기존 패스워드 관리 문제점, 주기마다 암호 변경 등 기존 방식은 보안위협 존재
오토패스워드, 먼저 암호 제시해 접속 웹사이트 가짜인지 아닌지 확인
사용자, 스마트폰 앱 통해 온라인 서비스가 제시한 암호 맞는지 확인하면 돼
[보안뉴스 김경애 기자] 매해 5월 첫째주 목요일은 ‘세계 패스워드의 날(World Password Day)’로, 올해는 5월 4일이다. 세계 패스워드의 날은 전세계적으로 올바른 암호 보안의 중요성을 알리고 강력한 패스워드를 통한 보안 강화를 독려하기 위해 기념하고 있다.
그러나 패스워드 관리는 여전히 허술하기 그지없다. 특히 업무용 컴퓨터, 기업 서버, 다양한 비즈니스 웹서비스에는 지정한 사용자 이외에 아무나 접근할 수 없게 관리해야 하는 보안규정이 있지만 제대로 관리되지 못하고 있는 실정이다.
[이미지=이스톰]
아이디와 암호를 입력할 때 누군가가 엿볼 수 있고, 특정 주기마다 암호를 변경하다 보면 책상 위에 적어 놓거나 기억하기 번호를 사용해 보안 위협이 늘 존재하게 된다. 또한, 부득이한 상황에 동료에게 암호를 알려주다 보면 규정을 준수하기조차 쉽지 않다. 만약 이런 상황에서 해당 시스템에서 보안사고라도 발생하게 되면 누가 사고를 일으켰는지 입증하기도 어렵다.
좀더 효율적인 패스워드 관리가 필요하다는 얘기다. 이와 관련해 기술적 측면에서 Auto Password(자동 암호) 기술이 주목되고 있다. 오토패스워드(Auto Password)는 패스워드 대체 기술로 사용자가 온라인 서비스나 업무 시스템 또는 PC나 서버 등에 접속할 때 아이디만 입력하면 서비스 쪽에서 일회용 비밀번호를 먼저 제시한다. 사용자는 스마트폰 앱을 통해 온라인 서비스가 제시한 암호가 맞는지만 확인하면 된다.
오토패스워드는 서비스가 먼저 암호를 제시해 접속한 웹사이트나 서비스, 장비가 가짜인지 아닌지를 먼저 확인한다. 사용자는 패스워드를 외우거나 입력할 필요가 없다. 사실상 패스워드 없이도 안전하게 온라인 서비스를 이용할 수 있는 셈이다. 따라서 패스워드를 주기적으로 변경하거나 복잡한 규칙을 정할 이유가 없다.
이스톰 김효동 실장은 일회용 비밀번호 인증 기술에 대해 “사용자를 확인할 수 있는 대역외 서비스 인증 기술(Out-of-Band Server Authentication)로 자동 암호에 기반한 PC 및 업무 시스템 통합 로그인 솔루션을 통해 편리성과 보안성을 동시에 강화함으로써 사용자 인증체계를 개선할 수 있다”며 “클라이언트 프로그램이 설치된 컴퓨터와 API가 연동된 웹서비스는 자동 암호를 생성해 사용자에게 제시할 뿐만 아니라, 사용자가 자동 암호를 확인하는 과정에서 사용자 암호까지 변경한다”고 설명했다.
이는 PC, 서버의 접근관리, 웹서비스 접근관리에 안전하게 사용될 수 있도록 하는 RESTful API와 OAuth 2.0 방식 때문이다. 인증부터 SSO(Single Sign On)까지 가능한 API로 업무 시스템에 싱글 인증체계를 확립할 수 있다.
보안성 강화는 △사용자별 PC, 애플리케이션 접근 대상 및 권한 설정 △사용자별 PC 내 애플리케이션에 대한 자동 로그인 방식 개별 설정 △사용자별 PC 및 업무 시스템 이용 이력 등의 로그 관리 △전사 캠페인을 위한 바탕화면 설정 및 스크린 세이버 설정으로 보안을 강화할 수 있다.
이스톰 김효동 실장은 “모바일 기반 접근관리는 사용자 암호 대신 자동 암호를 사용해 사용자의 인증값이 탈취되지 않도록 보안성을 높일 수 있다”며 “사용자가 로그온 할 때마다 자동으로 컴퓨터와 웹서비스의 암호가 매번 변경되어 사용자는 암호 관리로부터 해방된다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
오토패스워드, 먼저 암호 제시해 접속 웹사이트 가짜인지 아닌지 확인
사용자, 스마트폰 앱 통해 온라인 서비스가 제시한 암호 맞는지 확인하면 돼
[보안뉴스 김경애 기자] 매해 5월 첫째주 목요일은 ‘세계 패스워드의 날(World Password Day)’로, 올해는 5월 4일이다. 세계 패스워드의 날은 전세계적으로 올바른 암호 보안의 중요성을 알리고 강력한 패스워드를 통한 보안 강화를 독려하기 위해 기념하고 있다.
그러나 패스워드 관리는 여전히 허술하기 그지없다. 특히 업무용 컴퓨터, 기업 서버, 다양한 비즈니스 웹서비스에는 지정한 사용자 이외에 아무나 접근할 수 없게 관리해야 하는 보안규정이 있지만 제대로 관리되지 못하고 있는 실정이다.
[이미지=이스톰]
아이디와 암호를 입력할 때 누군가가 엿볼 수 있고, 특정 주기마다 암호를 변경하다 보면 책상 위에 적어 놓거나 기억하기 번호를 사용해 보안 위협이 늘 존재하게 된다. 또한, 부득이한 상황에 동료에게 암호를 알려주다 보면 규정을 준수하기조차 쉽지 않다. 만약 이런 상황에서 해당 시스템에서 보안사고라도 발생하게 되면 누가 사고를 일으켰는지 입증하기도 어렵다.
좀더 효율적인 패스워드 관리가 필요하다는 얘기다. 이와 관련해 기술적 측면에서 Auto Password(자동 암호) 기술이 주목되고 있다. 오토패스워드(Auto Password)는 패스워드 대체 기술로 사용자가 온라인 서비스나 업무 시스템 또는 PC나 서버 등에 접속할 때 아이디만 입력하면 서비스 쪽에서 일회용 비밀번호를 먼저 제시한다. 사용자는 스마트폰 앱을 통해 온라인 서비스가 제시한 암호가 맞는지만 확인하면 된다.
오토패스워드는 서비스가 먼저 암호를 제시해 접속한 웹사이트나 서비스, 장비가 가짜인지 아닌지를 먼저 확인한다. 사용자는 패스워드를 외우거나 입력할 필요가 없다. 사실상 패스워드 없이도 안전하게 온라인 서비스를 이용할 수 있는 셈이다. 따라서 패스워드를 주기적으로 변경하거나 복잡한 규칙을 정할 이유가 없다.
이스톰 김효동 실장은 일회용 비밀번호 인증 기술에 대해 “사용자를 확인할 수 있는 대역외 서비스 인증 기술(Out-of-Band Server Authentication)로 자동 암호에 기반한 PC 및 업무 시스템 통합 로그인 솔루션을 통해 편리성과 보안성을 동시에 강화함으로써 사용자 인증체계를 개선할 수 있다”며 “클라이언트 프로그램이 설치된 컴퓨터와 API가 연동된 웹서비스는 자동 암호를 생성해 사용자에게 제시할 뿐만 아니라, 사용자가 자동 암호를 확인하는 과정에서 사용자 암호까지 변경한다”고 설명했다.
이는 PC, 서버의 접근관리, 웹서비스 접근관리에 안전하게 사용될 수 있도록 하는 RESTful API와 OAuth 2.0 방식 때문이다. 인증부터 SSO(Single Sign On)까지 가능한 API로 업무 시스템에 싱글 인증체계를 확립할 수 있다.
보안성 강화는 △사용자별 PC, 애플리케이션 접근 대상 및 권한 설정 △사용자별 PC 내 애플리케이션에 대한 자동 로그인 방식 개별 설정 △사용자별 PC 및 업무 시스템 이용 이력 등의 로그 관리 △전사 캠페인을 위한 바탕화면 설정 및 스크린 세이버 설정으로 보안을 강화할 수 있다.
이스톰 김효동 실장은 “모바일 기반 접근관리는 사용자 암호 대신 자동 암호를 사용해 사용자의 인증값이 탈취되지 않도록 보안성을 높일 수 있다”며 “사용자가 로그온 할 때마다 자동으로 컴퓨터와 웹서비스의 암호가 매번 변경되어 사용자는 암호 관리로부터 해방된다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
