본문 바로가기

정보보호

개인정보보호법과 정보통신망 이용촉진 및 정보보호등에 관한 법률의 비교 얼마전에 편입한 학교에서 첫 레포트 과제가 나왔습니다. 얼마만에 써보는 학교 레포트인지 모르겠네요.ㅎㅎ 평소 정리가 필요하다고 생각했던 부분이었는데 과제로 나오니 겸사겸사 두 법률의 문구 하나 하나를 세심하게 보면서 유사항목들을 비교하고 어떤 차이가 있는지를 볼 수 있는 기회가 되었습니다. 평소 미뤄왔던 일을 하게 해주신 좋은 기회를 주신 조태희 교수님께 감사해야할 듯 합니다. ^^ 그럼..들어갑니다.... 1. 개요 우리나라는 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현하기 위한 입법취지를 갖는 『개인정보보호법』과 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 개인의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위해 제정된 『정보통.. 더보기
ISMS 인증의 인증기준 변경 (2013) ISMS는 "정보보호관리체계(Information Security Management System)"이다. 즉 조직(기업 혹은 공공기관 등)의 정보서비스를 수행하는 시스템과 정보(Information 혹은 Data)를 보호하기 위한 전체적인 정보보호시스템을 체계적으로 구축하고 문서화하고 운용하기 위한 체계다. 그리고 ISMS 인증은 독립된 제3자가 조직의 정보보호관리체계를 평가하고 그 수준이 만족스러울 경우 정보보호관리체계가 잘 운용되고 있음을 인증해주는 제도다. 그렇다면 당연히 정보보호관리체계를 평가하기 위한 인증 기준이 존재할 것이다. 그리고 이 기준은 정보보안의 전반적인 이슈와 ISMS의 여러 요소들에 대한 중요도에 따라 변경이 일어나는 것이 당연하다. 그리고 ISMS 인증에 대해 공부를 하면서 이.. 더보기
SecureOS의 역사와 국산 SecureOS 제품의 비교 2000년을 전후하여 처음 접하게 된 보안 솔루션이 있었습니다. 첫 직장에 입사 후 2년간의 개발 업무를 거쳐 Ingres RDBMS 기술지원 2년여... 그리고 시스템 통합관리 소프트웨어인 CA Unicenter 제품군과 BMC Patrol 제품을 거쳐 공부하게 된 보안솔루션이 바로 SecureOS 솔루션인 CA eTrust Access Control 입니다. eTrust Access Control은 운영체제에 동적 커널 모듈 (DLKM : Dynamic Loadable Kernel Module)로 구현된 Secure OS 즉 보안 운영체제입니다. 운영체제라고 하여 Solaris, Linux와 같은 통~ 운영체제는 아니고 상용 운영체제에 DLKM으로 개발된 일종의 드라이버를 로드하여 보안 기능을 강화하.. 더보기
사물 인터넷 보안 취약성과 보호대책 사물인터넷(Internet Of Things)의 보안 취약성 얼마 전 신용카드 결제 단말기의 보안 강화를 위해 KTC(한국기계전기전자시험연구원)에서 추진하던 시도가 여러가지 이유로 인해 무산되는 일이 있었습니다. 그 과정에서 블로그를 통해 친분이 있는 VAN사에서 근무하시는 지후대디님과 신용카드 결제 단말기의 보안강화에 대한 KTC의 요구에 대응하는 기술의 구현을 위해 몇 차례 미팅을 가진적이 있었습니다. 그리고 지후대디님이 근무하시는 VAN사는 결제 단말기의 보안 강화에 대해 매우 적극적으로 대응하고 계셨고 SecureOS의 임베디드리눅스의 포팅에 상당히 긍정적이었습니다. 하지만 결론적으로는 결제단말기의 인증시험일정의 촉박함과 구현 방식에 대한 여러 VAN사와 카드사 그리고 KTC의 의견차이로 인해 이.. 더보기
카스퍼스키(Kaspersky Lab)를 공격한 두쿠2.0 (Duqu 2.0) 요 몇일 사이에 두쿠라는 악성코드가 보안업계에 초미의 관심사로 등장했다. 하지만 이 두쿠(Duqu) 2.0 이라 명명된 악성코드는 그 실체가 아직도 밝혀지지 않고 있다. 일반적인 악성코드와는 다른 두쿠(Duqu 2.0) 일반적으로 악성코드는 PC나 서버에 파일이라는 "흔적"을 남긴다. 악성코드 분석 전문가인 리버스엔지니어링 전문가들은 이 파일을 가져다가 분석하고 실행시켜보면서 어떤 레지스트리를 수정하고 어떤 파일을 생성하며 어떤 취약점을 공격하는지를 분석한다. 이 작업은 전문가들에게도 매우 고되고 힘든 작업이다. (쉽게....노가다..다.. 사명감이나 재미를 느끼지 못한다면 그 일을 하지 못한다고 말하고 싶다.) 그런데 이 두쿠2.0은 파일을 남기지 않는다고 한다. 게다가 어떠한 시스템의 레지스트리도 건.. 더보기
공유기 해킹을 통한 파밍의 대응 방법 파밍 공격의 사례 언제부턴가 인터넷 공유기의 해킹이 파밍 공격을 위한 수단으로 악용되기 시작했습니다. 가장 대표적인 공유기 해킹 그리고 DNS 변조를 통한 파밍 사례는 아래의 사례처럼 정상적인 포털사이트와 금융기관 홈페이지에 접속하여도 가짜 포털 및 금융기관으로 접속 되도록 유도하는 경우입니다. 이 사례는 웹브라우저의 주소창 혹은 즐겨찾기 등 어떤 방법으로든 "http://www.naver.com"을 정상적으로 입력하고 접속하였음데도 가짜 웹사이트로 접속하도록 접속경로를 변조한 경우입니다. 금감원의 팝업창을 사칭하여 금융기관에서 발급한 보안카드 정보를 빼내기 위한 파밍공격 사례죠. 그렇다면 어떻게 이런 공격이 가능할까요... 이는 모든 네티즌이 인터넷을 사용하기 위해서 필수적으로 사용하는 DNS 라는 서.. 더보기
주민등록번호 유출의 위험성 (통일된 개인 식별자 사용의 위험성) 대한민국 국민의 주민번호는 우리나라에 인접한 중국에서 범죄자들 사이에서 현금으로 거래가 이루어질 만큼 해커들에게는 돈이 되는 정보입니다. 하지만 정작 피해자인 대한민국의 국민들은 심각하게 받아들이지 않고 있습니다. 자신의 개인정보가 범죄자들과 해커들 사이에서 사고 팔리는 상황임에도 그리 심각하게 받아들이지 않는 이유는 무엇일까요? 주민등록 번호의 위험성 아마도 그 이유는 "주민등록 번호 하나로 뭘 하겠어?" 라는 안일한 생각이 머리속에 자리 잡고 있기 때문일 겁니다. 하지만 그런 생각은 큰 오산입니다. 데이터베이스에 대해 조금이라도 공부를 해본 사람이라면 데이터의 조인(Join)에 대해 배웠을 겁니다. 이 데이터의 Join을 이용하면 주민 번호 하나로 엄청난 정보들을 생산해 낼 수 있습니다. 다음 그림에.. 더보기
아이핀 해킹으로 75만건의 아이핀 부정 발급 사고 주민등록번호의 대체제로 정부와 KISA에서 제시한 아이핀... 하지만 그 아이핀 마저 아이핀 관리 시스템 취약성으로 인해 75만건이 일시에 부정 발급 되는 보안 사고가 발생했다. 이로써 주민등록 번호와 크게 다를 바 없는 단순한 "일련번호와 같은 숫자"로 개인을 식별하려는 그 어떤 시스템도 보안 취약점만 발견되면 언제든 무력화 될 수 있다는 사실이 입증된 사건이라고 할 수 있다. 해킹에 의한 대량의 아이핀 부정 발급 사건 (2015년 2월) 2015년 2월 28일에서 3월 2일 사이에 발생한 이번 해킹 사건은 지금까지의 아이핀 부정 발급이 주로 개인정보 도용에 의한 것인 것과는 달리 공공 아이핀 시스템의 해킹을 통한 아이핀 대량 부정 발급이라는 점에서 아이핀 시스템 자체의 취약성이 매우 심각할 수도 있다.. 더보기
개인정보보호법의 비밀번호 일방향 암호화 및 패스워드 관리 솔루션 인터넷의 사용이 일반화 되면서 전 국민이 평균적으로 수 십 개의 웹 사이트에 가입되어 있고 그 숫자 만큼의 계정과 비밀번호를 갖고 있습니다. 그리고 웹서버, DB서버 등 수 십에서 수 백 대의 서버를 관리하는 IT 기업의 운영자들은 웹사이트의 계정 이외에도 서버 운영체제에 존재하는 여러 계정들에 대한 비밀번호도 관리해야 합니다. 개인 사용자들의 계정과 비밀번호와는 달리 서버 운영체제의 계정은 유출될 경우 보안 관점에서 매우 치명적인 문제가 발생할 수 있기 때문에 특별하게 관리되어야 합니다. 패스워드의 일방향 암호화에 사용되는 Hash 함수 개인정보보호법에서는 웹 사이트에서 사용되는 비밀번호는 물론 서버의 운영체제 관리자 계정, DB 관리자 계정, 애플리케이션 관리자 계정 등 주요 시스템 관리자 계정의 비.. 더보기
SSL v3의 POODLE 취약점에 대하여 SSL Padding Oracle On Downgraded Legacy Encryption(POODLE) Vulnerability 요약 2014년 10월 14일에 블록암호화기법인 CBC(Cipher Block Chaning)모드를 사용하는 SSL version 3 프로토콜의 취약성이 발표되었다. SSL v3는 TLS 프로토콜 상에서 동작하도록 설계된 통신상의 암호화를 담당하는 프로토콜의 하나다. 이 취약성에 의해 해커는 암호화 되어 통신중인 암호문 중 일부(subset)를 평문으로 복호화할 수 있다. 상세내용 SSL v3는 IPv4와 IPv6와 같은 IP프로토콜 상에서 암호화 통신을 위해 사용되는 암호화 통신 프로토콜이다. 이 취약성은 블록암호화기법인 CBC 모드를 사용할 경우 발생하는 패딩 된 암호블록.. 더보기
bash 취약점이 얼마나 위험한가? 얼마 전 전 세계적으로 이슈가 된 bash 취약점에 대한 포스트를 쓴 적이 있습니다. 그런데 아무래도 이 취약점에 대한 보안 업계 사람들의 과잉 반응이 심상치 않습니다. 과연 bash 취약점의 본질을 제대로 이해하고 있는지 의구심이 들 정도입니다. bash 취약점은 물론 심각하게 악용될 수 있습니다. 하지만 중요한 것은 원격지에서 bash 취약점을 단독으로 악용하여 서버에 접근할 수는 없다는 점입니다. bash는 사용자에게 명령어를 입력 받아 명령어에 해당되는 파일을 사용자 대신 프로그램이 서버의 메모리에 로드되고 실행될 수 있도록 해주는 프로그램입니다. 그리고 bash는 단독으로 서버에서 실행되어 통신을 통해 명령어를 전달 받는 통신 기능이 없습니다. 즉 bash 취약점을 이용해 원격에서 직접 아래와 .. 더보기
웹페이지 변조(파일변조)를 차단하는 근본적인 방법 웹페이지의 변조는 매우 오래된 해킹 형태입니다. 그 오랜 시간 동안 매우 다양한 대책이 제시되었고 최근에는 웹페이지 소스파일의 변조를 주기적으로 탐지하는 솔루션까지 등장하였습니다. 하지만 변조를 근본적으로 차단하는 보안 솔루션이 있음에도 아직까지 많은 기업이나 기관들이 실 적용을 하지 못하고 있는 경우가 많습니다. 그 보안 솔루션은 바로 SecureOS 제품인 RedCastle입니다. (사실 다른 SecureOS 제품들도 가능하지만 그 편의성이나 안정성 그리고 정책 구현의 다양함은 RedCastle이 월등합니다. 그리고 MAC 스푸핑등에 의한 실제 파일을 변조하지 않고 네트워크 수준에서 변조하는 기법은 네트워크 보안 솔루션을 통해 방어해야 합니다.) 서버 보안 정책 수립에 대한 교육이 있어 새롭게 Sol.. 더보기