며칠전 한 대학에서 접근통제 방법에 대하여 설명하던 중에 아이디와 패스워드에 대한 이야기가 나왔습니다. 오늘은 가장 많이 사용하고 있는 아이디와 패스워드에 대하여 쉽고 간편하게 알아 볼 수 있는 방법을 살펴 보고자 합니다. 보안에 어려움을 느끼는 분들이나 초보보안 관심자, 혹은 자신의 비밀번호가 안전한지 살펴보고자 하시는 분들은 참고 하시면 좋겠습니다. -주인백
1. 식별, 인증, 인가, 책임추적성
접근제어 중에서 가장 많이 사용하는 것이 바로 '식별'입니다. 즉, 아이디와 패스워드를 이용한 식별을 하는 것이지요. 최근에는 OTP(일회용패스워드)를 금융권등에서 많이 사용하고 있지만 아직도 대다수 웹사이트들은 아이디와 패스워드를 이용한 식별을 많이 하는 것이 현실입니다.
2. 취약한 패스워드로 계정 탈취
악의적인 목적을 가진 공격자는 취약한 패스워드를 이용하여 아주 손쉽게 계정을 탈취하게 됩니다. 이러한 계정 탈취는 또 다른 피해로 이어집니다. 최근 금융감독원 (2013.12.5) 보도자료에 따르면 무역대금 사기 피해사례가 증가하고 있다고 합니다.
1) 피해사례
경남에서 화훼를 수입판매하는 F사는 네덜란드소재 거래처(G사)와 2년간 거래관계를 유지하던 중, 최근 이메일을 통해 영국소재 은행에 신규로 개설한 계좌로 물품대금을 송금하도록 요청받음
◦ F사의 해외영업담당직원은 G사와 재차 이메일을 통해 동 사실을 확인한 후 신규계좌로 송금해도 괜찮다는 답변을 받았으며, 이후 두차례에 걸쳐 EUR 35,000를 송금
◦ 약 1개월 후 F사는 G사에서 수입대금을 받지 못했다는 연락을 받아 사실관계를 확인한 결과, 이메일 해킹에 의한 무역대금 사기피해 인지
이렇듯 메일을 통한 특정 기업을 타켓으로 하여 속이는 행위를 '스피어피싱' (Spear-phishing) 1이라고 합니다. 최신 보안관련하여 자주 언급되는 용어이기도 합니다. 이러한 사기 기저에는 모두 메일을 통한 사기가 대부분입니다. 즉, 누군가에 의해 계정 탈취가 되었고, 패스워드가 노출 되었다는 이야기가 되겠지요. 메일을 통하여 상대방인척 속이는 행위를 하였던 것입니다. 이제는 돈 거래에 대한 부분은 반드시 유선으로 확인 하는 절차를 가지는 것이 바람직합니다.
3. 패스워드 얼마나 안전한가? 그럼 당신의 패스워드는?
며칠전 KNN방송국에서 패스워드 관련하여 일반인도 쉽게 자신의 패스워드가 얼마나 취약한지를 확인해 보는 패스워드에 관련된 기획보도를 한바 있습니다. 그중에 나오는 패스워드 점검 사이트를 하나 알려 드리겠습니다. 자신의 패스워드는 얼마나 안전한지를 아래 링크 사이트에서 한번 점검해 보시길 바랍니다.
간단하게 테스트 해 볼 수 있으니 꼭 실행해 보시길 바랍니다.
패스워드 점검 사이트 : http://howsecureismypassword.net/
4. 패스워드를 어떻게 하면 안전하게 만들 수 있을까?
아래 KNN 길재섭 기자님이 아주 잘 설명해 주셔서 참고 하시길 바랍니다. ^^
5. 마무리
아무리 보안을 강화하고 여러 조치를 취한다 하더라도 사용자 보안에 대한 인식제고와 보안에 대한 마인드가 되어 있지 않으면 웹상에서 오픈되어 있는 가장 많이 사용하는 식별인 아이디와 패스워드 유출은 여전히 증가하게 됩니다., 이는 스피어피싱 등으로 사기를 당할 수 있으며 제2의 피해가 생기게 됩니다. 누구나 알수 있고 누구나 중요하다고 하지만 정작 자신은 1분이면 패스워드가 크랙되는 패스워드를 사용하고 있다면 그만큼 위험에 노출될 기회가 많아 질 것입니다.
패스워드 관리, 아무리 강조해도 지나치지 않습니다. 오히려 너무 강조해서 식상해 버린 것이 아닌가 하는 생각마저 들지만 이럴때일수록 가장 기초적인 보안을 실천하고 점검하는 자세가 더 강조되는 때이기도 합니다. @엔시스.
- 특정인의 정보를 캐내기 위한 피싱 공격을 지칭하는 용어로 작살낚시(spearfishing)를 빗댄 표현 [본문으로]
'Security Beginner' 카테고리의 다른 글
[초보보안-22강] USB 파일이 안 보여요 (0) | 2014.05.21 |
---|---|
[초보보안-20강] 리눅스 비밀번호 md5에서 SHA-512로 변경하기 (2) | 2012.08.11 |
[초보보안-19강] 윈도우2008에서 PING(핑)에 응답하기 (0) | 2010.08.20 |
[초보보안-18강] 네이버 로그인 기록 확인 방법 (2) | 2010.08.19 |
[초보보안-17강] 엑티브엑스를 청소하자 (6) | 2010.08.14 |