본문 바로가기

Security Indicator/Guide for guru

(23)
보안 전문가와 보안 관리자의 차이와 구분에 대해 보안전문가와 보안관리자의 차이와 구분에 대해 안녕하세요. 바다란입니다. 일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다. 오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다. 보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력..
베토벤 바이러스 그리고 보안 전문가 “베토벤 바이러스 그리고 보안전문가” - 2008. p4ssion *본 글은 zdnet 컬럼 기고글입니다. 베토벤 바이러스가 화제가 되고 있다. 드라마와 보안은 무슨 상관이 있을까? 바이러스라는 단어 외에는 보안이라는 용어와 관련이 없는데도 불구하고 이야기 하고 싶은 것은 전문가에 대한 단상 때문이다. 하나의 완성을 위해 끊임 없이 자신을 갈고닦고 스스로를 담금질 하는 모습과 때로는 사회와 격리된 듯한 이질감을 지니게끔 만드는 주인공의 모습을 보며 환호하는 것은 현실에서는 보기 어려운 모습이라고 여기기에 대리 만족을 하는 것은 아닌가 하는 생각이 든다. 그러나 실제 전문가로 살아 가고 열정을 다한다는 것은 동일한 고통과 노력이 있어야만 가능할 것이다. 드라마를 보면서 전문가에..
공개] SQL Injection and XSS 진단 tool 안녕하세요. 바다란입니다. 2006년 작성내용입니다. XSS 진단 및 SQL Injection 진단 스크립트를 공개 합니다. 특별한 것은 아니구요.. 지난해에 급하게 작성하여 사용 했던 스크립트이니 참고 하시면 될 것 같습니다. 국내에서는 아직도 많은 사이트들이 해킹을 당하고 있는 실정입니다. 지금의 해킹은 페이지 변조가 아닌 내부 침입을 통해 정보를 가져 가거나 악성코드를 심는 형태로 나타나고 있는데 진입점을 막지 못하기 때문에 계속 문제가 될 수 밖에 없습니다. 이 스크립트는 완전하지는 않으나 100% 중에서 80% 이상의 문제 발견이 가능하므로 대응에 도움이 될 것입니다. 대기업이나 여력이 있는 기업에서는 상용 스캐너를 통해 문제의 진단 및 수정을 진행 하고 있으나 소규모 사이트들은 그런 여력이 없..
해커의 길 II 해커의 길 II 해커의 육성 부분에 대해서는 할 말이 많습니다. 90년대 후반 부터 2000년 초반 까지 약 2~3년간 활발하게 활성화 되어 인력들이 척박한 환경에서도 많이 나왔습니다. 지금 그 인력들 뭐하고 있을까요?.. 해커로서가 아니라. 조직에 동화된 이후에 조직에 끌려 갈 수 밖에 없고 또 가장 중요한 연구문화가 활성화 될 수 없는 환경 때문에 다들 떠납니다. 또 그런 여유를 허가 하지도 않고. 연구가 없이 어찌 취약성을 발견할 수 있고 미래 위협을 대처할 수 있나요?.. 자격증 많이 가진 사람을 보안분야의 유능인력이라고 할 수 있을까요?. 막상 사고나면 전부 나몰라라 하는 판국에.. 참 재밌습니다. 정보의 제공이나 동향의 예측은 이제 많은 인력이 투입된 국가기관에서 해야 할 것으로 봅니다. 음지..
[컬럼]Mass sql injection, 대응과 현실 2008.9 . p4ssion입니다. 지난 글에서 ( 한참 됐습니다. ^^) Mass sql injection 관련된 내용에 대해서 언급을 드린 적이 있습니다. 그 이후 업데이트를 할려고 생각 하다가 개인적인 사정으로 작성하지 못했습니다. 오늘 생각나서 잠시 써봅니다. http://www.itjungle.com/two/two082708-story05.html http://www.technewsworld.com/story/Mass-SQL-Attack-a-Wake-Up-Call-for-Developers-62783.html?welcome=1209498513&welcome=1210717878 http://www.theregister.co.uk/2008/05/21/china_sql_injection_attack/ http:..
Inevitable cyber warfare II 2002년에 Critical Alert for cyber terror ( sub: Scada & DCS Security)라는 제목의 기초적인 문서를 발표 한 적이 있습니다. (http://blog.naver.com/p4ssion/50001878886 ) 이때 당시에는 발생 될 수도 있는 문제에 대해서 알려주는 역할을 하기 위해 작성을 한 내용입니다. 이후 오랜기간 동안 관련 분야를 주기적으로 관찰 하였고 주시 하고 있었습니다. 7년이 지난 시점이죠. 2009년 10월쯤에 추가적인 내용의 발표를 고려 하였고 하루 정도 시간을 내어서 만들었습니다. 사이버전 시나리오 공모전에 보낼 용도로 ( 상금 보다는 널리 알리고 싶었습니다. ^^) 급하게 작성을 했는데.. 등수에도 못들었죠. 아무래도 보는 관점이 많이 달..
테러리스트는 영화대로 하지 않는다. Terrorists Don't Do Movie Plots http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다. 브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을 고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다. 예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다. 이때에도 슈나이어의 관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데 이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠.. 카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다. 미국내 중요 국..
중국발 해킹의 종합과 향후 파급 예상 이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속 될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도.. ----------------------------------------------------------------------------------------------- 안녕하세요. 바다란입니다. 지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다. 현재 게시물에 첨부된 문서는 지난 11.30일에 있었..