주식회사 누리아이티

지문인식카드 및 정보자산 2차 인증 보안SW 전문기업

정보자산의 보안강화를 위한 BaroPAM의 보안전략

댓글 0

▶ BaroSolution/기타

2019. 3. 4.

개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요합니다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말합니다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문입니다.

 

공공기관이나 기업 등 정보자산에 대하여 아주 철저하게 보호하고, 정보자산 접속 시에는 1차 로그인 뿐만 아니라 2차 인증을 적용하여 정보 유출 방지를 위해 여러 인증단계를 거치고 있습니다.

 

개인정보보호법의개인정보 안전성 확보조치 기준5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 비밀번호를 구성하도록 명시하고 있습니다.

 

이처럼 서버에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 비밀번호를 잘 기억하지 못해 혼란을 겪는비밀번호 증후군및 일정기간이 지나면 비밀번호 재설정에 대한비밀번호 리셋 증후군이라는 말까지 생겨났습니다.

 

개인정보가 포함된 로그인 방식은 크게 4가지로 나누어지고 있습니다. IP 접속 제한, 공인인증서, 생체인식, 일회용 인증키 등이며, 이중 간편한 인증방식을 거치며 보안성 높은 안전한 인증 수단으로 "일회용 인증키" 방식이 적합합니다.

 

IP 접속 제한 방식은 정보자산에 고정IP가 필요하기 때문에 유동IP를 사용한다며 접속 제한에 의미가 없으며, 공인인증서 방식은 솔루션 비용이 비싸며 공인인증서 인증 모듈의 불편함 때문에 사용하기가 힘들고, 공인인증서 의무화가 폐지되어 대체할 대안이 필요하며, 생체인식 방식은 솔루션 비용이 비싸며, 생체정보가 유출되는 순간 평생 사용할 수가 없습니다.

 

그에 비해서 일회용 인증키는 누구나 사용하기 쉽고, 시간과 장소의 제약을 받지 않으며, 인증매체를 따로 소지하고 다닐 필요 없이 모바일 앱을 다운받아 스마트 폰에서 일회용 인증키를 생성하기 때문에 간편한 인증방법인 동시에 강력한 보안 기능을 제공합니다.

 

일회용 인증키는 단순한 랜덤값 생성이 아닌 해시값을 생성하여 HMAC를 구현하는 키지정 해시 알고리즘을 사용합니다. 그러기 때문에 사용자 인증을 받기 위해서는 매번 새로운 인증키를 사용하여야 하며, 휘발성으로 1회에 한해서만 사용 가능하여 ID/PW 유출 되어도 안전합니다.

 

한번 사용된 인증키는 재사용할 수 없으며 인증키 유추가 어려워 다양한 해킹 공격에도 강력한 보안성을 제공합니다.

 

인증키는 인증서버 및 Hard 방식의 1st 인증키 (1세대 인증키)와 별도의 인증서버가 존재하지 않는 소프트웨어 방식(모듈인증 방식) 2nd 인증키 (2세대 인증키)로 구분합니다

 

Hard 방식의 1st 인증키는 인증 폭주 시 인증속도 저하 및 인증서버 장애 시 서비스 중단 발생하지만 별도의 인증서버가 존재하지 않는 소프트웨어 방식(모듈인증 방식) 2nd 인증키는 인증 폭주 시 부하분산으로 응답속도 보장 받을 수 있으며 인증서버가 존재하지 않기 때문에 장애에 대한 부분은 발생하지 않기 때문에 서비스를 보장 받을 수 있습니다.

 

모든 정보자산에 대한 2차 인증 정책은 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있습니다.

 

따라서 정보자산을 안전하게 보호하기 위해서는 정보자산의 환경에 따라서 다른 보안전략이 필요 합니다.

비밀번호 하나로 인하여 관련 규정 및 관리에 공공기관이 기업들이 많은 투자를 하고 있는 게 사실입니다. 비밀번호 대신에 단순하면서도 보안성이 뛰어난 일회용 인증키로 대체하는 기업들이 늘어 나고 있습니다.

 

이처럼 정보보안을 위하여 각종 정보자산에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 정보자산에 대한 해킹 위협으로 부터 안전해질 것입니다.

 

-유도전류를 이용한 무충전 방식의 지문카드

 

-충전방식의 지문인식 OTP카드

 

사업자 정보 표시
주식회사 누리아이티 | 이종일 | 서울시 강서구 공항대로 186 로뎀타워 617호 | 사업자 등록번호 : 258-87-00901 | TEL : 010-2771-4076 | Mail : mc529@nurit.co.kr | 사이버몰의 이용약관 바로가기