GCOD
10,000+ Views

사용자 인증 보안의 책임은 누구에게?

사용자 인증 방법은 첨단기술의 발전이나 인터넷 및 모바일 서비스의 급진전에도 불구하고 가장 낙후된 수준을 벗어나지 못하고 있는 분야이다. SW공학적으로는 이세돌을 이긴 알파고까지 등장하였고 2족 로봇이 자유롭게 뛰거나 달리며 우주선이 명왕성을 향해 날아가고 모든 전자기기를 네트워크로 연결하는 사물인터넷이 상용화되고 있는 현실에 비하면 참 아이러니하기 까지 하다. 지금까지 적용되고 있는 사용자 인증기술을 보자 가장 먼저 떠오르는 기술(방법?)은 비밀번호 입력방식 즉 PW이다. 이 대목에서 한가지 인식하고 넘어갈 것은 방법과 기술에 대한 부분이다. 사용자만 비밀스럽게 알고 있는 것을 제시하게 하고 약속된 비밀인증정보를 정확하게 제시하는지를 검증하여 인증하는 것이다. 이것이 방법이다. 기술은 무엇인가. PW를 입력 받고 전송하고 검증하는 프로세스 프로그램이다. 그럼 비밀번호 인증은 방법이 문제인가? 기술이 문제인가? 개념적으로 비밀번호 인증 방식은 가장 완벽한 방법이다. 왜냐하면 뇌속에 기억된 정보이므로 제3자가 탈취할 수 없는 가장 은닉성 높은 정보를 기반으로하기 때문이다. 어디에나 흘리고 다니며 항상 노출된 지문정보와는 비교가 되지 않을 정도로 인증용으로 가장 최적으로 Factor인 것이다. 결국 기술이 문제란 것이다. 비밀번호 입력,전송,저장,검증 모든 과정에서 보안 취약점을 나타내어 수습이 불가능한 지경에 이른 것이다. 그 방법으로 키보드해킹, 메모리해킹, 후킹, 키로깅, 유추, 반복시도, 스파이웨어, 파밍 등등 수도 없이 많다. 이와 같이 공격 방법이 많다는 것은 그만큼 많이 사용되며 공격의 수확물로 뭔가 이득을 많이 얻고 있다는 뜻이다. 사용자는 당연 그 피해자일 수 밖에 없는 것은 당연하다. 그렇다면 왜 기술적으로 이러한 공격을 막아내지 못하는 것일까? 필자의 생각으로는 그 이유의 저변에는 책임에 대한 잘 못된 사회적 법적 시스템이 깔려있다고 본다. PW는 기술적으로 충분히 방어가 불가능함을 알고 있음에도 서비스 제공자는 PW인증을 사용자 인증에 모두 적용하고 있다는 것이다. 다시 말해 사용자나 고객에게 “당신의 PW는 탈취되어 도용 당할 수도 있으나 그냥 사용하세요“ 라는 것이다. 싫음 말고,,,, 다른 선택의 여지가 없는 사용자에게 이것은 강요에 해당한다. 그렇다면 유출이나 탈취 등의 이유로 사용자가 피해를 본다면 누가 책임을 질 것인가? 분명한 것은 서비스 제공자에게 고의나 과실이 없다면 사용자의 개인 책임이다.

필자는 기술의 발전이 없었던 이유가 바로 이 책임소재의 문제라고 본다

서비스 제공자에게 너무나 관대하다는 것이다. PW는 해결책이 없으므로 서비스 제공자에게 책임이 없다는 식의 관습법(?)은 과연 정당한 것인가? 다른 기술의 개발이나 인증방법의 연구개발에 어떤 노력을 기울였는지를 평가하여 책임을 묻지 않는 것은 공평하지 않다. 인증 방법에 있어서 책임 소재의 문제는 비단 PW뿐만이 아니다. 가짜 일회용비밀번호 즉 OTP도 마찬가지다. 휴대용 OTP발생기는 발생기에서 생성한 난수와 OTP인증서버가 생성한 난수를 비교한다. 그러다보니 실시간으로 검증은 불가능하여 1분의 시간을 주고 반복 사용, 반복입력을 허용하고 있다. 반복 사용이 가능한 난수인데 왜 일회용이란 말인가? 결국OTP도 입력과정에서 탈취하여 도용하는 사례가 종종발생하였고 급기야 OTP강제 사용 규제도 철폐되었다. 중요한 것은 OTP의 도용 발생시 이 또한 누구의 책임인가에 대해서는 일차적으로 사용자 책임이라는 것이다. 그 외에 공인인증서나 생체인증도 마찬가지다. 보안적으로 불완전하지만 적용을 강제화하다 시피했거나 시도하고 있으며 보안적 결함으로 인한 피해에 대하여는 누구도 책임지지 않는다. 이와 같이 몇 가지 되지도 않는 숫자에 불과한 방법과 기술들이 그 동안 개발되었고 적용되었을 뿐 발전적 모습은 별로 없던 것인데 그 저변에는 서비스 제공자가 안전한 인증방법을 제공하여야 할 책임으로부터 벗어나 있게 때문이라는 것이 필자의 주장이다.

서비스 제공자는 안전한 인증방법 및 기술의 도입과 확산에 적극적인 자세로 임하여야 할 것이다. 모두가 겪고 있는 현실이므로 함께 묻어가며 면피할 수 있다는 생각은 조만 간에 깨질 것이고 많은 고객을 잃을 수도 있다. 고객을 유치,유지하는 기본 조건이 인증보안이라는 것을 신속히 깨닫는 기업에게 고객은 한발 더 다가가리라고 생각해본다.

패스콘 인증기술 관련 자료 Card#1 - 컨셉 - PASSCon 인증보안기술 http://www.vingle.net/posts/1444244?shsrc=v 참조 Card#2 - 인증시드 - PASSCon 인증보안기술 http://www.vingle.net/posts/1447571?shsrc=v 참조 Card#3 – PASS Code - PASSCon 인증보안기술 http://www.vingle.net/posts/1451364?shsrc=v 참조 Card#4 – UI/UX - PASSCon 인증보안기술 http://www.vingle.net/posts/1456596?shsrc=v 참조 Card#5 – 알고리즘 - PASSCon 인증보안기술 http://www.vingle.net/posts/1459098?shsrc=v 참조 Card#6 – 주요특징 - PASSCon 지식인증에 대한 발상의 전환 http://www.vingle.net/posts/1460803?shsrc=v 참조 Card#7 – 인증Factor – PASSCon 멀티팩터 강력인증 http://www.vingle.net/posts/1463878?shsrc=v 참조 Card#8 – 정의– PASSCon http://www.vingle.net/posts/1472036?shsrc=v 참조 Card#9 – 시스템인증 – PASSCon 시스템 프로세스 기반 인증 http://www.vingle.net/posts/1474040?shsrc=v 참조 Card#10 – 공인인증서,OTP,지문인증과 비교 – PASSCon의 비교 우월성 http://www.vingle.net/posts/1479380?shsrc=v 참조 Card#11 – 전자서명– PASSCon http://www.vingle.net/posts/1485231?shsrc=v 참조 Card#12 – 보안성– PASSCon http://www.vingle.net/posts/1489393?shsrc=v 참조 Card#13 – 기억–PASSCon http://www.vingle.net/posts/1492010?shsrc=v 참조 인증의 구조 http://www.vingle.net/posts/1427690?shsrc=v 참조 #GCOD #PASSCon #패스콘 #보안 #인증 #인증보안 #비대면인증 #본인확인 #인증서비스 #인증센터 #Security #authentication #LTAuth #엘타우스 #CQLock #시큐락 #CirCLock #서클락 #핀테크 #Fintech #IOT #Bigdata #임용훈
Comment
Suggested
Recent
Cards you may also be interested in
실제로 호랑이를 눈앞에서 마주치면 어떨까? (간접체험)
호랑이를 실제로 눈 앞에서 마주치면 어떨까? 호랑이 실제 울음소리 들으면서 사진 보면 효과 3배 이어폰 껴고 들어보세여... https://youtu.be/tlCn2qkQeuk 300m 거리에서 녹음한 실제 시베리아 호랑이 울음소리라고 함 (참고로 시베리아 호랑이=백두산 호랑이 같은 계열) * 호랑이는 울음소리만으로 상대를 마비시킬 수 있다는 연구결과가 나왔다.  호랑이의 으르렁거리는 소리가 내는 초저주파는 사람의 귀로는 들을 수 없지만  사람이나 동물의 근육을 진동시켜 얼어붙게 만든다는 것이다. * 연구팀은 여러 마리의 호랑이를 대상으로 으르렁거리는 소리, 식식거리는 소리 등  호랑이가 내는 모든 소리를 녹음한 후 분석한 결과 사람이 들을 수 있는 주파수 대역인  20㎐∼20,000㎐의 소리와 함께 18㎐ 이하의 초저주파도 있음을 알게 됐다. * 소리는 주파수가 낮을수록 더 멀리 전파된다.  그래서 호랑이의 울음소리는 멀리 떨어진 숲에서도 들을 수 있다. * 초저주파는 사람에겐 낯설지만 자연계에선 그리 새로운 게 아니다.  발정한 코끼리 암컷이 수컷을 부를 때 내는 소리는  주파수가 너무 낮아 인간의 귀에는 들리지 않지만 밀림을 통과해 수km까지 전달된다. 또 고래나 코뿔소도 초저주파를 이용하는 것으로 알려져 있다. " 호랑이의 무서움은 그 어떤 것보다 그 울음소리에 있다고도 할 수 있다. "어흥"이라고 하면 어쩐지 별로 안무서운 것 같지만, 진짜로 분노한 호랑이의 울음소리는 장난이 아니다.  듣는 순간 오금이 저린다. 동네 개들의 왕왕거리는 것과는 차원이 다른데, 울음소리가 초저주파라 근육이 마비되어 그대로 주저 앉는다" <출처:엔하위키> 괜히 질질 싼다라는 말이 있는게 아니다. 동물원의 호랑이가 그냥 울부짖기만 하는 소리도 개나 고양이 따위와는 차원이 다르다. 실제 호랑이 울음소리에는 포유동물들을 패닉상태로 모는 저주파가 나온다고 한다(!!). 조상들이 산에서 호랑이 만나면 까무라친다고 말하는 게 거짓말이 아닌 거다. ㄷㄷ 그리고 우리 조상님들이 호랑이를 영물이라고 여겼던 이유가 산속에서 호랑이를 직접보게되는 날이면 살아돌아와도 3일을 앓았다네요..그 눈빛에 압도된다고함. 실제로 산에 오르는데 호랑이 만나는 날엔 ㅎㄷㄷㄷ (ㅊㅊ- 오유)
직장인 돈 관리 하는 법 (통장 4개 굴리기)
1. 급여통장 : 잔액은 항상 0으로 유지 급여가 들어오면 1차적으로 월세나 통신비 같은 고정 지출을 자동납부하도록 해둡니다. (자동납부를 하지않으면 자칫 잊어버려서 밀리게 되고, 이는 곧 목돈이 되어 부담으로 다가옵니다). 이 통장의 경우, 수시로 입출금이 가능한 형태를 골라야겠죠. 중요한건 급여통장은 '절대' 잔액이 남아선 안 됩니다. 월급은 들어오기가 무섭게 "퍼가요~♡"의 성지가 되도록. 물론 퍼가는 주체가 카드 할부금이 되어선 안 되겠죠. 급여통장이 ‘0’이 아니라는 것은 그만큼 노는 돈이 있다는 뜻입니다. 어영부영 하다가 쓸데없는 곳으로 새기 십상이지요. 2. 투자통장 : 자동이체 날짜는 모든 통장을 동일하게 설정 적금, 펀드, 주택청약, 보험, 연금 등을 관리하는 통장입니다. 저축도 큰 의미의 투자로 본다면 여기에 포함되겠죠? 급여가 들어오면 고정지출과 함께 투자통장을 채울 수 있도록 합니다.  강조하고 싶은 것은 자동이체 및 투자상품 이체 날짜를 모두 동일하게 하는 것! 생각보다 많은 초년생들이 각종 자동이체 날짜를 우후죽순으로 설정하곤 하는데요. 이체 날짜가 동일해야 자금의 흐름을 한 번에 파악할 수 있습니다. 그리고 적어도 급여의 절반은 투자통장으로 흘러가도록 세팅해 주세요. 3. 소비통장 : 당신의 자제력을 믿지 마라 애초에 쓸 수 있는 돈이 적다면, 자연스레 소비도 줄게 됩니다. 소비통장에 한달에 쓸 돈만 딱 넣어두면 되겠죠? 소비통장은 체크카드와 연결시키도록 합니다. 한 달에 5만 원만 덜 쓰기!라고 하기 보단, 소비통장에 5만 원을 덜 이체시키는 게 훨씬 지키기 쉬울 겁니다. 주의할 점은, 쓸 돈이 부족하다고 해서 추가로 잔고를 늘리기 없기! 소비통장에 넣을 돈은 급여의20~30%를 넘지 않도록 해주세요. 4. 예비통장: 소득의 10%, 평소 지출의 3배를 유지  급여통장에서 투자통장, 소비통장으로 돈을 돌린 후 남은 금액은 예비통장에 넣어둡니다. 만약 이 예비통장이 없다면, 친구 결혼식이나 예기치 못한 사고가 일어났을 때 갑자기 쓸 돈을 구하기 힘들겠죠. 적금을 깨야하는 경우도 생깁니다. 단순히 이자가 아까운 걸 떠나서, 자신의 재무 계획이 와르르 무너져버리겠죠. 예비자금은 급여의 10% 정도로 산정하는 것이 좋으며, 평소 한 달 지출의 3배 정도의 금액을 유지하는 것이 좋습니다. 수시 입출금이 가능하며 상대적으로 단기 고금리에 속하는 CMA를 초년생들에게 추천하고 싶네요.  너무 핵꿀팁이라 같이 보면 좋을 것 같아서 퍼옴 출처는 요기 클립할 때는 댓 하나씩 남기깅 댓글냠냠~
무역영어 자격증 가이드 (2019 / for 비전공자, 직장인)
제일 먼저 무역영어 자격증이란 무엇이고, 왜 필요한지에 대해 알려드리겠습니다. 무역영어는 국가공인자격증으로 무역에 필요한 실무와 영어능력을 평가하는 시험입니다. 여기서 많은 분들이 오해하시는데, '무역'영어 시험입니다! 영어가 아닌 '무역'실무에 더 치우져있는 시험이고, 무역 관련 지식이 없다면 아무리 영어를 잘하고 토익을 만점 찍어도!! 합격할 수 없습니다. 반면, 영어실력이 다소 부족하더라도 무역실무에 대한 지식이 있다면 쉽게 합격할 수 있습니다 :) 무역영어 자격증은 1급부터 3급까지 있는데요. 1급이 상위 자격증이고 그 밑으로 쭉쭉 2급, 3급입니다. 개인적으로 성인이라면!! 비전공자라도 정말정말 웬만하면 1급 도전하는 것을 추천드리고요, 장기적인 자격증 플랜이 있으시거나, 벼락치기로 인해 1급까지 자신은 없는 분들에 한해서 2급을 치셨으면 좋겠어요...ㅎ 3급은 성인보다는 고등학생이 많이 응시하는 급수입니다. 무역영어는 년 3회 시행되구요, 2019년은 5월 / 9월 / 12월 이렇게 일정이 잡혀있네요. 3월 지금부터 시작하시면 전공이든 비전공이든 직장인이든 학생이든 정말 모든 게 상관없이 5월 무역영어 1급 시험에 충분히 합격할 수 있다고 말씀드리고 싶네요!! 오늘은 제목에서 밝혔던 것처럼 비전공자/직장인을 위한 2~3개월 계획을 잡고! 공부하시는 분들께 추천드리는 공부법입니다. 종종 블로그 후기를 보면 한 달 만에, 3주 만에 합격했어요!!!라는 문구로 여러분 마음을 혹하게 하는 글들이 있어요. 그런 글들은 대부분 비전공자 + 학생이라서 방학시간을 이용하던가 해서! 하루 공부량을 많~~~~이 할 수 있는 사람들이구요. 아니면 전공자라서 기출문제로 빠르게 휙휙휙휙휙 돌려서 기적을 일으키는 사람들입니다... 우리는 평범하고 또 평범하며 공부머리가 비범하지 않고, 하루를 공부에 막 쏟을 수 없으니 2~3개월 정도 잡고 자격증을 준비하는 것이 현명합니다! 2~3개월이면 비전공자든 직장인이든 독학으로도 해낼 수 있는 기간이라고 생각해요. 일단, 인강료보다는 교재비가 훨씬 저렴하니깐 독학으로 시작해봅시다!!! 퍼펙트 무역영어 1급 책이고요, 이론 + 기출문제가 모두 수록된 교재고, 제가 무역자격증 멘토로써 활동한 몇 년간 쭈~~~욱 높은 판매율을 유지하고 있는 책이에요. 책으로 이해가 된다면 독학으로 계속 밀고 나가면 되지만, 혹! 혹!! 혹!!! 무역용어나 개념들을 읽을 때.... 한글인데 왜 읽지모테...*라는 마음이 드신다면 망설이지 말고 독학을 접고, 인강을 들으세요. (자신이 독학러로써 자격이 되는지 안 되는지는 일주일정도 책으로만 공부해보면 알 수 있어요!! 무역이 생소한 비전공자, 공부에 많은 시간을 쓸 수 없는 직장인이라면 미리미리 준비하는 것이 합격을 위한 확실한 방법이에요! 2019년 상반기가 가기 전에 꼭!!! 무역 자격증을 따고 싶다면, 5월 무역영어 자격증 지금부터 시작해보세요 http://www.binglish.com
강제 종료 막기~
스마트메이커를 이용하여 앱을 만들긴 했는데.. 안드로이드 폰에서 뒤로가기를 실행하면 앱에서 쓰~윽 나가버리는 바람에 다시 들어가고.. 를 반복하다가 이를 코딩으로 제어하기로 마음 먹었다. 구현됐을 때의 성취감은 이루말할 수 없을 정도였다. 1. 입력란을 하나 만든다 2. 업무규칙에 폼이 시작하면 입력란에 “N”을 대입한다. 문구를 넣는다. 3. 업무규칙에 이런 함수를 하나 더 넣는다.- 이후 컴파일한다.(F11) 문단 앱종료막기 { 이 문장("학습노트를 종료하시겠습니까?")을 화면에 표시한다.('예아니오','질문') 응답결과가 '예'이면 다음 문단을 실행한다. { 파일복사("/smartlauncher/.project/SS/DEV_DB", "/smartlauncher/.project/DEV_DB") 를 실행한다. 파일복사("/smartlauncher/.project/SS/CN/DEV_DB-journal", "/smartlauncher/.project/DEV_DB-journal")를 실행한다. 입력란에 ""를 대입한다. 폼을 종료한다. } } 4. 진행관리자에서 다음과 같이 입력하고 저장한다. 5. 문제점.. 이런식으로 정해놓으면 이 폼을 닫을 때 마다 (부모폼으로 닫던, 자체적으로 닫던 항상 위의 메시지가 나오게 된다. 메시지 없이 닫고 싶으면 버튼5을 누르면 다음 문단을 실행한다. { 입력란에 ""를 대입한다. 버튼4의 상세폼보기를 실행한다. } 이와 같이 입력란에 엉뚱한 값을 넣으면 다른 폼을 열면서 부모폼을 닫게 될 때 아무런 메시지 없이 닫을 수 있게 된다.
6
Comment
2