Security
-
ActiveX 프레임으로 고통받은 인터넷뱅킹과 공공기관 서비스. 전용 프로그램을 통해 그 불편함을 좀 덜어보면 어떨까?Security 2017. 3. 28. 07:30
예전에 이 블로그를 통해 공인인증서와 ActiveX에 대한 내 생각을 좀 정리를 해봤다. 내 기본적인 생각은 공인인증제도와 ActiveX 이슈는 분리시켜야 한다는 것이고 ActiveX는 이제는 좀 '안녕~'을 외치는 것이 맞지만 공인인증제도는 지금의 불완전한 부분을 보완하고 사용 강제 범위를 줄이고 대안 방법을 제시하여 다양한 인증 방법을 제시하는 것이 맞다고 본다. 그 내용을 해당 글에도 적었고 디지에코의 보고서로도 쓰기도 했다. 대한민국의 계약 관행, 정책, 절차 등이 획기적으로 바뀌지 않는 한 공인인증제도의 완전 폐지는 어려울 것이라는 것이 내 생각이다. 그러다보니 이래저래 ActiveX와 연계해서 공인인증제도의 폐지 얘기가 나오기도 하지만 차라리 그것보다는 다른 방법으로 ActiveX로 인해 불편..
-
불편한 공인인증서와 ActiveX, 완전 폐지는 어려울 듯 싶고 보완할 수 있는 방법은?Security 2017. 3. 14. 19:00
아래의 글은 디지에코에 보냈던 공인인증서와 ActiveX의 보완 방법에 대한 글이다. 디지에코는 가입을 해야만 글을 볼 수 있기 때문에 공유 차원에서 이 블로그에 내용을 공개한다. 실제 디지에코에 등재된 보고서는 이 글보다는 조금 더 정리가 되었다. 이 글은 초기 원고이기에 좀 거친(?) 부분이 있음을 미리 알려드리니 감안하고 보시길 바란다. 3월 초에 들어 국내 ICT 업계에서 가장 화두가 되는 것은 인공지능, 커넥티드 자동차, 자율주행 자동차, 가상현실 등과 같이 CES 2017이나 MWC 2017에서 나왔던 기술이 아닐 것이다. 2017년 3월 2일에 더불어민주당의 유력 대선후보인 문재인 전 대표가 대선 공약으로 공인인증서와 ActiveX를 완전히 폐지하겠다고 얘기한 사건일 것이다. 지난 십 수년간..
-
구글 크롬의 '안전'표시에 대한 믿음에 뒤통수를 때리는 피싱 사이트의 등장Security 2017. 2. 24. 17:18
최근들어 구글이 지속적으로 밀고 있는 정책이 있다. 바로 인증서를 통한 보안이 확보된 웹서비스에 대해서 안전하다는 표시를 웹브라우저의 주소 창에 보여주도록 하는 것이다. 현재 크롬 웹브라우저에는 HTTP로 접속하면 주소창 왼쪽에 느낌표(!) 아이콘이 뜨고 안전하지 않다(-.-)는 메시지를 띄운다. 그리고 HTTPS로 접속하면 안전함이라는 메시지를 띄우면서 녹색 아이콘이 뜨도록 되어 있다. HTTP와 HTTPS의 차이점은 SSL을 통한 보안 통신을 지원하는가의 여부로 구별된다. SSL은 Secure Socket Layer의 약자로 웹브라우저 등이 웹 서버에 접속할 때 보안 통신을 제공하는 프로토콜(약속이나 규약 같은?)이다. SSL을 사용하기 위해서는 웹서버가 안전하다는 것을 입증하는 인증서가 필요하다. ..
-
아시아나 항공 홈페이지 해킹 사고를 통해 살펴본 도메인과 DNS 관리의 중요성Security 2017. 2. 24. 17:17
최근에 아시아나 항공 홈페이지의 해킹 사고가 있었고 페이팔 서비스의 파밍 사이트 내용도 언론을 통해서 알려졌다. 둘 다 도메인 및 DNS에 대한 보안 사고(페이팔의 경우 파밍이니 보안사고라고 부르기도 애매하기는 하지만)이기에 지금 회사에서 만들고 있는 서비스가 도메인 및 DNS 서비스이고 또 DNS 서비스를 이용한 DDoS 방어 서비스를 만들고 있고 그것에 대한 서비스 및 시스템 기획, 설계를 맡아서 진행하는터라 도메인 관련 보안 사고에 관심이 많아 내용을 보게 되었다. 먼저 아시아나 항공 홈페이지 해킹에 대해서 살펴보자. 해킹 사고의 개요 일단 아시아나 항공 홈페이지의 해킹 사고는 아시아나 항공 홈페이지 자체가 해킹당한 것은 아니고 해당 홈페이지로 접속하게 하는 도메인(naver.com, poem23...
-
안티 바이러스(컴퓨터 백신) 무용론에 대한 생각Security 2017. 2. 17. 14:31
최근 보안 관련 기사를 보면서 눈에 띄는 기사가 하나 보였다. 다름아닌 컴퓨터 백신이라 불리는 안티 바이러스의 무용론에 대해 언급한 기사였다. 사회 생활을 시작하고부터 지금까지 90% 가까이 보안업계에서 일을 해오다보니 아무래도 보안 관련 기사나 소식에 관심이 많이 가는 것은 어쩔 수 없다. 물론 내 전문 보안분야는 해킹이나 안티 바이러스 계열은 아니고 주로 기업형 보안 솔루션이나 서비스였고 DRM, 인증, SIEM 등의 솔루션이었고 지금은 DNS를 기반으로 하는 DDoS 방어 서비스를 만들고 있기에 안티 바이러스 분야는 내 주전공 분야는 아니다. 다만 관심은 가기에 안티 바이러스 무용론에 대해서 기사를 보고 나름 생각한 부분을 좀 적어보려고 한다. 백신이라 불리는 안티 바이러스는 적어도 한국 안에서는 ..
-
미국의 대규모 해킹 사태를 통해 살펴보는 IoT 보안 및 DNS 보안..Security 2016. 11. 26. 18:32
이 글을 쓰는 시점에서 한달여전에 미국에서는 DNS 서비스에 대한 DDoS 공격으로 인해 미국 전역의 주요 인터넷 서비스들이 서비스 장애를 겪는 해킹 사고가 일어났다. 미국의 유료 DNS 서비스인 Dyn DNS 서비스에 DDoS 공격이 10월 23일에 일어났으며 이로 인해 넷플릭스, 트위터, 뉴욕타임즈, 워싱턴포스트 등과 같은 유명 인터넷 서비스들이 접속이 안되는 사태가 벌어졌다. DNS 서비스는 도메인(이 블로그의 poem23.com과 같은 인터넷 주소)에 연결되어 있는 서비스 서버의 IP를 알려주는 인터넷 세계의 핵심 서비스로 인터넷 서비스 시장에 있어서 무척이나 중요한 서비스이다. 페이스북도 구글도 네이버도 DNS가 잘못되면 서비스 접속이 안된다. 그만큼 중요한 요소다. 그런데 그 요소가 공격을 당..
-
갤럭시 노트 7의 홍채인식 기능의 이슈로 인해 모바일 생채인증이 대중화되지 않을까..Security 2016. 8. 30. 12:22
이번에 갤럭시 노트 7이 출시되면서 그 안에 탑재된 보안 기능인 홍채인식 기능에 대한 관심이 높아지고 있는 듯 싶다. 실제로 갤럭시 노트 7에서 처음으로 모바일 홍채인식 기능이 탑재된 것은 아니다. 일본의 NTT 도코모와 후지쯔가 2015년 5월에 공동으로 개발해서 발표한 ARROWS NX F-04G 스마트폰이 최초의 홍채인식 스마트폰이다. 하지만 그렇게 이슈화가 되지는 못했다. 이는 NX F-04G가 갤럭시 노트 7에 비해 네임벨류가 떨어지기 때문이며 또한 NTT 도코모와 후지쯔의 공동개발이었지만 갤럭시 노트 7처럼 글로벌 출시가 아닌 내수용으로 나온 것처럼 느껴지기 때문에 그럴지도 모르겠다. 어찌되었던 갤럭시 노트 7의 화제성과 이슈몰이 덕분에 홍채인식이 지문인식 다음으로 생채인증 방식으로서의 또 다..
-
FBI의 아이폰 해킹이 보여준 아이폰의 보안 수준은..Security 2016. 4. 6. 08:00
일전에 이 블로그를 통해서 아이폰의 애플과 FBI의 보안 관련 소송에 대한 이슈에 대해서 개인적인 생각을 적은 것이 있는데 최근 뉴스를 보니 FBI가 아이폰 5C의 보안을 자체적으로 해제했기 때문에 애플의 소송을 취하했다는 내용이 들어왔다. 문제가 되었던 부분이 아이폰의 보안 설정 중 10회 이상의 패스워드 불일치(암호가 틀렸을 경우) 시 아이폰 내부의 모든 데이터가 지워지는 부분이었는데 문제가 되는 아이폰 안에는 테러리스트가 사용했던 데이터들이 있고 그것은 수사에 많은 도움이 되는 결정적인 증거이기 때문에 확보해야 하는데 아이폰의 보안 정책으로 인해 없어질 상황이 왔고 FBI는 애플에 보안 해제를 요구했는데 애플이 거부를 했고 그것으로 인해 소송으로 이어지는 내용이었다. FBI는 국가안전을 위해 애플에..
-
FBI의 백도어 요구사항을 거부한 애플. 국가와 개인 중 어느 것이 우선인가의 프레임 전쟁에서 개인 우선의 프레임이 더 중요한 시대가 되었는데..Security 2016. 3. 3. 08:00
최근 미국에서 애플과 FBI가 신경전을 벌이고 있다. FBI가 애플의 보안 기능을 풀 수 있도록 백도어를 요구했는데 애플이 거절했고 이 사안으로 법정싸움을 하고 있는 중이다. FBI가 테러범의 아이폰에서 정보를 획득해야 하는데 아이폰의 보안 기능으로 인해 내용을 확인할 수 없게 되자(아이폰의 경우 암호가 몇번 이상 틀리면 그 안의 데이터들을 싹 지우는 기능이 있다. 그 기능으로 인해 FBI는 제대로 된 정보를 취득하지 못했던거 같다) 애플에 보안키를 무력화 시킬 수 있는 기능을 제공하기를 요구했으며 애플은 당연히 보안 상 안되며 나쁜 선례를 남길 수 없다고 버티고 있는 중이다. 미국 시간으로 3월 1일에 하원 사법위원회 청문회에서 이 문제로 애플과 FBI가 맞붙었다. FBI는 애플의 보안 기능을 '나쁜 ..
-
중요한 자료를 인질로 삼는 랜섬웨어. 한동안 조용했다가 다시 활개치기 시작했는데...Security 2015. 12. 21. 22:40
자전거 동호회에서 총무를 맡고 있는 안근인씨는 어느 날 아침에 집에 있는 데스크탑을 켜고 지난 주에 갔던 동호회 모임에서 찍은 사진을 보려고 사진 폴더에 들어갔는데 깜짝 놀랬다. 평소 같으면 조그만 썸네일이 쭉 뜨면서 사진 내용이 보여야 하는데 갑자기 이상한 파일들만 보이는 것이다. jpg, png로 된 그림 파일 확장자들이 죄다 c00로 바뀌어 있었다. 혹시나 싶어서 확장자를 다시 jpg, png로 바꿔봤지만 파일은 열리지 않았다. 도대체 왜 이러나 싶었다. 답답하고 짜증나기도 하고 해서 사진보는 것은 포기하고 관리하고 있는 회계 장부를 보려고 해당 폴더에 들어갔다. 안근인씨는 동호회의 총무로 회비 및 기타 동호회 관련 회계일도 함께 맡고 있기 때문에 회계 관련 내용을 '회계장부.xlsx' 이름의 엑셀..