검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'자격 증명'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

소닉월 장비 침해사고…100여개 계정 공격당해

미국의 네트워크 보안 전문 기업 소닉월(SonicWall) 장비에 발생한 침해사고로 100개 이상의 계정이 공격을 받은 것으로 나타났다. 12일 보안 외신 '더해커뉴스(TheHackerNews)' 보도에 따르면 사이버 보안 회사 헌트리스는 소닉월 SSL VPN 디바이스 내 여러 고객 환경에 접근하는 공격을 확인했다고 경고했다. 이번 공격은 이달 4일부터 시작돼 16개 고객 계정에 걸쳐 100개 이상의 소닉월 SSL VPN 계정이 공격을 받은 것으로 알려졌다. 헌트리스 조사에 따르면 일부 공격의 경우 공격자들이 네트워크 스캔 활동을 수행하고 수많은 로컬 윈도우 계정에 접근하려고 시도하는 것이 발견됐다. 헌트리스는 "공격자들이 손상된 기기 전반에 걸쳐 여러 계정으로 빠르게 인증하고 있다"면서 "이러한 공격의 속도와 규모는 공격자들이 무차별 대입이 아닌 유효한 자격 증명을 통제하는 것처럼 보인다"고 우려를 나타냈다. 이번 공격은 소닉월이 보안 사고로 인해 마이소닉월 계정에 저장된 방화벽 구성 백업 파일이 무단으로 노출됐다는 사실을 인정한 직후에 이뤄져, 보안 사고 이후 이어진 추가적인 공격이 아니냐는 우려를 더하고 있다. 다만 헌트리스는 현재로서는 두 사고가 연관성이 있다고 볼 수 있는 증거가 없다고 강조했다. 단 민감한 자격 증명이 방화벽 구성 내에 저장되는 만큼 무단 액세스를 방지하기 위해 실시간 방화벽 장치에서 자격 증명을 재설정하는 것이 필요하다고 당부했다. 또한 가능한 경우 WAN 관리 및 원격 액세스를 제한하고, 방화벽이나 관리 시스템에 닿는 외부 API 키를 취소하며, 의심스러운 활동 징후가 있는지 로그인을 모니터링해야 한다고 주문했다. 아울러 보안 강화를 위해 모든 관리자 및 원격 계정에 대해 다중 인증(MFA)을 적용하는 것이 필요하다고 역설했다. 한편 랜섬웨어 그룹 아키라(Akira)도 소닉월 방화벽 장치를 표적으로 랜섬웨어 공격을 진행하고 있는 만큼 지속적인 경계가 요구되고 있다.

2025.10.12 16:09김기찬 기자

라온시큐어, 위·변조 어려운 '옴니원 배지'로 '디지털 수료증' 제공

IT 보안·인증 플랫폼 기업 라온시큐어(대표 이순형, 이정아)가 블록체인 기반 디지털 배지를 활용해 선진화된 공공 교육 환경을 조성한다. 교육 수료증과 같은 자격증명을 디지털로 제공하면서 안전성과 편의성을 모두 높이고, 활용도도 제고한다는 계획이다. 라온시큐어는 '한국과학창의재단'이 주관하는 디지털 새싹 프로그램의 교육 수료증은 블로체인 기반 디지털 자격증명 플랫폼인 '옴니원 배지(OmniOne Badge)'로 시범 발급한다고 4일 밝혔다. 디지털 새싹 프로그램은 한국과학창의재단과 교육부, 17개 시·도 교육청이 주관하는 공공 교육 사업이다. 4차 산업혁명 시대 디지털 대전환에 따른 학생들의 디지털 역량 함양과 지역 간 교육격차 완화를 목표로 하고 있다. 지난해에만 전국 약 27만명의 학생들이 디지털 새싹 프로그램에 참여한 바 있다. 올해에도 45개 운영 기관을 통해 미래 인재들의 디지털 역량 강화에 나서고 있다. 라온시큐어는 위·변조가 어려운 블록체인 기술을 통해 옴니원 배지를 통한 자격증명을 제공한다. 학생들이 교육수료증을 디지털 배지로 받아보게 되는 것이다. 라온시큐어는 향후에도 해당 수료증을 수료생들이 진학 및 취업 분야에서 활용할 수 있도록 지원할 예정이다. 라온시큐어의 옴니원 배지는 위·변조가 어려운 블록체인 기술로 높은 신뢰도의 안전한 자격 인증을 제공하는 것으로 알려졌다. 서비스형 소프트웨어(SaaS) 형태로 제공돼 자체 시스템을 구축하지 않고도 디지털 배지를 발급할 수 있으며, 교육자격 증명, 수상, 라이선스, 보증 등 다양한 용도로 적용 가능하다. 옴니원 배지는 대학, 공공기관, 기업 등 다양한 조직에서 자격 인증 발급에 활용되며 디지털 자격증명 시장을 선도하고 있다. 중앙대학교 등 대학에서도 입학증명서, 학위증명서, 교육수료증 등에 발급되고 있다. 라온시큐어는 다양한 기관을 통한 디지털 배지 발급뿐 아니라 배지 보유 고객을 위한 배지 활용 서비스 사업의 확대도 추진 중이다. 이정아 라온시큐어 대표는 "이번 한국과학창의재단 교육 수료증 발급을 계기로 공공 분야 대상의 디지털 배지 사업을 본격 확장할 계획"이라며 "라온시큐어는 블록체인 기반 DID 기술을 활용해 디지털 자격증명 사업을 지속적으로 확대해 나가겠다"고 말했다.

2025.09.04 17:22김기찬 기자

웹사이트 무차별 대입 로그인 시도 '에버세이프'로 막는다

유출된 정보를 자동화 방식으로 무차별 대입하면서 각종 웹사이트 로그인을 시도하는 '크레덴셜 스터핑' 공격 시도가 늘어나는 가운데, 이를 실시간으로 탐지·차단하는 에버스핀(대표 하영빈)의 '에버세이프' 적용이 확산하고 있다. 크레덴셜 스터핑은 사용자가 여러 웹사이트에서 동일한 ID와 비밀번호 조합을 사용하는 점을 악용해, 유출된 정보를 자동화된 방식으로 무차별 대입해 로그인 시도를 반복하는 방식의 사이버 공격이다. 특히, 대형 온라인 플랫폼의 경우 인증 시스템을 우회하거나 정상 세션으로 위장하는 고도화된 시도가 동반돼 탐지 자체가 어려운 것이 특징이다. 교보문고는 이같은 위협에 대응하기 위해 최근 웹 보안 전용 솔루션 에버세이프를 적용, ▲비정상 로그인 시도 행위 탐지 ▲응답값 위조 여부 분석 ▲개발자 도구 접근 차단 등 다양한 기능을 통합 운영 중이다. 에버스핀 측에 따르면 최근 자동화 브라우저를 이용해 대형 커머스 웹사이트를 노린 크레덴셜스터핑 공격이 다수 관측되고 있다. 에버세이프는 시간차, 접속환경, 세션의 미세한 패턴차이 등 다양한 환경 변화를 감지해 정상 사용자와 비정상 세션을 실시간 분류하는 해킹방지 솔루션이다. 교보문고는 크레덴셜 스터핑을 효과적으로 차단하는 등 사용자 개인정보보호에 노력을 쏟고 있다. 또 웹사이트 로그인은 물론, 전반적인 계정 기반 서비스 보호를 위해 에버세이프를 지속적으로 확대 적용 중이다. 에버스핀 관계자는 “교보문고와 같은 대형 커머스 플랫폼은 고객 데이터가 집중된 만큼 자격 증명 탈취를 목적으로 한 공격에 상시 노출돼 있다”며 “에버세이프는 프론트단에서 발생하는 다양한 공격 벡터를 자동 감지하고 차단해 주는 역할을 한다”고 밝혔다. 에버세이프는 교보문고를 비롯 NH농협은행·SBI저축은행·삼성카드·우리카드·한국투자증권·KB증권·메리츠증권·저축은행중앙회 등 다수의 금융권에서 운용 중인 1위 솔루션이다.

2025.05.29 10:17주문정 기자