본문 바로가기

security

(91)
보안정보는 공개적으로 논의 되어야 한다. 아래의 기사는 지난해 (2005년) 5월에 주간동아에 기고한 기사입니다. 보안정보 유통채널 어디 없나 보안 취약성 관련 정보 교환의 장 전무 … 사고 대응 및 위험 통보 없어 수동적 대응 보안 관련 정보가 유통되지 않고 감춰져 있으면 그로 인한 피해는 더욱 커지게 된다. 최근 ESG(Enterprise Strategy Group)는 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안전문가를 대상으로 ‘기업 내부보안 위협’에 대한 설문조사를 했다. 응답자의 절반가량이 연간 매출 10억 달러 이상의 대기업 소속이었다고 한다. 결과는 일반적인 예상치를 뛰어넘는 심각한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 모르고 있었고, 23%는 지난 1년 동안 내부보안 결..
만두...멸치..그리고 CCRA 최근 보안 전문 업체의 업종 다변화와 맞물려 CCRA 인증 협약이 며칠전 발효가 되었다. 두 가지 사안과 뉴스가 다른 시점에 나타났으나 연관관계는 매우 밀접하고 또 관계가 깊다. CCRA: 국제 공통평가기준 상호인정협정으로 협약에 가입된 국가간에 보안제품에 대한 인증을 통과한 업체에 대해서는 해당 협약에 가입한 국가에 공통적인 평가 기준으로 인정이 됨을 말한다. 예전 90년대 부터 보안 장비 부분을 버티게 해주던 정책이 K4 인증이였다. 국정원에서 보안제품에 대한 인증을 수행하고 해당 장비에 대한 보안성이 검증되면 부여하던 인증인데.. 소스코드 및 기능 설계에 대한 부분도 검증을 받아야만 K4 인증을 받을 수 있는데 외국기업 중 어떤 기업이 한국 시장만을 보고 자사의 전체 재산과도 다름없는 방화벽이나 침..
대형포털 노리는 해킹 그리고 보안 전문가 바다란입니다. 이 블로그에도 대책을 올렸는데 여전하군요. 가히 안전불감증이 만연되었다고 할 수 있습니다. ( 솔직히 그동안 신경 안썼죠. ) 공격된 사이트들도 과감하게 기술 했네요. sportschosun, joins.com , nate.com , mnet.com , 투니버스 , mbcespn , ohmynews.com 등 대규모 사용자들을 지닌 사이트가 해킹을 당하고 있습니다. 물론 일회성이 아닌 연속적으로 당하고 있죠. 즉 하나가 아닌 여러개를 동시에 하기도 하고 백도어를 심어서 재공격을 하기도 합니다. 위의 사이트 전체의 공통점은 무엇일까요?. MSSQL DB를 사용하고 Web language는 asp , aspx 등을 사용합니다. 각 게시판 및 링크물에 대한 인자등에 대해 Validation Ch..
금전 노린 해킹 - 국제적 공조 필요 일본계 기자가 써서 그런지 참 그렇네요. 내부에는 봐야할 내용들도 있고 유익한 일들도 있지만 서비스별 중요도별 , 활용도별에 따른 실제적인 통계나 예상이 없어 보입니다. 아직 한국이 보안에 강하다는 이야기는 없죠?.. 만약 있다면 문제죠. 이런 환경에서 된다는 것 자체가... 피싱뿐 아니라 해킹에 관련된 부분도 이제는 글로벌화 하고 있습니다. 적극적인 대책이 필요한 시점이나 차단 가지고는 되지 않고 인력들이 자랄 수 있고 자생할 수 있는 풍토를 만드는 것이 가장 중요하다고 판단됩니다. ^^; 금전 노린 해킹「국제적 공조 체제 필요하다」 [ZDNet Korea 2005-07-20 19:49] 피싱 웹사이트를 폐쇄시키느라 노력하고 있는 가빈 레이드는 일이 훨씬 더 어려워졌음을 감지했다. 바로 피싱 공격이 인..
기업이나 사회의 보안에서 가장 중요한것! TCG? http://www.zdnet.co.kr/news/network/security/0,39031117,39146342,00.htm TCG [Trusted Computing Group]의 지닌 생각은 타당한 생각입니다. 또한 반대편에 존재하는 조지오웰의 독재자의 인상도 타당한 생각입니다. 가장 중요한 전제는 이것임을 잊지만 않는다면 타당합니다. 가장 중요한 전제는 기업이나 사회의 보안은 End Point로 부터 출발을 하며 현재에는 더욱 더 중요한 위치를 차지하고 있다는 점입니다. 기업에서는 말단 PC에서 부터 노트북에 이르기까지가 기업전체의 존망을 결정할 수도 있으며 사회에서는 현재 이슈가 되고 있는 Bot 이나 웜의 경우에도 최초의 출발은 미약하나 과정은 대폭 짧아지고 결과는 확실하게 나타나는 네트워크형..
개인을 위한 개인 정보 보호 실천 가이드 - 바다란 정보보호 체크 가이드 - by 바다란 (p4ssion@naver.com) 보안의 강화는 기업을 위한 중요한 활동임과 동시에 개인 정보 유출을 막기 위한 최선의 방책이다. 2005년에 급속도로 증가한 개인정보 유출용 악성코드 및 정보유출을 위한 다양한 위험성들이 늘어나 특별히 보안에 관심을 두지 않는 한 일반직원의 입장에서는 문제가 그리 간단한 것만은 아니다. 매번 연말이나 특정한 이슈가 발생할 때면 보안 회사들에서 보안 강화를 위한 방침을 발표하고는 한다. 이런 방침에 항상 빠지지 않는 것이 “보안 패치의 활성화 “ , “백신의 업데이트 철저 “ 와 같은 항목이다. 왜 보안 패치가 중요하고 백신이 중요한 것인가? 개인은 물론 기업, 산업 기반에도 중요한 영향을 미치는 요소로 매번 강조되는 이유는 무엇일까..
2006 해킹의 발전과 대응 [ KISA 세미나 발표자료] 안녕하세요. 바다란입니다. 지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다. 해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요. 가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다. 기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다. 현재의 공격유형은 매우 치밀하고도 집요합니다. 기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다. 그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습..
2005년 공격 유형의 변화 -Application Attack Zeroboard 및 PHP 관련 공격이 극성을 부릴때였죠. 2005년 1월초에 만든 문서입니다. 이 문서의 기본 개요는 향후에는 Application 레벨의 공격이 일반적이 될 것이라고 일정부분 예상을 했었는데..점쟁이도 아니구... ^^; 지난 내용들이지만 이때 당시를 짚어 보시고 한번쯤 생각을 해보시는 것도 좋을 듯 싶습니다. 조금 더 뒤의 일들을 예상하고 대응을 하도록 권고하는 것은 지나고 난뒤에 보면 좀 우습기도 하죠. 그냥 자기 만족이려니 하고 하는 것일뿐. ^^;