정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?

2차 인증 설정 시 타인에게 ID와 비밀번호 노출돼도 계정 접근 불가능

타인에 의한 로그인 시도 시 2차 인증 관련 메시지로 이를 인지하고 비밀번호 변경 등 대응 가능


타인이 로그인을 시도했다는 것은 결국 ID와 비밀번호 같은 계정정보가 노출돼 있다는 의미다. 이에 즉시 비밀번호를 변경하고, 동일한 계정정보를 쓰는 타사 서비스 역시 모두 찾아 변경했다. 2차 인증을 활성화해둔 덕분에 타인의 무단 접근 시도를 인지해 차단하는 등 신속하게 대응할 수 있었던 셈이다.


오늘날 우리가 사용하는 ID와 비밀번호는 안전하지 않다. 이미 다크웹에서는 쇼핑몰, 온라인 게임 사이트, 기업 이메일 등 수많은 인터넷 서비스에서 유출된 사용자 계정과 비밀번호가 유통되고 있다. 공격자는 이렇게 획득한 ID와 비밀번호를 해당 서비스뿐만 아니라 다양한 서비스에 입력해보면서 유효한 계정정보를 찾아낸다. 최근에는 이메일 계정을 ID로 회원가입을 하고, 사용자는 대부분 자신이 자주 쓰는 구글, 네이버 등의 이메일을 ID로 사용한다. 물론 비밀번호 역시 동일하게 쓰는 사람도 많다.


만약 웹 보안이 취약한 서비스에서 자신의 구글 이메일 주소를 ID로 하고, 동일한 비밀번호를 이용해 회원가입을 했다면, 결국 동일한 계정을 이용하는 다른 서비스까지 공격에 노출될 수 있다.


모든 서비스마다 비밀번호를 다르게 설정하는 것이 현명한 대응방법일 수 있지만, 현실적으로 불가능하다. 오늘날 우리는 비밀번호를 설정할 때 10자리 이상, 대소문자, 숫자, 특수문자 등을 포함할 것을 요구받으며, 짧게는 한 달마다 비밀번호를 바꿔야 한다. 이 때문에 오랜만에 서비스를 이용하려면 몇 번씩 비밀번호를 틀리다가 결국 ‘비밀번호 찾기’ 기능을 통해 재설정 후 로그인을 하는 경우도 허다하다.


이에 따라 단순히 비밀번호를 복잡하고 다양하게 만드는 것보다는 2차 인증(2단계 인증 혹은 MFA, 다요소 인증)을 이용하는 것이 더 안전하다. 2차 인증이란 기존 ID와 비밀번호 외에 추가적인 방식으로 본인을 인증하는 방식이다. 가령 로그인을 시도할 경우, 사용자가 사전에 등록해둔 스마트폰이나 이메일로 회용 비밀번호를 발송하고, 이를 함께 입력해야 최종적으로 로그인이 되는 방식이다. 최근에는 스마트폰 앱을 통해 지문이나 QR코드 촬영 등으로 인증하는 방식까지 적용하고 있어 과거보다 더 간편하면서도 안전하게 로그인 하는 것이 가능하다.




"정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?"

 

1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용

 

가장 중용한 것은 정보자산의 보안 강화를 위하여 "사용자 식별.인증을 위한 OTP 등을 활용한 2단계 인증체계를 설정"하는 것임.

 

2단계 인증은 정보자산에 로그인 시 아이디/비밀번호 외에 도 추가적인 인증(2차 인증) 수단을 이용하기 때문에 단순히 계정 정보가 유출된 것만으로는 공격자는 이를 악용할 수 없음.

 

2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 함.

 

2. 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 원격접속을 차단

 

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database,Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 원격으로 접속하는 것을 차단 해야 함.

 

3.분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용

 

사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 함.

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

15개의 댓글이 있습니다.

29일 전

좋은 정보 감사합니다. 참고 하겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

지금쯤이면 누구나 한 번쯤 ‘복잡한 비밀번호 생성 규칙’ 때문에 짜증이 나 본 적이 있을 것이다.

이는 ‘문제의 본질을 이해하지 못한 상태에서 나온 정책’의 폐해를 드러내는 사례다.

비밀번호를 강력히 해야 한다는 표면의 내용만을 가지고 사용자들에게 모든 부담을 전가하는 게 바로 이 ‘과도하게 복잡한 비밀번호 생성 규칙’이고, 사실 보안에 유의미한 도움이 되는 것도 아니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

또한, SMS 통한 인증코드 전달하는 방식을 본인이 직접 인증코드를 생성해서 입력하는 방식으로 개선하면 사이버 범죄를 예방하는 효과가 있다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다. 범죄자들 역시 피해자의 위치에 상관없이 공격을 감행한다. 직원 역시 고객임을 기억하는 것이 중요하다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

좋은정보 잘보았습니다. 감사합니다.

Reply

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

감사합니다.
비밀번호 없는 세상, 비밀번호에서 해방되는 세상이 되었으면 합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

좋은 정보 감사드립니다. 업무에 참고할 여지가 있는 것 같습니다.

Reply

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

감사합니다.
오늘도 즐겁고 행복한 시간 되시길......

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

비밀번호는 구조적으로 한계가 있을수 밖에 없습니다. 바이오인증. 문자인증등이 꼭 필요한 이유입니다.

Reply

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

네, 맞습니다.
이제는 비밀번호에서 해방되어야 합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

2차 인증은 필수 인듯 합니다
정보 참고 할께요

Reply

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

앞으로 어플리케이션 로그인할 때 사용하는 비밀번호는 없어지고,
2차인증 솔루션으로 대체될 것 같습니다.
감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

코로나19 사태 장기화가 사이버 보안 분야에도 영향을 미친다. 예전과 다른 형식의 보안위협이 등장하는 등 해커의 공격이 다양화한다.

코로나19로 백신에 대한 기대감이 커진 만큼 백신 연구를 노린 해킹도 급증했다. 주요 백신 연구 기관 및 제약 회사, 세계보건기구(WHO), 유럽의약청(EMA) 조직 및 관계자를 노린 위협이 줄을 이었다.

실제로 공공기관이나 기업 또는 지인으로 가장하거나, 업무 메일(이력서, 연말정산, 연봉계약서 등등)로 위장해 열람을 유도해 해킹 사이트로 접속하게 하는 해킹 메일이 판을 친다.

해커들은 코로나19 이슈를 악용해 사람들이 관심 있어 할 내용(치료법, 확진자 동선, 재난지원금 관련 등)으로 열람을 유도해 악성 프로그램을 전산망에 심기도 한다.

또한, 공공기관 및 일반기업이 서버, PC, 어플리케이션, 이메일 등에 정보자산의 보안 강화를 위한 2차 인증 솔루션인 BaroPAM을 도입한 이유이기도 합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전 | 주식회사 누리아이티 | 010-2771-4076

미국립표준기술연구소(NIST)가 최근 발표한 비밀번호 가이드라인에 따르면 주기적으로 비밀번호를 변경하는 것이 온라인 해킹 침해를 결코 막지 못한다고 한다. 주기적인 비밀번호 변경은 약한 비밀번호를 생성시킬 가능성이 높을 뿐만 아니라 사용자는 수십 개의 비밀번호를 기억하지 못해서 결국 어디엔 가는 써 놓게 된다는 것이다. NIST는 비밀번호 가이드라인 개정을 통해 비밀번호를 특수문자를 포함한 여러 문자로 조합하고 일정 기간마다 바꾸도록 하라는 강제요건을 삭제했다.

Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.

KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다.

구글이 곧 모든 구글 계정에 이중인증을 도입할 예정이다. 구글은 오래 전부터 비밀번호를 퇴출(비밀번호를 대체)시켜야 한다는 스탠스를 취해 왔었다. 이중인증 역시 그런 차원에서 도입하려는 것으로 보인다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 2달 전 | 주식회사 누리아이티 | 010-2771-4076

"비밀번호 없는 세상을 만들자!"라고 소개했던 것이 현실로 한걸음 다가 온 것을 느껴집니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입