아이-스프린트, ‘하트블리드’ 또는 유사 SSL 관련 취약성 방지 솔루션 제공
‘하트블리드’는 우리가 계속 당면하고 있는 보안을 위협하는 또 하나의 버그이다. ‘하트블리드’ 버그는 인터넷을 통해 오픈SSL 소프트웨어의 취약한 버전으로 보호하는 시스템의 메모리를 읽을 수 있게 한다. 이는 서비스 제공자를 확인하는데 사용하는 보안 키를 위태롭게 하고, 사용자의 교신 내용, 이름, 비밀번호와 실제 콘텐츠를 암호화 한다. 이 버그는 공격자가 다른 사람의 통신 내용을 도청하고, 서비스와 사용자들의 데이터를 직접 훔치며, 당사자로 가장할 수 있게 한다.
이 버그는 생산 소프트웨어 속에 2년 이상 잠복해 왔으며 유수 보안 전문가들이 ‘대참사’를 유발할 만한 것으로 지목하고 있다. 이를 즉각 해결하려면, 감염된 시스템을 확인해서 이를 교정하고 SSL 인증을 업데이트해야 한다. 사용자들에게는 또 비밀번호를 바꿀 것과 노출된 정보의 추적 오용 위험성을 통보할 필요가 있다.
비록 버그를 오늘 교정했다 하더라도 유사한 버그가 다시 표면으로 나타나던가 소프트웨어 속에 숨어 있지 않는다고 보장할 수 없다. 이와 유사한 영향력을 가진 취약성은 향후 다른 SSL라이브러리나 애플리케이션에서 일어날 수도 있다.
이로 인해 SSL이 데이터의 비밀과 온라인 거래의 온전성을 충분히 보호할 수 있는지에 대한 의문이 제기되고 있다. 기업체들은 앞으로 웹 서비스를 통한 데이터의 누출을 어떻게 관리하고, 고객에게 그들의 데이터는 도청으로부터 안전하다고 설득시킬 것인가? 이러한 위험성을 완화시키는 어떤 조치를 취한다면 위험성을 없앨 수 있을까?
비록 SSL 암호가 뚫린다 해도 민감한 데이터의 노출을 방지하려면 기업체들은 비밀번호와 민감한 데이터의 거래를 보호하기 위해 ‘단 대 단 암호’(End-to-End Encryption (E2EE)와 같은 강력한 데이터 보호 솔루션이 필요하다. E2EE는 민감한 데이터가 취약한 웹의 메모리나 애플리케이션 서버 안에 있다 하더라도 암호화 상태를 그대로 유지하게 한다. 이는 ‘하트블리드’ 형태의 버그로부터 데이터를 보호할 뿐 아니라 소프트웨어 개발자나 데이터베이스 관리자(DBA)와 같은 내부자가 실수로 또는 고의로 민감한 데이터를 누출하는 것을 방지한다. 실제로 싱가포르통화청(MAS)과 홍콩통화청(HKMA)은 금융기관들이 전자금융 사이트의 비밀번호와 중요한 거래 데이터를 보호하기 위해 E2EE를 채택할 것을 의무화하고 있다.
많은 금융기관들과 마찬가지로 다른 기관들도 통신채널을 통해 암호화된 비밀번호와 민감한 데이터를 전송하기 위해서는 SSL 소프트웨어 외에 이 같은 최상의 암호화 솔루션을 채용해야 한다. 이는 데이터를 서버로 보내기 전에 진입점(사용자 데스크톱PC/스마트폰)에서 암호화 라이브러리와 데이터 암호화를 위한 핵심 데이터를 사용하여 성취할 수 있다. 이렇게 하면 데이터가 웹 서버와 애플리케이션 서버에 이를 때까지 암호화된 상태를 유지할 수 있다. 데이터가 애플리케이션 서버에서 해독될 가능성이 있으나 비밀번호의 경우는 하드웨어 보안 모듈(Hardware Security Module, HSM) 안에서 암호화되고 입증된 상태를 유지한다. HSM은 미국 연방정보처리표준(FIPS)을 충족시킬 수 있는 변형 억제 하드웨어를 사용한 암호화 디바이스이다. 이처럼 비밀번호는 진입점에서부터 비교점까지 암호화된다. 이 방식은 ‘하트블리드’ 형태의 취약성을 완화시키는 것 외에 인트라넷에 있는 사람이 전송 및 저장 과정에서 아무도 비밀번호에 접근하지 못하게 할 뿐 아니라 내부 사기로부터 보호할 수 있게 한다.
요약하면, 데이터를 효과적으로 보호하려면 여러 계층으로 된 보안 솔루션과 올바른 처리 절차를 결합해야 한다. 기관(기업)들은 새로운 웹 서버 취약성으로부터 비밀 정보를 보호하기 위해 SSL 보안 소프트웨어에만 의존할 것이 아니라 애플리케이션 계층에서 E2EE솔루션을 사용해야 한다.
‘하트블리드’에 대해 궁금하던가 데이터를 어떻게 보호해야 하는지를 알려면 www.i-sprint.com 이나 아이-스프린트(enquiry@i-sprint.com)로 연락하기 바란다.
아이-스프린트의 솔루션
아이-스프린트는 세계 각국의 금융 서비스 규제 요건 수준을 넘어서는 고유의 보안 제품과 지적 재산 및 특허를 보유하고 있다. 아이-스프린트는 급성장하고 있는 신원, 인증 및 액세스 관리(ICAM) 솔루션 시장에 부응하여 신원 보호, 클라우드 보호, 모바일 보호 및 데이터 보호를 위해 혁신적인 제품을 선제적으로 제공하고 있다.
아이-스프린트의 세계를 선도하는 보안 솔루션에는 인터넷 금융 솔루션에 편리(싱글 사인온, Single Sign-On) 하고 안전하게 접속하게 해주는 성능이 입증되고 안전한 E2EE ‘인증 및 데이터 보호’(Authentication and Data Protection) 솔루션이 포함되어 있다. 아이-스프린트의 솔루션은 여러 나라 규제당국의 ‘인터넷뱅킹 보안지침’을 충족시키면서 대부분의 인터넷 및 모바일 뱅킹 솔루션의 보안 문제점을 해결해 준다. 아이-스프린트는 공통 보안 플랫폼을 기반으로 은행 차원의 각종 강력한 인증(생체 인식, 다중 인증 등)과 다양한 애플리케이션 제공 환경(웹, 모바일, 클라우드)을 확보하기 위한 토큰 관리 플랫폼을 제공하고 있다.
[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]
연락처
아이-스프린트 마케팅(i-Sprint Marketing)
페트리나 소(Petrina Soh)
+65-6244-3900
marketing@i-sprint.com
웹사이트: www.i-sprint.com
이 보도자료는 i-Sprint Innovations가(이) 작성해 뉴스와이어 서비스를 통해 배포한 뉴스입니다.
-
2014년 5월 7일 13:25