정보자산의 접근제어 2차 인증을 위한nuriapp.com/download/baropam_intro2.pdf · 2020....

1 Copyright Nurit Corp. All rights reserved.

정보자산의 접근제어 2차 인증을 위한

2021. 5.


613 045

ERP/그룹웨어/전자결재/포탈 등의 애플리케이션 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인증키

를 생성합니다. 생성한 일회용 인증키를 입력한 후 로그인 버튼을 클릭하여 애플리케이션에 로그인 합니다.


613 045

전자문서 중 많이 사용하고 있는 전자 세금계산서를 확인하기 위해서 "(세금)계산서 보기" 버튼을 클릭하여 일회용

인증키를 입력할 수 있는 "Verification code" 항목을 추가하여 보안을 강화한 모습입니다.


간편결제 및 계좌이체 시 앱에서 OTP번호생성 버튼을 클릭합니다. 생성한 OTP번호는 앱에 표시되며 결제버튼을

클릭하여 결제합니다.

카드결제 시 OTP 생성 규칙 = 카드번호 + 결제금액 + 고유번호 계좌이체 시 OTP 생성 규칙 = 계좌번호 + 이체금액 + 고유번호

서버에서 OTP 검증을 통해서 결제/이체 정보의 위변조 여부를 확인.


195 921

Windows 환경을 대체 및 보안에 강한 국산 OS인 하모니카OS에 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에

서 일회용 인증키를 생성합니다. 생성한 일회용 인증키를 입력한 후 로그인 버튼을 클릭하여 로그인 합니다.


195 921

Windows 환경을 대체 및 보안에 강한 국산 OS인 구름OS에 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일

회용 인증키를 생성합니다. 생성한 일회용 인증키를 입력한 후 로그인 버튼을 클릭하여 로그인 합니다.


195 921

MS 윈도우의 단점을 보완한 표준 OS인 TmaxOS에 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인

증키를 생성합니다. 생성한 일회용 인증키를 입력한 후 로그인 버튼을 클릭하여 로그인 합니다.


075 505

Windows 로그온 시 스마트폰 앱에서 일회용 인증키를 생성합니다. 생성한 일회용 인증키와 비밀번호를 입력한 후

로그온 버튼을 클릭하여 Windows에 로그온 합니다.


195 921

Mac / Linux / Unix 환경에 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인증키를 생성합니다.

생성한 일회용 인증키를 입력한 후 로그인 버튼을 클릭하여 로그인 합니다.

1 0 Copyright Nurit Corp. All rights reserved.

195 921

Mac / Linux / Unix 환경에서 특정 명령어 사용 시 스마트폰 앱에서 일회용 인증키를 생성합니다. 생성한 일회용 인

증키로 2차 인증 후 명령어 실행 합니다.

$ vi /home/baropam/cmd/.baro_auths Verification code: 195921 $ mv .baro_auths /usr/baropam Verification code: 195921 mv: overwrite `/usr/baropam/.baro_auths'? y $ cat /usr/baropam/.baro_auths Verification code: 195921 " AUTH_KEY " COUNT_LIMIT 3 " TIME_LIMIT 30 " KEY_METHOD app512 " CORR_TIME 0 " CYCLE_TIME 30 " SECURE_KEY WSa1MUyG+aaiJ1JS/uqtXuBSoRBIIZOL " ALLOW_WORD baropam,barokey " SKIP_CMD nurit " HOSTNAME qsh-0415.cafe24.com " WINDOW_SIZE 17 $ cd /home/baropam/cmd Verification code: 195921 $ /home/baropam/cmd


$ sqlplus baropam/baropam Verification code: 869885 SQL*Plus: Release 11.2.0.1.0 Production on 금 11월 30 09:38:50 2018 Copyright (c) 1982, 2009, Oracle. All rights reserved. 다음에 계속됨: Oracle Database 11g Release 11.2.0.1.0 - 64bit Production SQL> $ sqlplus / as sysdba Verification code: 869885 SQL*Plus: Release 11.2.0.1.0 Production on 금 11월 30 09:38:50 2018 Oracle Database 11g Release 11.2.0.1.0 - 64bit Production SQL>

869 885

Oracle에서 제공하는 대화형 SQL 명령어 처리 유틸리티인 sqlplus와 Oracle 내에 존재하는 데이터를 테이블

단위로 다운로드 / 업로드 유틸리티인 sqlloader에 일회용 인증키를 적용한 모습입니다.


$ tbsql SYS/tibero Verification code: 419825 tbSQL 6 TmaxData Corporation Copyright (c) 2008-.All rights reserved. Connected to Tibero SQL> $ tbsql tibero/tibero Verification code: 419825 tbSQL 6 TmaxData Corporation Copyright (c) 2008-.All rights reserved. Connected to Tibero SQL>

419 825

Tibero에서 제공하는 대화형 SQL 명령어 처리 유틸리티인 tbsql 과 Tibero 내에 존재하는 데이터를 테이블 단위

로 다운로드 / 업로드 유틸리티인 iloader에 일회용 인증키를 적용한 모습입니다.


~/altibase_home > isql -sysdba Verification code: 658519 ------------------------------------------------------------ Altibase Client Query utility. Release Version 7.1.9.1.2 Copyright 2000, ALTIBASE Corporation or its subsidiaried. All Rights Reserved. ------------------------------------------------------------ Write UserID : sys Write Password : manager ISQL CONNECTION = TCP, SERVER = 127.0.0.1, PORT_NO = 20300 iSQL(sysdba)> ~/altibase_home > isql -s 127.0.0.1 -u baropam -p Nurit# Verification code: 658519 ------------------------------------------------------------ Altibase Client Query utility. Release Version 7.1.9.1.2 Copyright 2000, ALTIBASE Corporation or its subsidiaried. All Rights Reserved. ------------------------------------------------------------ ISQL_CONNECTION = TCP, SERVER = 127.0.0.1, PORT_NO = 20300 iSQL(baropam)>

658 519

Altibase 데이타베이스 정보와 서버의 정보를 조회하고 제어할 수 있는 도구인 iSQL과 Altibase 내에 존재하는

데이터를 테이블 단위로 다운로드 / 업로드 유틸리티인 iloader에 일회용 인증키를 적용한 모습입니다.


1. CSQL 접속 방법 $ csql -C -u db_user -p 'qwe123' -k '658519' demodb@localhost $ csql -C -u db_user -p 'qwe123' -k '658519' [email protected] $ csql -S -u db_user -p 'qwe123' -k '658519' demodb 2. 백업과 복구 $ cuvrid backupdb -C -z -r -k '658519' -D 'CUBRID/databases/demodb -lO demodb $ cubrid restoredb -k '658519' -d 19-02-2015:17:39:00 demodb 3. 데이터베이스 재구성 $ cubrid unloaddb -u dba -p 'password' -k '658519' -S -O /data/unload --output-prefix=demodb demodb.bak

CUBRID 오픈소스 DBMS에 CSQL 인터프리터, 백업 및 복구, 데이터베이스 재구성 등에 일회용 인증키를 적용한

모습입니다.(CUBRID GUI 도구인 CUBRID Manager에 "CM 사용자", "CM 비밀번호" 이외에 일회용 인증키를

입력할 수 있는 "Verification code" 항목을 추가하여 보안 강화)

658 519


$ gsql test test Copyright (c) 2010, 2014, SUNJESOFT Inc, All rights reserved. Release Mercury 2.2.0 revision(14591) Verification code: 917322 Connected to SUNDB Database gSQL> $ gsql --as SYSDBA Copyright (c) 2010, 2014, SUNJESOFT Inc, All rights reserved. Release Mercury 2.2.0 revision(14591) Verification code: 917322 Connected to SUNDB Database gSQL> $ gloader test test --authkey 917332 --export --control test.ctl --data test.dat --no-prompt COMPLETED IN EXPORTING TABLE: PUBLIC. TEST, 3 RECORDS $ gloader test test --authkey 917332 --import --control test.ctl --data import.dat --no-prompt COMPLETED IN IMPORTING TABLE: PUBLIC. TEST, TOTAL 4 RECORDS, SUCCEEDED 3 RECORDS

Mercury DBMS에 접속해 데이터베이스 정보와 서버의 정보를 조회하고 제어할 수 있는 도구인 gsql/gsqlnet과

DBMS 내에 존재하는 데이터를 다운로드 / 업로드 유틸리티인 gloader/gloadernet에 일회용 인증키를 적용한

모습입니다.

917 322


Orange Configuration Wizard를 통한 DBMS 접속 시 일회용 인증키를 입력할 수 있는 "Verification code"

항목을 추가하여 보안을 강화한 모습입니다.

093 991


336 423

SQLGate Connection Wizard를 통한 DBMS 접속 시점에 일회용 인증키를 입력할 수 있는 "Verification

code" 항목을 추가하여 보안을 강화한 모습입니다.


Toad Connection Wizard를 통한 DBMS 접속 시점에 일회용 인증키를 입력할 수 있는 "Verification code" 항

목을 추가하여 보안을 강화한 모습입니다.

336 423


569 858

라우터, 스위칭, IoT Device 등의 네트웍스 장비 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인증키

를 생성합니다. 생성한 일회용 인증키와 비밀번호를 입력하여 네트웍스 장비에 로그인 합니다.


Dell EMC 저장장치 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회용 인증키를 생성합니다. 생성한 일회용

인증키와 비밀번호를 입력하여 Dell EMC 저장장치에 로그인 합니다.

445 044


VDI(Virtual Desktop Infrastructure)는 소프트웨어를 이용해 데스크탑을 가상화하고 , 이를 중앙에서 사용자 환

경으로 제공하는 솔루션에 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.


MS Azure(Function, File Storage) 환경을 활용해 User 모바일 환경에서 Power Apps 를 활용해 2차 인증까

지 진행한 내용을 HTTP Request 를 통해 Azure 환경에 접근해 BaroPAM 인증을 진행 합니다.


의료기관에서 환자는 진료를 받은 후 의사 처방전을 발행 받는데, 전자처방전 등록 시 지문인식 OTP카드에서 등

록된 지문정보를 인식하면 생성되는 일회용 인증키를 입력하여 승인함으로써, 의사 처방전의 불법 및 대리 처방을

방지할 수 있습니다.

14. 전자처방전 시스템과 융합

일회용 인증키

처방 데이터 등록


SSO(Single Sign On)는 1회 인증으로 여러 시스템을 이용할 수 있는 통합 인증 기능으로 단일화된 ID로 SSO로

그인시 각 업무시스템을 별도의 인증절차 없이 권한에 따라 차등적, 선별적으로 각 시스템에 접근할 수 있는 환경을

제공하는 솔루션에 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.


모바일 가상화 플랫폼은 가상화 접속 App을 통해 모바일(개인사용자) 영역과 완전히 분리된 업무환경에서 앱 사용

결과 화면만 전송 서비스하는 플랫폼으로 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.

2차 인증키 검증 (BaroPAM)

2차 인증키 생성 (BaroPAM)


무선 액세스 포인트(Wireless Access Point, WAP)는 컴퓨터 네트워크에서 와이파이를 이용한 관련 표준을 이용

하여 무선 장치들을 유선 장치에 연결할 수 있게 하는 장치로 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.


VPN(Virtual Private Network)은 가상사설망으로 공공기관이나 기업체 등에서 데이터망을 이용해 사설망을 구축

하여 직접 통신망을 제어하고 감시할 수 있는 서비스 체제로 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.

FreeRADIUS

SOPHOS NGF XG 방화벽

Radiu

s:U

DP

1812

Sophos SSLVPN Client

2차 인증키

사용자

Internet


SAC(System or Server Access Control) 솔루션은 계정통합관리 및 접근제어(Access Control)와 감사

(Audit) 기능을 제공하는 솔루션에 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.


VDI/SSO/모바일 가상화 플랫폼/무선AP/VPN/SAC 등의 로그인 시 로그인-ID를 입력한 후 스마트폰 앱에서 일회

용 인증키를 생성합니다. 생성한 일회용 인증키 입력하여 사용자 식별ㆍ인증을 위하여 BaroPAM을 적용 합니다.

일회용 인증키 적용 전

정보자산별 / 계정별 고정된 비밀번호 사용

비밀번호 생성 규칙 적용

비밀번호 정보 DB에 보관

암호화 기술 등을 이용한 보안 조치(단방향 암호화) 필요

유출 위험 및 피해 발생

의무적으로 비밀번호 변경주기 적용

비밀번호 증후군 / 비밀번호 리셋 증후군 호소

일회용 인증키 적용 후

정보자산별 / 계정별 일회용 인증키 사용

해시 알고리즘(SHA512)에서 발생한 값 적용

필요시 스마트폰 앱에서 직접 생성

암호화 기술 등을 이용한 보안 조치 불필요

유출 위험 및 피해 발생하지 않음

개별 인증키 생성주기(3~60초) 적용

비밀번호 증후군 / 비밀번호 리셋 증후군 발생하지 않음


정보자산의 로그인과 게이트/도어락/스마트금고/CCTV 의 출입 통제시스템이 한 장의 (지문인증)인증카드로 일회

용 인증키를 적용한 통합인증 모습입니다.

인증서버

정보자산 관리

인증카드 관리

사용자 관리

출입증 통제관리

인증로그 관리

정보자산`

게이트/도어락/스마트금고/CCTV

Internet


도어락/스마트금고`

기대효과 : 보안성 / 편익성 강화

설정된 비번을 기억할 필요가 없고, 일회용 인증키 생성 APP을 이용하여 비밀번호 입력

BaroPAM 검증 모듈을 직접 도어락/스마트금고에 Porting하여 별도 인증서버 불필요

- 초기서버 / 네트웍장비 투자 비용절감 - 서버간 통신 장애 시에도 서비스가능

Smart Phone APP과 통합 가능

OTP 카드와 지문인식모듈 결합된 지문인증카드로 일회용 인증키 입력

본인 지문정보는 카드자체에 지문인식모듈에 저장 - 간편한 지문 입력 절차 - 생체(지문)정보 해킹 Risk 최소화 - 카드 분실 시 지문인식방식이므로 안전

국방, 신용/체크카드, 사원증/출입증/보안카드 등과 통합 가능

* OTP: One-Time Password

도어락/스마트 금고에 BaroPAM 검증 모듈을 탑재하여 일회용 인증키로 보안성과 편익성을 강화합니다.

348 388

BaroPAM 일회용 인증키 생성 App

BaroPAM 검증모듈 탑제


문제점 /개선점

공공기관 CCTV 관리기관 대상으로 비밀번호 변경지시

- CCTV 제품의 경우 기본 비밀번호를 그대로 사용

- 인터넷을 통해 CCTV에 쉽게 접근하여 내부망 접근가능

CCTV 관제 센타의 경우 수백, 수천 개의 CCTV 보유 중

- 저장된 CCTV 영상을 민간업체에 위탁

- 수동으로 수많은 CCTV의 관리 불가능 ( 일회용 인증 )

개인영상정보보호법 준수 및 감사대응의 필요성

2차 인증(추가 인증)으로 CCTV의 정보자산을 보호

비밀번호를 일회용 인증키로 대체하여 불법사용 방지

영상정보 보호대책을 수립, 운영

영상정보 백업 시 암복호화 적용

IP 카메라에 2차 인증(추가 인증)을 적용하여 보안 강화

지능형 CCTV란 일반 CCTV가 단순히 장면을 녹화해 보여주는 것과 다르게 장면을 녹화하면서 그 영상을 분석하는

여러 기능을 탑재한 CCTV 솔루션에 사용자 식별ㆍ인증을 위한 BaroPAM을 적용 합니다.

로그인ID

검증

BaroPAM 인증키 검증

2차 인증키

사용자


기억할 필요가 없는 비밀번호! BaroPAM이 함께 합니다.

감사합니다!

www.nurit.co.kr

서울시 강서구 마곡중앙2로 15, 913호(마곡동, 마곡테크노타워2) 주식회사 누리아이티 대표전화 : 010-2771-4076

정보자산의 접근제어 2차 인증을 위한nuriapp.com/download/baropam_intro2.pdf · 2020....

Documents