• [서버보안정책가이드] 1. Unix / Linux 운영체제의 계정 통제 정책

    최근 발생한 현대캐피탈과 농협 그리고 이번 KBS, MBC, YTN, 신한은행, 농협의 치명적인 보안사고로 인해 금융산업분야 뿐만 아니라  비지니스를 위해 혹은 전산시스템이 비즈니스 그 자체인 많은 기업과 공공기관에 초비상이 걸렸다. 덕분에 나도 너무 많이 바빠진 사람중의 하나가 되었다. 하지만 Unix/Linux 운영체제는 자체적인 보안기능이 매우 부족하다. Unix/Linux가 애초부터 “보안”을 염두에 두고 개발한 운영체제가 아니기 때문에 운영체제 자체적으로 엄청나게 많은 관리적/기술적 취약성을 갖고 있다. 기술적 취약성 중 …

  • [보안사고사례] KBS, MBC, YTN 의 전산망 마비 사태

    2013년 3월 20일. 또 보안사고 역사에 길이(?) 남을 만한 보안사고가 발생했다. 조금은 특이한 형태의 공격인 듯 한데 KBS, MBC, YTN 3개 방송사의 내부 전산망이 일시에 다운이 된 사고다. 그런데 이 표현 "방송사 내부 전산망이 일시에 다운"이라는 표현은 참으로 무지한 표현이다. "전산망" 이라함은 "서버와 서버 혹은 서버와 PC를 연결하는 Network"를 일컫는 표현이다. DDOS와 같은 공격에 장애가 발생할 경우 "전산망" 공격이라는 표현이 옳은 표현이겠지만 이번의 경우는 "전산망 다운"이라고 부르면 안된다고 …

  • 피싱에서 보다 진보한 파밍 기법 (정상 주소를 입력해도 엉뚱한 웹사이트로 연결)

    피싱에 대한 대응조차 완벽하게 이뤄지지 않은 상태에서 보다 더 정교한 사기수법인 파밍(pharming) 기법이 기승을 부리고 있다. 피싱과 파밍은 위조된 가짜 웹사이트로 사용자를 유인한다는 점은 동일하다. 하지만 실제로 "유인"을 하는지 아니면 사용자가 "자발적"으로 해당 사이트에 접속하느냐가 가장 큰 차이점이다. 피싱은 사용자에게 이메일 혹은 문자메시지 등을 이용해 가짜 웹사이트(대표적으로 은행 등의 금융사이트 혹은 개인정보 수집을 목적으로 하는 사이트)로 반-강제적으로 유인하게 된다. 하지만 파밍의 경우 사용자가 필요에 의해 본 …

  • 카카오톡을 악용하는 해킹 시도 방어하기

    휴대폰이 해킹에 악용되기 시작한 것은 무척 오래되었다. 하지만 스마트폰이 일반화되기 전에는 해킹에 악용이 된다고 해도 문자메시지(SMS)로 URL을 보내 PC에서 특정 웹사이트에 접속하게 하거나 푼돈의 결제를 유도하는 정도에 그쳤었다. 하지만 스마트폰이 일반화 되면서 무척 다양한 스마트폰 해킹이 시도되고 있다. 스마트폰에 악성코드(프로그램) 설치 스마트폰에 악성프로그램을 설치하면 설치된 악성프로그램에 어떤 기능을 넣느냐에 따라 무궁무진한 해킹이 가능하다. 예를 들면 스마트폰의 주소록 이나 저장중인 문자메시지를 해커가 가져갈 수도 있 …

  • [보안사고사례] 홈페이지소스 위변조를 통한 악성코드 유포(X 인터넷서점)

    홈페이지를 운영하는 많은 쇼핑몰들과 인터넷신문사 홈페이지는 수시로 홈페이지 위변조 및 자바스크립트 위변조 공격에 시달린다. 최근 방문했던 한 인터넷 뉴스사이트도 그런 공격이 너무도 많다는 고충을 토로하기도 했다. 때문에 여러 솔루션들을 사용하지만 보안정책 수립의 어려움, 실시간 모니터링의 어려움 등으로 인해 제대로 대응하지 못하는 경우가 많다고 한다. 사고가 발생하면 다음과 같은 사항들을 해킹이 발생한 서버내에서 신속하게 파악하고 취약성을 제거하고 모니터링을 해야지만 솔루션 부재로 인해 대부분 정확한 경로를 파악하지 못하는 경우가 …

  • 통합 계정관리 및 권한관리 시스템 구축의 핵심

    통합계정권한관리(IAM) 요즘들어 통합 계정관리 시스템을 재(?)구축 하는 사업이 심심치 않게 발주되고 있다. 매우 오래 전 부터 대기업과 금융기관들을 중심으로 구축된 통합계정관리시스템은  IT거버넌스 측면에서 수 많은 IT시스템을 개발하고 운영하는 와중에 발생하는 사용자 계정의 라이프사이클 관리의 어려움을 극복하기 위해 필히 갖추어야 하는 효과적인 계정 및 권한 관리 체계다. 통합계정관리시스템은 조직 내부에서 운영되는 시스템에 존재하는 모든 계정에 대한 라이프사이클과 계정을 통해 서비스 및 자원에 접근하는 행위를 적절하게 통제하 …

  • APT 공격 방어를 위해 공인인증을 연동한 서버 접근제어 구현

    보안 강화의 어려움 보안 업계에서 일하면서 느끼는 것 중 하나가 유독 보안업계에는 서버나 네트워크 혹은 업무 시스템의 개발과 구축 경험을 가지지 않은 "보안 전문가"가 많다는 것이다. 그러다 보니 "보안"을 문서나 말로만 하는 사람들이 많고 실제 서비스 운영이나 업무 영역의 소프트웨어를 개발하는 실무자들과 트러블이 많아진다. 우리나라 IT 분야의 특성 상 보안 업무는 개발이나 운영 그리고 IT 시스템을 사용하는 비지니스 업무 담당자들로부터 "방해꾼"의 오명을 뒤집어 쓰는 경우가 많다. 당연히 보안 실무자들의 업무 수행은 어려워질 수 …

  • [2 팩터 인증] 공인인증서/OTP/ARS를 이용한 자연인 기반의 서버 접근제어(텔넷, SSH, FTP 등) 기법

    2011년에 발생한 굵직 굵직한 보안사고를 자세히 살펴보면 두가지 형태의 보안사고로 나뉘는 것을 알 수 있다. 첫째는 개인정보를 획득하기 위해 인터넷에 공개된 웹서버를 공격하여 서버에 침투한 뒤 개인정보를 탈취하는 형태의 전통적인 해킹이고.... 둘째는 다양한 기법을 이용하여 내부의 PC를 거점으로 확보하고 그 PC를 이용하여 내부의 서버에 침투하는 해킹을 수행하는 APT 공격이다. 그 중에서도 두번째의 APT 공격은 사회공학적 기법의 해킹 기술부터 최신 해킹기술을 총 망라하여 지속적으로 해킹을 시도하는 무척이나 지능적인 공격기법이 …

  • 피싱사이트를 통한 개인 금융 정보 유출 기법 분석

    국내에서 시작되어 이젠 그 거점이 중국으로 넘어간 것을오 보이는 피싱사기 수법은 날로 진화하고 있다. 내 주변에도 경찰서를 사칭하거나 우체국을 사칭하는 전화를 받은 사람들이 꽤 많다. 그중에는 어찌나 정교하고 교활하던지 깜빡 속아 넘어갈 뻔한 사람도 있다. 결코 그리 어수룩한 사람이 아닌데도 말이다. 최근엔 인터넷을 이용한 피싱이 유행하고 있다. 최근 내게 날아온 피싱시도를 따라가면서 그 수법을 한번 살펴보았다. SMS(문자메시지)를 이용한 피싱 (스미싱) 기법 1. 먼저 문자가 날아온다. 모모은행 혹은 모모카드에서 날아오는데... …

  • [개인정보보호법] 서버접근제어 및 감사시스템 구축

    농협을 비롯한 1,2금융권과 SK컴즈 등의 개인정보유출사고 이후 강화된 개인정보보호법이 발효되었다. 그리고 많은 공공기관과 금융기관 그리고 IT 서비스 업체들이 새로운 개인정보보호법의 규정을 준수하기 위해 보안솔루션 도입과 적용을 시작했다. 하지만 개인정보보호법을 가만히 들여다 보면 정말 애정남을 불러 물어보고 싶을 만큼 그 규정을 실제 시스템에 적용하기가 까다롭다. 적용 대상이 어플리케이션인지 운영체제인지, 계정이 어플리케이션의 서비스 계정인지 운영체제 계정인지 등 보안강화 대상이 명확하게 구분되어 적시되어 있지 않았기 때문이다. …