본문 바로가기

반응형

IT 기술 정보

AWS re:Invent 참석자 가이드 및 알고가면 좋은 팁들 AWS re:Invent는 AWS가 주최하는 글로벌 클라우드 행사이다. 매년 겨울, 라스베가스의 5~6개 장소에서 약 2,000여개의 세션이 동시에 개최되며 수만명이 모이는 글로벌 탑 규모의 IT 컨퍼런스라고 할 수 있다. 행사에 대한 소개는 AWS 홈페이지 등에서 더 상세히 볼 수 있다. (https://reinvent.awsevents.com/) 이번 포스팅은 re:Invent에 대한 소개 보다는 행사에 참가하면서 다소 뒤늦게 알게된 사실, 꿀팁들을 공유하기 위해 작성되었다. 아마도 이 글을 읽고 있는 사람들은 re:Invent에 참석하게 된 사람들일 것으로 예상된다. 갈지 말지 고민하는 사람들보단, 행사에 처음 참여하게 된 사람들에게 조금이라도 도움이 되었으면 하는 컨셉으로, 알고가면 좋은 팁 위주.. 더보기
개인정보 유출사고 위반 종합선물 세트 사례 2017년 발생한 여기어때의 방통위 조사 및 심의 결과서이다. 일종의 사건 전말 보고서라고 보면 된다. 이 보고서엔 세부사항에 대한 정말 길고 장황한 내용과 기술적인 내용들이 모두 포함되어 있어서 일반인들은 읽기 힘들다. 그래서 보도자료 등은 짧게 요약하고 읽기쉽게 바꾸어 보도된다. 하지만 보안이나 개인정보 보호를 하는 담당자들이라면 이 보고서 전체를 읽어 보는 것이 상당히 도움이 되겠다 싶어서 올린다. 물론 데이터3법 개정 이전의 보고서이고, 현재의 개인정보위가 아닌 방통위의 보고서이긴 하지만 잘 아시다시피 개인정보보호법 및 고시의 기준은 일맥상통하다. 나 또한 특정 위반 사례를 찾다가 보게 되었는데 이 위반 사례가 정말 수많은 기준에 대한 총체적 위반 종합 선물세트 같은 사례라 읽으면서 큰 도움이 되.. 더보기
비밀번호의 길이를 제한해선 안 된다. (feat. 네이버) 1. 비밀번호 길이를 늘리자 일전에 안전한 비밀번호의 기준에 대해 포스팅(#1, #2) 한 바 있다. 물론 내가 따로 수행한 연구는 아니고 NIST의 가이드를 인용한 것에 불과하지만 국내 보안 담당자들이 참고했으면 하는 부분이다. 영세한 사이트들이야 그렇다고 치더라도, 일부 대형 커뮤니티 / 온라인 상거래 / 포털 사이트에서도 아직까지 비밀번호를 말도한되는 짧은 길이로 제한하는 경우가 있어서 이렇게 부득이 사이트명을 밝히며 제언을 한다. 16자는 말도 안되게 짧은 길이이다. 이렇게 되면 안전한 비밀번호를 사용하고 싶어서 긴 비밀번호를 사용하는 사람은 네이버만을 위한, 상대적으로 취약한 짧은 비밀번호를 새로 고안해내야 한다. 이 부분은 반드시 개선되어야 한다! 2. MFA 인증을 다양화하자 그리고 이건 '.. 더보기
분산ID(DIDs)의 본질은 블록체인이 아니다. 분산ID의 본질은 블록체인이 아니라 분산된 아이덴티티 그 자체이다. 국내에서 추진되는 분산ID 기반의 운전면허증, 사설 인증서 등은 Decentralized Identities 보단 Verifiable Credentials의 매커니즘이고 이것만 보면 기존의 전자서명 기반의 신원인증과 큰 차이가 없다. 여기서 서명값 등을 블록체인에 올렸다고 해서 갑자기 분산ID가 되는 게 아니다. 국내에서 CI 등의 고유식별자, 또는 Trust Anchor으로부터 발행되는 실명기반의 식별성에 주목하는 한 분산ID의 본질에는 다가갈 수 없다고 볼 수 있다. 해외 웹서비스에선 대부분 '본인 확인' 개념이 없다. 무분별한 중복가입을 막기 위해 이메일 인증이나 SMS 인증 등을 하고 있긴 하지만 이는 말 그대로 '무분별한 중복가.. 더보기
데이팅 서비스(소개팅 앱) 해킹 방지 점검 사항 - 운영자 & 이용자 필독! 최근 한 온라인 데이팅 서비스(소개팅 앱)에서 해킹을 당한 것이 보도되어 이슈다. 이번 이슈가 중요한 것은 유출 가능성이 있는 개인정보들이 극도로 민감한 정보라는 점이다. 언론 보도에 따르면 해당 앱은 자격 심사를 위해 공적인 서류 등을 제출받아 보관한 것으로 알려졌으며 선정성이 높은 익명 게시판을 운영하였다는 것이다. 그리고 유저들은 자신의 프로필과 공적인 서류, 자신이 작성한 게시물 등이 연계되어 악용되지 않을까 하는 사실을 가장 두려워하는 상황이다. 사실 개인정보 보호 관련 업무를 수년간 해오면서 개인적으로 가장 위험하다고 생각했던 서비스가 바로 결혼정보업이나 데이팅 서비스였기 때문에 결국 터질게 터졌다 싶었다. 둘 다 회원들의 사진을 비롯하여 해커들이 정말 팔아먹기 좋은 실명 기반의 상세한 프로필.. 더보기
패스워드가 유출됐지만 일방향 암호화되었으니 안전할까? 최근 모 대기업에서 운영하는 서비스에서 개인정보가 유출되어 올라온 공지사항이다. 특정 기업을 비난하고자 하는 것이 아니므로 기업명은 제거하였다. 과연 비밀번호가 일방향 암호화 되어 있으니 유출되어도 안전할까? 일방향 암호화는 유출시에 피해를 최소화하기 위한 목적으로 한다고도 볼수 있다. 하지만 말 그대로 피해를 최대한 방지해보기 위한 것이지, 이를 통해 안전이 보장된다고 보는 것은 조금 다른 이야기이다. 아래는 다소 기술적인 내용이 포함되어 있으나 컴퓨터공학과 학생 정도면 쉽게 읽을 수 있는 수준이다. 당신이 IT와 관계없는 일반인이라면 그냥 가장 아래쪽의 결론만 읽으셔도 무방하다. 1. 일방향 암호도 뚫린다. 일방향 암호에 사용되는 해시는 복호화가 불가능한 구조로 되어 있지만 그렇다고 해시를 통해 내 .. 더보기
온라인 서비스 잘못된 구현 사례 온라인 서비스 이용 중 눈에띄게 불편한, 그리고 단순히 내 개인적인 UX와 맞지 않는 것이 아니라 감히 객관적으로 잘못되었다고 볼 수 있는 사례들을 하나씩 추가해 나가고자 한다. 아래 언급된 서비스의 운영자라면 바로 수정 해주실 바라며, 온라인 서비스 운영자라면 아래 내용들을 참고하여 본인들의 서비스도 점검해보길 바란다. 1. 불필요한 플러그인 설치 요구 주로 금융기관, 공공기관에서 많이 하는 실수이다. 관련 지침 등에 따라 각종 플러그인을 사용하는 것 자체를 뭐라고 할 순 없다. 그것도 선택적으로 사용할 수 있도록 해주면 좋겠지만 백번 양보해서 로그인이나 금융거래가 있는 경우엔 강제 설치를 요구할 수도 있다. 개인의 단말 보안이 취약해 보안 사고가 일어났다고 하더라도, 서비스 운영자들도 책임에서 자유로.. 더보기
패스워드 길이와 복잡도에 관한 고찰(NIST 800-63B) 본 내용은 NIST 800-63의 Appendix A를 번역한 것임을 알려드립니다. 이해를 돕기 위해 일부 의역이나 자의적인 해설 등을 포함하였으니 원문을 정확히 확인하고 싶으신 경우 아래 링크를 클릭하세요. https://pages.nist.gov/800-63-3/sp800-63b.html#appA 부록 A - 사람이 기억하는 패스워의 강도 이 부록에서 "패스워드"라는 단어는 토론의 편의를 위해 사용된다. 이는 숫자로된 PIN번호 및 문자열, 숫자, 특수문자 등으로 구성된 암호 등을 포함한다. 여기서 사람이 기억하는 패스워드란 시스템에서 자동으로 발급된 키(Key)나 소스코드에 내장된 암호값이 아니라 주로 사람들이 스스로 정해서 머리로 기억하여 사용하는 형태의 패스워드를 말하는 것이다. 1. 소개(In.. 더보기

반응형