주식회사 누리아이티

지문카드 및 정보자산 2차 인증 보안SW 전문기업

평소에 자주 들었던 BaroPAM 솔루션과 관련된 질문과 답변

댓글 0

▶ BaroSolution/질의응답

2021. 11. 16.

질문) 별도의 인증서버가 필요 없는게 맞습니까?
 
답변) 맞습니다. BaroPAM은 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반하기 때문에 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없는 솔루션입니다.
 
 
질문) 빈번하게 발생하는 통신 장애 또는 보안 지역에서도 OTP 생성이 가능합니까?

 

답변)BaroPAM 앱은 누구나 휴대하고 있는 스마트폰을 OTP 생성기로 스마트폰에서 OTP를 생성하기 때문에 통신사의 장애나 보안구역에서의 통신제한 해도 OTP 생성이 가능합니다.
 
 
질문) 다요소 인증은 지원합니까?

답변) BaroPAM은 두 개의 다른 요소를 병합함으로써 사용자가 주장하는 식별자를 확인하는 방식으로 다요소 인증의 일종인 2-팩터 인증을 지원합니다.


질문) 해외에서도 적용 및 사용 가능합니까?

답변) BaroPAM은 시간 동기화 방식으로 내부적으로 국제적인 표준시간을 사용하기 때문에 해외 어디서든 적용 및 사용하는데 문제가 없습니다.


질문) 아이폰의 본인확인은 어떻게 합니까?

답변) 안드로이드 폰과 달리 아이폰(iPhone)은 자체 보안 때문에 기기정보를 얻을 수가 없어서 아이폰인 경우에만 타인의 폰번호를 부정 사용하지 못하도록 하기 위해서 별도의 본인 확인 기능을 적용할 필요가 있는데, BaroPAM 앱에서는 자체적으로 알고리즘을 적용하여 자체적으로 본인 확인 절차를 진행하고 있습니다.

 

질문) OTP 생성기와 검증 모듈이 서로 통신하지 않는데, 어떻게 OTP를 검증하나요?

답변) 우리나라 금융권에서 사용하는 OTP 방식은 시간 동기화 방식을 사용해야 합니다. 시간 동기화 방식은 OTP 생성기와 검증모듈이 동일한 알고리즘, 동일한 키, 동일한 시간에는 동일한 OTP를 발생합니다. 그래서 통신하지 않아도 됩니다. 요즘 OTP 생성기로 스마트폰을 많이 사용하는데, 스마트폰은 여러가지 요인에 의해서 통신이 불통되는 장애가 발생합니다. 그래서, 통신 장애가 발생해도 사용할 수 있는 솔루션이어야 언제, 어디서든 맘 놓고 사용할 수 있습니다.

 
 
질문) 보이스 피싱을 막을 수 있는 방법은 있는지 ?
 
답변) 보이스 피싱을 막을 수 있는 방법은 OTP를 사용하되 SMS/이메일 기반으로 방식은 사이버 범죄의 온상이며, BaroPAM 처럼 입력하지 않는 방법을 적용하면 보이스 피싱을 예방할 수 있습니다.
 
 
질문) 인증서버 방식인 Gateway(+Proxy) 방식의 문제점은 ?
 
답변) 인증서버 방식인 Gateway(+Proxy) 방식을 사용하는 것은 해커들이 너무도 좋아하는 우회접속 및 원격 접속이 가능한 솔루션으로 보안 전문가들은 이런 분류의 솔루션은 보안 솔루션으로 취급하지도 않습니다. 보안 솔루션은 내가 접속하고자 하는 장비에 설치가 되어야 하며, 접속하고자 하는 장비에서 인증을 해야 합니다. 현재 정보자산(H/W, S/W)에 대한 보안은 반대로 되어 있습니다. 예를 들어, 아파트를 출입하는 1층에 Lock이 있고, 실제 집의 출입문에는 Lock이 없는 구조로 되어 있습니다. 이 구조로는 도둑이 1층 출입문만 통과하면 실제 집의 출입문에는 열러 있는 구조라 얼마든지 이집 저집 다니면서 생명과 재산에 피해를 볼 수 밖에 없습니다. 생명과 재산을 그나마 보호 받을려면 1층 출입문 뿐만 아니라 각 집마다 Lock를 해야 합니다. 결론은 인증서버 방식인 Gateway 방식은 간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것입니다.
 
 
질문) 정보자산 2차 인증 솔루션인 BaroPAM을 Database에 적용할 수 있는지?
 
답변) 시간 동기화 방식의 일회용 비밀번호(Time-based One-time Password)로 사용자가 Database 내부에서 무엇이든 실행할 수 있을 때 2차 인증(추가 인증)을 추가로 보안을 강화하는 솔루션이다. 사용자가 DBMS에 연결하면 그의 역할이 비활성화되고, 이를 활성화하는 유일한 방법은 BaroPAM 앱을 사용하여 생성된 올바른 일회용 인증키를 입력해야 합니다.
 
 

질문) 정보자산 2차 인증 솔루션인 BaroPAM을 다양한 OS에 적용할 수 있는지?
 
답변) 정보자산 2차 인증 솔루션인 BaroPAM은 Widows, Windows server, Linux, Unix 계열의 OS에 간단히 운영 중인 서버에도 적용이 가능합니다.
 
 
질문) 일회용 인증키 생성기인 BaroPAM 앱은 무료로 제공됩니까?
 
답변) 일회용 인증키 생성기인 BaroPAM 앱은 Paly store(바로팜 또는 BaroPAMs), App store(BaroPAMs)에서 무료로 제공하고 있습니다.
 
 
질문) 정보자산 2차 인증 솔루션인 BaroPAM을 다양한 어플리케이션에 적용할 수 있는지?
 
답변) 현재 어플리케이션에 적용할 수 있는 BaroPAM 모듈은 Windows 계열은 dll, Linux/Unix 계열은 Shared Object(so), Java 환경에서는 jar 모듈과 가이드를 제공하고 있습니다.
 
 
질문) 웹사이트와 앱에 크리덴셜 스터핑에 당하지 않으려면 어떻게 해야 하나?
 
답변) 크리덴셜 스터핑은 기존에 다른 곳에서 유출된 아이디(ID)와 패스워드(Password)를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 개인정보나 자료를 유출하는 방법입니다. 복잡한 것을 싫어하는 많은 사람들이 모든 웹사이트나 앱에서 같은 아이디와 패스워드를 사용하는 것을 노린 방법으로, 최근 본지가 보도한 대로 홈플러스나 스타벅스 등에서 크리덴셜 스터핑을 이용한 공격으로 실제 피해를 입은 사건이 늘고 있습니다. 글로벌 보안기업 아카마이에 따르면 2017년 11월부터 2019년 4월까지 총 18개월 동안 금융 업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달해 고객 개인정보와 금융정보가 위협에 노출됐습니다. 크리덴셜 스터핑에 당하지 않으려면 우선 사용하는 웹사이트나 앱마다 서로 다른 아이디와 패스워드를 적용해야 하며, 아울러 외부로 아이디와 패스워드가 유출됐을 경우 모든 비밀번호를 바꿔야 합니다. 또한, 웹사이트와 앱이 2차 인증(추가 인증)을 지원할 경우 귀찮더라도 이를 적극 활용하는 것이 좋으며, 해당 기업 역시 2차 인증을 적용하는 것이 필요합니다.
 
 
질문) 해킹메일을 예방하고 대응하기 위해서는 어떻게 해야 할까?
 
답변) 수신된 메일 주소가 정상적인 주소인지 확인해야 합니다. 예를 들어, 고객센터에서 메일이 발송된 경우 실제로 정상 고객센터에서 보낸 메일인지 확인해야 합니다. 해킹 메일은 대중화된 메일 주소를 교묘하게 변경해 보내는 경우가 많습니다.(예: naver.com.cc / goog1e.com / dauum.net 등) 파일이 첨부되어 있거나 외부 링크가 걸려 있는 경우, 발신자에게 유선 및 문자 등으로 먼저 확인하고 개인정보나 계정인증관련 메일이 수신됐을 경우, 메일에 포함된 링크를 클릭하는 대신 직접 해당 사이트에 방문해서 확인하는 습관을 들여야 합니다. 또한 첨부파일 클릭 시 파일이 다운로드 되지 않고 계정정보 입력을 요구하는 경우 주의해야 합니다. 이메일 계정 비밀번호를 수시로 변경하고, 문자(SMS), 모바일OTP 등을 통한 2단계 인증 로그인을 설정하는 것이 좋습니다. 바이러스 백신 프로그램을 설치하고 주기적인 업데이트를 통해 최신의 상태로 유지하고 마찬가지로 운영체제(OS) 또한 주기적인 업데이트를 통해 늘 최신 버전으로 유지하면 피해를 예방할 수 있습니다.
  
  
질문) 비밀번호에 사용되는 '특수문자' 사실은 의미없다. 대안은 있는냐?

답변) 대안은 BaroPAM 솔루션의 일회용 인증키를 이용한 "2단계 인증" 설정이다.

        비밀번호가 도난되지 않은 상황에서 빈번하게 비밀번호를 바꾸면 비밀번호가 패턴화되고 추측하기 쉬워지거나 비밀번호를 어딘가에 적어야 하는 등 오히려 보안 위험이 될 수 있다.


질문) 중간자 공격(Man-in-the-middle attack)에 대한 방안이 있는냐?

답변) BaroPAM 솔루션의 일회용 인증키를 사용하여 2차 인증 시 한번 사용한 일회용 인증키를 인증키 생성주기에 재사용 못하게 하면 된다.
      중간자 공격(Man-in-the-middle attack)은 2자간의 통신에 누군가가 개입하여, 도청이나 변경을 행하는 수법으로 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용된다.

 

 

질문) 다양한 운영체제와 애플리케이션에 누구나 손쉽게 바로 적용할 수 있습니까?
 
답변) BaroPAM은 Windows, Linux/Unix 등 다양한 운영체계(OS)에는 간단히 설치한 후 환경 설정하기 때문에 Windows, Linux/Unix를 재기동하지 않기 때문에 운영 중에도 적용  가능합니다.
애플리케이션은 환경에 따라 모듈(dll, so, jar 파일) 및 가이드를 제공하여 누구나 손쉽게 적용할 수 있습니다.

 
 

질문) ARM 환경에서 적용이 가능합니까?
 
답변) BaroPAM은 플러그인 가능한 인증 모듈이기 때문에 ARM 환경에서도 적용이 가능합니다. ICT 디바이스에 적용하고 있습니다. 
 


질문) 정보자산의 보안강화를 위한 접근제어 2차 인증 솔루션인 BaroPAM을 이용한 정보자산에 로그인 시 비밀번호에 대한 적용 방법
 
답변) 1안: 로그인-ID, 비밀번호 이외의 추가 인증(2차 인증)으로 일회용 인증키 적용
        2안: 비밀번호를 제거하고 일회용 인증키로 대체 
        3안: 비밀번호와 일회용 인증키 결합하여 비밀번호를 일회용 인증키 생성주기별로 새로운 일회용 비밀번호를 적용
 
 
질문) 정보자산의 로그인-ID/비밀번호가 유출이 되어도 대안이 있느냐?
 
답변) 정보자산에 대한 2차 인증(추가 인증) 솔루션인 BaroPAM을 도입해야 하는 이유는 다음과 같습니다.

 

       1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용 2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 함.

 

       2. 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 원격접속을 차단 악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 원격으로 접속하는 것을 차단 해야 함. 

 

       3. 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용 사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 함.


      결론은 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 2차 인증 솔루션인 BaroPAM의 적용은 선택이 아닌 필수로 보더 더 안전하게 정보자산을 보호할 수 있습니다.
 
 
질문) 정보자산에 대한 보안 강화는 어떻게 해야 하나?
 
답변) 악의적인 목적으로 만들어진 프로그램인 악성코드를 탐지 및 제거하는 백신 솔루션과 정보자산 접근제어 2차 인증을 통한 불법적인 원격접속을 차단하는 BaroPAM 솔루션이 결합하여 정보자산의 보안을 강화하는 시너지 효과를 낼 수 있습니다.
 
 
질문) BaroPAM 솔루션은 어떤 솔루션입니까?
 
답변) BaroPAM 솔루션은 정보자산의 보안 강화를 위하여 인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반으로 하는 보안에 최적화된 솔루션입니다.


       1. 정보자산 접근 보안강화
          외부의 해커 또는 내부 사용자가 불법적 으로 정보자산에 접근하는 상황을 제한 하여 정보자산의 보안 강화 2-Factor 인증으로 기존의 "지식기반 인증"인 ID/PW 인증에 다른 요소인 소유 기반 인증 요소를 추가한 인증 기법


       2. 서비스의 용이성
          2차 인증을 별도 인증키 토큰/카드 필요 없이 스마트폰 앱을 이용하여 인증이 용이함 별도 인증서버나 Windows/서버 접근제어를 관리하는 서버가 필요 없는 구조로 관리/운영비용 절감


       3. 손쉬운 적용
          각 Windows 또는 서버에 모듈을 설치 하는 구조로 간단히 적용 가능 Windows 또는 서버를 재기동하지 않기 때문에 운영 중에도 적용 가능 기존 네트워크 장비의 설정 변경 불필요
 
 
질문) BaroPAM 솔루션의 특장점은?

답변) BaroPAM 솔루션은 모듈 인증 방식의 2차 인증 솔루션으로 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 솔루션을 도입할 때 별도의 서버나 DB 같은 추가 도입이 필요 없는 솔루션입니다.
       -별도의 인증서버가 필요 없는 모듈 인증 방식의 2차 인증 지원
       -빠른 인증속도로 서비스 보장(평균 인증시간 0.01초)
       -Hard 인증키와는 다른 Soft 인증키 로 영구적 사용이 가능
       -빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능
       -스마트폰 등을 인증키 생성 매체로 하는 간편한 편의성 제공
       -Windows와 개방형OS의 화면 보호기 화면의 잠금 방지/해제 기능 제공
       -스마트폰 분실 시 인증정보 노출에 대비한 앱 Lock On/Off 기능 제공
       -iOS는 자체적으로 본인인증 할 수 있는 기능 제공
       -BaroPAM 앱 소스 난독화 및 화면 캡쳐 방지 기능 제공
       -정보자산별 / 계정별 일회용 인증키 및 생성주기 개별부여
       -전세계적으로 인정된 512Bit 표준 Hash 함수 사용(HMac-SHA512 / 인터넷 보안표준 IETF RFC 6238)
       -금감원에서 권장하는 Time-Sync , 동적 HMac Key 방식
       -매번 변하거나 한번 사용하고 버리는 일회성 또는 휘발성 같은 동적인 보안 
       -정보자산 등 사용자 인증이 필요한 모든 분야에서 사용가능(정보자산의 RADIUS 인증 중 PAM 인증도 지원)
       -2차 인증에서 허용 / 제외할 수 있는 계정에 대한 ACL 기능
       -자유로운 Customizing 및 다양한 응용 프로그램과의 연동 개발 제공(Java, C, C++ 등의 API 연동)
 
 
질문) 지문인식 OTP카드는 어떤 카드입니까?
 
답변) 생체정보인 지문정보를 적용한 최적의 본인인증 솔루션으로 생체정보인 지문정보를 플라스틱 카드에 등록한 후 등록된 지문정보를 인식하면 일회용 인증키를 생성하는 카드(지문인식 기능과 인증카드를 내장한 신개념 카드) 로 지문인식 OTP카드라 불립니다. 

        -지문정보 등록 디바이스 No

        -지문정보 인식 디바이스 No

        -지문정보 서버 저장       No

        -지문정보 유출 사고       No

        -지문카드 불법 사용       No

        ※ 사원증/신분증/출입/보안/금고/Lock/일회용비밀번호(OTP)/신용카드/체크카드/교통카드 등에 적용
 
 
질문) 지문인식 출입/보안카드는 어떤 카드입니까?
 
답변) 생체정보인 지문정보를 적용한 최적의 본인인증 솔루션으로 생체정보인 지문정보를 플라스틱 카드에 등록한 후 등록된 지문정보를 인식하면 NFC(Near Field Communication, 무선 근거리 통신) 통신하는 지문인식 출입/보안카드라 불립니다. 

       -지문정보 등록 디바이스 No

       -지문정보 인식 디바이스 No

       -지문정보 서버 저장       No

       -지문정보 유출 사고       No

       -지문카드 불법 사용       No

       -지문카드 충전 사용       No 

       ※ 사원증/신분증/출입/보안/금고/Lock/신용카드/체크카드/교통카드 등에 적용.
 
 
질문) 지문인식카드에 지문은 어떻게 등록합니까?

답변) 생체정보인 지문 정보가 유출/해킹 되었을 때는 최악의 경우 영구적인 피해로 이어질 수 있기 때문에 지문을 직접 카드에 본인이 등록하는 방식입니다.


질문) 카드 리더기에서 발생하는 유도 전류를 이용한게 맞습니까?

답변) 지문인식 출입카드는 카드리더기에서 발생하는 유도전류를 카드에서 순식간에 증폭하여 카드의 MCU를 깨운 다음 카드에 등록된 지문정보가 일치하면 카드를 사용할 수 있게 활성화 시킵니다.

 

질문) 정보자산에 대한 2차 인증(추가 인증) 솔루션을 도입해야 하는 이유
 
답변) 1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용 2차 인증 적용 

          (예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 합니다.


      2. 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 원격접속을 차단

         악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 원격으로 접속하는 것을 차단 해야 합니다. 


      3. 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용

         사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 합니다.


      "아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말입니다. 새로운 시대에는 새로운 보호 장치가 어울립니다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식입니다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때 입니다.

사업자 정보 표시
주식회사 누리아이티 | 이종일 | 서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2) | 사업자 등록번호 : 258-87-00901 | TEL : 010-2771-4076 | Mail : mc529@nurit.co.kr | 사이버몰의 이용약관 바로가기