GCOD
1,000+ Views

PASSCON 기술백서 III.4 서비스 적용

III.4 서비스 적용


PASSCON 인증 기술은 다양한 서비스에 응용될 수 있다. 모바일 어플리케이션에서 사용자를 인증하는 모든 로그인 프로세스에 적합하다. 또한 웹 서비스에서도 모바일을 경유하는 2채널 로그인 인증 방식으로 PASSCON을 이용할 수 있다. 어플리케이션에서 거래정보를 송수신하는 메커니즘에 PASSCON을 적용하면 모든 전자거래 서비스에 전자서명 인증을 적용할 수 있다.

또한 PASSCON은 자연난수와 인증 키를 이용하여 암호화 키를 생성(NA_Key)하는 고유한 알고리즘을 제공한다. 비밀번호와 같이 사용자가 입력하는 문자열을 이용한 암호화 방식은 사람이 기억할 수 있는 문자의 개수에 제약이 있으므로 키의 길이도 제약을 받는다. 그러나 PASSCON 기술은 키의 길이에 대한 제약이 없으므로 Full Digit AES256 암호화 키를 적용할 수 있다. 또한 해당 키는 외부로 노출되지 않고 시스템의 메모리에서만 생성되어 사용되고 그 후 즉시 삭제되므로 키의 유출에 대한 위험도 매우 낮다. 그러므로 PASSCON의 암호화 키는 매우 높은 수준의 보안 강도를 제공할 수 있다.

III.4.1 IDall 암호관리 서비스


암호관리 서비스는 매우 많은 비밀번호로 인하여 피로감을 느끼는 사용자들을 위하여 제공되는 어플리케이션 서비스이다. 이 분야의 서비스들은 다양한 사용자 UI/UX와 기능으로 차별화되고 있지만 마스터 계정에 로그인하는 인증 방법과 사용자가 저장하는 ID와 Password를 암호화하는 방식은 대부분 비밀번호에 의존하고 있다.
비밀번호를 이용한 로그인 인증은 공격자에 의하여 해킹될 가능성이 널리 알려진 사실이므로 보다 높은 수준의 마스터 계정 로그인 인증 기술이 요구된다. 특히 마스터 계정이 악용되면 서비스에 저장된 여러 ID와 Password들도 악용될 수 있으므로 이는 암호관리 서비스에서 매우 중요한 사안이다.
또한 ID와 Password를 암호화하는 암호화 키도 비밀번호를 이용하므로 8자리의 길이를 초과하기 어려운 문제가 동시에 존재한다. AES256 암호화 알고리즘은 최대 16자리를 사용할 수 있으나 사용자가 16자리 비밀번호를 기억하는 것은 거의 불가능하므로 근본적인 문제의 해결을 위하여는 다른 인증 기술이 필요하다.
PASSCON은 고유의 암호화 키 생성 기술과 전자서명 인증 기술을 제공하므로 PASSCON을 기반으로 하는 IDall 암호관리 서비스는 마스터 계정을 보호하고 ID와 Password를 안전하게 암호화하여 보관할 수 있다.


PASSCON 암호화 키(NA_Key)는 자연난수와 인증 키를 이용하여 생성되지만 어디에도 저장되지는 않는다. 사용자가 암호관리 앱에서 특정 사이트에 로그인을 시도할 때에만 이 키가 생성되어 사용되며 그 후에는 메모리에서 삭제된다.


IDall 암호관리 서버에 저장된 US_CRD 크리덴셜 정보에는 사용자의 인증 키가 저장되지 않는다. 또한 자연난수 값은 사용자의 공개 키(Upb)로 암호화되므로 서버의 최고 관리자조차 이 값을 복호화 할 수 없다. 따라서 서버를 완전하게 해킹한 공격자도 ID와 Password를 크랙 할 수 없는 것이 당연하다.


III.4.2 IDall 크립토 월렛 서비스


블록체인 기반의 암호자산을 보내거나 받을 때는 월렛이 필요하다. 암호자산은 퍼블릭 블록체인에 기록되고 중앙신뢰기관이 없기 때문에 일반적인 월렛은 탈중앙화 구조이다. 즉 서명을 생성하기 위한 개인 키가 월렛에 존재하며 이에 대한 모든 관리와 책임은 사용자의 몫이다.
개인 키가 사용자 디바이스에 저장된다면 암호화 강도는 매우 중요하다. 대부분 AES256 과 같은 높은 수준의 암호화 알고리즘을 적용하고 있으나 키 생성 과정에서 비밀번호를 이용하므로 AES256의 암호화 성능을 완전하게 활용하지 못하고 있다. 비밀번호는 대개 8자리 이하의 문자열에 의존하므로 나머지 8자리는 Salt로 대체하기 때문이다.
기존의 분산형 월렛은 보안 강도의 문제들뿐만 아니라 사용자의 편의성 측면에서도 매우 부족하다. 월렛을 사용하려면 비밀번호를 입력하여야 하고 개인 키의 분실에 대비하여 니모닉을 별도로 보관하여야 한다. 반면 PASSCON의 암호화 키(NA_Key)는 완전한 AES256 알고리즘의 성능을 제공한다. 사용자의 인증 키와 자연난수를 이용하여 키를 생성하므로 키보드와 Salt가 필요 없기 때문이다.

실제 응용단계에서 IDall 월렛은 인증 크리덴셜 US_CRD의 Upb를 이용하여 한번 더 암호화를 적용한다. 그러므로 공격자는 Upr을 확보하는 것이 먼저 필요하다. Upr은 APC를 이용하여 생성되는 AES256 암호화 키로 암호화된 E_Upr이 디바이스에 보관되기 때문에 실제로 3중 암호화의 보안 강도를 제공한다.
개인 키의 복구에 사용하기 위하여 암호화된 개인 키를 서버에 보관한다. 서버의 최고 관리자나 서버를 해킹하는데 성공한 공격자도 암호화된 개인 키를 악용할 수 없는 이유는 “IV.4.1 IDall 암호관리 서비스”에서 설명한 바와 원리가 같다. 결론적으로 IDall 월렛은 PASSCON 인증 키만으로 간편하게 암호자산을 관리할 수 있고 니모닉을 보관하지 않고도 쉽고 안전하게 개인 키를 복구할 수 있다.

Telegram user community: https://t.me/idalluser
Telegram news channel: https://t.me/idalluser
GCODInnovation Home: http://www.gcod.co.kr
IDall Service Home : http://www.idall.io


#패스콘 #IDall #암호관리 #월렛 #비밀번호 #PASSCON
Comment
Suggested
Recent
Cards you may also be interested in
"주진모 폰 해킹, 이것만 했어도 막을 수 있었다?"
타 사이트서 알아낸 비번으로 클라우드 해킹한듯 연예인 SNS 해킹, 대부분이 비번 똑같아서.. 사이트 다르면 비밀번호도 다른 걸 써야 비번에 사이트 주소 덧붙이는 식으로 다변화 ■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:30~09:00) ■ 진행 : 김현정 앵커 ■ 대담 : 김승주(고려대 교수) 정말 주말 내내 뜨거웠던 뉴스가 하나 더 있죠. 주진모 씨를 비롯한 유명 배우와 아이돌 가수. 이런 연예인 10여 명의 휴대 전화가 해킹이 됐고 그 속에서 나눈 아주 사적이고 은밀한 SNS 대화들이 유출이 돼서 일파만파 퍼진 사건이었는데요. 해커가 주진모 씨한테 10억 원 이상을 요구했는데 주진모 씨가 응하지 않았답니다. 그래서 저는 주진모 씨가 휴대폰을 도난당했거나 아니면 어디에 수리를 맡겼다가 이런 일을 당한 거 아닌가? 이렇게 생각하고 있었는데 그게 아니었습니다. 요즘 대부분의 휴대폰이 연결돼 있는 클라우드 서비스. 그 클라우드 서비스의 계정이 해킹된 거였습니다. 그렇다면 내가 휴대폰을 아무리 잘 간수한들 벌어질 수 있는 일이란 얘기인가? 이거 어떻게 된 건지 전문가의 얘기를 좀 듣고 가 보죠. 고려대학교 정보대학원 김승주 교수 만납니다. 김 교수님, 안녕하세요? ◆ 김승주> 안녕하십니까. ◇ 김현정> 주진모 씨는 휴대폰을 분실한 적도 없고 어디에 수리를 맡긴 적도 없고 쓰던 폰을 판 적도 없는데 대체 이 은밀한 카톡 대화가 어떻게 소위 털린 겁니까? ◆ 김승주> 지금 아직 조사 중이니까 확정된 건 아니고요. 그런데 그 관련 업체 발표에 따르면 요새 무슨 여러 가지 무슨무슨 패드도 있고 스마트폰도 있지 않습니까? 그런데 이런 것들을 분실할 경우에는 데이터가 다 소실될 수가 있기 때문에 요새는 클라우드 서비스와 이 기기들을 연동시켜놓습니다. ◇ 김현정> 삼성 클라우드, 네이버 클라우드, 구글 클라우드. 뭐 이런 클라우드죠? ◆ 김승주> 그렇죠. 그래서 내 휴대폰에 있는 전화번호부 목록이라든가 아니면 캘린더 일정 아니면 문자메시지 내용. 이런 것들을 클라우드와 연동시켜서 자동으로 백업되도록 해 놓을 수가 있습니다. 그러면 이제 스마트폰을 분실해도 나중에 거기에서 카피를 해서 내려받을 수가 있잖아요. 아마 이 클라우드 서비스를 통해서 백업해 둔 정보가 유출된 것 같다라고 지금 보고 있는 것 같습니다. ◇ 김현정> 말씀하신 대로 보통 클라우드에 사진이나 스케줄, 캘린더라든지 혹은 문서파일, 오디오 파일 이런 걸 연동해서 많이 쓰지만 카톡 대화 연동은 잘 안 하지 않아요? ◆ 김승주> 지금 삼성폰 같은 경우에는 카톡 대화를 연동하는 기능은 없고요. 그런데 클라우드 서비스 중에는 휴대폰의 데이터 전체를 백업하는 기능도 있거든요. 그래서 이번에 아마 유출된 것은 일반 메시지가 유출된 것이지, 대화까지 유출된 것 같지는 않습니다. ◇ 김현정> 그럼 이게 문자 메시지 주고받은 거라고요? ◆ 김승주 > 네. 그러니까 현재 삼성 클라우드에는 카카오톡 메시지까지 백업하는 기능은 들어 있질 않습니다. ◇ 김현정> 그러면 제가 어떤 클라우드에 들어가서 사진만 본다고 해도 사실 백업 유무에 체크해 놨으면 문자까지 다 클라우드로 갔었을 거란 말씀이시군요. ◆ 김승주> 그렇죠. 보통은 일반 분들이 클라우드와 연동돼 있다는 거 자체를 모르시는 분들도 많고요. 클라우드에 연동돼 있다라고 하면 어떤 정보까지가 올라가는 건지도 사실 관심이 잘 없으시거든요. 그러니까 사실 대부분 사용자들의 경우는 이 클라우드 쪽은 방치되고 있다고 보셔야 됩니다. 그러다 보니까 해커들이 그걸 노리는 경우가 많고요. ◇ 김현정> 이게 백업이 돼 있다는 것도 잘 모르는 경우가 많다? ◆ 김승주> 그렇죠. 국내뿐만 아니라 외국에서도 종종 벌어집니다. ◇ 김현정> 그러면 이 클라우드 시스템 자체가 해킹이 된 것이냐? 아니면 주진모 씨의 계정을 그 해커가 어디서 봐가지고 그걸 집어넣은 것이냐. 아니면 주진모 씨 계정만 상대로 해서 비밀번호 생성기 같은 것을 돌린 것이냐. 어느 쪽이라고 보세요? ◆ 김승주> 일단 삼성전자도 발표를 하기는 했지만 제 자신도 클라우드 자체가 직접적으로 해킹당했다라기보다는 주진모 씨의 아이디, 패스워드가 도용당한 쪽이 더 맞지 않나라고 생각합니다. ◇ 김현정> 그런데 그 해커가 주진모 씨 아이디를 어떻게 알았을까요, 아이디와 패스워드를? ◆ 김승주> 일단은 클라우드 자체가 직접적으로 해킹을 당했다라고 그러면 피해 범위가 전 세계적으로 광범위하게 나타났어야 됩니다. 그런데 이게 특정 연예인들을 중심으로 나타난 걸로 봐서는 클라우드 자체가 해킹당한 것 같지는 않고요. 제가 아이디, 패스워드가 도용당했다라고 말씀드린 것은 많은 연예인분들이 스마트폰이 뚫렸다, 페이스북이 뚫렸다, 트위터가 해킹당했다. 이런 얘기들을 많이 하시거든요. 그런데 조사를 해 보면 진짜로 해킹당했다라기보다는 다른 사이트의 아이디하고 패스워드를 쓰던 것을 해커가 알아낸 겁니다. 그런데 공교롭게도 이 아이디하고 패스워드를 똑같이 삼성 클라우드나 트위터나 페이스북에도 똑같은 아이디하고 패스워드를 썼던 거죠. 그럴 경우에 아이디하고 패스워드 도용이 일어나게 됩니다. ◇ 김현정> 그 말은 아이디와 패스워드 뚫는 게 굉장히 쉬운 사이트들이 있다는 얘기죠. 보안이 취약한. ◆ 김승주> 영세한 쇼핑몰 같은 사이트죠. ◇ 김현정> 그러면 예를 들어 A라는 연예인이 영세한 쇼핑몰에서 쓰던 아이디와 비번을 똑같이 클라우드에도 쓰고 카톡에도 쓰고 여기저기 쓰면 그걸 가지고 다른 계정에도 시도해 보는 거군요? ◆ 김승주> 그렇죠. ◇ 김현정> 그러다가 하나 뚫리는 거군요? ◆ 김승주> 그렇죠. ◇ 김현정> 알겠습니다. 사실 이번에 연예인의 문자 메시지가 털렸기 때문에 관심이 뜨겁습니다마는 생각해 보면 이건 누구나 이렇게 벌어질 수 있는 일이네요? ◆ 김승주> 맞습니다. 그래서 한 1-2년 전에도 할리우드 배우도 이런 식으로 해서 사진이 전부 다 털린 적도 있고요. 그래서 요새 ‘삼성 폰이 이거 문제가 있는 거 아니야?’ 이러시는데 1-2년 전에 할리우드 배우 클라우드가 털렸을 때는 그것은 아이폰이었거든요. ◇ 김현정> 아이폰도 털릴 수도 있겠네요, 이런 식이라면? 아이디랑 비번을 넣는 거니까. ◆ 김승주> 그렇죠. 아무리 잘 만들어도 아이디하고 비밀번호 관리를 소홀히 하면 이건 뭐 어떻게 할 수가 없는 겁니다. 그래서 애플 같은 경우에는 이중 인증이라 그래서 아이디하고 비밀번호를 입력해야 되지만 또 다른 인증을 또 거쳐야 됩니다. 예를 들어 SMS 문자 메시지 같은 걸 확인한다든가. 삼성 같은 경우도 그렇게 이중 인증을 제공합니다마는 아이폰하고 다른 건 아이폰은 의무적으로 전부 다 이중 인증을 해야 되고요. ◇ 김현정> 선택이군요. ◆ 김승주> 삼성은 사용자가 선택해야 되는 거고요. ◇ 김현정> 여러분, 이런 식으로 해서 연예인들의 카톡, 연예인들의 SMS 문자메시지가 털린 겁니다. 그럼 우리가 여기서 기억해야 할 것 세 가지가 있다고요. 첫 번째는 무엇인가요? ◆ 김승주> 일단은 사이트가 달라지면 비밀번호는 다른 걸 쓰셔야 됩니다. ◇ 김현정> 아니, 그런데 헷갈려요. 요즘 워낙 쇼핑몰이며 뭐며 등록한 게 많아서. 그러면 적어놔야겠네요? 귀찮더라도. ◆ 김승주> 아니요. 그걸 본인만의 규칙을 만들어놓는 게 좋습니다. 예를 들어 내가 백설공주와 일곱 난쟁이다. 그러면 한글로 ‘백설’ 하시고 더하기(+) 표시하시고 숫자로 7 하시면 일종의 규칙이 만들어진 거죠. 그다음에 맨 뒤에다가 접속하시는 사이트 주소의 앞의 두 글자만 내가 붙이겠다라든가. 그러면 비밀번호가 계속 바뀔 거잖아요. 김승주 고려대 정보보호대학원 교수 ◇ 김현정> 그러네요, 사이트가 바뀌는 것에 따라서. 그러면 꼭 앞에 두 글자라고 안 해도 자기가 뭔가 규칙을 넣으면 되니까. ◆ 김승주> 그렇죠. 그래서 본인만의 규칙을 만들어서 사이트마다 비밀번호를 바꿔주시라 하는 게 첫 번째고요. 두 번째는 이중 인증이라고 하는 걸 가급적 켜두시는 게 좋습니다. 그래서 요새는 워낙 해킹이 발달했기 때문에 비밀번호 외에도 생체 인식이라든가 SMS 문자 확인이라든가 별도의 인증 수단을 추가로 더 하나 하시는 게 좋고요. 세 번째로 가장 중요한 것 중에 하나가 스마트폰 OS하고 앱은 항상 최신 버전으로 업데이트를 해두셔야 됩니다. ◇ 김현정> 업데이트 한 번 누르면 몇 분씩 걸리고 이러니까 다들 ‘나중에 하기’를 누르고 넘어가시거든요. 그러지 말고? ◆ 김승주> 그리고 업데이트 공지가 뜨면 그 공지를 일반인이 아니라 해커도 보거든요. 그래서 해커는 그 공지를 분석해서 스마트폰 어디에 문제가 있는지를 알아내게 되고 하루이틀 안에 바로 공격 코드를 만들어냅니다. ◇ 김현정> 정말요? ◆ 김승주> 그래서 공지가 뜨면 즉각적으로 업데이트하셔야 되고요. 실제로 최신 버전으로 업데이트만 잘돼 있어도 우리 무슨 스미싱 문자를 통한 해킹 이런 얘기 많이 나오잖아요. 조금 있으면 구정도 있고 하니까. 그런데 업데이트만 잘돼 있어도 이런 스미싱 문자를 통한 해킹의 95-96% 이상은 견뎌낼 수 있습니다. ◇ 김현정> 알겠습니다. 스마트폰 최신 버전 업데이트 메시지가 뜨면 여러분 미루지 마시고 이틀 안에, 최소한 이틀 안에는 반드시 업데이트 하라. 여기까지 기억해야겠습니다. 김승주 교수님, 고맙습니다. ◆ 김승주> 네, 감사합니다. (속기=한국스마트속기협회)
일상에 바로 적용 가능한 상식을 알려주는 책
안녕하세요! 나만의 스마트한 독서 앱, 플라이북입니다! 여러분은 일상을 살아가는 데 필요한 상식들을 어디서 얻으시나요? 알아두면 도움 되는 상식들을 모아볼 수 있다면 어떨까요? 이번 플라이북의 추천 책은 일상에 바로 적용 가능한 상식을 알려주는 책 다섯 권입니다. 생활부터 과학, 역사, 자연, 사회에 이르기까지 일상에 꼭 필요한 지식만을 선별한 지식백과 1분 생활 상식 자세히 보기 >> https://www.flybook.kr/book/139329 양을 의심하는 고객부터 어린이 고객까지 모든 클레임에 현명하게 대처하는 꿀팁들 음식점 클레임 대응 꿀팁 자세히 보기 >> https://www.flybook.kr/book/139330 빌려준 돈 되찾는 방법부터 이혼, 상속 문제까지 일반인을 위한 사례중심의 생활법률 상식책 생활법률 상식사전 자세히 보기 >> https://www.flybook.kr/book/121389 신혼부부와 청춘들이 바로 적용 가능한 금융지식 최소 3년은 끼고 봐야 할 재테크 교과서 알아두면 정말 돈 되는 신혼부부 금융꿀팁 57 자세히 보기 >> https://www.flybook.kr/book/109558 내가 알고 있는 상식이 과연 진짜일까? 99%가 모르는 상식의 놀라운 반전들 알아두면 쓸데 있는 유쾌한 상식사전 1 자세히 보기 >> https://www.flybook.kr/book/118967 책 증정 받으러 가기 >> https://goo.gl/HpqS2W
비밀번호 인증 설계의 핵심은 책임소재를 잘 배치하는 것이다. 이것은 보안이라고 할 수 없다.
제목 : 비밀번호 인증의 문제를 정확히 알려주어야 한다. 부제 1 : 계정이 해킹되었는데 서비스는 해킹되지 않았다? 부제 2 : 보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,, 사용자가 왜 비밀번호를 아무리 잘 관리하려해도 소용이 없는 지 사용자에게 자세히 알려주어야 한다. 그리고 설사 비밀번호가 해킹되어도 왜 서비스 제공자는 책임이 없는지도 알려주어야 한다. 아래 그림에서 보듯이 서비스 제공자는 자신의 서버에 비밀번호를 단방향 암호화로 저장한다. 한번도 아니고 1만번 이상 뺑뺑이를 돌린다, 물론 다 이렇게 하지는 않는다. 그래서 서버가 해킹되면 비밀번호가 유출되는 것이다. 암튼 이 정도 조치를 해둔 서버를 해킹하여 비밀번호를 탈취하는 것은 사실상 불가능하다. 통신 구간에서는 SSL로 비대칭 암호화를 적용한다. 이 역시 탈취하여 크랙하는 것은 거의 불가능하다. 단, 다 이렇게 하지는 않는다. https에서 s가 없으면 이렇게 안하는 것으로 이해하면 된다. 문제는 이 상황이면 설사 계정이 도용되어도 서비스 제공자는 책임이 없다는 것이다. 왜냐하면 서버는 해킹되지 않았기 때문이다. 그럼 왜 계정이 도용당하는가? 그것은 사용자 단말에서 문제가 발생하기 때문이다. 키보드가 해킹되거나 다크웹에서 구매한 비밀번호를 무차별 대입하여 도용을 시도하는 것이다. 여기서 키보드 해킹에 대하여는 금융기관의 경우 금융당국이 제재하여 각종 키보드 해킹 방지 프로그램을 강제로 설치하게끔하고 있다. 그런데 금융기관이 아니면 대부분이 이부분에 대한 강제 규제가 없다. 게다가 다크웹에서는 여러곳에서 탈추한 비밀번호들이 거래되고 있기 때문에 심각한 문제가 발생하게 된다. 이외에도 개인정보가 탈취되면 사회공학적 툴로 비밀번호 유추가 용이하다. 왜냐하면 대게 사람들은 자신의 신상과 관련된 문자 몇 개는 비밀번호에 섞거나 반복 재사용하기 때문이다. 이러한 방법으로 계정이 도용당하면 왜 사용자의 책임인가? 그것은 비밀번호를 자주 변경하지 않았다는 이유와 키보드가 해킹당하도록 악성코드 제거를 열심히 하지 않았다는 이유 때문이다. 일반 사용자는 이와 같은 불리한 상황을 극복할 방법이 사실상 없다. 따라서 결국 책임은 사용자의 것이다. 이것은 서버스 제공자가 계속 비밀번호 인증을 유지하는 이유일지도 모른다. 한마디로 비밀번호는 "계정이 해킹되어도 서버의 비밀번호는 해킹되지 않아 책임에서 자유롭다."는 아이러니한 결과를 제공하기 때문이다. 보안의 끝판왕은 책임 소재가 어디인가에 있다는 사실,,,, #PASSWORD #보안 #비밀번호 #다크웹 #스터핑
동기부여가 필요할 때 읽으면 좋은 책
안녕하세요! 나만의 스마트한 독서 앱, 플라이북입니다! 이루고 싶은 것은 많은데 어쩐지 뜻대로 움직여지지 않을 때, 특별한 계기를 기다리는 것보다는 지금 바로 시작하는 힘이 필요합니다. 동기부여가 필요할 때 읽으면 좋은 책 다섯 권입니다. 오늘 변하지 않으면 더이상 물러설 곳은 없다 적극 행동하게 되는 이 시대 최고의 성공 가이드 나쁜 습관을 버리고 새롭게 시작하고 싶을 때 오늘을 변화시키는 작지만 위대한 습관 이야기 아주 작은 습관의 힘 자세히 보기 >> https://www.flybook.kr/book/135953 성공의 정의는 '끝까지 해내는 것'이다 특별하지 않은 사람들이 성공을 이뤄낸 방법들 GRIT 자세히 보기 >> https://www.flybook.kr/book/137045 성공을 위한 최고의 전략은 무엇일까? 경영의 대가가 들려주는 위대한 성공 법칙 163가지 리틀 빅 씽 자세히 보기 >> https://www.flybook.kr/book/11564 인생은 고통이지만 무너지지 않을 길은 있다 의미있는 삶을 사는 지혜를 담은 12가지 법칙 12가지 인생의 법칙 자세히 보기 >> https://www.flybook.kr/book/122791 성공하는 사람들은 어떤 공통점이 있을까? 독자의 삶을 변화시킨 성공학 교과서 성공하는 사람들의 7가지 습관 자세히 보기 >> https://www.flybook.kr/book/52459 나만의 스마트한 독서 앱, 플라이북 바로가기 >> http://me2.do/5j7takLf
알툴즈 2500만건 개인정보 유출사고
'비트코인' 노린 사이버범죄 이스트소프트의 PC 유틸리티 프로그램 알툴즈에 가입된 회원 약 16만명, 2500만여건에 달하는 개인정보를 유출해 비트코인을 요구한 피의자가 경찰에 검거됐다. 이번 사이버범죄는 탈취한 개인정보의 몸값으로 이스트소프트 측에 비트코인을 요구했으며, 유출된 개인정보로 사용자들의 가상화폐 계좌에 접속해 가상화폐를 훔치는 등 2차 피해도 발생한 것으로 밝혀졌다. 경찰청 사이버수사과는 10일 지난해 이스트소프트의 알툴즈에 가입된 회원정보를 유출해 정보통신망법 위반 등 혐의로 중국 국적의 조모씨를 검거하고, 협박 행위에 가담한 한국인 공범의 신원을 확인해 추적하고 있다고 밝혔다. 경찰청에 따르면 이들은 지난해 2월 9일부터 9월 25일까지 이스트소프트의 알툴즈 회원 16만6000여명의 아이디와 비밀번호 등 개인정보 2540만건을 탈취 후 이스트소프트 측에 비트코인을 요구했다. 이번 사이버범죄는 이스트소프트의 PC 유틸리티 프로그램 시리즈 알툴즈 중 각종 웹사이트들의 아이디와 비밀번호 등을 통합 관리하는 '알패스'를 타깃한 것으로 확인됐다. 알패스는 웹사이트들의 아이디와 비밀번호를 저장해 두고, 해당 웹사이트에 접속 시 사용자가 직접 아이디와 비밀번호를 입력하지 않아도 자동으로 입력해주는 프로그램이다. 경찰청 측은 피의자들이 1차적으로 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 매크로 프로그램인 '알패스(Alpass)3.0.exe'을 만들어, 유출된 아이디 및 비밀번호와 동일한 알패스 사용자 계정을 확보한 것으로 보인다고 설명했다. 이들은 탈취한 개인정보 2540만건 중 43만건을 이스트소프트 측에 제시하며 67회에 걸쳐 현금 5억원에 해당하는 비트코인을 요구했다. 이스트소프트는 몸값을 요구하는 협박에 응하지 않고 수사기관에 신고하면서 피해 사실이 알려지게 됐다. 경찰청에 따르면 이들은 알툴즈에서 탈취한 개인정보를 이용해 대포폰 개설, 서버 임대, 가상화폐 계정 접속 등 2차 범죄에 활용됐다. 특히 알툴즈에 저장된 개인정보와 동일한 가상화폐 거래소 계정에 로그인에 성공해 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송하는 등 실제 피해도 발생했다. 한편, 경찰은 방송통신위원회, 한국인터넷진흥원(KISA) 등과 협력해 관련 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청했다. 인터넷 웹사이트 운영업체에게는 아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지할 수 있도록 보안을 강화할 것을 권고했다.
고수가 알려주는 월급관리 비법
직장인들이라면 다들 공감하시겠지만 월급은 매일 받고 있는데 돈은 안 모인다면 주목하실 이야기입니다. 물론 집에서 월급관리를 하는 엄마들도 알고 있어야 할 이야기이기도 하죠. ^^  가장 먼저 내 상황을 정확히 아는 것이 중요합니다. 현재 상황에서 소비를 줄여서 최대한 모을 수 있는 나의 ‘최대저축액’을 산정하는 것인데요. 누구나 다 아는 이야기지만 정말 많은 사람들이 이 간단한 습관을 기르지 못해 다음 단계로 넘어가지 못하는 경우가 대부분입니다.  1단계. 3개월 동안의 지출을 추적하라  최대저축액 산정을 위해선 적어도 3개월간의 지출내역이 필요합니다. 카드 사용내역을 뽑거나 필요하다면 오늘부터 3개월간 지출을 기록해 보세요. 껌 한 통, 음료수 한 캔까지 구체적일수록 허리띠를 졸라맬 항목을 많이 발견할 수 있습니다.  2단계. 절대 뺄 수 없는 고정비용을 제외하라  지출내역 중에서 주거비나 대출 등 반드시 지출해야 하는 필수 항목을 구분합니다. 고정지출은 비소비성 지출이라 하여 보험료, 교육비 등을 포함합니다. 변동지출은 소비성 지출이라 하여 생활비, 통신비, 교통비, 기타 용돈(경조사 등)이 포함됩니다.   3단계. 변동폭이 가장 큰 지출을 확인하라  고정비용을 제외한 나머지 지출 중 3개월 간 변동폭이 가장 큰 내역을 확인합니다. 변동이 큰 지출은 그만큼 충동적으로 이뤄졌다는 것이고 지출을 줄일 수 있는 핵심포인트가 됩니다. 무작정 소비를 줄이는 게 아니라 쓰지 않아도 될 돈을 찾아서 아껴야 합니다.   4단계. 최대저축액 산정  이제 지출을 줄일 수 있는 부분을 합해 내 급여 안에서 할 수 있는 ‘최대저축액’을 산정합니다. 만약 3개월 지출내역에서 식비의 변동폭이 크다면 불필요한 외식을 했던 경우를 체크해 그 액수만큼 저축액으로 산정하는 것이죠. 아무리 못해도 최소 5~10만원은 아낄 구석이 생길 겁니다. 그리고 이 작은 돈이 변화의 시작입니다.   5단계. 최대저축액만큼 자동이체  자, 최대저축액이 산정되면 내일 당장 자동이체를 신청하세요. 자제력을 믿지 말고 자동이체를 믿으시기 바랍니다. 단돈 3만원, 5만원 짜리 적금이라도 추가로 가입한다면 최대저축액은 곧 현실이 될 것입니다.  직업에 따라 가족의 재산에 따라서 부의 수준은 천차만별입니다. 하지만 모든 사회인들이 똑 같은 점은 강제성 없이는 소비를 통제하지 못한다는 것입니다. 초보를 고수로 만드는 재테크 습관은 정말 간단합니다. 지금 당장 최대저축액부터 구해보세요. 
'코인'인지 뭔지 핵쉽게 정리해dream (2)
옷...오오옷!!! 빙글러들의 대박적인 반응에 리얼 깜짝 놀란 거임ㄷㄷㄷㄷ 지난주에 코인에 대해서 쉽게 설명해드리는 카드를 하나 썼음 (↑ 이건데 안 보신 분들은 꼭 보셔야 함. 그래야 이번 카드도 이해할 수 있음) 근데 나같은 놈이 쓴 글이 뭐라고ㅜㅜ 여러분들이 하트와 덧글과 팔로우를 폭발시켜준 거임ㅠㅠ 원래는 노잼인 내용이라 쓸까 말까 고민했는데 이런 반응이면 더 써도 되는 거 맞음..? 그린라이트인거임..? 삐빅- 그린라이트입니다. ㅋㅋㅋㄳㄳ 원래 잘한다 잘한다 해주면 개도 신나서 춤추는 법임 여러분들의 잘한다 잘한다에 힘입어서 2편도 신나게 써보겠음 먼저 지난화 요약 들어감. (무슨 드라마 같음) *1편 요약 - 코인은 블록체인 시스템 상에서 존재한다. - 블록체인이란? 데이터를 블록 형태로 저장한 후, 각 블록에 해당하는 코드를 발급. 블록의 코드를 체인처럼 연결해서 긴 데이터 사슬을 만들고 그 데이터 사슬을 전세계의 수많은 사람들이 함께 기록해나가고 보존하는 시스템! 요기까지가 1편에서 다뤘던 내용의 요약본임. 그래서 블록체인 시스템상의 데이터는 조작도 불가능하고, 시스템을 운영하는 대표자가 없어도 된다는 얘기까지 했었음. 여까지는 뭔가 깔끔하게 이해하고 넘어간 것 같았음. 근데 마지막에 싸늘하게 꽂히는 비수같이 날카로운 질문이 날아왔음 와씨 완전 핵심적인 내용에 대한 질문임ㄷㄷ 대박인데? 이렇게 날카로운 질문 누가함..?? 은 나였음. 칭찬의 의미로 하트, 팔로우 많이들 눌러주셈. 자 오늘 할 이야기는 저 질문에 대한 답변. 즉, [블록체인 장부를 누가, 무슨 목적으로 써주고 있는 것인가]에 대한 이야기임. 님들도 너무나 궁금할거임? 완전 알고싶지 않음? 그르지 마요... 알면 좋잖아 빠삭한 배경지식 없이도, 재밌게 읽다보면 이해되게끔 최대한 핵쉽게 설명해드리겠음! 블록체인의 참여자들 - 블록체인 장부는 누가, 왜 써주는 것인가? 블록마다 코드 박고, 블록끼리 연결하고, 장부 저장하는 귀찮은 짓을 지금도 수많은 사람들이 하고 있음. 블록체인이 좋다는 건 알겠는데 그걸 굳이 내 시간을 들여서 해야함? 하고 있는 사람들은 뭐임? 호구임?? 여러분들의 이해를 돕기 위해, 리얼 호구아저씨의 가슴 아픈 이야기를 예로 들어드리겠음. 안구건조증 있는 분들도 눈가 촉촉해 질 만큼 안구 습도 높은 이야기니 잘 봐주셈 #낚임 내가 복수해줄까?ㅋㅋ 호구아저씨는 정마담과 데이트를 하다가 솔깃한 얘기를 듣게 됨. 정마담이 도박을 하다가 크게 잃었는데, 상대 플레이어들 실력이 장난 아니라는 거임. 평소 도박도 좋아하고, 정마담에게 잘보이고 싶었던 호구아저씨는 자기가 복수해준다고 큰소리를 침 #탈탈털림 뜻대로 안된다... 총알이 적어서 그런가? 하지만 상대 플레이어들은 정마담이 미리 섭외해둔 타짜들이었던 거임ㄷㄷㄷ 호구아저씨 정도는 한손으로 썸남이랑 카톡 하면서도 탈탈 터는 수준임. 호구 아저씨는 기대와 다르게 탈탈 털리자 기분이 매우 언짢아짐. 기세 좋게 이길만~ 하면 돈이 부족해서 지는 것 같은 느낌임. 복수심에 불탄 호구 아저씨는 돈을 좀 더 구해와서 복수하기로 다짐. 정마담에게 돈을 빌리러 감. #돈좀빌려줘 제가... 비트코인 50개 빌려드릴까요?? 정마담은, 호구아저씨가 돈을 잃어도 자기가 심어둔 사람들이 따는 것이기 때문에 손해 볼 게 없음. 그래서 비트코인 50개를 한번에 빌려주기로 함. (비트코인 50개 : 현시세로 약 5억ㄷㄷ) #기세등등 도박이 뭐야? 응? 도박은 파도야! 올라가면 내려가고, 내려가면 다~쒸 올라 오는거야! 이자식들 다죽었어!!! 정마담에게 빚만 늘어가는 것도 모른 채 호구 아저씨는 들뜨기 시작했음 ㅜㅜ 자, 이제 정마담이 호구아저씨에게 50 비트코인을 송금할 차례임. 맞음. 이 거래 정보를 누군가가 블록으로 만들어서, 블록체인 시스템에 연결해줘야 되는 거임 새로운 거래가 발생했습니다. 이 거래를 블록체인에 기록해주세요~ 여러분들 잘 알다시피, 블록을 연결하려면 코드를 발급 받아야 함. 근데! 코드를 발급 받으려면 6 가지 정보가 필요함 으응..? 여섯 가지...? 거래 정보 넣으면 자동으로 코드 나오는거 아녔어? 핵쉽게야... 이거 뭐야? 전엔 이딴 얘기 읎읐쯔느... 워워 릴렉스 하셈; 이 부분만 포기하지 않으면 진짜 다 이해할 수 있음 여기가 비트코인/블록체인의 하이라이트임 앞 카드에서, 거래 정보를 입력하면 거래 정보에 따라 코드 값이 발급된다고 했음. 그리고 정보가 아주아주 조금만 달라도 다른 값이 나온다고 했음. 다 맞는 말임. 근데!! 사실은!! 자세히 보자면!! 여기서 '거래의 인증코드'가 그대로 '블록의 인증코드'가 되는 게 아님 '블록의 인증코드'를 받기 위해선 '거래의 인증코드' + 5 가지가 더 필요함 검정색 정보 -> 자동으로 주어짐 분홍색 정보 -> 기록자가 입력해야 함 코드 생성기에 저 정보들이 들어가야 블록의 인증코드가 발급되는 거임 5개는 자동으로 주어지는 거고... 하나만 입력하면 되네? 쉬워보이니 쫄지말고 하나씩 보는 거임ㅇㅇ [블록의 코드생성에 필요한 정보] 1. 거래의 인증코드 : 거래정보에 따라 자동으로 주어짐. 걱정ㄴㄴ 2. 소프트웨어 버전 : 자동기록됨 고민ㄴㄴ 3. 블록 작성 시각 : 알아서 기록됨 신경 ㄴㄴ 4. 앞 블록의 코드 : 앞 블록이면 이미 정해져 있는 거자나 고민 ㄴㄴ 5. 난이도 조건 : 응? 6. 정답 : 응??? 조건? 정답? 처음보는 얘기가 튀어나와서 많이 놀랐죠? 많.이.놀.랐.을 여러분을 위해 핵쉬운 설명 빠르게 시작하겠음. 자동으로 주어지는 것 외에 뭘 입력해야 하나 하고 봤더니 [정답]을 입력해야 한다고 함. 뭐에 대한 정답이냐면, 코드 발급 받을 때마다 코드 생성기가 내는 문제에 대한 정답임 근데 얘가 내는 문제가 완전 막장임ㅋㅋㅋㅋㅋㅋㅋㅋㅋ 얘가 내는 문제의 예시를 보자면 이러함 (원래는 64자리 코드이지만, 쉬운 설명을 위해 4자리로 예를 들겠음) 이게 개노답인게, 정답란에 숫자를 넣었을때 나오는 값이 매번! 규칙이! 전혀! 없음 1을 넣었을 때 무슨 값이 나올 지는 아~무도 모름. 2를 넣었을 때 무슨 값이 나올 지도 아~~~무도 모름. 정답란에 그냥 하나씩 다 넣어봐야 아는 거임. 언제까지? 운좋게 쟤가 말한 조건(ex : 4500보다 낮은 값)이 나올 때까지!! 코드 발급을 시작하지 그래서 기록자는 정답을 하나씩 넣어 보면서 찾아야 함. 1을 넣어봄 9998이 나옴. 4500보다 높으니 탈락 2를 넣어봄 5281이 나옴. 4500보다 높으니 탈락 ... 534을 넣어봄 (멘탈 나감) 6710이 나옴. 4500보다 높으니 탈락 ... 계속 넣어보는 중. 2312 까지 왔음 4010이 나옴!!!!!! 4500보다 낮으니 코드 인정임!! 드디어 성공한거임!! 이 블록의 인증코드 조건에 맞는 4010이 나왔음!! 이 블록은 이제 정마담이 호구한테 50BTC 준다는 거래정보를 아래와 같이 블록화해서 체인에 걸 수 있게 됐음 난이도 조건은 [4500보다 낮은 값이 나오도록 하는 정답을 찾아라] 였고 그 정답은 2312 였음. 정답인 2312를 넣어서 얻은 4010이 이 블록의 인증코드로 박히게 됨 그래서 블록체인 시스템에 코드 달린 블록으로 이어질 수 있게 됨! 아니 블록체인 블록생성 과정 보니까 더 이해가 안감ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ이걸 왜 해주고 있는거임????? ㅋㅋㅋㅋㅋ이거 진짜 사람이 할짓이 아닌데???? 블록체인이고 나발이고... 정답란에 숫자를 넣으면 값이 하나씩 튀어나오는데, 아무 규칙도 없어서 아무 값이나 튀어 나옴; 그래서 숫자 하나씩 하나씩 넣어보고 조건에 맞는 값이 튀어나와야 코드로 인정받는 거임;; 이런 뻘짓을 하면서 블록 생성해주는 사람들은 뭐임?? 호구임? 변태임? 누가 따로 돈이라도 줌?? 어휴 돈이면 또 얘기가 달라지죠 헤헤 ^^; ㅇㅇ 돈 줌 물론 현금을 주는 건 아니고, 블록체인 상 보상체계에 따라 보상을 줌. 비트코인 시스템 상에선 다음 두가지로 보상을 해줌 1. 거래당사자가 지급하는 비트코인 수수료 (거래마다 다름) 정마담 : 호구에게 50 비트코인 가도록 블록생성해주는 분께는 0.001 비트코인 드립니다 ^^ 2. 블록 생성자에게 시스템이 지급하는 비트코인 (현재 블록당 12.5 비트코인) 시스템 : 정마담이 호구에게 50 비트코인 주도록 블록생성 완료한 사람이군? 자 여기 보상으로 12.5비트코인ㅇㅇ 이렇게 블록을 만들어주고 보상을 받는 걸 뭐라고 한다? 이게 바로 채! 굴! 이게 그 채굴인가 뭔가 하는 그거였어??? 비트코인 채굴한다~ 채굴한다~ 하는데 이게 뭔 말인지 궁금한 분 많았을 거임. 이때까지 우리가 얘기한 '블록의 생성 과정'을 수행하고 '보상'을 받는 것이 바로 채굴임!! 1) 블록화된 거래기록이 시스템에서 인정받으려면 블록 코드가 필요하다. 2) 블록 코드가 발급되려면 6가지 정보를 넣어야 한다. (거래의 인증코드, 소프트웨어 버전, 블록 작성시간, 앞 블록의 코드, 난이도 조건, 정답) 3) 6가지 정보 중 기록자가 찾아내야 하는 정보는 '정답' 뿐, 나머지는 주어진다. 4) 조건에 맞는 값이 튀어나오게 하는 '정답'을 찾아내면 5) 튀어나온 값이 '코드'가 되어서 6) 블록이 블록체인에 이어질 수 있게 된다. 이 힘든 과정을 수행하면서 블록을 생성한 사람은 보상을 받게 됨 (비트코인 시스템에서는 비트코인이 보상) 그리고 이 행위를 '채굴한다'라고 하는 것. 그리고 이렇게 '채굴'에 참여하기 위해서는, 비트코인 블록체인 시스템 상에 참여하면서 장부를 계속 업데이트 해야함. 그래서 완성된 장부를 계속 똑같이 쓰면서 업데이트 하는거임!! 자, 카드에서 처음에 얘기한 질문이 이제 해결됨 할 일이 없어서가 아니라, 채굴에 참여해서 보상을 받기 위해 장부 업데이트에 참여하는 거였음. 물론 이 채굴 보상은, 블록체인 시스템이 받아들여지지 않으면 아무 의미 없음. 블록체인과 비트코인이 아무런 인정을 받지 못했을 때의 비트코인의 가치와, 블록체인과 비트코인 시스템이 인정받고 가동될 때의 비트코인의 가치가 매우 다를 것임. (비트코인 시스템의 가치에 대해서는 별 관심이 없고, 이 코인을 현금을 주고 사려는 사람이 많아서 채굴하려는 사람도 물론 매우 많음. 아까 블록코드 한번 발급 성공하면 12.5 비트코인 준다고 했는데, 12.5 비트코인이면 현재 원화로 교환가치가 1억2천만 원쯤 됨ㄷㄷㄷ) 그럼 이제 여러분은 또 질문이 생길 거임 뭐? 1억 2천? 일어어억이처어어언? 그럼 나도 할래!!! 나도 하고 우리 엄마도 하고 할아버지도 하고 다 할래! 핵쉽게 너도 해라! 그렇게 좋은데 왜 채굴 안하는 거임? 그리고 거래의 인증코드가 자동으로 발급되는데, 그걸로 그냥 블록의 인증코드 바로 만들면 안됨? 저 정답찾고 난리하는 과정을 거쳐서 새로 블록의 인증코드를 받도록 하는 이유가 뭐임? 아 그리고 정답을 두명이 동시에 찾으면 어떻게됨? 찌찌뽕 함? 와 역시 또 핵심을 찌르는 질문임ㄷㄷ 이 질문에 대한 답도 핵쉽게 알려드리고 싶지만, 일단 오늘은 여러분이 '채굴이 무엇인가'를 이해하는 엄청난 일을 한 것으로 충분함. 채굴을 이해한 것 만으로 여러분은 블록체인에 대한 이해가 한층 깊어진 거임. 블록체인이 뭔지 채굴이 뭔지 몰라도 일상생활 하는 데 지장은 없지만 여러분들은 검사와 도지사를 거쳐 현재 당대표인 사람보다 많이 알게 된 거임 ^^ 세상의 변화에 대해, 일단 알고 나서야 판단을 할 수 있는 법임ㅇㅇ 무튼 다음 이야기에서는 - 채굴하면 돈주는데 안하는 이유 - 채굴하는 과정이 저렇게 지랄맞...이 아니라 복잡한 이유 - 같은 블럭을 동시에 채굴하면? 등등의 이야기를 해볼까함 물론 읽어줄 사람이 있다면 말임ㅜㅜ 거 사람 참 매정하네... 무튼 제가 쓴 두개의 카드를 읽으신 분은 1편 : 블록체인의 개념과 의의 2편 : 블록체인 시스템을 가동시키는 '채굴' 이 두가지를 이해하시게 된거임. 여러분의 관심을 먹고사는 저는 다음 카드로 또 돌아오겠음! 여기까지 오신 분들 있음? 생존자님들은 하트, 덧글, 팔로우 부탁dream!