본문 바로가기

정보보호

경찰청을 사칭하는 온라인 명예훼손 피싱메일을 받다. 오늘은 일정이 없어 여유롭게 커피한잔을 마시며 이메일을 확인하려 노트북을 켰다.그런데.. "온라인 명예훼손 출석통지서"라는 제목의 이메일 한통이 눈에 띄었다. 보낸이는 경찰청...!!당연히..나름 부지런하게 일하는 네이버포탈에서는 "시스템차단"이라는 태그를 달아 스팸메일함으로 분류하고 있었다. 요즘 경찰청을 사칭하며 이런 저런 사건 수사를 한다며 "너 고소 당했으니 출석해~~"라는 막무가내 식 메일을 악성코드를 첨부해 보낸다는 소문은 들었지.. 더보기
[ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이) 지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다.온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용.. 더보기
[ISMS-P]정보통신망법과 개인정보보호법 적용 대상 기준과 두 법령의 주요 차이점 이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다.(※이 포스트에서는 정보통신망법과 개인정보보호법 .. 더보기
악성코드 유포에 악용된 버스정보 앱 예전에는..아니 지금도 마찬가지지만 주요 악성코드 전파를 위해 해커들이 주로 이용하는 매체는 홈페이지와 이메일이다. 하지만 이제 악성코드 유포지로 새롭게 등장한 매체가 있으니 바로 셀 수 없이 많이 사용되는 스마트폰의 앱(Application)이다.스마트폰에 설치되는 앱은 주로 구글 안드로이드의 앱마켓인 플레이스토어와 애플 아이폰의 앱스토어다. 이 두 앱마켓에는 앱을 개발해 올리는 수 많은 개발자들이 상주한다. 개발자들은 .. 더보기
공개서버 보안을 강화하기 위한 보안솔루션 - SecureOS ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 .. 더보기
칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기 정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다.  내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태.. 더보기
랜섬웨어 감염, 암호화 된 파일의 복구는 가능한가 악성코드들이 대부분 그렇듯 랜섬웨어도 계속 진화한다. 창과 방패의 싸움과 너무도 흡사하다. 하지만 기본 컨셉은 바뀌지 않는다. 감염된 PC의 파일들을 암호화하고 복구(복호화)를 하려면 돈을 내놔라...하는 기본 컨셉은 그대로다. 그렇다면 돈을 주고 복구툴을 얻지 않는다면 복구가 불가능할까?결론부터 말하자면 랜섬웨어에 감염되어 파일들이 몽땅~ 암호화 되었을 경우 "일부 랜섬웨어에 의한 피해만 복구가 가능"하다.랜섬웨어는 피해자의 PC에 침투하.. 더보기
멜론 최신곡 모음 ZIP 파일과 함께 배포되는 악성프로그램(visitor.exe) 등장 요즘은 한 달에 1만원도 안되는 돈으로 무제한 스트리밍 서비스를 이용해 음악을 들을 수 있다. 하지만 시급 8천원도 안되는 최저시급을 받으며 일하는 수 많은 청년들에게는 한 달 1만원은 부담이 되는 돈이기도 하다.  게다가 와이파이가 안되는 곳에서 스트리밍 음악을 듣기 위해서는 엄청난 데이터 요금까지도 감수해야 하지 않는가...  그래서 많은 사람들은 아직도 여러 방법을 이용해 최신곡.. 더보기
인텔 CPU의 멜트다운 버그와 스펙트라 버그로 인한 취약점 2018년 새해 벽두부터 인텔 CPU의 중대한 취약점 때문에 보안업계가 호들갑이다.하지만 이 두 버그에 대한 설명은 매우 부족하거나 너무 어려운 경우가 대부분이다. 왜냐하면 이 버그에 대해 제대로 이해하기 위해서는 운영체제의 커널과 CPU의 동작 체계에 대한 깊은 이해는 물론 리버싱에 필요한 어셈블리어에 대한 지식도 필요하기 때문이다. 사실 나도 이 버그에 대해 완벽하게 이해하고 있지는 못하다. 다만 운영체제와 CPU에 대해 조금이나마 이해.. 더보기
가상화폐(암호화폐)의 특징과 투자 시 유의사항 어제..그러니까. 2018년 새해 벽두인 1월 6일 밤..  SBS의 시사프로그램 "그것이 알고싶다"에서 드디어 비트코인 투자 열풍을 소개했다. 그랬다. 그냥 "소개" 였다. 내가 기대했던 제대로 된 소개 혹은 왜 필요한지 왜 이렇게 열풍인지를 제대로 짚어 내지는 못했다. 짧은 시간 동안 제대로 담아내기는 어렵기도 했겠지만 제작진의 이해 수준도 실상 암호화폐에 대한 제대로 된 이해없이 투자 열풍에 휩쓸린 사람들과 크게 다르지 않은 듯 보였.. 더보기
USB 암호화 프로그램 - VeraCrypt 편리하게 사용하기 예전에 TrueCrypt라는 USB 암호프로그램에 대해 포스팅한 적이 있는데... 사정이 있는지 이름이 바뀌어 VeraCrypt 라는 이름으로 바뀌어 계속 업데이트 되고 있다. 하지만 이름과 로고만 바꾼 동일한 프로그램이며 계속 업데이트 되고 있다. 하지만 편리함 측면에서 Windows 운영체제에서 제공하는 비트라커(BitLocker)를 따라갈 수는 없는 듯 하다. 그럼에도 불구하고 VeraCrypt를 사용하는 이유는 Windows 운영체제에서만 사.. 더보기
비밀번호의 일방향 암호화를 지키지 않는 솔루션의 위험성 오늘... 이메일 한통을 받았다. 발신자는 이스트소프트 였다. 무슨 메일이지?? 라는 생각을 하며 메일을 열어본 순간... 또 개인정보유출에 대한 사과와 비밀번호 변경을 요청하는 메일이었다. 정말 지겹도록 개인정보 유출사고는 끊이지 않는다. 혹시 내 정보도? 라는 생각이 들어 알툴즈 홈페이지를 방문하니 다음과 같은 창이 떴다. 한 때...즐겨 사용했던 알집, 알FTP, 알씨 등을 개발해 일반사용자들에게 무료로 배포해 온국민의 유틸리티에 대.. 더보기