본문 바로가기

정보보호

[모의해킹]CSRF 취약점 공격 실습하기 CSRF(Cross Site Request Forgery) 취약점은 번역이 조금 애매하다. "사이트 간 요청 위조" 정도로 번역한다. 이 취약점은 GET 또는 POST 요청을 서버가 받았을 때 요청이 변조된 것이 아닌지를 검사하는 여러 코드가 서버 사이드에서 검증되지 않은 채 실행할 때 발생한다. DVWA에서는 비밀번호 변경 페이지를 예로 들어 실습을 할 수 있도록 해준다. 위의 비밀번호 페이지를 가만히 들여다 보면 몇가지를 유추할 수 있다. 먼저 현재의 비밀번호를 물어보지 않고 변경할 새 비밀번호만 물어본다. 이게 뭐가 문제냐? 라는 생각이 든다면 모의해킹 전문가는 아직...꿈꾸지 말길 바란다. 보다 다양한 개발 경험을 쌓고 다시 도전해보길 권하고 싶다. 현재의 비밀번호를 묻지 않는다는 이야기는 이용자.. 더보기
[ISMS-P]기술적 관리적 보호조치 기준 vs 안전성 확보조치 기준 비교표 얼마 전 ISMS-P 인증심사원 자격전환 (구ISMS에서 신ISMS-P로) 시험에 합격하면서 6월에 첫 ISMS-P 인증심사를 나가게 되었다. 아무래도 ISMS에 구)PIMS의 개인정보라이프사이클 및 법적 요구사항에 대해 더 깊이 있게 살펴봐야 하기 때문에 조금은 더 까다로운 심사가 될 듯 하다. 그러면서 다시 한번..(글로만 보면 자꾸 잊는다.) 정보통신망법과 개인정보보호법을 정리한 내용들을 살펴보고 있는 중이다. 그 와중에 자격전환 시험 준비를 하면서 정리해두었던 자료들 중에 정보통신망법의 하위 고시인 [기술적ㆍ관리적 보호조치 기준]과 개인정보보호법의 하위 고시인 [개인정보의 안전성 확보조치 기준]을 비교했던 자료를 포스팅 한다. 내부관리계획 수립 [정통망법] 기술적ㆍ관리적 보호조치 기준 [개보법] .. 더보기
[모의해킹] Command Injection 실습하기 - DVWA Command Injection 커맨드 인젝션은 SQL 인젝션 만큼이나 위험한 취약점이다. SQL 인젝션은 일반적으로 DB의 데이터가 유출될 가능성이 높은 취약점이며 커맨드 인젝션은 서버 전체의 통제권을 해커에게 빼앗길 수도 있는 취약점이기 때문에 일반적으로 SQL인젝션보다 더 위험하다고 볼 수도 있다. 커맨드 인젝션은 웹페이지에서 이용자에게 입력받거나 별도로 생성한 정보를 서버측의 운영체제 명령어와 결합하여 실행할 때 발생할 수 있는 취약점이다. DVWA의 Command Injection 실습 페이지에서는 다음과 같은 예를 들어준다. IP 주소를 이용자에게 입력받아 운영체제의 Ping 명령과 조합하여 실행하고 그 결과를 화면에 보여주는 명령이다. 다음과 같이 192.168.219.52 라는 IP를 입력하면 그 결과를 적나라하게 보여준.. 더보기
[모의해킹] SQL인젝션 실습하기 - DVWA SQL injection - Medium Level 지난 번에 설치한 웹 해킹을 실습할 수 있는 DVWA로 이런 저런 테스트를 하고 있다. 그 테스트 중 두번째가 SQL인젝션인데.. 일단 SQL인젝션 취약점이 발견되면 DB에 저장되어 있는 기업의 주요 기밀은 물론 고객의 개인정보 등 매우 치명적인 정보가 유출될 가능성이 크다. SQL인젝션은 이용자에게 입력받은 다양한 조건 혹은 정보를 이용해 DB에서 정보를 조회해 이용자의 웹 브라우저에 출력하는 과정에서 발생할 수 있는 소스코드의 취약점을 공격하는 해킹기술이다. 웹서버에서는 이용자의 브라우저에 화면을 출력하는 HTML 및 Java Script 등과 이용자에게 보이지 않는 서버 수준에서 DB에 접속하거나 다른 작업을 위해 수행되는 JSP, PHP 등 서버사이드 프로그램들이 실행되는데 서버사이드 프로그램에서.. 더보기
[모의해킹]블라인드 SQL 인젝션 실습하기 - DVWA Blind SQL Injection - Low Level 블라인드SQL인젝션은 보통의 SQL 인젝션보다 더 어렵다. 당연히 SQL 인젝션이 유행하면서 많은 개발자들이 이에 경각심을 갖기 시작했고 시큐어코딩을 적용했다. 하지만 해커들의 열정은 웹사이트 개발자보다 월등히 높다. 해커들은 손쉬운 SQL인젝션이 통하지 않지만 제목에서도 알 수 있듯.. 깜깜한 어둠 속에서 손을 더듬어 가며 손에 닿는 감촉으로 무엇인가를 인식할 수 있듯.. DB에 접근할 것으로 추측되는 화면만 있으면 조회 결과가 화면에 보이지 않더라도 화면 조작의 결과가 화면에 표현되는 방식에 따라 그 결과를 추측하여 DB에 접속하는 공격을 시도하기 시작했다. 그런 공격의 유형이 바로 Blind SQl Injection 이다. DVAW에서는 SQL 인젝션 다음의 예제로 실습을 해볼 수 있다. Blind.. 더보기
RSA 암호알고리즘 (PKI) 이해와 실습 앞의 포스트에서 디피-헬만 키 교환 알고리즘을 알아보았다. 디피-헬만 알고리즘은 송신자가 주체가 되어 송신자와 수신자 상호간의 암호키 전송없이 실제 송수신할 데이터의 암호화와 복호화를 할 수 있는 공통의 비밀키(대칭키)를 교환(실제로는 송신자와 수신자가 각자 생성)하는 키 교환 알고리즘이다. 그 이후의 데이터 암복호화는 생성된 대칭키(비밀키)를 이용하여 별도의 대칭키 암호화 알고리즘을 사용하면 된다. 그래서 디피-헬만 키 교환 알고리즘은 SSL(Secure Socket Layer) 통신 시 암호키를 생성하고 교환하는 목적으로 사용된다. 또한 SSL 통신 규약 상 주기적으로 암호키를 변경해야하기 때문에 디피헬만 키 교환 알고리즘은 주기적으로 호출된다. 즉, PKI(공개키 암호화 알고리즘)은 아니다. PKI.. 더보기
웹 모의해킹 실습환경 구축 정보보안전문가를 꿈꾸는 학생이나 직장인들이 가장 관심있는 분야 중 하나가 바로 웹해킹이다. 인터넷에 널리고 널린 것이 웹사이트이고 그 웹사이트를 뚫고 침투하는 것이 멋있어 보이기 때문이 아닐까 한다. 그런데 분명히 말하지만 그런 행위는 그냥 "도둑질"과 같다. 아니 그런 행위를 하는 사람은 그냥 도둑놈이고 절도범이며 무단침입 현행범이다. 한마디로 범법자다. 하지만 정보보안전문가라면 웹해킹도 분명히 배워야할 분야 중 하나다. 경찰이 도둑놈을 잡기위해서 도둑놈들의 습성과 기술을 이해하고 있어야 하듯 웹서버의 해킹을 방어하고 해커를 잡기 위해서는 그 기술을 이해하고 있어야 하기 때문이다. 분명 "이해"라고 했지 "할 줄 알아야"라고 하지 않았다. 경찰이 도둑을 잡기 위해 도둑질의 모든 기술을 "할 줄"알아야 .. 더보기
공인인증서 제도가 폐지되어야 하는 이유 많은 사람들이 공인인증서는 반드시 폐지되어야 한다고 주장한다. 그리고 대부분의 사람들은 단지 "너무 불편"하다는 이유를 들어 공인인증서는 폐지되어야 한다고 말한다. 맞다. 너무 불편하고 짜증난다. 아직도 은행, 증권사를 비롯한 금융기관들은 공인인증서가 있어야 하고 이 공인인증서를 사용하기 위해 수 많은 별도의 프로그램을 PC에 설치해야 한다. 그리고 그 프로그램들은 PC의 성능을 저하시키고 원인을 알 수 없는 수 많은 에러를 유발하기도 한다. 대한민국의 공인인증서란? "지구에서 유일하게 전 국민에게 사용을 강요하는 개인의 신원 보증용 전자서명인증서" 원래 우리나라의 공인인증서 제도는 국제적인 시각에서 봤을 때 약간 변태적인 구조다. 우리나라에서 사용하는 공인인증서는 개인에게 발급하여 개인의 신원을 확인하.. 더보기
개인정보 유출사고, 과징금 수위 높아진다. 기업은 개인정보 유출사고가 발생하면 일단 몸을 낮추고 고객은 물론 모든 네티즌들에게 사과한다. 그리고 경찰 및 조사기관의 사고조사에 적극 협조하겠다고 한다. 그리고 방송통신위원회는 과태료와 과징금 수준을 결정하고 부과한다. 기업의 태도는 돌변한다. 대부분 과태료 보다는 징벌적 처분인 과징금이 과하다고 징징대고 행정소송을 제기한다. 법원은 기업이 내민 이런저런 소명자료와 핑계를 들여다 보고 과징금이 과하다며 절반이상 씩 감면해 준다.이 스토리는 일반적으로 기업들이 사고를 쳤을 때 쉽게 찾아볼 수 있는 기업과 검경과 법원이 짜고치는 고스톱 같은 스토리였다.하지만 요즘.. 개인정보유출사고에 대한 방통위는 물론 검,경과 법원의 태도는 사뭇 다르다. 지난 달 (2019년4월29일) 이스트소프트가 1억2천만원의 과.. 더보기
[전자금융감독규정] 서버 운영체제 계정 접속 시 2차 인증 의무 규정 금융기관의 내부시스템 접근권한을 갖고 있는 사용자들에 의한 개인정보유출사고가 빈번하게 발생하자 금융기관 내부망에 위치한 서버 접근통제를 위한 추가적인 보호 대책이 2014년에 제시됐다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화하고 또 강화했지만 서버에 접근권한을 부여받은 관리자, 개발자, 외부 인력에 의한 개인정보 유출사고가 빈번하게 발생하자 서버 접속 시 강화된 보안 대책의 필요성을 느꼈기 때문이다. 항상 그렇듯 소 잃고 외양간 고치기 식의 보안 강화이긴 하지만 뒤늦게 라도 서버에 에 대한 강화된 접근통제 필요성을 인지했다는 사실 자체만으로도 의미가 있다. 아마도 "서버"에 대한 지식이 많이 부족한 정책 입안자들의 입장에선 그나마 눈에 잘 띄고 사고가 빈번한 네트워크와 데스크탑 컴퓨터의 보안을 우선.. 더보기
저작권 침해 관련 메일로 가장한 악성코드 유포 시도 증가 피싱 메일은 악성코드를 감염시키는 가장 손쉬운 방법 중 하나다. 얼마 전 경찰청을 사칭하는 이메일을 통해 "너 고소당했어"를 시전하며 고소장으로 가장한 악성코드 첨부파일이 포함된 피싱메일을 받았다는 포스트를 올린적이 있다. ( 보러가기 )해커들이 피싱메일을 무작위로 뿌려대는 목적은 시기에 따라 시시각각 변한다.초창기에는 특정 웹사이트(대기업 또는 포탈, 공공기관 등)를 목표로 해커 대신 DDOS공격을 해줄 좀비PC를 확보하기 위한 경우가 많았다. 따라서 피싱메일에는 첨부파일로 가장한 DDOS 공격도구가 담겨져 있었다. 하지만 시대가 변하면서 피싱메일에는 PC의 운영체제와 파일을 파괴하는 악성코드가 담기기도 했고 최근에는 파일들을 마구 암호화해버리는 랜섬웨어가 담겨있기도 한다. 때로는 PC를 모니터링하고 .. 더보기
경찰청을 사칭하는 온라인 명예훼손 피싱메일을 받다. 오늘은 일정이 없어 여유롭게 커피한잔을 마시며 이메일을 확인하려 노트북을 켰다.그런데.. "온라인 명예훼손 출석통지서"라는 제목의 이메일 한통이 눈에 띄었다. 보낸이는 경찰청...!! 당연히..나름 부지런하게 일하는 네이버포탈에서는 "시스템차단"이라는 태그를 달아 스팸메일함으로 분류하고 있었다. 요즘 경찰청을 사칭하며 이런 저런 사건 수사를 한다며 "너 고소 당했으니 출석해~~"라는 막무가내 식 메일을 악성코드를 첨부해 보낸다는 소문은 들었지만 직접 받아보긴 처음이었다. 포털메일시스템에서 자동으로 분류되기에 망정이지 컴알못인 사람들은 껌뻑 속아넘어갈만 하기도 학겠다는 생각이 들었다. 이 메일의 내용을 한번 열어려고 클릭하면... 포털에서 악성코드가 포함되어 있을 수 있으므로 자동으로 차단했다는 메시지가 .. 더보기