본문 바로가기

정보보호

칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기 정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다.  내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태.. 더보기
랜섬웨어 감염, 암호화 된 파일의 복구는 가능한가 악성코드들이 대부분 그렇듯 랜섬웨어도 계속 진화한다. 창과 방패의 싸움과 너무도 흡사하다. 하지만 기본 컨셉은 바뀌지 않는다. 감염된 PC의 파일들을 암호화하고 복구(복호화)를 하려면 돈을 내놔라...하는 기본 컨셉은 그대로다. 그렇다면 돈을 주고 복구툴을 얻지 않는다면 복구가 불가능할까?결론부터 말하자면 랜섬웨어에 감염되어 파일들이 몽땅~ 암호화 되었을 경우 "일부 랜섬웨어에 의한 피해만 복구가 가능"하다.랜섬웨어는 피해자의 PC에 침투하.. 더보기
정보통신망법 및 개인정보보호법 적용 대상 기준과 법령의 차이점 이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다. (※이 포스트에서는 정보통신망법과 개인정보보호법.. 더보기
멜론 최신곡 모음 ZIP 파일과 함께 배포되는 악성프로그램(visitor.exe) 등장 요즘은 한 달에 1만원도 안되는 돈으로 무제한 스트리밍 서비스를 이용해 음악을 들을 수 있다. 하지만 시급 8천원도 안되는 최저시급을 받으며 일하는 수 많은 청년들에게는 한 달 1만원은 부담이 되는 돈이기도 하다.  게다가 와이파이가 안되는 곳에서 스트리밍 음악을 듣기 위해서는 엄청난 데이터 요금까지도 감수해야 하지 않는가...  그래서 많은 사람들은 아직도 여러 방법을 이용해 최신곡.. 더보기
인텔 CPU의 멜트다운 버그와 스펙트라 버그로 인한 취약점 2018년 새해 벽두부터 인텔 CPU의 중대한 취약점 때문에 보안업계가 호들갑이다.하지만 이 두 버그에 대한 설명은 매우 부족하거나 너무 어려운 경우가 대부분이다. 왜냐하면 이 버그에 대해 제대로 이해하기 위해서는 운영체제의 커널과 CPU의 동작 체계에 대한 깊은 이해는 물론 리버싱에 필요한 어셈블리어에 대한 지식도 필요하기 때문이다. 사실 나도 이 버그에 대해 완벽하게 이해하고 있지는 못하다. 다만 운영체제와 CPU에 대해 조금이나마 이해.. 더보기
가상화폐(암호화폐)의 특징과 투자 시 유의사항 어제..그러니까. 2018년 새해 벽두인 1월 6일 밤..  SBS의 시사프로그램 "그것이 알고싶다"에서 드디어 비트코인 투자 열풍을 소개했다. 그랬다. 그냥 "소개" 였다. 내가 기대했던 제대로 된 소개 혹은 왜 필요한지 왜 이렇게 열풍인지를 제대로 짚어 내지는 못했다. 짧은 시간 동안 제대로 담아내기는 어렵기도 했겠지만 제작진의 이해 수준도 실상 암호화폐에 대한 제대로 된 이해없이 투자 열풍에 휩쓸린 사람들과 크게 다르지 않은 듯 보였.. 더보기
USB 암호화 프로그램 - VeraCrypt 편리하게 사용하기 예전에 TrueCrypt라는 USB 암호프로그램에 대해 포스팅한 적이 있는데... 사정이 있는지 이름이 바뀌어 VeraCrypt 라는 이름으로 바뀌어 계속 업데이트 되고 있다. 하지만 이름과 로고만 바꾼 동일한 프로그램이며 계속 업데이트 되고 있다. 하지만 편리함 측면에서 Windows 운영체제에서 제공하는 비트라커(BitLocker)를 따라갈 수는 없는 듯 하다. 그럼에도 불구하고 VeraCrypt를 사용하는 이유는 Windows 운영체제에서만 사.. 더보기
비밀번호의 일방향 암호화를 지키지 않는 솔루션의 위험성 오늘... 이메일 한통을 받았다. 발신자는 이스트소프트 였다. 무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간... 또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다. 한 때...즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대.. 더보기
[ISMS/PIMS] 개인정보보호를 위한 망분리 관련 법령 분석 개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확하게 이해하고 있지 못한 기업이나 공공기관도 있습니다. 사실 조금만 관심을 갖고 법령을 찾아보면 되는데 특별히 보안에 관심이 있는 사람이 아니면 그냥 해야한다더라 정도로 이해하고 있는 경우가 많습니다. 그리고 정보보안기사나 ISMS인증심사원, PIMS 혹은 PIA 자격 시험을.. 더보기
모바일 앱(안드로이드) 패킷 캡쳐하고 와이어샤크로 확인하기 일을 하다보면 이따금씩 패킷을 캡쳐하고 내용을 확인해야할 때가 있습니다. 가장 대표적인 경우가 로그인 페이지 및 개인정보 입력/수정 등의 페이지가 암호화 통신을 하는지 확인해야할 때 입니다. 웹브라우저로 확인할 때는 HTTPS 등 암호화 통신 프로토콜이 적용되어 있는지만 봐도 암호화 전송 여부를 알 수 있지만 모바일 앱, 특히나 모바일 웹 페이지가 아닌 바이너리로 개발되어 있을 때는 암호화 통신 여부를 쉽게 확인하기가 어렵습니다.  결국 모.. 더보기
[ISMS/PIMS] 정보통신서비스 이용자와 사용자 계정의 비밀번호 관련 법령 정보통신망 이용촉직 및 정보보호 등에 관한 법률(이하 정통망법)과 개인정보 보호법에서는 정보통신서비스의 이용자와 사용자가 안전한 비밀번호를 설정하고 서비스에 로그온 할 수 있도록 법률로서 서비스 제공자에게 의무하화고 있습니다. 하지만 아직도 이에 대한 인식은 많이 부족한 편입니다. 실제로 여러 웹서비스에 구현되어 있는 계정의 비밀번호 관련 기능을 살펴보면 의무적으로 제공되어야 할 기능이 제대로 구현되어 있지 않은 경우가 많습니다. 정보통신망법에.. 더보기
칼리리눅스2 (KaliLinux2) 2017년1월 버전으로 업그레이드 하기 칼리리눅스2.0이 2017년 1월에 업그레이드 되었다. 버전이 바뀐것은 아니고 칼리리눅스 홈페이지에 가면 2017년01월 버전이라고만 나와 있는 듯 하다. 그래서 예전에 설치했던 VMWare 이미지를 구동하고 업그레이드를 시도했다. 칼리리눅스2.0은 이전의 1.0과 달리 Debian 배포판을 이용해 만들어져 있기 때문에 가장 흔히 사용되는 서버용 리눅스 배포판인 CentOS나 RedHat 처럼 yum 명령으로 업데이트를 하는것이 .. 더보기