Security
-
공인인증서 강제 의무 폐지, 공인인증서의 의미와 그 이후에 대해서...Security 2014. 6. 15. 09:00
아래 글은 공인인증서 강제 의무가 폐지된 이후에 다른 곳에 기고하기 위해 적은 글인데 기고 자체가 무산되어서 그냥 지우기도 아깝고 해서 공개하는 글임. 그러니 시기와 관점에 차이가 있을 수 있다는 것을 미리 알려드리니 참고하길 바람. 최근 공인인증서에 대한 의무 탑재 폐지가 이뤄진 이후 다양한 인증 방식 및 결제 방식에 대한 이야기가 나오고 있고 또 논란도 뜨겁게 일고 있다. 오랫동안 한국 IT의 한 축으로 자리잡아왔던 공인인증서 시스템에 대한 전반적인 재점검 및 인증, 결제 수단의 다양화 확보가 필요하다는 얘기가 각계각층에서 나오고 있는 상황이다. 수년전부터 공인인증서의 폐지를 주장했던 오픈넷 진영과 공인인증서의 유지를 주장하고 있는 금융감독원 및 여러 업체, 기관들의 싸움도 이제는 슬슬 마무리가 되어..
-
IoT의 기본인 통신, 그리고 통신의 핵심인 보안, 하지만 성능을 위해서 포기를 강요받는 보안...Security 2014. 5. 23. 08:00
최근들어 이슈가 되고 있는 IT 세계에 단어가 있다면 아마도 단연 IoT일 것입니다. Internet of Things의 약자로 만물인터넷, 사물인터넷이라는 번역이 많이 쓰이기도 하지만 그냥 IoT라는 단어가 어떻게 보면 더 와닫기 쉽다는 생각도 듭니다. Cisco에서는 IoT와 비슷한 뜻으로 IoE라는 단어를 만들어 열심히 마케팅하고 있기도 하죠. IoE는 Internet of Everything의 약자라고 합니다. 어찌 되었던 things나 everything이나 비슷하기는 매한가지고 기존의 PC나 노트북, 스마트폰, 태블릿PC와 같은 스마트 디바이스라 불리는 단말기가 아닌 임베디드형 단말기에서 인터넷을 이용하여 통신할 수 있게 하는 모든 개념이 IoT의 기본 개념이 아닐까 싶습니다. IoT의 기본은..
-
모바일 보안, 이제는 모바일 가상화와 클라우드 모바일 가상화가 대세가 되지 않을까?Security 2014. 4. 21. 16:27
최근들어 직장인들의 업무 스타일에 많은 변화가 오기 시작했다. 예전에는 사무실에 앉아서 PC를 통해서 업무를 진행하는 것이 일반적이었다면 요즘에는 노트북이나 스마트폰, 태블릿PC 등 이동이 가능한 스마트 디바이스를 갖고 사무실이 아닌 이동 중의 대중교통 안에서나 집 근처, 혹은 고객사 근처의 카페, 아니면 어느 한적한 공간에 가서 일하는 경우가 많아졌다. 스마트 디바이스의 성능이 높아지고 무선 인터넷 환경이 좋아지면서 생겨난 하나의 풍토라고 보여진다. 답답한 사무실에서 벗어나서 자신이 원하는 장소에서 시간을 아껴가며 좋아하는 분위기에서 업무를 진행하게 되면 개인 입장에서는 업무 효율성이 높아지고 시간 활용성이 좋아지며 기업 입장에서는 공간 활용성이 높아진다는 장점이 있다. 그러다보니 기업에서는 기업용으로..
-
Windows XP 기술 지원 종료 이슈보다 더 크게 다가올 수 있는 인터넷 보안 통신 구멍이 될 가능성이 높은 OpenSSL 버그(HeartBleed 버그)Security 2014. 4. 10. 16:02
음.. OpenSSL TLS HeartBeat Read Overrun 버그가 발견되었다고 한다. 이 내용에 대해서는 먼저 [여기]서 내용을 확인했고 정리를 했다. 내용을 간단히 정리하면 TLS HeartBeat Extension(확장모듈)이 입력값에 대한 제한(경계, Boundary)이 없어서 서버로부터 64kb씩 메모리 내용을 계속 읽어올 수 있다는 것이다. 즉, 서버의 메모리 내용을 읽어올 수 있다는 얘기인데 이게 왜 문제가 되는가 하면 서버의 메모리를 계속 읽다 보면 서버에 저장된 암/복호화 키도 같이 노출될 수 있다는데 그 문제가 있다는 얘기다. 그런데 이게 왜 문제가 될까? 왜 MS의 Windows XP 기술 지원 종료 이슈보다 더 문제가 될 수 있다고 했을까? 국내의 경우에는 인터넷 뱅킹이나 ..
-
해킹, 그리고 해커에 대한 개인적인 정리Security 2014. 4. 7. 08:21
해외의 유명 해커조직인 어노니모스(Anonymous)가 한국 정부를 공격하겠다고 했다가 내부적으로 명분이 약하다는 이유로 철회했다는 루머들이 언론을 통해서, 또 SNS를 통해서 흘러나오고 있다. 어노니모스라는 해커조직은 또 뭐고 왜 한국 정보를 공격하려고 했고 또 철회를 했을까? 그리고 이런 루머가 왜 뉴스꺼리가 될 수 있을까? 최근들어 해킹에 대한, 사이버 보안에 대한 이슈들이 언론을 통해서 많이 나오고 있다. 컴퓨터와 인터넷이 대중화되고 모든 업무들을 컴퓨터를 이용하여, 또 인터넷을 사용해서 하는 경우가 많기 때문에 컴퓨터와 인터넷의 활용도가 높아지고 그에 따른 다양한 위협들도 많이 존재하는 것이 사실이기 때문이다. 업무 환경 뿐 만이 아니라 이제는 집에서도 컴퓨터와 스마트폰, 태블릿PC와 같은 스마..
-
[MWC 2014] 모바일 보안 에코시스템을 구축하려고 하는 삼성의 전략, 버전업된 Samsung Knox 2.0Security 2014. 4. 2. 13:40
BYOD(Bring Your Own Device) 시대에 어떻게 보면 가장 중요한 부분이 다름아닌 보안, 그것도 스마트 디바이스(스마트폰, 태블릿PC 등)에서의 보안이라고 많은 기업들은 생각할 것이다. 물론 개인은 불편한 보안보다는 편리성을 더 취하고 싶겠지만 기업의 기밀 데이터를 임직원들이 다루는데 있어서 회사에서 지급한 스마트 디바이스가 아닌 개인의 스마트 디바이스에서 다루는 일이 더 많아진 요즘에 있어서는 무엇보다도 보안이 중요하다고 기업 관계자들은 생각한다. 어쩌면 기업의 사활이 걸려있다고 말하는 관계자들도 있다(상황에 따라서는 충분히 그렇게 볼 수도 있을 듯 싶다). 어찌되었던 스마트 디바이스가 업무의 중심으로 점점 들어서고 있는 요즘 모바일 보안과 그 보안을 활용하는 다양한 서비스에 대한 관심..
-
카드사 고객정보 유출 사건을 보면서 기업 내부에서 이제는 필요로 하는 내부 보안 시스템은 어떤 것이 있을까? (2부)Security 2014. 3. 14. 07:46
이전 포스팅에 이어 카드사 고객정보 유출 사건에 대응하여 기업 내부에서의 내부 보안 시스템에 대하여 마저 언급하려고 합니다. DLP를 통한 통합제어로 정보유출 방지 언론을 통해서 공개된 내용에서는 해당 PM이 어떻게 데이터를 외부에 유출시켰는지에 대해서는 언급하지 않았습니다. 메일을 통해서 팔았는지, 아니면 USB에 담아서 넘겨줬는지, 아니면 자기 PC에 담아온 다음에 팔았는지에 대해서 언급이 없습니다. 어찌되었던 내부 정보를 수집했고 그것을 파일 형태로 담았을 테고 유출 방식은 그 이후가 될 텐데요. 일단 제대로 DRM이 적용이 되었다면, 그리고 회사 밖에서 해당 파일을 열 수 없게 인증방식을 내부로 국한시켰다면 파일을 유출해도 문제가 되지 않았을 것입니다만 유출된 것으로 봐서는 그렇게까지 보안을 걸지..
-
카드사 고객정보 유출 사건을 보면서 기업 내부에서 이제는 필요로 하는 내부 보안 시스템은 어떤 것이 있을까? (1부)Security 2014. 3. 3. 15:29
최근 카드사 고객정보 유출로 인해 수많은 사람들이 피해를 보고 있다는 생각이 듭니다. 저 역시도 예전보다 더 많은 스팸문자들이 들어오는 것을 보고 내 정보도 유출되었구나 하는 생각을 했습니다(참고로 저는 이번에 문제가 되었던 농협카드, 롯데카드, 국민카드 사용자가 아닙니다만 유출된 듯 싶더라고요). 왜 이런 상황이 벌어졌는지, 그리고 이런 상황을 어떻게 해결할 것인지 깊이 생각해봐야 할 필요가 있습니다. 일단 이런 상황이 연출된 원인은 유출한 사람의 도덕적, 불법적 행위, 즉 사람의 행위가 문제가 되고 그 행위를 하지 못하도록 도덕적, 윤리적, 보안적 인식을 갖도록 지속적인 교육을 하는 것이 우선시 되겠지만 그 교육, 계도와 병행으로 현재의 상황에서 어떻게 대처하는 것이 좋은지를 살펴보는 것도 중요하다고..
-
이번 농협, 롯데, 국민카드의 개인정보유출 사고를 보면서 다시 생각하는 보안의 중요성Security 2014. 1. 21. 22:44
최근 카드사와 관련된 보안사고(정확히는 개인정보 유출사건이겠지만)를 보고 또 그 처리과정을 보면서 답답한 마음을 금할 수 없었다. 나 역시 보안업계에 종사한지 어언 10년이 훨씬 넘은 상황이고 나름 이 업계에서 이름을 날리지는 못해도 굴러먹을만큼 굴러먹었기에 이런 생각이 드는지도 모르겠다. 뭐 내가 주로 담당했던 분야가 컨텐츠 보안(이라고 하고 DRM이라고 읽는다 -.-)쪽과 그와 관계된 모바일, 임베디드 기기, PC쪽 보안이고 최근에는 사용자 인증 및 통신구간 암호화 부분도 나름 담당하고 있기는 하지만 그 전에 이것저것 많이 접해봐서 그런지 다양한 보안 분야를 접해본 것은 사실이다. 그런 연장선상에서 보면 개인정보 관련 업무도 어느정도 해보기도 하고 말이다. 어찌되었던 내가 주로 담당한 분야는 IDS,..
-
보안 시스템의 최후의 보루. 침입감내 시스템(ITS). 완벽한 ITS는 언제쯤 나올까?Security 2014. 1. 17. 08:00
IT를 이용한 서비스를 운영하면서 반드시 고려해야 할 부분이 있다면 다름아닌 보안이 아닐까 싶습니다. 서비스를 운영하게 해주는 각종 서버 시스템이나 데이터베이스 시스템, 또 웹 서비스로 서비스를 운영한다면 웹 서버 등 수많은 시스템이 서비스를 구동하게 해주는 역할을 하고 있습니다. 그리고 이런 시스템이 원활하게 잘 돌아가게 하기 위해서는 지속적인 안정성 체크가 중요하며 외부의 해커로부터의 침입으로부터 안전하게 시스템을 보호하는 것도 중요한 역할입니다. 공공기관이나 정부기관과 같은 공공계 뿐만이 아니라 일반 기업들도 서비스의 안정적인 운영을 위해 보안을 중요하게 여기고 있습니다. 보통 시스템에 대한 보안을 이야기하게 되면 네트워크 구성도를 그려보고 외부로부터의 위협이 올 수 있는 네트워크 구간에 다양한 보..