p4ssion (9) 썸네일형 리스트형 [히스토리-3] 개발과 보안의 간극 그 해소에 대해 개발 스케줄이 타이트하게 이어지고 있고, 오픈된 서비스의 운영은 정신없이 계속되고 있었다. 그 어디에도 보안이라는 부분은 들어갈 곳이 없었다. 보안사고가 발생되어도 그것은 개발과는 관련 없는 별개의 영역이라 인식하는 것이 대부분이었다. 그렇다고 소스 레벨의 보안적인 이슈를 지적하는 것도 쉬운 일은 아니었고.. 2005년 무렵 서비스 회사에 들어온 이래 온라인을 통해 원인 제거 (보안패치), 현상 제거 ( 온라인 백신)를 실행하였지만 그렇다고 근본적인 문제가 해결된 것은 아니었다. 사용자들에게 감염되는 악성코드들은 더 이상 메일이나 수상한 파일을 통해서 감염되는 것도 아니였으며, 전체 인터넷을 대상으로 취약한 서비스에 접속하는 모든 사용자들은 즉시 감염에 노출되고 패치가 되어 있지 않다면 그 즉시 감염이 .. [히스토리-2] 그들의 방식으로 섬멸하라.(온라인 보안서비스) 앞서 히스토리-1에서 수동으로 이루어지는 OS의 보안패치를 온라인으로 사전 검증하여 설치하는 것에 대해 언급을 하였다. 사실 동 시기에 같이 고민하여 진행한 내용이기도 하였고, 단기 간에 너무 많은 일들을 해야 하고 실행해야 하는 것에 대한 부담이 없었던 것은 아니다. 그럼에도 불구하고 실제 살펴본 현실은 냉혹할 정도로 암담했다. 운영중인 서비스의 문제가 아니라 환경적인 이슈가 정말 극에 달할 정도로 심각한 상황이었다. 매일 수십, 수 백여 개의 서비스들이 당한지도 모르게 악성코드 감염에 이용되고 있었고 서비스 방문자들의 감염 비율은 거의 80%에 달할 정도로 심각한 상태였다. 아는 것이 병이라고 차라리 몰랐으면 사고 발생 이후에 아는 체만 했었으면 되었을 것을, 그러지 못한 것이 스스로에게 병이었다. .. [히스토리-1]MS의 보안패치 정책변화를 끌어내다. 2000년부터 보안컨설팅, 보안관제, 모의해킹 등등 여러 전문 보안기업에서 업무를 했었다. 대충 시늉한 것이 아니라 전력을 다해 하나를 해도 제대로 했었고, 나름 만족도도 있었다. 일정 수준의 발전 이후 정체됨을 느끼고, 발전 없는 산업 부분에 대해 답답함을 가질 수밖에 없었다. 변화를 주기로 결심하고 국가기관과 IT업체에 지원을 하고 결과를 기다리다 인터뷰를 하게 되었는데, 인터뷰에서부터 문제를 어떻게 해결해야 할지 자문을 요청하는 이상한 인터뷰를 겪게 되었고, 이후 계속되는 질문과 문의들에서 난감함을 가지게 되었다. 호기심이 나를 지옥으로 이끈 셈이었다. NHN으로 입사를 하고 여기에서 포털인 네이버와 한게임의 보안을 담당하게 되었는데 보안인력은 나 자신이 전부였다. 여러 일들이 있었지만 이 당시에만.. History of p4ssion (바다란) History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정) 15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의 IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다. 1998. “해커의 길 그리고 나의 길” http://p4ssion.com/233 1999. “ 프로그래머가 되는 길” http://p4ssion.com/232 2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 .. 해외 보안 이슈 촌평 및 간략 2011.11.1 * Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html 블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 .. 진짜 SaaS (Security as a service)의 시작에서 진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐 -바다란 지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다. 현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다. 첫째는 비용의 문제 “ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안.. 분석(9) iphone , cyber war and application attack flow 바다란입니다. 8월이 다 가고 있습니다. 시간은 흐르고 issue도 변화하고 있습니다. 그러나 올해 초에 예상 했던 근본 취지에서는 아직 벗어나지 않고 있습니다. 주요 이슈는 무엇이고 지금에 발생 하고 있는 세계적인 이슈들과 어떤 관계가 있을까요? 올해 초에 Web 2.0 관련된 보안 이슈들을 전망하고 향후 예측을 한 큰 주제는 네 가지 입니다. 한 가지 더 세계적인 추세(?)라고도 볼 수 있는데 정보 유출의 수단으로 Office 계열의 문서에 Zeroday 공격코드를 심은 사회공학적인 해킹의 증가도 추가 할 수 있겠습니다. 물론 Application에 대한 공격 증가로 포함 시킬 수 있는 범주이지만..~ 1. Application에 대한 공격 증가 2. Ubiquitous Attack 3. 특정 서비스.. [컬럼]Mass sql injection, 대응과 현실 2008.9 . p4ssion입니다. 지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다. 그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다. 오늘 생각나서 잠시 써봅니다. http://www.itjungle.com/two/two082708-story05.html http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ http:.. 이전 1 2 다음
