• RedCastle SecureOS를 활용한 공다팩(Gongda pack) 유포를 차단하는 서버보안 정책 적용 방안

    해커들이 해킹을 통해 침투하고자 하는 컴퓨터는 딱~ 두종류로 요약된다. 개인의 비밀스런 정보가 저장되어 있는 Windows 운영체제가 설치된 개인용 컴퓨터와 기업의 기밀정보(고객 개인정보 포함)가 저장되어 있는 서버다. 이 두 컴퓨터에 침입하기 위한 공격 기법은 이루 셀 수 없을 정도로 다양하다. 그중에서 최근 해커들에게 각광받고 있는 공격기법이 바로 웹서버 해킹을 통해 웹페이지의 소스를 변조하여 공다팩(Gongda pack)이라 불리는 익스플로잇 공격도구를 개인용 컴퓨터에 감염시키는 해킹기법 이다. 공다팩이란 무엇인가? "Dado …

  • 소프트웨어 개발 보안 가이드 (시큐어 코딩)

    해커들의 공격 기법은 끊임없이 진화한다. "실력 과시"와 "금전 획득" 등 해킹의 고전적인 목적 이외에도 개인과 개인, 조직과 조직, 더 나아가 국가와 국가간의 범죄, 이권 다툼, 전쟁의 수단으로 해킹(사이버 공격, 사이버 테러)이 이용되면서 다양한 소프트웨어와 시스템의 취약점이 끊임없이 발견되고 공격받고 있다. 그로 인해 소프트웨어나 웹사이트를 개발하는 개발자들의 발등에도 불이 떨어졌다. 사용자 인증과정이나 전송되는 데이터의 무결성과 암호화에만 신경쓰면 되었던 "소프트웨어 개발 보안"이 소프트웨어의 개발 전 과정과 시작에서 종료까 …

  • netsec-kr 2014 – 효과적인 내외부 인력의서버 접근 통제 구현

    netsec-kr 2014에서 세션하나를 맡아 주제발표를 하게 되었다. SecureOS (RedCastle)을 활용한 서버보안 강화 분야의 일을 주로 하다보니 보다 폭 넓은 주제를 맡은 것이 꽤나 부담이 되기도 했다. 하지만 서버로의 접근통제와 접속한 이후의 서비스 및 사용자 세션의 행위 통제에서 벗어나 내부 및 외부 인력의 서버에 대한 접근 통제란 주제에 대해 보다 폭넓게 고민해 볼 수 있는 계기가 되기도 했다. NETSEC-KR 2014는 4월24일(목)~25일(금) 양일간 코엑스 3층에서 진행되었고 "창조경제를 위한 정보보안" …

  • APT 방어 시스템 구축 방안과 네트워크 기반 APT 방어솔루션에 대한 오해

    최근 가장 뚜렷한 보안 이슈는 APT 공격이다. 보안관련 뉴스만 봐도 얼마전까지는 DDOS 공격에 대한 이슈가 더 많이 눈에 띄었으나 최근엔 APT 공격에 대한 위험과 방어 대응체계에 대한 이슈들이 훨씬 많다. 이 기사에서 볼 수 있듯 기업 전산실이나 공공기관 전산실에 근무하는 정적인 업무를 수행하는 담당자들의 보안 지식은 조금은 부족한 경우가 많다. 다른 분야와 달리 "보안"분야는 어느 한두가지 기술적 지식만으로는 기술이슈에 대해 제대로 이해할 수 없는 경우가 많다. 정보보안에 대해 각 이슈마다 정확하게 이해하고 적절하게 대응하기 …

  • 신용카드사 개인정보 유출 사태 (KB, 농협, 롯데, 2014년 )

    2014년 1월 또 한번의 초 대형 보안사고가 발생했다. 이번엔 신용카드사에서 보유하고 있는 신용카드 발급 고객의 개인신상정보와 신용등급, 결제계좌정보 등의 비교적 고급정보 그리고 심지어 일부 고객의 경우 카드번호와 발급일자까지 유출된 것으로 보인다. 내 경우도 다음과 같이 "나도 알지 못하는" 나에 대한 정보가 유출되었다고 나온다. 과연 계속 이 금융사를 "주거래" 은행과 카드사로 이용해야할지를 심각하게 고민하게 만든다. 본격적으로 카드3사의 개인정보 유출사고를 살펴보기 전에 과거의 개인정보유출 보안사고 이력(?)을 한번 보고 넘 …

  • 정보보안전문가가 되려면 해킹부터 배워야 하나?

    인터넷 서핑을 하다 들어가 보게 된 정보보안관련 카페들... 일단 관련 카페가 무척 많다는 것에 놀랐었다. 그만큼 내가 일하고 있는 정보보호관련 분야가 인기라는 것을 반증하는 것 같아 안도(?)하는 마음마저 들었다. 그리고 그 과정에서 놀란 것은 "정보보호" 관련 카페의 대부분이 "해킹"관련 기법들을 공부하려고 하는 "정보보호전문가" 지망생들로 북적인다는 점이었다. 정보보호를 지망하는 학생들이 정작 정보보호보다는 "해킹"에 더 많은 관심을 보이고 있었다. 그것은 "정보보안 / 정보보호"에 대한 개념이 잘못 형성되었다는 것을 뜻하는 …

  • 시스템(서버) 접근제어 솔루션(SAC)는 과연 보안솔루션일까.

    최근 몇년간 대형 보안사고 및 정보유출 사고가 증가하는 추세다. 그리고 대형 공공기관과 금융기관 그리고 일반 기업에서 보호 대책의 일환으로 다양한 보안 솔루션들을 많이 도입하고 있다. 그중에서도 핫~한 솔루션이 바로 SAC (System(or Server) Access Control) 솔루션이다. 그리고 이러한 SAC 솔루션들이 인사시스템과 연계하여 계정통합관리(Identity Management : IM) 솔루션의 영역까지 접수(?)하면서 시장을 넓혀가고 있기도 하다. 게다가 SecureOS의 기능까지 갖고 있는 것처럼 영업을 하 …

  • 무결성에 대한 네트워크보안과 서버보안에서의 차이점 이해

    서버보안 쪽 일을 하다보면 무결성 검사에 대한 요구가 이따금씩 불거지곤 한다. 서버의 보안을 강화함에 있어 무결성 검사가 필요한 경우도 있다. 하지만 네트워크 보안에서와는 달리 서버보안에서 무결성 검사란 "사후약방문"이 될 가능성이 훨씬 크다. 예를 들면 홈페이지의 변조에 대한 탐지가 대표적인 예다. 홈페이지의 소스파일이 변조된 것은 "무결성"이 훼손된 보안사고다. 이미 변조가 되었고 얼마나 많은 고객이 변조된 웹페이지에 접속하여 우리회사를 비웃고 지나갔는지 알 수 없다. 이때는 변조를 탐지했어도 별 의미가 없다. 빨리 복구하는 수 …

  • 홈페이지 소스코드 파일 변조 차단의 근본적인 방안 – 시큐어오에스(SecureOS)

    지난 6월 하순 발생한 대규모 공공기관의 홈페이지 변조 사건(2013년 6월)관련 정보에 대해 구글링하던 중 몇몇 홈페이지 변조 방지 솔루션의 소개페이지들을 보게 되었다. 하지만 자사의 솔루션이 "최고"라는 자부심을 갖는 것은 좋지만 서버운영체제와 웹서버 그리고 HTTP 프로토콜에 대해 전문 지식이 없는 고객에게 응용프로그램 수준에서의 홈페이지 보안만이 홈페이지 위변조를 방어할 수 있다는 잘못된 정보를 제공하는 경우를 많이 볼 수 있었다. 그저 안타까울 뿐이다. 네트워크 보안 솔루션과 응용프로그램수준의 웹보안이 필요 없다는 것은 아 …

  • APT 공격의 방어와 추적을 위한 보안 시스템 구성

    APT 공격 등장의 배경 해킹은 계속 시도 되고 있고 해킹을 막기 위한 기술 또한 진화되고 있다. 하지만 해킹의 기법(기술이라고 하기엔 쫌 그렇다..) 중 APT 공격에 대해서 만큼은 보안업계에서도 대응이 쉽지 않은 모양새다. 지금까지 보안 업계는 대부분 네트워크와 응용 수준에서의 보안 기술 개발에 집중해왔다. 어떻게 하면 컴퓨터에 저장되고 네트워크를 통해 전송되는 데이터를 "강력하게 암호화"해서 유출되더라도 기밀성을 유지할 것인가, 그리고 해커의 공격을 어떻게 하면 "네트워크에 흘러가는 패킷을 캡쳐"해서 탐지해낼 것인가에 집중해 …