설정했다.   트위터는 발표문을 통해서 “사용자들에게 불편함과 혼란을 주어서 죄송하다”라고 밝혔다.   그렇다 하더라도 트위터의 보안에 구멍이 뚫린 것은 사실이다. 예를 들어, 테크크런치 계정도 해킹되어서 피드에 여러 스팸 광고가 올라간 바 있다. 트위터는 실제로 이러한 해킹 피해 규모가 얼마인지는 밝히지 않았다.   트위터 계정 보호하기 비밀번호 재설정은 의무이기 때문에 트위터로부터 관련 이메일을 받은 경우에는 계정 보호를 위해서 더 조치를 취할 것은 없다. 그러나 자신의 피드를 살펴보고 스팸성 내용은 삭제하는 것이 좋다.   자신의 비밀번호가 안전한 것인지, 허가한 트위터 관련 애플리케이션도 괜찮은 것인지를 확인하기에 좋은 시기이다. 트위터 홈페이지 오른쪽 상단의 기어 모양 아이콘을 클릭하고, 드롭다운 메뉴에서 설정을 선택한 다음, 애플리케이션을 클릭하면 허가한 서드파티 앱 목록을 볼 수 있는데, 여기서 사용하지 않는 것은 ‘접근 차단’을 클릭하면 된다.   트위터에 보안 이슈가 발생한 것은 이번이 처음이 아니다. 지난 5월 해커들이 5만 여 개의 트위터 계정을 해킹해서 인터넷에 공개한 바 있으며, 6월에는 1만 여개의 사용자 이름과 비밀번호가 온라인에 노출됐다. 또, 지난 12월에는 레이디 가가의 계정이 해킹당하기도 했다.   보안 위협에서 100% 안전한 온라인 서비스는 없기 때문에, 각각의 서비스별로 별도의 비밀번호를 설정하고, ...

해킹 트위터 비밀번호 2012.11.09

IDG 블로그 | 강력한 비밀번호를 사용하는 법

비밀번호 보호는 자신의 온라인 생활의 일부다. 자신의 비밀번호를 제대로 다루지 않으면 스스로 문제를 아주 많이 노출하고 있는 셈이다. 이에 모든 이에게 필요한 몇가지 충고를 제안한다.    자신이 잠겨지지 않은 집이나 창고, 사무실, 자동차 모두에 맞는 하나의 열쇠를 갖고 있다고 상상해보자. 그런 다음, 그 열쇠 복제품을 약 80개 정도를 만들었다. 게다가 떠나기 전에 그것들과 가까운 곳에 자신의 주소를 새겨넣었다.    이는 추측하기 쉬운 하나의 비밀번호를 다양한 목적에 사용하는 사람들의 보안 등급에 관한 것이다. 많은 사람들이 이렇다.    비밀번호는 낯선 이로부터 자신의 컴퓨터와 스마트폰을 지킨다. 또한 자신의 이메일이 읽히거나 범죄에 쓰이는 것을 방지하며, 페이스북 상태 업데이트와 은행 계정을 싹쓸이 당하는 것을 막아준다.      범법자들은 사람들을 이용해 돈을 만들 수 있는 비밀번호를 원한다. 범죄자들의 범죄행위를 멈추게 할 방안은 다음과 같다.   강력한 비밀번호를 사용하라  강력한 비밀번호라는 것은 쉽게 추측하지 못하거나 공격자가 뚫는 데 시간이 많이 걸리게 한다. 강력한 비밀번호는 사전에서 발견되는 문자들이 아니며, 일반적인 이름도 아니며 너무 짧지도 않음을 의미한다. 15 문자로 구성된 비밀번호는 14 문자로 구성된 것보다 뚫는데 90배나 어렵다.     아다시피, 필자가 말한 비밀번호의 문자는 알파벳이 아니다. 좋은 비밀번호는 숫자와 문장부호, 대문자와 소문자로 구성된 알파벳으로 포함돼 있다.   기본적으로 비밀번호는 자신의 키보드에 시프트키가 눌러진 채로 햄스터가 뛰어 논 것처럼 외견 상으로 길고 무작위적인 것을 원한다. 그러나 그 비밀번호를 기억해야 하기 때문에 사람들은 진짜 무작위의 비밀번호를 원하지 않는다...

비밀번호 비밀번호 관리자 패스워드 세이프 2012.10.23

10명 가운데 6명은 같은 비밀번호 사용

많은 사람들이 자신의 비밀번호 관리에 소홀한 것으로 조사됐다. 미국 사기 방지 업체 CSID의 조사에 따르면, 웹 유출 사고가 빈번하게 발생하고 있는데도 10명 가운데 6명은 같은 암호를 여러 사이트에서 사용하는 것으로 나타났다. CSID는 하나의 사이트가 해킹당해 개인 정보가 유출될 경우, 대다수는 다른 사이트까지도 위험해 질 수 있다고 경고했다.   CSID에 따르면, 5개 이하의 비밀번호를 사용하는 응답자가 54%에 이르며 비밀번호를 일년에 한 번 바꾸거나 아예 바꾸지 않는 응답자도 44%에 달했다. 더욱 놀라운 결과는 비밀번호에 가장 신경쓰지 않는 사용자들은 24세 미만인 것으로 조사됐다.   보유하고 있는 비밀번호 수는 사용하는 비밀번호 수가 적다는 것은 대다수 사용자가 5개 이하의 사이트에 접속한다는 것으로 풀이할 수 있다. 비밀번호가 많으면 기억하기 어렵다는 것이 문제긴 하지만 비밀번호를 잊어버리는 불편을 줄이기 위해 소수의 번호로 번갈아 가며 사용하거나 하나로 통일해서 사용하는 것이라고 CSID는 분석했다.   모든 사이트가 비밀번호 글자수를 제한하는 것은 아니지만 대부분의 비밀번호 글자수는 8~10개로 이뤄진 것으로 조사됐다. 이 조사에서 숫자와 문자의 조합, 대문자와 소문자 혼재해 사용, 기호 사용 등 비밀번호가 얼마나 복잡한 지에 대해서는 질문하지 않았다.   "많은 기업들은 소비자의 암호 습관이 자사의 보안과 안전에 어떻게 영향을 미칠 수 있는지에 대해 완벽하게 파악하지 못했다"라고 CSID의 CIO 아담 타일러는 전했다.   "이번 조사로 CSID가 오랫동안 의심했던 것을 확인할 수 있었다. 소비자들은 이러한 관행에 대해 위험하다고 인지하지 않으며 여러 사이트에서 동일한 로그인 정보를 재사용하는 암호 습관을 반복하는 경향이 있다"라고 타일러는 말했다.   ...

비밀번호 2012.09.28

미 정부, 비밀번호 대체 신원확인 기술 개발 프로젝트에 1,000만 달러 지원

미국연방정부가 추진하는 '믿을 수 있는 사이버 신원(Identity)을 위한 범국가 전략(NSTIC)'은 첨단 기술 업체들이 정부와 협력해 간단한 비밀번호 방식을 대체하는 새로운 기술 대안을 찾기 위한 프로젝트다. 이 프로젝트는 더욱 안전한 온라인 거래 구현에 목표를 두고 있다.    미 정부는 이 NSTIC 프로그램에 1,000만 달러의 연구비를 내걸었다. 혁신적인 방법을 제시한 파일럿 프로젝트들이 대상이다. 그리고 마침내 20일 그 결과를 발표했다.    2009년부터 NSTIC 프로그램을 담당해 추진해 온 국립 표준기술 연구소(National Institute of Standards and Technology)에 따르면, 연구비 지원을 받게 된 기관은 다음과 같다.   AAMVA(American Association of Motor Vehicle Administrators, 버지니아): 162만 1,803달러 AAMVA는 산업계와 정부로 컨소시엄을 구성해 CSDII(Cross Sector Digital Identity Initiative)라는 파일럿 프로젝트를 추진한다.    이 프로젝트는 프라이버시를 강화하고 온라인 상거래 사기 위험을 줄여 안전한 온라인 거래가 정착될 수 있는 온라인 신원 생태계를 만드는데 목표를 두고 있다. CSDII에는 AAMVA 외에 버지니아 DMV(Department of Motor Vehicles), 바이오매트릭 시그내처 ID(Biomaetric Signature ID), CA테크놀로지, 마이크로소프트, AT&T가 참가하고 있다.   크레테리온 시스템스(Criterion Systems, 버지니아): 197만 7,732달러 크리테리온 시스템스는 소비자들이 사기 피해를 줄이고 사용자 체험을 높이기 위해 쇼핑과 기타 정보를 선택적으로 공유할 수 있는 기술을...

비밀번호 신원 확인 기술 NSTIC 2012.09.24

블리자드 해킹 사태에 따른 배틀넷 사용자 보안 가이드

디아블로 3, 월드 오브 워크래프트(WOW)와 같은 블리자드 엔터테인먼트의 게임을 즐기는 사용자라면 한시라도 빨리 계정 비밀번호를 바꿔야 한다.    블리자드는 북미, 남미, 호주, 뉴질랜드, 그리고 동남아시아의 베틀넷 사용자 용 계정 데이터가 대규모로 유출됐다는 것을 시인했다. 해커들이 빼낸 정보는 사용자 이메일 주소와, 비밀번호 확인 문답, 암호화된 비밀번호, 그리고 접속과 연관된 민감한 데이터, 스마트폰 앱 기반의 2중 요소 인증 등이다.     블리자드는 훔친 정보 그 자체로는 계정을 침투할 수 없을 것이라고 말했다. 예를 들어 암호화된 비밀번호는 키 기반의 인증 시스템인 SRP(Secure Remote Password) 프로토콜에 의해 보호된다. 블리자드는 비밀번호를 깨려면 하나하나 패스코드를 판독해야 한다고 주장했다.    블리자드 측은 그럼에도 불구하고 베틀넷 사용자들은 자신의 비밀번호를 바꿔야 한다고 충고했다. 베틀넷 사용자들은 우선 자신의 계정이 안전한지 파악해야 하며, 조만간 블리자드로부터 다음과 같은 보안 가이드를 받을 것이다.    비밀번호를 바꾸시오 블리자드는 베틀넷 사용자에게 자신의 계정 비밀번호를 바꾸라고 권고하고 있다. 비밀번호를 바꾸려면 여기를 클릭하거나 베틀넷에 들어가 페이지 상단에 있는 '계정 관리'를 클릭한 후 로그인을 해라. 그 다음 페이지 '설정'을 클릭하면 뜨는 메뉴에서 '비밀번호 변경'을 선택해라.   보안 질문과 답, 아직 변경 못해  블리자드는 아직 비밀번호 질문과 답을 바꾸는 시스템을 갖추지 않았다. 계정 복구와 신원 확인을 위한 수단인 비밀번호 질문과 답을 해커가 갖고 있다는 것은 정말 불쾌한 일이다.   ...

해킹 비밀번호 보안 가이드 2012.08.13

블리자드, 사용자 비밀번호 유출

WoW(World of Warcraft), 디아블로, 스타크래프트 등 인기 온라인 게임 제조사인 블리자드 엔터테인먼트가 목요일 내부 네트워크 침입으로 비밀번호와 이메일 주소가 유출됐다고 밝히고, 사용자들에게 비밀번호를 변경하라고 경고했다.   블리자들의 공동 창업자인 마이크 모하임은 블리자드의 포털인 배틀넷(Battle.net) 사용자 중 북미, 남미, 호주, 뉴질랜드, 동남 아시아 지역 사용자들의 이메일 주소와 개인 보안 질문에 대한 답이 유출됐다고 밝히고, 현재 이 사고에 대해서 조사를 진행 중이라고 밝혔다.   모하임은 북미 사용자들의 암호화된 비밀번호뿐만 아니라 휴대폰 번호와 전화인증과 관련된 일부 정보도 유출됐다고 전했다. 이 정보만으로는 배틀넷 계정에 접근할 수 없다.   모하임은 “현재로서는 신용카드나 결제 주소와 같은 금융 관련 정보나 실명 등은 유출되지 않은 것으로 파악했다”라면서, “조사가 진행 중이지만, 지금까지는 이런 정보에 접근한 흔적은 찾지 못했다”라고 말했다.   블리자드는 비밀번호를 보호하기 위해서 암호화된 원격 비밀번호(secure remote password)를 사용한다. 모하임은 실제 비밀번호를 파악하기는 힘들다고 밝히면서도, 비밀번호 변경을 권했다.   블리자드는 이번 사고로 일부 사용자들이 피싱 이메일을 받게 될 것이라고 예측하면서, 블리자드는 비밀번호를 묻지 않는다고 강조했다.   모하임은 앞으로 사용자들이 보안 질문에 대한 답을 변경하고, 모바일 인증을 받은 경우 소프트웨어를 업그레이드하라는 알림이 갈 것이라고 전했다.   또한, 일반적으로 비밀번호 보호를 위해서 복잡한 조합을 사용하라고 권했다. 비밀번호가 더 길고 복잡할수록 비밀번호 크랙 프로그램을 통해서 풀기가 힘들기 때문이다.  editor@itworl...

해킹 블리자드 디아블로 2012.08.10

자녀 성적 위조하려 교육청 시스템에 접근한 엄마

미국 펜실베니아에 있는 한 학교의 직원이 교육기관의 컴퓨터 시스템에 접속해 자녀 성적을 위조하고자 암호를 남용한 혐의로 기소됐다.   알렌 타운 근처의 위젠버그 타운십(Weisenberg Township)에 거주하는 캐서린 베누스토(45세)는 아들과 딸의 과목 성적을 변경하고자 올 2월까지 18개월 동안 노스웨스턴 리하이 교육청의 컴퓨터 시스템에 110번 접근한 혐의를 받고 있다.   베투스토의 성적 조작은 매우 미묘하게 일어났다. 예를 들면, 아들의 경우 98%에서 99%로 바뀌었고 딸의 ‘보건’ 등급이 F에서 M으로 변경됐다.      베누스토는 직원 계약서 및 기밀 직원 보고서와 관련된 수많은 파일들을 열람하고자 교육청의 인사시스템에도 접근했다.   이 같은 사실은 교사들이 암호를 받아간 베누스토가 컴퓨터 기반의 성적표에 특별한 관심을 보이는 것을 눈치채면서 이슈가 됐다.   교육감 메리 앤 라이트 박사는 "이 이슈에 대해서 완전히 알아낼 수 있을 때까지 의심스러운 비승인 접근이 있었던 3시간 동안 이메일, 학생 정보 시스템과 교육청 공유 드라이브가 차단됐다"라고 밝혔다.   이어 "해당 시스템이 직원과 학생, 학부모에게 다시 개방되기 전에 새로운 보안 툴을 설치했다"라고 전하는 한편, 정보가 불법적인 목적으로 사용되지는 않은 것으로 보인다고 전했다.   라이트 박사는 "재발을 막기 위해서 최선을 다하고 있으며, 새로운 보안 절차가 이러한 시도로부터 시스템을 더 안전히 지켜줄 것이라고 생각한다"라고 덧붙였다.   한편, 베누스토는 6번의 컴퓨터 남용과 컴퓨터 불법 침해 혐의를 받았으며, 3만 달러의 보석금을 내고 풀려났다. ciokr@idg.co.kr

비밀번호 성적 위조 2012.07.25

IDG 블로그 | iOS 6의 비밀번호 입력 간소화, “엄청난 실수”

애플의 다음 운영체제인 iOS 6에서 무료 앱을 다운로드 받을 때 비밀번호를 입력하지 않아도 될 것이라는 보도가 잇따르고 있다. 만일 애플이 iOS 6를 정식으로 출시하기 전에 이것을 수정하지 않는다면, iOS 기기의 보안에 큰 영향을 주게 될 것이다.   iOS는 더 안전한 모바일 플랫폼으로 인정받아왔다. 애플 앱 스토어의 폐쇄된 정원과 앱이 반드시 통과해야 하는 철저한 감독은 다른 운영체제에는 없는 보안을 제공했다.   그러나 이번 경우 애플은 보안 대신 편의를 택한 것으로 보인다. 이것은 애플과 모든 iOS 사용자들을 고생시키는 결정이다.   엔서클(nCircle)의 보안 운영 책임자인 앤드류 스톰은 “무료 앱 다운로드시 비밀번호 인증을 없애는 결정은 애플이 보안에 대해서 소비자들에게 책임을 지우는 또 다른 예일 뿐이며, 잘해도 항상 위험했다”라고 지적했다.   필자의 아이폰과 아이패드는 모두 비밀번호로 보호되어 있다. 하지만 iOS 디바이스의 비밀번호를 풀어놓은 상태로 놔두거나 다른 사람이 어떤 이유에서건 빌려갔을 경우, 최소한 필자 몰래 앱을 설치하는 것은 방지할 수 있었다. 애플 ID 비밀번호를 입력해야 하기 때문이다.   일반적으로 말해서 필자가 가장 걱정하는 것은 내 아이들이 아이폰이나 아이패드에 바보 같은 무료 게임을 잔뜩 설치해놓는 것이다. 하지만 더 안 좋은 가능성도 존재한다. 예를 들어서, 스토커 같은 사람이 내 기기에 접근해서 필자의 이동 경로를 추적하기 위해 파인더+(Finder+) 같은 앱을 설치할 수 있다.   인정한다. 앱이 설치되면 눈에 보인다. 기기에 설치되어 있는 앱을 볼 수 있다. 그렇지만 앱을 잘 보이지 않도록 폴더 속에 넣어놓으면 한 동안 주인이 모를 수도 있다.   또한 iOS 기기에 대한 교활한 피싱 공격에 문을 더 열어주기도 한다. ...

비밀번호 iOS 6 애플 2012.07.25

야후 이메일 및 비밀번호 45만 건 유출

한 해커 그룹이 목요일 야후 서비스 중 하나와 관련 있는 데이터베이스를 훔쳐 인터넷에 45만 3,000건의 로그인 정보를 공개했다.   “D33Ds 컴퍼니(the D33Ds Company)”라고 불리는 이 해커 그룹은 야후의 하위 도메인에서 찾은 SQL 인젝션(SQL injection) 취약점을 악용해 데이터베이스를 빼냈다.   해커들은 “더 이상의 손해를 방지하기 위해서 이 하위 도메인과 취약한 변수들을 공개하지 않았다”라고 전했다.   유출된 정보에는 텍스트 형식인 45만 3,492개의 이메일 주소와 비밀번호뿐만 아니라, MySQL 서버 변수와 데이터베이스 테이블 및 칼럼 명이 포함되어 있다.   유출된 로그인 정보에는 yahoo.com 이메일 주소뿐만 아니라, 다른 공공 혹은 개인 이메일 제공업체들의 주소도 있다. 보안업체 유로시큐어(Eurosecure)의 CTO인 안드레스 닐슨은 데이터를 분석한 결과, 유출된 정보에서 가장 많은 이메일 주소가 yahoo.com, gmail.com, hotmail.com, aol.com이라고 전했다.   이어 “가장 흔한 비밀번호는 123456으로 1,666명이 사용하고 있었고, 그 다음은 ‘password’로, 780명이 사용했다. 그리고 ‘password’는 1,373개 비밀번호의 기본 단어였다”라고 전했다.   해커들은 공격한 야후 하위 도메인이 무엇인지 밝히지 않았지만, 보안업체 트러스티드섹(TrustedSec)의 CEO인 데이브 케네디는 유출된 데이터에서 발견된 호스트 명을 봤을 때, 이 서비스는 야후에서는 어소시에이티드 콘텐츠(Associated Content)라고 공식적으로 알려져 있는 사용자 제작 콘텐츠 라이브러리인 야후 보이스(Yahoo Voice...

야후 해킹 유출 2012.07.13

영원한 기업 보안의 취약 지대, '취약 비밀번호'

애완견 이름이나 좋아하는 영화를 딴 비밀번호는 '금물'이다.    최근 미국 유타주에서는 25만 5,000명의 사회보장번호(Social Security Number)가 누출되는 데이터 침해 사고가 있었다. 이는 매번 반복되고 있지만, 동시에 과소평가되고 있는 위험 가운데 하나를 상기시켰다.    다름아닌 취약 비밀번호 및 기본 비밀번호에서 비롯되는 위험이다.   미국 유타주 IT 당국에 따르면, 미국 보건부(Department of Health)의 메디케이드(Medicaid) 서버 침입 사고는 누출된 데이터를 호스팅하고 있는 서버 인증 계정의 설정 오류 때문이었다.   많은 보안 분석가는 데이터가 유출된 서버가 기본 값에 해당하는 관리자 비밀번호나 추측이 쉬운 비밀번호를 사용하고 있었다는 사실을 주 정부가 완곡하게나마 인정한 것이라고 분석했다. 공격자들은 이런 취약성을 이용해, IT 관리자가 서버 데이터를 보호하기 위해 설치해둔 경계와 네트워크, 애플리케이션 단계의 보안 계층을 우회할 수 있었다.   사실 쉽게 예방할 수 있는 실수다. 그러나 놀랄 만큼 자주 간과하곤 하는 실수다.   지난 3월, 미국 에너지부(DoE) 감독국은 태평양 북서부 지역의 전력 유틸리티 기업을 대상으로 도매 전력의 약 30%를 공급하는 BPA(Bonneville Power Administration)의 정보 보안 감사 결과를 발표했다. 감독국은 재무, HR, 보안 관리를 지원하는 9개 애플리케이션의 취약성을 조사했고, 그 결과 11개 서버가 아주 추측이 쉬운 비밀번호를 사용하고 있다는 사실을 밝혀냈다.   취약 비밀번호는 공격자들이 시스템에 완벽하게 접근할 수 있는 취약성이었다. 네 개 서버는 원격 사용자가 접속해 공유 파일을 변경할 수 있도록 설정이 되어 있었다. 또 한 개 서버의 관...

비밀번호 기업 보안 2012.04.19

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다.   > ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②   미신 No. 1 “보안은 강화하면 할수록 좋다?” 컴퓨터 보안 전문가 브루스 슈나이어는 그의 가장 최신작 “라이어 앤 아웃라이어(Liars and Outliers)”를 포함해 여러 권의 책을 쓴 저술가다. 그는 “보안에 관해서는 아무리 주의를 기울여도 모자라다”라는 통념이 사실은 정답에서 한참 빗나간 생각이라고 지적했다. 그의 말이다.   “보안을 강화하는 것이 반드시 더 나은 방법이라고 할 수는 없다. 보안을 유지하는 데는 언제나 대가가 따르기 때문에, 그럴 만한 가치가 없는 일에 지나치게 많은 돈을 들여 보안을 할 필요는 없다. 예를 들면, 도넛 하나를 지키기 위해 10만 달러라는 돈을 쓸 필요는 없을 것이다. 물론, 그 돈을 쓰면 도넛을 안전하게 지킬 순 있겠지만, 차라리 그 돈으로 도넛을 여러 개 사는 편이 나을 것이다.”   그는 또, “부가적인 보안에 따른 수익은 점점 줄어들 수 밖에 없다. 예를 들어, 상점 절도와 같은 특정 범죄 발생률을 25% 가량 줄이기 위해 드는 비용은 언제나 일정하지 않고 시간이 갈수록 늘어나게 된다. 그 다음 번에 똑같이 범죄 발생률을 25% 낮추려면 더 많은 돈을 써야 한다. 보안도 이와 마찬가지로, 결국 언젠가는 부가적인 보안 조치가 효과가 없어지는 시점이 오게 된다. 따라서, 완벽한 보안이란 필연적으로 불가능한 일이다”라고 덧붙였다.   경우에 따라서 보안은 도덕적인 선택으로...

맬웨어 디도스 비밀번호 2012.02.17

IDG 블로그 | 원숭이, 용, 야구의 공통점은?...2011년 최악의 비밀번호 25선

아마 사람들은 123456과 같은 비밀번호와 매우 정교하게는(?) 12345678를 많이 사용하는데, 이는 너무 확실하기 때문에 해커들이 추측하지 못할 것이라고 생각하는가 보다.    어째든 패스워드 관리 및 모바일 앱 제조업체인 스플래시데이터가 최근 2011년 최악의 25개 비밀번호 리스트 발표하면서 그들이 가장 예측하기 쉬운 몇 가지 괴짜 비밀번호를 제공했다.     우리는 올해 약한 비밀번호에서 악성코드를 위한 어떤 패치에도 살아남는 모토(the Morto) 웜 바이러스와 같은 것들을 봐왔다.   연구원들은 알고리즘과 다른 기술들을 사용해 좀더 강력하게 비밀번호를 자동화하기 위해 최선을 다하고 있다. 다음에서 이런 작업이 왜 필수적인지 알 수 있을 것이다.     1. password (아마 내년에도 1위 자리를 내주지 않을 듯) 2. 123456 (password와 쌍벽을 이루는 비밀 번호) 3. 12345678 (12345678에서 한 단계 업그레이드?) 4. qwerty (키보드 자판 왼쪽부터 순서대로) 5. abc123  6. monkey 7. 1234567 (이게 왜 12345678 보다 밑에 있는지 짝수 비밀번호가 대세인가?) 8. letmein (나를 안에 들어가게 해 줘) 9. trustno1  10. dragon  11. baseball (미국에서는 야구가 축구보다 대세) 12. 111111  13. iloveyou 14. master 15. sunshine 16. ashley 17. bailey  18. passw0rd (알파벳 o를 숫자 0으로 대체) 19. shadow 20. 123123 21. 654321 22. ...

비밀번호 password 2011.11.21

구글 계정을 안전하게 만드는 법

최근 이어지고 있는 이메일 계정 해킹 때문에 피해를 보는 사례가 늘어나고 있다. 특히, 지메일 계정의 경우에는 지메일 비밀번호만 알면, 사용자의 구글 문서도구, 애드워즈(AdWords) 캠페인, 개인 구글 캘린더 등 거의 모든 구글 서비스에 접근할 수 있다는 의미이다. 또한, 구글 앱스를 사용하고 있다면, 회사에 위협을 가할 수도 있다.   다행스럽게도 구글은 가능한 사용자의 계정을 안전하게 지키기 위한 노력을 계속하고 있다. 구글의 자체 보안 체크리스트를 확인하고, 다음의 조언에 각별히 신경쓰길 바란다.   1. 서트파티 및 브라우저 확장 기능의 업데이트를 확인하라 구글 계정에 접근할 수 있는 브라우저 플러그인, 확장기능, 애플리케이션을 확인해야 한다. 특히, 구글은 이 부분에 대한 언급을 하지 않기 때문에 더 주의를 기울여야 한다.   인터넷 익스플로러 인터넷 익스플로러의 지원 페이지에서는 보안을 위한 여러 도움말을 볼 수 있다. 서드타피 확장 기능을 완전히 사용하고 싶지 않다면, 도구>인터넷 옵션>고급에서 ‘검색’ 아래에 있는 ‘타사의 브라우저 확장 기능 사용* 부분의 체크를 해제한다. 적용을 위해서는 브라우저를 재시작 해야 한다.   파이어폭스 파이어폭스 플러그인 체크 웹사이트에 방문하면 파이어폭스 플러그인을 확인하고, 이 제품들이 최신인지 표시해준다.   구글 크롬 구글은 크롬 확장 기능 개발자들에게 확장 기능에 자동 업데이트를 포함시키도록 하고 있다.   2. 비밀번호를 자주 바꿔라 우리 대부분은 이런 간단한 조치를 취하지 않는다. 구글 계정뿐만 아니라 우리가 사용하는 모든 계정이 해당된다. 비밀번호 변경에 대한 규칙은 없으나, 필자는 해킹 사고를 당한 후 한 달에 한 번씩 변경하고 있다.   3. 2단계 인증을...

구글 지메일 계정 2011.08.31

“내 정보 안전은 직접!” 간편한 비밀번호 관리 팁

인터넷이 생겨나기 이전까지, 비밀번호가 우리의 삶에 미치는 영향이란 미미했다. 한번 생각해 보라. ATM 개인 식별 번호를 제외하면, 기억해야 할 중요한 암호가 있었나? 아마 그렇지 않았을 것이다. 그러나 이제, 우리는 비밀번호를 입력하지 않고는 링크 하나도 마음대로 클릭하지 못한다. 이는 구글 문서도구(Google Docs)나 민트 닷컴(Mint.com)과 같은 대형 서비스뿐 아니라, 지역 도서관이나 기업 인트라넷 등의 보다 작고 개인적인 성격의 사이트에 역시 해당되는 현상이다. 어디엔가 들어가길 원하는가? 비밀번호를 입력하라.   대부분의 사용자들에게, 이러한 현실은 두 가지의 고민을 야기한다. 하나는 해커로부터 안전하면서, 또한 기억하기도 쉬운 비밀번호를 만드는 것이고, 두 번째는 이를 안전하고 편리하게 관리하는 것이다. (당신이 각기 다른 비밀번호 모두를 기억하는 것은 당연히 불가능하다. 때문에 이들 간에는 불가피하게 구조화가 이루어질 수 밖에 없다)   이것이 바로 많은 사용자들이 비밀번호 관리 작업에 있어 실수를 저지르는 지점이다. 다행히도, 불안한 습관을 바꾸는 것은 그리 어려운 작업이 아니다. 초보자들을 위해, 안전한 비밀번호를 구성할 방법에 관하여 살펴보겠다.   안전한 문자 지난해, 해커들은 기즈모도(Gizmodo)나 라이프해커(Lifehacker) 등의 유명 고커 웹사이트(Gawker website)에서 수백, 수천 개의 비밀번호를 해킹하고, 이를 온라인에 공개했다. 월 스트리트 저널(The Wall Street Journal)은 이 비밀번호들을 분석하여 이들 중 대다수는 비밀번호라고 부를 수도 없는, 다음과 같은 것들 이라는 사실을 발견했다. 123456 password 12345678 lifehack qwerty   정말이지 부끄러운 일이 아닐 수 없다. 이것이 끝이 아니다. 2009년 보안 전문 업체인...

프라이버시 웹사이트 비밀번호 2011.08.05

“아이폰에 저장된 비밀번호, 6분만에 털린다”

독일의 연구원들이 잠긴 아이폰에 저장된 비밀번호를 6분 만에 밝혀낼 수 있다고 주장했다.   아이폰을 가지고 있으면 가능한 이 공격은 애플의 비밀번호 관리 시스템인 키체인(keychain)을 노린 것이다. 프라운호퍼 SIT(Secure Information Technology) 연구원들은 아이폰이나 아이패드를 잃어버리거나 도난 당하면, 아이폰이 잠겨있어도 내장된 네트워크와 회사 정보 시스템에 액세스 하기 위한 비밀번호가 드러날 수 있다고 설명했다.   이것은 기기가 잠겨있어도 대부분의 iOS 파일 시스템에 엑세스할 수 있도록 하는 익스플로잇(exploits)을 이용한 것이다.   동영상 시연에서 연구원들은 먼저 현존하는 소프트웨어 툴을 이용해서 아이폰을 제일브레이크(jailbreak)했다. 그 후에 소프트웨어가 아이폰에서 구동되도록 하는 SSH 서버를 설치했다.   세 번째 단계는 키체인 액세스 스크립트를 아이폰에 복사하는 것이다. 이 스크립트는 이미 아이폰에 있는 시스템 기능을 이용한다. 마지막 단계는 계정 정보를 꺼내는 것이다.   연구원들은 이 공격은 현재 iOS 기기들의 암호 키가 기기 내에서 이용할 수 있는 도구에 기반하고 패스코드에 독립적이기 때문에 유효하다고 설명했다. 이것은 아이폰에 접근할 수 있는 공격자들이 암호나 비밀 패스코드를 해킹하지 않고도 갖고 있는 아이폰에서 키를 생성할 수 있다는 것을 의미한다.   이 공격을 이용해서 연구원들은 키체인에 액세스해서 비밀번호를 풀 수 있었다. 전체 비밀번호를 풀 수 있는 건 아닌데, 여기서 드러나는 비밀번호는 MS 익스체인지 계정으로 등록된 구글 메일과 다른 MS 익스체인지 계정, LDAP 계정, 음성 사서함, VPN 비밀번호, 와이파이 비밀번호, 그리고 일부 애플리케이션의 비밀번호였다.   연구원들은 “공격자들이 아...

아이폰 비밀번호 2011.02.11

스마트한 사람들의 일곱 가지 IT 습관

체중을 줄이거나 금연을 하는 등의 새해 결심을 지키는 것은 쉽지 않은 일이다. 하지만 그리 어렵지 않게 스마트한 사람이 되는 방법은 있다. 돈도 절약되고 매일 사용하는 기술을 최대한 이용할 수도 있는 몇 가지 아이디어를 살펴보자.   1. 버라이즌 아이폰으로 교체하기 전에 심사 숙고한다 AT&T의 부실한 서비스와 아이폰에 대한 형편없는 지원에 누구보다도 맹렬한 비난을 퍼부었던 필자이지만, 그렇다고 버라이즌의 아이폰을 무턱대고 환영할 수는 없다. 다음과 같은 질문에 대한 대답에 만족할 때가지 버라이즌의 아이폰으로 바꾸지 말기 바란다.   - AT&T와의 계약기간이 얼마나 남았는가? 계약기간이 끝나기 전에 계약을 취소하면 수백 달러의 위약금을 두들겨 맞을 수 있다. 꼭 새로운 아이폰을 사야 할 경우가 있다. AT&T 네트워크에서 작동하는 모델은 버라이즌 네트워크에서는 작동하지 않는다.   - 버라이즌 아이폰이 집이나 사무실에서 얼마나 잘 작동하는가? 다른 모든 이동통신업체와 마찬가지로 버라이즌의 무선 기지국 네트워크와 서비스는 어떤 장소에서는 다른 곳보다 양호할 수 있다. 이미 버라이즌 아이폰을 사용하고 있는 친구가 있으면, 가장 자주 사용할만한 장소에서 시험 통화를 해 보는 것이 좋다.   - 아이폰에서 멀티태스킹 기능이 없어져도 괜찮은지 스스로에게 물어보라. 많은 비난을 받고 있는 이 기능에 대한 AT&T의 네트워크 지원을 버라이즌은 제공하지 않는다. 이는 사용자가 전화를 하면서 웹에서 다른 작업을 할 수 없다는 것을 의미한다. 앞으로 버라이즌이 이 문제를 해결하겠지만, 현재는 그렇지 못하다.   - 실험 대상자가 되어도 괜찮은가? 버라이즌 네트워크가 데이터에 목마른 신규 가입자들의 재촉에 어떻게 대처하는지 두어 달 지켜본다.   2. 통신요금 청구서를 꼼꼼히 살펴...

아이폰 배터리 비밀번호 2011.01.13

고커(Gawker) 사건으로 본 6가지 비밀번호 보안 팁

독일에는 샤덴프로이데(Schadenfreude)란 말이 있다. 남의 불행에 기쁨을 느끼는 심리를 나타내는 말이다. 상대방을 신랄하게 비난하고 자아도취에 빠진 사이트들만을 모아 놓은 웹 사이트인 고커(Gawker)가 해킹을 당했을 때 필자는 은근히 짜릿한 느낌을 받았다. 하지만, 필자가 그다지 능숙한 기술자도 아닌 해커 때문에 120만 명의 비밀번호 정보가 유출되어 웹 상에 공개된 사건을 걱정하지 않는 것은 아니다.   최소한, 고커 사이트 공격은 웹을 사용하는 사용자에게 교훈을 주었으며, 대통령은 이를 "우리를 일깨우는 순간"이라 칭하고 싶을 것이다. (누출된 비밀번호 중 두 개는 whitehouse.gov 도메인과 연관되었다.)   교훈 1: 여러 사이트에서 동일한 비밀번호를 사용하지 마라   고커 유저에게 발생할 수 있는 최악의 사태는 아무도 신경 쓰지 않을 거짓 코멘트를 달 수 있다는 것이다. 하지만 듀오 시큐리티(Duo Security)의 공동 창업자인 존 오베르헤이드(Jon Oberheide)는 "해커는 이메일 계정, 온라인 뱅킹 사이트, VPN 원격 액세스 로그인 등 개인적이고 공적인 서비스에 대한 비밀번호 크래킹을 테스트할 것이다" 라고 블로그 포스트에서 언급했다.   듀오의 기술자들은 고커 파일을 다운로드 받고 1시간 만에 19만 개의 비밀번호를 해킹했다. 듀오는 이메일 주소나 사용자 이름을 제외하고, 이 사이트에서 가장 일반적으로 사용되고 있는 비밀번호 25개를 게시했다.   교훈 2: 많은 복잡한 비밀번호를 사용하라   예를 들어, “123456”을 비밀번호로 사용한 고커 계정 사용자들은 2,516명이었다. 다른 2188명은 "password"를 비밀번호로 사용했다. 이상적인 비밀번호는 대문자와 소문자, 숫자 및 기호(예를 들면, ...

보안 비밀번호 고커 2010.12.22

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.