• 악성코드 유포에 악용된 버스정보 앱

    예전에는..아니 지금도 마찬가지지만 주요 악성코드 전파를 위해 해커들이 주로 이용하는 매체는 홈페이지와 이메일이다. 하지만 이제 악성코드 유포지로 새롭게 등장한 매체가 있으니 바로 셀 수 없이 많이 사용되는 스마트폰의 앱(Application)이다. 스마트폰 그리고 앱마켓(앱스토어와 플레이스토어) 스마트폰에 설치되는 앱은 주로 구글 안드로이드의 앱마켓인 플레이스토어와 애플 아이폰의 앱스토어다. 이 두 앱마켓에는 앱을 개발해 올리는 수 많은 개발자들이 상주한다. 개발자들은 기업에 소속되어 기업의 앱을 개발해 플레이스토어와 앱스토어에 …

  • 공개서버 보안을 강화하기 위한 보안솔루션 – SecureOS

      ISMS나 ISO27001 심사와 관련된 업무를 수행하다 보면 서버를 들여다 봐야 하는 일이 종종 발생한다. 솔직히 서버를 들여다 보는 일은 개인적으로 즐겁기도 하지만 안타까움을 느끼게 될 때가 더 많다. 왜냐하면 서버 내의 보안 수준이 생각보다 높지 않기 때문이다. 이는 서버를 운영하는 운영자 혹은 관리자들이 서버 운영체제와 서버에서 구동되는 DBMS나 WAS 등 SW의 관계, 권한 설정등에 대한 이해수준이 높지 않기 때문이거나 이해수준은 높더라도 보안과 연관지어 어떤 위협이 존재하는지 알지 못하는 경우가 많기 때문이 …

  • 칼리리눅스의 워드프레스 취약점 점검 도구 (wpscan) 사용기

    정보보안 관련 인증심사를 진행할 때 가장 어려운 점은 바로 심사 대상 기관의 정보자산에 대한 정보의 부족이다.  내가 참여한 인증심사는 평균적으로 4일에서 5일간 진행되는데 관리적 보안 측면 뿐만 아니라 기술적 보안 측면에 큰 비중을 두고 진행된다. 이는 우리나라의 특이한 문화...즉 서류에 대한 불신에 기인한다고 생각된다. 하다못해 입사서류에 첨부되는 이력서와 자기소개서 마저도 허풍과 과장이 난무하여 진실과는 거리가 먼 경우가 태반일 정도로 거짓(?)이 난무하는 나라가 바로 우리나라 아닌가... 개인적인 것을 떠나 공적인 측면에서 …

  • [ISACA저널-특별기고] 서버 운영체제 접속 시 이중 인증 시스템 구축 사례 분석

    책장을 정리하다 2015년 ISACA 저널에 기고했던 글이 실린 책을 발견했다. 무언가 글을 써서 어딘가 활자로 인쇄되어 나오는 것이 어떤 느낌인지를 알려주었던 소중한 경험이었다. 당시 올렸던 글의 원문을 이제 3년 넘게 지난 시점에 블로그에 올려 본다. ISACA KOREA 저널 특별기고 서버 운영체제 접속에 대한 이중 인증 시스템 구축 사례 분석 인증이란? 인증이라 함은 다중 사용자 시스템 또는 망운용 시스템에서 접속자의 로그인 정보를 확인하는 보안 절차를 말한다. 그 외에 전송된 메시지의 무결성과 송신자를 검증하는 …

  • 랜섬웨어 감염, 암호화 된 파일의 복구는 가능한가

    악성코드들이 대부분 그렇듯 랜섬웨어도 계속 진화한다. 창과 방패의 싸움과 너무도 흡사하다. 하지만 기본 컨셉은 바뀌지 않는다. 감염된 PC의 파일들을 암호화하고 복구(복호화)를 하려면 돈을 내놔라...하는 기본 컨셉은 그대로다. 그렇다면 돈을 주고 복구툴을 얻지 않는다면 복구가 불가능할까? 결론부터 말하자면 랜섬웨어에 감염되어 파일들이 몽땅~ 암호화 되었을 경우 "일부 랜섬웨어에 의한 피해만 복구가 가능"하다. 랜섬웨어는 피해자의 PC에 침투하여 활동을 시작하면 하나씩~하나씩 파일들을 암호화하여 파일명 뒤에 특정 식별자를 붙여 이름 …

  • 삼성증권의 유령주식 발행과 매도 사태. 그렇다면 은행의 유령현금도 가능하다

    요즘 삼성의 분위기가 심상치 않다. 사내에서 조차 "마이너스의 손"이라 불리는 이재용 부회장이 구속된 후 그동안 축적되어 있던 삼성의 부정과 부패를 가리고 있던 장막이 벗겨지는 느낌이다. 그 중 하나가 삼성증권의 유령주식 발행과 매도 사건이 아닐까 싶다. 삼성증권의 유령주식 발행은 비록 자사주에 대한 배당을 현금(1000원)에서 주식(1000주)으로 입력한 단순 실수로 발생한 오류라고 주장하고 있다. 하지만 그렇게 "단순한 실수"로 수십억주의 주식이 한순간 발행된다는 것이 과연 이해가 되는가? 정답은 "가능하다" 이다. 만약 실물 …

  • [ISMS-P]정보통신망법과 개인정보보호법 적용 대상 기준과 두 법령의 주요 차이점

    이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다. (※이 포스트에서는 정보통신망법과 개인정보보호법 기준에 대해서만 설명합니다. 은행과 같이 정보통신서비스를 제공하고 있으나 다른 특별법 적용대상이고 해당 법령에서 금융관련 정보통 …

  • 멜론 최신곡 모음 ZIP 파일과 함께 배포되는 악성프로그램(visitor.exe) 등장

    요즘은 한 달에 1만원도 안되는 돈으로 무제한 스트리밍 서비스를 이용해 음악을 들을 수 있다. 하지만 시급 8천원도 안되는 최저시급을 받으며 일하는 수 많은 청년들에게는 한 달 1만원은 부담이 되는 돈이기도 하다.  게다가 와이파이가 안되는 곳에서 스트리밍 음악을 듣기 위해서는 엄청난 데이터 요금까지도 감수해야 하지 않는가...  그래서 많은 사람들은 아직도 여러 방법을 이용해 최신곡 MP3 파일을 불법 다운로드 받아 듣곤 한다. 그 와중에 누군가 MP3를 다운받았는데 컴퓨터가 이상해졌다는 이야기를 듣고 …

  • 인텔 CPU의 멜트다운 버그와 스펙트라 버그로 인한 취약점

    2018년 새해 벽두부터 인텔 CPU의 중대한 취약점 때문에 보안업계가 호들갑이다. 하지만 이 두 버그에 대한 설명은 매우 부족하거나 너무 어려운 경우가 대부분이다. 왜냐하면 이 버그에 대해 제대로 이해하기 위해서는 운영체제의 커널과 CPU의 동작 체계에 대한 깊은 이해는 물론 리버싱에 필요한 어셈블리어에 대한 지식도 필요하기 때문이다. 사실 나도 이 버그에 대해 완벽하게 이해하고 있지는 못하다. 다만 운영체제와 CPU에 대해 조금이나마 이해하고 있는 부분이 있어 뉴스 기사에서 소개하는 내용보다는 조금 더 들어가 보고자 한다. 사전 …

  • 가상화폐(암호화폐)의 특징과 투자 시 유의사항

    어제.. 그러니까. 2018년 새해 벽두인 1월 6일 밤.. SBS의 시사프로그램 "그것이 알고싶다"에서 드디어 비트코인 투자 열풍을 소개했다. 그랬다. 그냥 "소개" 였다. 내가 기대했던 제대로 된 소개 혹은 왜 암호화폐가 등장하게 되었는지, 왜 필요한지, 왜 이렇게 열풍인지를 제대로 짚어 내지는 못했다. 짧은 시간 동안 제대로 담아내기는 어렵기도 했겠지만 제작진의 이해 수준도 실상 암호화폐에 대한 제대로 된 이해 없이 투자 열풍에 휩쓸린 사람들과 크게 다르지 않은 듯 보였다. 그리고 오늘 아침 카카오톡으로.. 오랜 친구에게서 " …