학주니닷컴

Security

• 세계적인 추세를 역행하는 정부의 아이핀 정책

  Security 2008. 11. 13. 14:28

  정부의 주민등록번호 대체수단인 아이핀(i-Pin)이 웹표준을 지키지 못하고 있다는 논란이 마구 일어나고 있다. 아이핀을 인증하는 모듈이 MS의 IE 기반에서만 돌아가는 것이 문제가 되는 것이다. 이유는 아이핀에서 사용하고 있는 각종 보안모듈이 모두 ActiveX 기반으로 만들어졌기 때문이라는데. 왜 정부 등의 공공기관에서 하는 대부분의 사업에 있어서 MS 종속성을 못피해나가는 것일까? 주민번호 대체수단인 아이핀에서 필요한 모듈은 인증모듈과 키보드 보안모듈이라고 한다. 현재 이들 모듈들은 모두 대부분이 ActiveX 기반으로 만들어져있는 상태. 정부 입장에서는 해킹등의 문제가 매우 크기때문에 철저한 보안모듈이 없으면 아이핀을 제공할 수 없다는 것이다. 그로인해 이미 상용화되어있는 보안모듈에서 찾고자 하다보..

  Read More
• 시대를 역행하고 있는 금융권 인터넷 서비스들..

  Security 2008. 9. 9. 13:29

  MS의 인터넷 익스플로러8(IE8)에 대한 이야기는 이미 한달전부터 나온 이야기다. 그런데 최근에 다시 이 이야기가 솔솔 나오고 있다. MS가 연말까지 IE8로 모두 업그레이드 하겠다는 얘기가 나온 다음에 금융권에서 IE8에 각기 사이트를 맞추기 시작했기 때문이다. 알려진대로 IE8에서는 그동안 잘 사용해오던 ActiveX의 제한이 더 강해지기 때문이다. MS의 윈도 비스타 출시때의 파장 만큼이나 큰 폭풍으로 다가오고 있다는 얘기로 들린다. IE8의 출시로 발등에 불이 떨어진 쪽은 다름아닌 금융권이다. 인터넷뱅킹을 비록하여 인터넷 주식거래 등등 온갖 금융관련 인터넷 서비스들은 보통 키보드 보안부터 시작하여 온갖 보안모듈을 줄줄히 달고 산다. 이러한 보안모듈은 대부분이 다 ActiveX로 구현되어 있으며 ..

  Read More
• 구글, 오픈소스 암호화 API인 keyCzar 공개

  Security 2008. 8. 12. 14:10

  구글이 오픈소스 암호화 툴인 keyCzar를 구글 코드 사이트를 통해서 공개한다고 한다. Keyczar는 개발자들이 많이 사용하는 OpenSSL과 같은 암호화 플랫폼이다. keyCzar는 원래 구글 보안팀에서 만들었다고 한다. 그리고 아파치 라이센스를 적용받는다. 일단 keyCzar 홈페이지에 나와있는 특징으로는 다음과 같다.API 구현이 간단하다.키의 순환 및 버전관리가 용이하다.기본 알고리즘 및 모드, 키의 길이 등이 모두 안전하다.초기화 벡터 및 암호화된 사인 생성이 자동화 되었다.자바와 파이썬에 적용된다(곧 C++에도 적용된다).자바에서 다국어 지원이 가능하다. 개발자들은 프로그램을 만들때 보안을 위해 많은 암호화 툴을 이용하곤 한다. 위에서 언급한 OpenSSL은 그동안 수많은 개발자들의 애용하..

  Read More
• 깐깐한 외부인 보안 시스템. 하지만 정작 중요한 것은 다른곳에...

  Security 2008. 6. 28. 12:00

  위의 사진은 삼성전자 수원 삼성디지탈단지로 업무상으로 방문하는 사람들이라면 늘 보는 장면 중 하나일 것이다. 바로 삼성전자 정문 앞에 있는 전봇대다. 거기에 잔뜩 붙어있는 저 검정색 스티커의 정체는 무얼까? 알만한 사람들은 다 알듯한 보안스티커들이다. 바로 휴대폰 카메라와 USB 포트, 그리고 USB 메모리를 봉인하기 위한 스티커가 바로 저것이다. 삼성전자에 들어가기 위해서는 정문에 있는 안내데스크에서 보안을 위해 디지탈 기기를 대부분 다 봉인을 해야만 입장할 수 있는데 저것이 그 산물이라 할 수 있을 것이다. 얼마나 짜증났으면 그 앞의 전봇대에 저렇게 붙여놓았을련지. 하기사 나 역시 일 끝나고 나와서 내 휴대폰에 붙어있었던 보안 스티커를 저기에 붙여놨으니 대충 기분이 알만하다. 삼성전자에 들어가기 위해..

  Read More
• 또 뚫린 티스토리의 EAS

  Security 2008. 5. 23. 10:02

  아침에 출근해서 블로그를 확인해보는데 엄청난 댓글이 달려있는 것을 확인했다. 스팸 댓글. 티스토리의 EAS가 또 뚫렸나보다. 예전에 뚫렸을 때는 그닥 피해가 없었는데 오늘 달린 스팸 댓글을 보니 생각 이상이다. 뭐 이 글을 쓰고 있는 지금은 스팸 댓글을 다 지운 상태지만 말이다. 내용을 보면 번역기로 막 돌린 내용들인데 읽다보면 웃음이 난다. 가끔 힘든 일이 있을 때 저걸 읽으면서 웃어봐도 괜찮겠다 하는 생각이 든다. 몇 개를 소개하자면(^^) 걸출한 위치! 많은 감사. 정보를 위한 감사합니다. 너는 아름다운 웹사이트가 있는다! 이 위치는 아니라 유익한뿐 재미있는다! 중대하고 유용한 위치! (이건 구글 애드센스에 대한 글에 달린건데 ㅋㅋ) 나는 배웠다 매우... (이건 다음이 지능형 검색서비스를 오픈했다..

  Read More
• 구글은 멀웨어를 서비스중?

  Security 2008. 5. 13. 10:08

  구글이 멀웨어를 퍼트리고 있다? TechCrunch에서 재미난 글이 올라와서 소개한다. 야후 검색으로 구글에 대한 내용을 검색했는데 구글에서 멀웨어 경고가 떴다고 한다. 야후는 최근 보안업체인 맥아피와 손잡고 멀웨어를 퍼트릴 수 있는 위험한 사이트가 검색결과에 나오면 경고를 날리는 시스템을 구축했다고 발표했다. 멀웨어를 퍼트리는 위험한 사이트들이 많아지니까 야후가 예방 차원에서 맥아피의 SiteAdvisor의 검색결과를 야후 검색엔진에서 사용하도록 한것이다. 그런데 야후의 검색결과에서 구글이 멀웨어를 퍼트리는 주범(?)으로 나타났다. 이것을 어떻게 해석할 수 있을까? 구글이 정말로 멀웨어를 서비스를 하고 있거나 아니면 야후나 맥아피에서 장난으로 그렇게 결과를 나타낸 것이라 할 수 있을 것이다. 아마도 후..

  Read More
• 야후, 검색엔진에 멀웨어 경고를..

  Security 2008. 5. 6. 15:09

  야후가 검색결과에 멀웨어와 같은 위험한 사이트에 대한 표시를 강화한다고 한다. 야후는 협력업체인 보안전문업체 맥아피에서 제공하는 SiteAdvisor에서 제공하는 멀웨어 검색결과를 야후 검색에 통합시킨다고 한다. 미국시간으로 6일부터 제공된다. 대부분의 위험한 사이트들은 이미 야후 검색 데이터베이스에서 대부분 지워진 상태이며 또한 SiteAdvisor에서 리포팅된 결과를 통해 문제가 있는 사이트에 대해서는 경고문구를 검색결과에 추가할 것이다. 예를 들어 문제가 있는 사이트의 경우 검색결과에 "Warning: Unsolicited E-mails"과 "Warning: Dangerous Downloads."와 같은 메시지가 같이 보이는 방식이다. SiteAdvisor는 원래 FireFox의 AddOn으로 제공..

  Read More
• 청와대마저 해킹당했다

  Security 2008. 4. 22. 06:32

  어제 보안관련된 이야기를 썼는데 오늘 아침에 한국아이닷컴에 들어가보니 청와대도 해킹당했다는 기사가 떴다. 중국 해커나 북한 해커의 짓이라고 추정은 하는데 아직 실체를 알 수 없다고 한다. 게다가 2월말쯤 해킹당한듯 싶은데 청와대는 3월말에서야 파악했다고 한다. 옥션 해킹 사건으로 어수선한데 그보다 앞서 더 대형사고가 터졌던 것이다. 국가보안망에 구멍이 심각하게 뚫린 것은 확실한듯 싶다. 한국아이닷컴 메인 화면 청와대도 해킹 당했다 이노무 한국은 정말로 전세계 해커들의 놀이터가 된 듯 싶다. 면 뻥뻥 뚫리니 말이다. 이제는 가장 강력한 보안속에 보호받아야 할 청와대까지 해킹당하는 수준이 되었으니 다른 기업들은 오죽했으랴. 옥션 말고도 털린 대형 사이트들도 발표만 안했을 뿐이지 꽤나 많을 것이라 생각이 든다..

  Read More
• 언제나 위험을 안고 있는 MS와 윈도

  Security 2008. 4. 21. 16:08

  PC를 사용하면서 보안의 중요성은 무엇보다도 중요하다는 것은 이제는 대다수의 사용자들이 다 아는 상식이 되어버렸다. 이번 옥션의 해킹사건으로 인해 약 1000만명의 개인정보가 유출이 되었고 약 100명의 은행계정정보가 누출되었다는 사실만 보더라도 보안의 중요성은 아무리 강조해도 지나치지 않는다. 물론 대형사이트인 옥션의 해킹과 PC를 사용하면서 생기는 보안의 문제점과는 그 스케일에 차이가 있을지 몰라도 헤커들이 일반 PC를 숙주로 삼아서 대형 사이트를 해킹한다는 사실은 결코 일반 PC 사용도 안전지대는 아니라는 얘기와 같다고 볼 수 있다. 전세계적으로 가장많이 사용하고 있는 OS는 윈도다. 개인용으로나 업무용으로 사용되는 OS의 거의 95% 이상은 윈도를 사용하고 있다고 보여진다. 심지어 서버용 OS에서..

  Read More
• 미래에셋 해킹사건으로 본 우리나라 금융권의 보안은?

  Security 2008. 3. 24. 11:23

  미래에셋 증권이 중국 해커들에게 호되게 당했다고 한다. 뉴스를 통해서 들었고 난 주식이나 펀드를 하지 않기 때문에 관심밖의 일이었지만 중국 해커들에게 DDoS(분산서비스거부) 공격을 받고 서버가 맛가서 주말에 고생 꽤나 했다는 얘기를 듣고는 속으로 한심하다는 생각밖에 안들었다. 금융권에서 가장 중요한 것은 보안일진데 IPS(침입방지시스템) 조차 설치하지 않은 금융권이 대다수라는 뉴스를 듣고 이 나라가 IT 강국이 맞나 하는 생각이 들었다. 물론 DDoS를 IPS로 막을 수는 없겠지만 그래도 최소한에 방어는 해야할 것이 아닌가. 돈과 관련된 업종에서의 보안은 거의 회사의 사운과 직결되는데 말이다. 미래에셋은 이번 사건으로 인해 펀드 운용의 안정성 이외에 외부의 해커로의 안정성에 큰 타격을 입게 되었다. 그..

  Read More