[카테고리:] 정보보호
-
실명인증과 본인확인의 차이
인터넷으로 제공되는 다양한 서비스를 사용하다보면 "실명인증" 또는 "본인확인"을 거쳐야만 하는 경우를 많이 볼 수 있다. 게다가 taeho 처럼 개인정보 및 정보호호 관련 일을 하는 사람들은 해당 서비스가 "실명인증(또는 실명확인)"만 거치면 제공받을 수 있도록 해야 하는지 아니면 "본인확인"을 반드시 거쳐야하는지를 판단할 수 있어야 한다. 그런데 이따금씩 관련 업무를 하고 있음에도 "실명", "비실명", "실명인증", "본인확인"의 의미를 명확하게 구분하지 못하는 컨설턴트를 볼 수 있었다. "실명"이란? "실명"이란 어떤 "이름" …
-
비밀번호를 안전하게 관리하는 방법
최근 발견한 비밀번호를 안전하게 저장하고 자동입력까지 지원하는 오픈소스 비밀번호 관리 프로그램을 소개한다. 안전한 비밀번호 만드는 방법과 함께 사용하면 더 이상 완벽하지 않을 수 없지 않을까? [KeePass 유틸리티 ] --- 2020년 9월 2일 추가 --- 인터넷 환경이 점점 복잡해지면서 한사람이 관리해야 하는 비밀번호가 기하급수적으로 늘어났다. 그러다보니 여러 웹사이트는 물론 공인인증서의 비밀번호까지 통일해서 사용하던 시절도 있었다. 하지만 여러가지 이유로 비밀번호를 길고 복잡하게 요구하는 경우가 늘어갔고 더 이상 비밀번호를 …
-
[업비트해킹] 이더리움 탈취당한 업비트의 공지사항 해석하기
국내 최대 암호화폐거래소인 업비트(upbit.com : 두나무 주식회사)가 해킹을 당해 이더리움 342,000 (약580억원)을 탈취당했다. 과거 빗섬 등 다른 거래소가 크고 작은 해킹을 당하는 과정에서도 업비트는 그나마 잘 버티고 있었는데, 이번 사고는 국내 암호화폐거래소 해킹사고 중에서도 역대급으로 기록될 가능성이 매우 높다. 지난 3년간 암호화폐거래소의 사고 내역을 살펴보면 다음과 같다. 사실 이 목록 이외에도 암호화폐거래소의 접속 정보 등의 유출에 의한 개인들의 사고까지 포함한다면 훨씬 더 많은 암호화폐 관련 사고가 있을 것 …
-
크롬의 자동완성 기능 끄기 (크롬에서 아이디 비밀번호 저장하지 않기)
크롬 브라우저의 양식 자동완성 기능 한 사람이 갖고 있는 인터넷 웹사이트의 계정은 아마도 수십개가 될 것이다. 그렇다 보니 아이디와 비밀번호를 관리해주는 전용 앱들이 등장해 인기를 누리고 있기도 하다. 그에 더해 대부분의 웹사이트에 로그인할 때 사용되는 브라우저도 웹사이트에 로그인할 때 입력되는 아이디와 비밀번호를 보관했다가 대신 입력해주는 기능을 갖고 있기도 하다. 크롬 브라우저에서는 이 기능을 양식(Form)의 자동완성 기능이라고 부른다. 여기에서 양식이란 HTML 태그 중에서 폼(form) 태그를 말하여 이 폼(form) 태그 …
-
hping3 명령어 사용법 및 포트스캔/DOS 공격 테스트 방법
hping은 네트워크에 존재하는 서버, PC, 네트워크 장비가 살아 있는지를 확인하기 위해 사용하는 ping 명령어보다 다양한 기능을 제공하는 명령어다. hping 명령은 서버 및 네트워크의 환경을 분석하거나 공격할 수 있는 패킷 생성기이자 분석도구다. 몇몇 버전이 있지만 현재 사용되는 최신 버전은 hping3다. hping3의 사용법을 몇가지 정리해 본다. 1. icmp ping hping3는 ping 명령어 처럼 icmp 프로토콜을 이용해 특정 IP에 대해 장비가 살아있는지...죽어 있는지를 확인할 수 있다. root@kali: …
-
CJ대한통운 사칭 스미싱(SMS 피싱) 주의 !!
요즘 택배사를 사칭하는 문자메시지를 보내 스마트폰에 악성코드가 포함된 앱의 설치를 유도하는 스미싱이 유행하고 있다. 스미싱이란 SMS 문자메시지를 보내 스마트폰 사용자를 낚아 악성앱의 설치를 유도하여 스마트폰에 저장된 사진, 문서, 주소록 등 개인정보를 탈취하거나 원격조정하여 다른 웹사이트나 컴퓨터에 DDOS 공격을 하는 일련의 사이버 공격행위를 말한다. 어느날 아침.. 옆지기로부터 "CJ 대한통운에서 택배 확인 요청" 문자메시지가 왔는데... 좀 이상하다는 카톡이 왔다. 그래서 화면을 캡처해 보내달라고 했다. 이런 문자가 왔다. …
-
유명 앱이 악성코드를 유포했다. (CamScanner-무료버전)
CammScanner에 악성코드를 전파하는 드랍퍼(Dropper) 감염 최근에 1억회 이상 다운로드 된 유명 앱이 악성코드 유포에 악용되었다. 바로 캠스캐너(CamScanner)라는 앱이다. 이 앱은 나도 사용하고 있었을 만큼(최근에는 사용하지 않았지만) 유명한 앱이다. CamScanner앱은 최근엔 흔해졌지만 문서를 스마트폰의 카메라로 촬영하면 문서크기를 직사각형 형태로 자동 보정하여 컬러 및 흑백 문서 처럼 변환하여 PDF로 저장할 수 있는 매우 유용한 앱이었다. 그런데 CamScanner 앱의 무료버전을 설치하고 실행할 경우 …
-
[모의해킹]CSRF 취약점 공격 실습하기 -DVAW
CSRF(Cross Site Request Forgery) 취약점은 번역이 조금 애매하다. "사이트 간 요청 위조" 정도로 번역한다. 이 취약점은 GET 또는 POST 요청을 서버가 받았을 때 해당 요청이 변조된 것이 아닌지를 검사하는 코드가 서버 사이드에서 수행되지 않은 채 요청을 그대로 실행할 때 발생할 수 있는 취약점의 통칭이다. DVWA에서는 비밀번호 변경 페이지를 예로 들어 실습을 할 수 있도록 해준다. 위의 비밀번호 페이지를 가만히 들여다 보면 몇가지를 유추할 수 있다. 먼저 현재의 비밀번호를 물어보지 않고 변경할 새 비 …
-
RSA 암호알고리즘 (PKI) 이해와 실습
앞의 포스트에서 디피-헬만 키 교환 알고리즘을 알아보았다. 디피-헬만 알고리즘은 송신자가 주체가 되어 송신자와 수신자 상호간의 암호키 전송없이 실제 송수신할 데이터의 암호화와 복호화를 할 수 있는 공통의 비밀키(대칭키)를 교환(실제로는 송신자와 수신자가 각자 생성)하는 키 교환 알고리즘이다. 그 이후의 데이터 암복호화는 생성된 대칭키(비밀키)를 이용하여 별도의 대칭키 암호화 알고리즘을 사용하면 된다. 그래서 디피-헬만 키 교환 알고리즘은 SSL(Secure Socket Layer) 통신 시 암호키를 생성하고 교환하는 목적으로 사용된 …
-
[모의해킹] Command Injection 실습하기 – DVWA Command Injection
커맨드 인젝션은 SQL 인젝션 만큼이나 위험한 취약점이다. SQL 인젝션은 일반적으로 DB의 데이터가 유출될 가능성이 높은 취약점이며 커맨드 인젝션은 서버 전체의 통제권을 해커에게 빼앗길 수도 있는 취약점이기 때문에 일반적으로 SQL인젝션보다 더 위험하다고 볼 수도 있다. 커맨드 인젝션은 웹페이지에서 이용자에게 입력받거나 별도로 생성한 정보를 서버측의 운영체제 명령어와 결합하여 실행할 때 발생할 수 있는 취약점이다. DVWA의 Command Injection 실습 페이지에서는 다음과 같은 예를 들어준다. DVWA 명령어 인젝션 실습 …