Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

Nist

글로벌 칼럼 | 최고의 비밀번호에 대한 권장사항 "뜨거운 논쟁"

짧지만 크랙이 가능한 비밀번호와 길고 복잡해서 재사용할 확률이 높은 비밀번호. 이 둘 가운데 좋은 비밀번호는 무엇일까. 이에 대한 논쟁이 격렬하다. Credit: Getty Images Bank NIST(National Institute of Standards and Technology)는 몇 년 전 리뷰 목적에서 'SP 800-63 디지털 ID 가이드라인(Digital Identity Guidelines)'을 발행했다. 이후 컴퓨터 보안 업계는 이 기관이 새롭게 제안한 비밀번호 관련 정책을 놓고 뜨겁게 논쟁하고 있다. NIST의 비밀번호 정책에 대한 권장 사항이 수십 년 동안 유지된 '권장사항(조언)'과 대척점에 있기 때문이다. 현재 NIST의 권장사항 중 가장 두드러진 내용을 요약하면, NIST는 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 사용자와 기업에 초래하는 위험을 높인다고 주장한다. 비밀번호를 기억하기 어려워 여러 관련 없는 보안 도메인에 중복 사용하고, 그 결과 동일한 비밀번호를 중복 사용한 다른 도메인에 대한 침해가 쉬워진다는 이유에서다. 지난 20년 간 탈취한 로그인 크리덴셜을 이를 중복 사용한 다른 관련 없는 여러 보안 도메인에서도 이용해 발생한 침해 사고들이 있었으며, 이런 사고 사례가 NIST의 주장에 힘을 실어준다. 사용자가 다른 장소에서 사용한 크리덴셜을 다시 사용한 결과로 침해가 발생한 기업과 웹사이트가 아주 많다. 그러나 수십 년 동안 유지된 기존 '베스트 프랙티스'를 뒤집기 힘들다. 특히, 일반적으로 사람들이 사용하기 좋아하는 비밀번호는 며칠 이내로 크랙이 가능한 때가 많지만, 길고 복잡한 비밀번호는 몇 년을 버틸 수 있다. 그리고 현재 기업과 기관에서 비밀번호 변경을 요구하는 90일이라는 기간 내에는 불가능하다. 여기에 더해, HIPAAA와 SOX, PCI-DSS, NERC, CIS 등 주요 컴퓨터 보안 규정/가이드 라인들이 비밀번...

패스프레이즈 비밀번호 Nist 2018.09.21

글로벌 칼럼 | "자신의 비밀번호는 얼마나 안전한가" 기업이 따라야 할 실전 규칙

미국 국립표준기술연구소(NIST)가 비밀번호 지침을 바꾼 것은 늦었지만 반가운 조치였다. 기존 지침은 숫자, 문자, 특수 문자를 섞어 주기적으로 바꾸라고 권장했는데 보안 연구원들은 이를 비판했다.  Credit: Ben Patterson / IDG 새로 나온 지침을 검토해 본 결과, 매우 흔한 공격에 대한 설명이 없다는 점이 특징이다. 간단히 말하면 NIST 지침은 대부분의 계정 인증을 비밀번호에만 의존하는 사람들을 더욱 취약하게 만들고 있다. NIST 지침의 대부분은 비밀번호가 아닌 토큰 인증과 같은 다른 인증 방식에 집중하고 있다. 인증에 비밀번호만 사용하는 것은 낮은 수준의 계정에서만 허용된다. 이것은 보통 위험에 따른 결정이지만 현실은 대부분의 계정이 비밀번호만 사용하는 인증에 의존하고 있다. 비밀번호 강도 비밀번호 관련해서 바뀌지 않은 것은 사전 등재 단어와 같이 짐작하기 쉬운 비밀번호는 허용되지 않는다는 점이다. 아무 비밀번호나 짐작해서 무차별적으로 시도하는 사람들을 차단하기 위해 로그온 시도 속도에 제한을 둬야 한다고 명시되어 있기는 하다. 그러나 이는 가장 짜증스러운 비밀번호 보안 기능 가운데 하나이며 공격을 멈추기보다는 합법적인 사용자를 차단하는 경우가 훨씬 많다. 누구나 반길 만한 중요한 변화는 비밀번호가 짐작하기 쉬운 단어가 아닌 한 특수 문자를 의무적으로 사용할 필요가 없다는 점이다. 새 지침에 따르면 주기적인 비밀번호 변경을 의무화하지 않을 것도 권장된다. 비밀번호를 자주 바꿀 필요가 없다는 점에서 괜찮아 보이기는 한다. 개인적으로는 특수 문자가 없는 것은 몰라도 추가적인 인증 방식이 없는 상태에서 비밀번호 변경마저 없는 것은 좀 아쉽다. 비밀번호 풀기 그렇다면 이 새로운 지침 중에서 얼마나 많은 부분이 기업의 비밀번호 정책에 적절할까? 이 질문에 답을 하기 위해서 먼저 계정이 대개 어떤 식으로 침해되는 살펴보자. 대부분의 인증 공격은 피싱 공격이나 탈취한 비밀번호 파일을 재...

암호 비밀번호 Nist 2017.09.05

"SMS 메시지 통한 2단계 인증 방식, 보안 위험 높아" NIST 새 권고안

SMS 메시지를 통한 2단계 인증이 과거의 유물이 될까? 미국 연방 기관이 IT 업체를 상대로 2단계 인증 사용 중단을 권고했다. 미국 표준기술연구원(The National Institute of Standards and Technology)는 월요일 업데이트된 디지털 인증 권고안 초안에서 SMS 메시지를 통한 2단계 인증 방식은 해커가 도중에 가로채거나 리다이렉트할 수 있어 보안에 취약하다고 말했다. 트위터, 페이스북, 구글, 많은 금융 회사 등이 휴대폰 기반 문자 메시지를 사용자 계정에 추가해 보안에 활용하고 있는 상황이다. 문자 메시지 기반 2단계 인증은 계정에 로그인하거나 거래를 진행할 때 일반적인 비밀번호뿐 아니라 웹 사이트에서 사용자 휴대폰 번호로 전송한 숫자를 입력하는 방식으로 이뤄진다. 일회성 비밀번호가 목적지에 정확히 도달해서 타인에게 노출되지 않는 것이 이상적이다. 그러나 해커의 공격을 피하기는 어렵다. 과거에는 맬웨어로 스마트폰을 감염시키고 SMS 메시지를 다른 기기나 특정 URL에 전송하는 방법이 사용됐다. 사용자 본인인 척 속이고 통신 업체가 다른 휴대폰 번호로 메시지를 발신하도록 하는 방법도 있다. 미국 표준기술연구원은 인터넷 전화(VoIP) 등 소프트웨어 기반 서비스에 연결된 휴대전화번호도 해킹에 취약하다며, IT 업계가 더 안전한 대안을 강구해야 한다고 밝혔다. 보안이 강화된 스마트폰 앱으로 일회용 비밀번호를 전송하는 방안도 포함된다. 예를 들어, 구글은 이미 구글 어센티케이터 앱으로 휴대폰 네트워크를 우회하고 스마트폰에 직접 코드를 생성하는 기능을 제공하고 있다. 미국 정부기관의 권고를 IT 업체들이 어떻게 받아들일지는 확실하지 않지만, 사이버보안 업체들은 지문 인식, 하드웨어 토큰 등 다양한 방식을 통해 더 개선된 보안 인증 방식을 도입하고 있다. 시큐어오스(SecureAuth)의 CTO 케이스 그레이엄은 미국 표준기술연구원의 제안을 긍정적으로 받아들였다. 시큐어오스는 해커들이 인증용 ...

SMS Nist 2단계인증 2016.07.28

양자 컴퓨터, 엄청난 보안 위협 야기…새로운 암호화 구조 필요

양자 컴퓨터가 오늘날 사용되고 있는 많은 암호화 방법을 무용지물로 만들 것이라는 사실은 잘 알려져 있다. 이에 미국 국립 표준 기술 연구소(NIST)가 이런 위협에 대처할 방안을 공개적으로 모집하고 나섰다. NIST는 최근 양자 환경에서의 암호화에 중점을 둔 보고서를 발표했는데, 보안 위협이 발생하기 전에 문제를 방지할 수 있는 장기적인 접근 방안을 설명하고 있다. NIST의 수학자 더스틴 무디는 “최근 양자 컴퓨터 관련 연구가 활발하게 진행되고 있으며, 주요 컴퓨터 업체부터 정부까지 모두가 자신들의 암호화 알고리즘이 이른바 “양자 방지(Quantum Resistant)”가 가능해지기를 바란다”라며, “따라서 만약 언젠가 누군가가 대규모 양자 컴퓨터를 구축한다면, 우리는 이것으로 깰 수 없는 알고리즘을 보유하고자 한다”고 설명했다. 암호화는 종종 보안을 보장하기 위해 큰 수를 인수분해하기 어렵다는 점에 의존하곤 한다. 하지만 최근 MIT 연구원들은 최초의 5원자 양자 컴퓨터가 이런 암호화 알고리즘을 깰 수 있다는 것을 시연해 보인 바 있다. 전통적인 컴퓨터가 0 또는 1로 숫자를 다루지만, 양자 컴퓨팅은 원자 규모의 양자 비트인 큐비트(Qubit)를 단위로 한다. 큐비트는 중첩으로 알려진 상태를 통해 0과 1을 동시에 나타낼 수 있기 때문에 효율성과 성능을 획기적으로 높일 수 있다. NIST 보고서의 권고안 중 하나는 조직이 이른바 “암호의 민첩성”에 중점을 두는 것이다. 어떤 알고리즘을 사용하고 있든지 신속하게 더 안전한 다른 알고리즘으로 전환할 수 있는 역량을 말하는 것으로, 더 안전한 알고리즘을 만드는 것은 좀 더 장기적인 목표이다. 이런 관점에서 NIST가 진행하고 있는 연구의 핵심 요소는 공개된 장에서 누가 먼저 새로운 암호화 방안을 고안해 시험하는지를 경쟁하도록 하는 것이 될 것이다. 유사한 대회가 디지털 메시지 인증에 사용되는 SH...

알고리즘 암호화 Nist 2016.05.04

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.