본문 바로가기

정보보호

SQL인젝션 실습하기 - DVWA SQL injection - Medium Level 지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. 그 테스트 중 두번째가 SQL인젝션인데.. 일단 SQL인젝션 취약점이 발견되면 DB에 저장되어 있는 기업의 주요 기밀은 물론 고객의 개인정보 등 매우 치명적인 정보가 유출될 가능성이 크다. SQL인젝션은 이용자에게 입력받은 다양한 조건 혹은 정보를 이용해 DB에서 정보를 조회해 이용자의 웹 브라우저에 출력하는 과정에서 발생할 수 있는 소스코드의 취약점을 공격하는 해킹기술이다. 웹서버에서는 이용자의 브라우저에 화면을 출력하는 HTML 및 Java Script 등과 이용자에게 보이지 않는 서버 수준에서 DB에 접속하거나 다른 작업을 위해 수행되는 JSP, PHP 등 서버사이드 프로그램들이 실행되는데 서버사이드 프로그램에서.. 더보기
웹 모의해킹 실습환경 구축 정보보안전문가를 꿈꾸는 학생이나 직장인들이 가장 관심있는 분야 중 하나가 바로 웹해킹이다. 인터넷에 널리고 널린 것이 웹사이트이고 그 웹사이트를 뚫고 침투하는 것이 멋있어 보이기 때문이 아닐까 한다. 그런데 분명히 말하지만 그런 행위는 그냥 "도둑질"과 같다. 아니 그런 행위를 하는 사람은 그냥 도둑놈이고 절도범이며 무단침입 현행범이다. 한마디로 범법자다. 하지만 정보보안전문가라면 웹해킹도 분명히 배워야할 분야 중 하나다. 경찰이 도둑놈을 잡기위해서 도둑놈들의 습성과 기술을 이해하고 있어야 하듯 웹서버의 해킹을 방어하고 해커를 잡기 위해서는 그 기술을 이해하고 있어야 하기 때문이다. 분명 "이해"라고 했지 "할 줄 알아야"라고 하지 않았다. 경찰이 도둑을 잡기 위해 도둑질의 모든 기술을 "할 줄"알아야 .. 더보기
공인인증서 제도가 폐지되어야 하는 이유 많은 사람들이 공인인증서는 반드시 폐지되어야 한다고 주장한다. 그리고 대부분의 사람들은 단지 "너무 불편"하다는 이유를 들어 공인인증서는 폐지되어야 한다고 말한다. 맞다. 너무 불편하고 짜증난다. 아직도 은행, 증권사를 비롯한 금융기관들은 공인인증서가 있어야 하고 이 공인인증서를 사용하기 위해 수 많은 별도의 프로그램을 PC에 설치해야 한다. 그리고 그 프로그램들은 PC의 성능을 저하시키고 원인을 알 수 없는 수 많은 에러를 유발하기도 한다. 대한민국의 공인인증서란? "지구에서 유일하게 전 국민에게 사용을 강요하는 개인의 신원 보증용 전자서명인증서" 원래 우리나라의 공인인증서 제도는 국제적인 시각에서 봤을 때 약간 변태적인 구조다. 우리나라에서 사용하는 공인인증서는 개인에게 발급하여 개인의 신원을 확인하.. 더보기
개인정보 유출사고, 과징금 수위 높아진다. 기업은 개인정보 유출사고가 발생하면 일단 몸을 낮추고 고객은 물론 모든 네티즌들에게 사과한다. 그리고 경찰 및 조사기관의 사고조사에 적극 협조하겠다고 한다. 그리고 방송통신위원회는 과태료와 과징금 수준을 결정하고 부과한다. 기업의 태도는 돌변한다. 대부분 과태료 보다는 징벌적 처분인 과징금이 과하다고 징징대고 행정소송을 제기한다. 법원은 기업이 내민 이런저런 소명자료와 핑계를 들여다 보고 과징금이 과하다며 절반이상 씩 감면해 준다.이 스토리는 일반적으로 기업들이 사고를 쳤을 때 쉽게 찾아볼 수 있는 기업과 검경과 법원이 짜고치는 고스톱 같은 스토리였다.하지만 요즘.. 개인정보유출사고에 대한 방통위는 물론 검,경과 법원의 태도는 사뭇 다르다. 지난 달 (2019년4월29일) 이스트소프트가 1억2천만원의 과.. 더보기
[전자금융감독규정] 서버 운영체제 계정 접속 시 2차 인증 의무 규정 금융기관의 내부시스템 접근권한을 갖고 있는 사용자들에 의한 개인정보유출사고가 빈번하게 발생하자 금융기관 내부망에 위치한 서버 접근통제를 위한 추가적인 보호 대책이 2014년에 제시됐다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화하고 또 강화했지만 서버에 접근권한을 부여받은 관리자, 개발자, 외부 인력에 의한 개인정보 유출사고가 빈번하게 발생하자 서버 접속 시 강화된 보안 대책의 필요성을 느꼈기 때문이다. 항상 그렇듯 소 잃고 외양간 고치기 식의 보안 강화이긴 하지만 뒤늦게 라도 서버에 에 대한 강화된 접근통제 필요성을 인지했다는 사실 자체만으로도 의미가 있다. 아마도 "서버"에 대한 지식이 많이 부족한 정책 입안자들의 입장에선 그나마 눈에 잘 띄고 사고가 빈번한 네트워크와 데스크탑 컴퓨터의 보안을 우선.. 더보기
저작권 침해 관련 메일로 가장한 악성코드 유포 시도 증가 피싱 메일은 악성코드를 감염시키는 가장 손쉬운 방법 중 하나다. 얼마 전 경찰청을 사칭하는 이메일을 통해 "너 고소당했어"를 시전하며 고소장으로 가장한 악성코드 첨부파일이 포함된 피싱메일을 받았다는 포스트를 올린적이 있다. ( 보러가기 )해커들이 피싱메일을 무작위로 뿌려대는 목적은 시기에 따라 시시각각 변한다.초창기에는 특정 웹사이트(대기업 또는 포탈, 공공기관 등)를 목표로 해커 대신 DDOS공격을 해줄 좀비PC를 확보하기 위한 경우가 많았다. 따라서 피싱메일에는 첨부파일로 가장한 DDOS 공격도구가 담겨져 있었다. 하지만 시대가 변하면서 피싱메일에는 PC의 운영체제와 파일을 파괴하는 악성코드가 담기기도 했고 최근에는 파일들을 마구 암호화해버리는 랜섬웨어가 담겨있기도 한다. 때로는 PC를 모니터링하고 .. 더보기
경찰청을 사칭하는 온라인 명예훼손 피싱메일을 받다. 오늘은 일정이 없어 여유롭게 커피한잔을 마시며 이메일을 확인하려 노트북을 켰다.그런데.. "온라인 명예훼손 출석통지서"라는 제목의 이메일 한통이 눈에 띄었다. 보낸이는 경찰청...!! 당연히..나름 부지런하게 일하는 네이버포탈에서는 "시스템차단"이라는 태그를 달아 스팸메일함으로 분류하고 있었다. 요즘 경찰청을 사칭하며 이런 저런 사건 수사를 한다며 "너 고소 당했으니 출석해~~"라는 막무가내 식 메일을 악성코드를 첨부해 보낸다는 소문은 들었지만 직접 받아보긴 처음이었다. 포털메일시스템에서 자동으로 분류되기에 망정이지 컴알못인 사람들은 껌뻑 속아넘어갈만 하기도 학겠다는 생각이 들었다. 이 메일의 내용을 한번 열어려고 클릭하면... 포털에서 악성코드가 포함되어 있을 수 있으므로 자동으로 차단했다는 메시지가 .. 더보기
[ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이) 지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다.온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 있습니다. 그래선지 정보보호관련 컨설팅을 받았다고 하는 여러 기업이나 기관의 홈페이지나 오프라인 회원가입 신청서를 보면 개인정보 처리업무의 위탁에 대한 동의 부분이 전혀 다른 .. 더보기
[ISMS-P]정보통신망법과 개인정보보호법 적용 대상 기준과 두 법령의 주요 차이점 이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다.(※이 포스트에서는 정보통신망법과 개인정보보호법 기준에 대해서만 설명합니다. 은행과 같이 정보통신서비스를 제공하고 있으나 다른 특별법 적용대상이고 해당 법령에서 금융관련 정보통신서비스 및 정보보호에 관한 규제가 있을 경우 해당 법령을 우선 적용 받습니다. ※)정보통신망법 적용 대상 사업자 (2018.02.10 기준)일단 정보통신망법은 정보통신망을 이용.. 더보기
악성코드 유포에 악용된 버스정보 앱 예전에는..아니 지금도 마찬가지지만 주요 악성코드 전파를 위해 해커들이 주로 이용하는 매체는 홈페이지와 이메일이다. 하지만 이제 악성코드 유포지로 새롭게 등장한 매체가 있으니 바로 셀 수 없이 많이 사용되는 스마트폰의 앱(Application)이다.스마트폰에 설치되는 앱은 주로 구글 안드로이드의 앱마켓인 플레이스토어와 애플 아이폰의 앱스토어다. 이 두 앱마켓에는 앱을 개발해 올리는 수 많은 개발자들이 상주한다. 개발자들은 기업에 소속되어 기업의 앱을 개발해 플레이스토어와 앱스토어에 업로드하기도 하지만 더 많은 개발자들은 집과 같은 개인이 관리하는 개발환경에서 앱을 개발해 플레이스토어에 업로드 한다.기업에 소속되어 기업에서 제공하는 개발환경을 이용하든 개인적으로 구축한 개발환경에서 개발하든 중요한 것은 소.. 더보기
공개서버 보안을 강화하기 위한 보안솔루션 - SecureOS ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 이해수준은 높더라도 보안과 연관지어 어떤 위협이 존재하는지 알지 못하는 경우가 많기 때문이다.그렇다보니 서버 운영체제에 대한 취약점 점검이 단순한 체크리스트(그마저도 제대로 적용하지 못한다) 방식으로 진행되고 ISO나 ISMS 인증심사 때도 그 체크리스트 중에서 몇개를 샘플로 .. 더보기
칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기 정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다. 내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서는 더욱 심한 거짓이 난무한다. 정보보호관리체계의 경우 정책과 지침을 얼마나 잘 이행하고 있는지를 "증적"이라 부르는 이행 문서로 점검한다. 그리고 이 이행증적은 신뢰가 생명이다. 하.. 더보기