>> 기술지원 비용 안내 <<

티스토리 뷰

암호화되지 않은 비밀번호, 메모리 해킹에 무방비

‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.
... 중략 ...

이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
... 생략 ...

[원문: 전자신문 : http://www.etnews.co.kr/news/detail.html?id=200809070010]

이 글에서 읽은 것처럼 일반적인 웹메일이나 그룹웨어 등은 사용자가 자신의 계정으로 로그인시에 아이디와 비밀번호를 암호화하지 않고 평문상태로 로그인정보를 서버에 전달하게 됩니다. 국내 유명포털인 네이버나 다음의 경우 보안로그인이라는 옵션을 통해 사용자가 로그인할 때 아이디/비밀번호 암호화 기법인 MD5나  SHA1을 통해 암호화하여 처리하고 있으나 대부분의 국내 기업용 메일서버들은 이런 암호화에 대한 고려가 없는 경우가 많습니다.

최근 시장동향을 보면 보안 문제가 큰 이슈로 부각되고 있으며 웹사이트 해킹이나 내부 정보 해킹은 크나큰 문제가 되고 있습니다.

메라크 메일서버의 경우, 웹메일에서의 보안은 여러가지 보안 대책을 이미 오래전부터 마련하여 탑재되고 있습니다. 아래 내용을 참조해 보면 보안 웹메일에 대한 메라크의 높은 기술적 가치를 확인해 보실 수 있습니다.

보안 메시징을 고려한 설계, 서버 사이드 상의 강력한 차세대 기술을 사용하여 웹메일 프로는 공격이나 통신상의 보안에 대한 보다 강화된 능력, 개별 메시지의 암호화, 사용자 데이터 보호, 클라이언트 컴퓨터에 트랙을 남기지 않는 등 많은 보안상의 기능을 제공합니다. 웹메일을 사용하는 기업 고객들은 효과성과 정보보호 사이에 더이상 고민을 하지 않아도 됩니다.
  • SSL end-to-end 보안, SHA1 암호화 비밀번호
  • 엄격한 XML 클라이언트-서버 통신 프로토콜
  • S/MIME - 디지털 서명/메시지 유효성
  • 쿠키나 클라이언트 사이드 상의 케쉬 없음
  • 이미지 첨부 보이기/숨기기 토글 기능

참고 페이지 : http://www.merak.co.kr/products/webmail/

항시 암호화되어 처리하는 메라크 메일서버는 기업의 해킹 방지나 내부정보 유출을 방지하는데 커다란 역할을 할 것으로 기대하고 있습니다.

메일서버나 웹메일서버 도입시 보안정책의 중요성은 앞으로 더욱 커지게 되므로 반드시 살펴보고 도입하실 것을 추천해 드립니다.




댓글
댓글쓰기 폼