본문 바로가기

보안

(208)
[히스토리-3] 개발과 보안의 간극 그 해소에 대해 개발 스케줄이 타이트하게 이어지고 있고, 오픈된 서비스의 운영은 정신없이 계속되고 있었다. 그 어디에도 보안이라는 부분은 들어갈 곳이 없었다. 보안사고가 발생되어도 그것은 개발과는 관련 없는 별개의 영역이라 인식하는 것이 대부분이었다. 그렇다고 소스 레벨의 보안적인 이슈를 지적하는 것도 쉬운 일은 아니었고.. 2005년 무렵 서비스 회사에 들어온 이래 온라인을 통해 원인 제거 (보안패치), 현상 제거 ( 온라인 백신)를 실행하였지만 그렇다고 근본적인 문제가 해결된 것은 아니었다. 사용자들에게 감염되는 악성코드들은 더 이상 메일이나 수상한 파일을 통해서 감염되는 것도 아니였으며, 전체 인터넷을 대상으로 취약한 서비스에 접속하는 모든 사용자들은 즉시 감염에 노출되고 패치가 되어 있지 않다면 그 즉시 감염이 ..
악성코드와 금융 그리고 한국. ( 간단한 반박) 지금 한 회사가 문제가 아니라, 이 IT 서비스 분야 전체에 걸친 심각한 문제라는 점이다. 전자상거래가 차지하는 부분.. 그리고 테스트서버라는 부분도 문제이고 연동되어 있는 실제 스크린샷이 있는데도 손바닥으로 장대비를 가리는 형국 지금의 문제는 공인인증서 관리 업체 하나의 문제가 아니라 기반 체제의 문제점이라는 점이고 또 하나는 DMZ zone 에 위치한 서버가 권한 탈취를 당했다는 것은 심각한 상황이라는 것이다. 10월 하순부터 신규로 만들어진 악성링크가 소스코드 복사를 통해 들어가 있었다는 해명은 황당하기 그지 없다. 또한 구글은 내부에 포함된 악성링크를 가지고 판단 하는 체계가 아니며, Drive by download 즉 해당 웹 서비스에서 악성파일이 내려 올때에만 Alert을 하는 체제이다. 현재..
IBM 해킹에 비춰본 웹서비스 보안 5.18일 researcher.ibm.com 메인 페이지 변조, SQL Injection에 의한 권한 획득 웹서비스 보안에 대해서 문제점과 대응방식의 변화에 대해 이야기를 한지는 아주 오래되었고 지금도 계속 하고 있다. 그러나 변화는 멀었고 아직 인식도 멀리 있는 상태이다. 문제 해결을 위해 security service를 기획하고 제안 했지만 결국에는 아무도 나서지 않아 직접 할 수 밖에 없었던 지금과 관련된 이야기다. 오늘자 기사로 researcher.ibm.com과 같은 중요 서비스에 대한 직접 해킹과 전 세계에서 가장 점유율이 높은 웹 취약성 진단 도구인 Appscan의 주인이 IBM 이라는 점은 심각한 시사점을 던져 주고 있다. 또한 필자 본인이 본 관점이 정확했음을 입증하고 있다. < zone..
Malware launch detected !!! - 오늘자 보안인 기고글입니다. 전 주현씨야 인식개선을 위해 워낙 많은 노력을 기울여 오고 계신 분이라 도움을 드리고 싶었는데 이런 형태로 밖에는 아직 안되네요. 참고하세요. Malware Launch Detected! 바다란 보안컬럼니스트 어찌 보면 지금의 Malware는 인터넷 인프라에서 핵과 같은 폭발력을 지니고 있을 수도 있다. 작은 단초를 무시하면 큰 사고로 이어지는 것은 언제나 당연한 일이다. 1930년대 초 미국의 한 보험회사의 관리자였던 하인리히는 교통사고를 분석해 독특한 법칙을 발견 하였다고 한다. 한번의 대형 사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견 된다는 이른바 ‘하인리히의 법칙’을 발표하게 된다. 이 논리의 핵심은 모든 큰 사고가 발생 되기 이전에..
History of p4ssion (바다란) History of p4ssion (바다란) - 2011.12.06 (계속 갱신 예정) 15년 가까이 이 분야를 보면서 여러 활동을 했었습니다. 본 컨텐츠는 여기저기 흩어져 있는 기록과 문서를 종합하기 위해 작성 합니다. 또 지난 십 년 이상의 IT관련 중요 이슈들에 대한 Security 측면의 내용들과 거기에 대한 기록들도 일부 보실 수 있을 것입니다. 공개문서나 컬럼만을 기준으로 정리 하도록 하겠습니다. 1998. “해커의 길 그리고 나의 길” http://p4ssion.com/233 1999. “ 프로그래머가 되는 길” http://p4ssion.com/232 2002.8 Threat of china – 중국발 해킹에 대한 최초 보고서. 이때부터 향후 중국의 공격기술에 대해 심각한 주의를 기울여야 ..
해외 보안 이슈 촌평 및 간략 2011.11.1 * Facebook에 올렸던 촌평을 묶어서 게시한 내용입니다. - p4ssion Chinese Military Suspected in Hacker Attacks on U.S. Satellites - Businessweek http://www.businessweek.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-s-satellites.html 블룸버그 뉴스보도 입니다. 2007년과 2008년에 미국의 기상관측 위성과 지형관찰 위성에 4회 정도의 침입이 있었다는 보도 입니다. 항상 오해를 하는 것이 위성을 해킹한다는 것은 위성에 직접 침입한다는 것이 아니고 위성을 조정하는 지상의 시스템을 권한 획득 했다는 것이죠. 마찬가지 결과 ..
[갱신]구글이 탐지 할 수 없는 위험과 신호 20110910 * 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다. fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠. 근본 문제 수정 없이는 계속될 이야기 입니다. ----------------------------------------------------..
진짜 SaaS (Security as a service)의 시작에서 진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐 -바다란 지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다. 현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다. 첫째는 비용의 문제 “ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안..