오늘날은 다수의 정보자산 내 중요 데이터를 다수의 사용자가 필요에 의해, 필요한 만큼 접근하여 열람하고 있는 정보화 사회이다. 이러한 복잡함 속에서 중요 정보 자산에 대해 허가된 사용자의 접근을 확인하고, 사용 이력을 관리하기 위해 계정관리 관련 기술이 적용되고 있다. 그러나 계정을 이용해 중요/민감 정보를 열람할 수 있다는 점은 이것이 탈취 당했을 때 공격자에게 정보 절취의 길을 열어줄 수 있게 된다는 단점이 있다. 따라서 본 논문에서는 계정 소유주의 근태에 기반하여 계정의 사용 유무를 통제할 수 있으면서도, 보안성은 높였고, 편의성 저해도 없는 안전한 계정관리시스템을 제안하였다. 제안된 시스템은 계정 소유주가 업무 목적으로만 계정을 사용할 수 있도록 허가된 기간 내에 2-Factor 인증을 통해 로그인을 허용한다. 이를 통해 계정 유휴 기간 내 발생할 수도 있는 정보 유출을 사전에 차단할 수 있다.
오늘날은 다수의 정보자산 내 중요 데이터를 다수의 사용자가 필요에 의해, 필요한 만큼 접근하여 열람하고 있는 정보화 사회이다. 이러한 복잡함 속에서 중요 정보 자산에 대해 허가된 사용자의 접근을 확인하고, 사용 이력을 관리하기 위해 계정관리 관련 기술이 적용되고 있다. 그러나 계정을 이용해 중요/민감 정보를 열람할 수 있다는 점은 이것이 탈취 당했을 때 공격자에게 정보 절취의 길을 열어줄 수 있게 된다는 단점이 있다. 따라서 본 논문에서는 계정 소유주의 근태에 기반하여 계정의 사용 유무를 통제할 수 있으면서도, 보안성은 높였고, 편의성 저해도 없는 안전한 계정관리시스템을 제안하였다. 제안된 시스템은 계정 소유주가 업무 목적으로만 계정을 사용할 수 있도록 허가된 기간 내에 2-Factor 인증을 통해 로그인을 허용한다. 이를 통해 계정 유휴 기간 내 발생할 수도 있는 정보 유출을 사전에 차단할 수 있다.
Today, it is an information society where a large number of users access and view important data in a large number of information assets as needed. In this complexity, techniques related Identify Management are being applied, in order to verify authorized user access to important information assets ...
Today, it is an information society where a large number of users access and view important data in a large number of information assets as needed. In this complexity, techniques related Identify Management are being applied, in order to verify authorized user access to important information assets and manage of history. But, the ability access to sensitive information using account has the disadvantage of being able to open the way for information to the attacker when it is hijacked. Thus, in this paper, we propose a secure Identify Management System that can control the use of accounts based on the attitude of the account holder, but also enhances the security and does not hinder the convenience.
Today, it is an information society where a large number of users access and view important data in a large number of information assets as needed. In this complexity, techniques related Identify Management are being applied, in order to verify authorized user access to important information assets and manage of history. But, the ability access to sensitive information using account has the disadvantage of being able to open the way for information to the attacker when it is hijacked. Thus, in this paper, we propose a secure Identify Management System that can control the use of accounts based on the attitude of the account holder, but also enhances the security and does not hinder the convenience.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그러므로 계정은 적법한 사용자가 원할 때는 언제든지 사용 가능하여야 하지만, 원하지 않거나 탈취 당했을 때에는 사용되지 않아야 한다. 따라서 본 논문에서는 사용자가 계정을 사용해야 하는 때를 업무 관점에서 정의하고, 이를 시스템적으로 자동화 지원하여 계정이 비활성화 되어야 하는 시기의 비인가 된 사용을 방지함으로써, 안전하게 내부 정보를 관리할 수 있는 방법을 제안하고자 한다.
본 논문에서는 계정 소유주의 근태에 기반하여 계정의 사용 유무를 통제할 수 있으면서도, 보안성은 높였고, 편의성 저해도 없는 안전한 계정관리시스템을 제안하였다. 본 연구에서 출입통제보다 근태관리에 주안점을 둔 이유는 보고 또는 지정된 업무 수행 외의 정보 자산에 대한 접근을 차단시켜 내부 정보 유출을 방지하기 위함이었다.
제안 방법
본 논문에서 제안한 시스템은 계정관리시스템 기반위에서 계정 소유주가 소지하고 있는 것 또는 계정 소유주를 식별할 수 있는 정보로 2-Factor 인증을 수행하기 때문에 기존 계정관리시스템의 기능들을 모두 수행하면서도, 사용이 예정되지 않은 계정들에 대한 잠금장치를 제공하는 보안 기능을 추가적으로 제공한다.
본 연구에서는 제안하는 2-Factor 인증 기반의 계정관리모델은 다음 (그림2)에서 볼 수 있는 바와 같이 계정이 사용 예약되어 언제든지 활성화가 가능한 상태인 Pre-monitoring, 계정이 사용 중인 Using-monitoring 그리고 계정의 사용이 끝나 추후에 사용될 것을 대기하는 Post-monitoring으로 크게 3계층으로 구분되며, 각각의 국면 별로 계정의 활성화와 사용이 다르게 이루어진다.
성능/효과
그러므로 본 연구에서 제안한 시스템을 사용하게 되면, 계정의 유휴시간과 사용시간 모두 로그인 정보유출로부터 안전할 수 있으며, 계정 소유주의 추가적인 인증 절차 수행이 없어 편리함도 제공할 수 있는 장점이 있다.
근태관리에 기반하여 계정의 활동성 유무가 결정되는 본 제안시스템에서는 계정 소유주의 기본적인 업무 수행시간 이외에도 야근 또는 휴일 근무 등에도 계정 활성화를 수행할 수 있다. 이는 계획된 업무 외 긴급을 요하는 업무를 처리하는 현실의 상황을 시스템적으로 지원하고 있는 형태이다.
본 논문에서 제안한 시스템을 사용했을 때의 가장 큰 장점은 업무 목적으로의 사용이 확인되지 않은 계정은 잠금 상태가 되어 내외부에서 이를 이용한 정보자산에 대한 접근이 허용되지 않는다는 것에 있다. 이는 계정 소유주의 비의도된 계정의 분실, 도난 등으로부터 조직 또는 기업의 중요 정보자산을 보호할 수 있는 수단을 제공하며, 계정 소유주들의 실제 계정 사용현황을 실시간으로 파악할 수 있어 내부적인 보안관리도 강화시킬 수 있는 방안이 된다.
후속연구
이는 업무 목적 외 내방도 가능하고, 정보 자산의 사용이 없는 업무 처리 기간에는 계정을 비활성화 시켜 악의적 공격자에 의한 로그인 시도를 원천 차단할 수 있기 때문에 선택되었다. 그러나 사용자가 업무 수행을 위해 사용하는 다른 정보 또는 보안시스템에서의 인증 절차가 본 논문에서 제안한 것보다 더 강력한 보안을 제공하거나 편리하다면 개선을 위해 적용 가능하다 하겠다.
이때, 2-factor 인증은 가진 것, 아는 것 그리고 자신을 증명하는 특징인 3가지 요소로 이루어져야 하며[9], 각기 다른 요소로 2가지가 적용되어야 한다. 그리고 기반으로 사용하는 인증 정보는 생체 정보와 같이 강력한 것으로 사용하는 것이 더욱 보안성을 향상시킬 수 있게 될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
활성화된 계정이란 무엇인가?
여기서 활성화된 계정이란 사용 예약이 된 계정 및 사용 중인 계정을 의미하는 것으로, 업무 추진 상 Log-in과 Log-out으로의 상태 변화가 허용된 것을 의미한다. 만약, 계정 소유주가 업무 추진 예정이 없거나, 업무가 종료되었다면 해당 계정은 비활성화 되어 Log-in 시도에 대한 응답을 하지 않는다.
계정관리의 장점은 무엇인가?
이러한 환경에서 정보자산 내 데이터와 같은 자원을 다수 사용자가 공유하고, 보안 등급에 따른 접근 가능정보들을 통제하기 위해 계정관리(Identity management)관련 기술이 적용되고 있다[1]. 계정관리는 정보 자산에 대한 사용자의 접근을 확인하고, 사용 이력을 관리할 수 있다는 장점이 있으나, 계정을 이용해 중요/민감정보를 열람할 수 있다는 점은 이것이 탈취 당했을 때 공격자에게 정보 절취의 길을 열어줄 수 있게 된다는 단점이 있다. 특히, 2016년 버라이즌(Verison)에서 발표한 데이터유출조사보고서에 의하면 데이터 유출 사고의 63%가 계정을 활용했다고 지적한 것과 美 국가안전보장국(NAS) TAO(Tailored Access Operations) 그룹 총 책임자인 롭 조이스(Rob Joyce)가 네트워크 침투 시 계정 탈취를 주로 이용한다고 밝힌 사실은 계정 관리에 대한 보안의 중요성을 더욱 잘 인식시켜주고 있다 하겠다[2].
기존 계정관리 관련 기술의 단점은 무엇인가?
이러한 복잡함 속에서 중요 정보 자산에 대해 허가된 사용자의 접근을 확인하고, 사용 이력을 관리하기 위해 계정관리 관련 기술이 적용되고 있다. 그러나 계정을 이용해 중요/민감 정보를 열람할 수 있다는 점은 이것이 탈취 당했을 때 공격자에게 정보 절취의 길을 열어줄 수 있게 된다는 단점이 있다. 따라서 본 논문에서는 계정 소유주의 근태에 기반하여 계정의 사용 유무를 통제할 수 있으면서도, 보안성은 높였고, 편의성 저해도 없는 안전한 계정관리시스템을 제안하였다.
참고문헌 (9)
Jorge W., C. M. Westphall and C. B. Westphall, "Cloud identity management: A survey on privacy strategies", Computer Networks, Vol. 122, 20, pages 29-42, July 2017.
Hossein S., T. Nguyen, P. Gupta, M. Jakobsson and N. Memon, "Mind your SMSes: Mitigating social engineering in second factor authentication", Computers & Security, Vol. 65, pages 14-28, Mar. 2017.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.