보안
-
드디어 공개된 갤럭시 S9, 기존에 비해 뭐가 달라졌을까?Mobile topics 2018. 2. 28. 09:18
우리나라 시간으로 2월 26일 월요일 새벽에 스페인 바로셀로나에서 진행되었던 삼성 언팩 행사 영상을 27일 오후에나 다 보게 되어 이제야(그래봤자 하루 정도의 차이지만) 삼성 언팩에서 봤던 갤럭시 S9에 대한 얘기를 쓰려고 한다. 이미 뭐 다른 블로그나 언론을 통해서 다 공개된 내용들이기는 하지만 기록 차원에서 쓰는 목적도 있고 또 스팩 위주보다는 삼성이 이번에 갤럭시 S9에 어떤 것을 더하려고 했는지를 내 나름대로 분석해보려고 쓰는 것도 있다. 참고로 내 분석이 다 맞을 수 없으니 그냥 참고만 하길 바란다. 아래의 글은 일단 삼성 언팩 행사(유튜브를 통해서 봤음. 이 글 하단에 삼성 언팩 영상을 함께 올려놨으니 참고하길 바람)를 본 이후에 삼성 공식 홈페이지에 올라간 갤럭시 S9에 대한 내용을 함께 참..
-
21세기 최악의 스켄들로 기록될 수 있는 CPU 게이트, 멜트다운과 스팩터 버그에 대해서..Security 2018. 1. 13. 20:47
난데없이 터진 CPU 게이트 요즘 CES 2018이 미국 라스베가스에서 열리고 있는데 웃기는 것은 CES보다 CPU 버그에 대한 이슈가 더 높아서 CES(오죽하면 CES를 CPU Error Session이라고 말할까.. ㅎㅎ)에 대한 관심은 저 멀리 떠나가고 있는 것처럼 보인다. 무슨 얘긴가 하면 구글이 2018년 1월 3일에 공개한 멜트다운 및 스펙터 버그에 대한 내용이다. 이는 특정 CPU 설계에서 발생된 2개의 중대한 보안 취약점으로 구글 프로젝트 제로에서 처음으로 발견해서 공개한 이슈다(어떤 CPU인지는 밑에서 얘기하도록 한다). 이 버그가 공개된 과정도 웃긴 것이 원래는 구글측에서 2017년 중반쯤에 발견했다고 하고 그것을 MS와 리눅스 개발진에게 알려서 보안 패치 등 필요한 작업을 한 뒤에 2..
-
애증의 공인인증서의 변화. 본질은 그대로, 하지만 사용성은 진화한다!Security 2017. 11. 8. 22:23
공인인증서에 대해서는 이것저것 할 얘기가 많은 것이 사실이다. 이전에 있었던 직장이 공인인증서를 핸들링하는 모듈을 만들던 회사이기도 했고 공인인증서의 태생부터 시작하여 시장에 어떻게 정착되어 왔는지, 또 어떻게 사용되어왔고 금융권 등은 또 어떻게 이것을 이용해왔는지를 직접 봐왔던 입장에서 공인인증서는 어떻게 보면 애증의 관계에 있는 전처(?)의 느낌이 드는 녀석임은 분명하다. 공인인증서 사용 방식의 진화 이런 공인인증서에 대해서 재미난 뉴스가 하나 보여서 좀 읽어봤다. 보안성과 편의성을 강화한 공인인증서 관리 및 사용 방식의 변화에 대한 뉴스다. 사람들이 공인인증서를 왜 불편해했는가를 생각하면 이런 변화는 무척이나 환영할만한 상황이다. 뉴스의 내용은 공인인증서를 신뢰할 수 있는 매체, 혹은 공간에 저장을..
-
귀찮음때문에 소홀하게 생각하는 보안, 소 잃고 외양간 고치는 것이 아닌 고칠 외양간마저 소실될 수 있는데..Security 2017. 11. 7. 00:49
보안 분야에서 오랫동안 개발자로, 또 설계자, 기획자로 일해왔고 지금도 네트워크 서비스인 DNS와 CDN, DNS 기반 DDoS 방어 서비스를 기획, 설계하고 있는 입장에서 최근에 들려오는 다양한 보안 관련 뉴스들을 보면 흥미롭기도 하고 안타깝기도 하고 그렇다. 인터넷 서비스가 이제는 메인 플랫폼이 되었고 스마트폰이나 태블릿은 일상생황의 필수품이 되었으며 IoT 시장이 본격적으로 열리기 시작한 지금 보안은 선택이 아닌 필수이며 기업의 운명 뿐만이 아니라 개인의 삶까지도 좌지우지하는 필수 요소가 되었지만 여전히 기업이나 개인은 보안에 대한 인식이 부족한 것이 사실이니 말이다. 뭐 당장에 나 역시도 어떤 면에서는 귀찮음때문에 보안을 신경쓰지 않는 상황이니.. -.-; 위험천만한 스마트폰에 사진으로 저장하는 ..
-
ActiveX 방식과 그 대안 방식인 EXE 방식의 문제점에 대한 고찰Security 2017. 7. 12. 07:30
현 정부가 들어서기 전에 문재인 대통령이 후보 시절에 대선 공약으로 공공웹서비스에서 공인인증서와 ActiveX를 없애는 방향으로 나가겠다는 내용을 발표했던 적이 있다. 물론 어떻게 없애겠다는 구체적인 내용은 나오지 않았지만 그 공약만으로 많은 사람들이 만세를 외친 것 같았다(뭐 내 주변에서도 그러니). 그리고 최근에 공공웹사이트에서 ActiveX의 대체 기술로 EXE 방식을 일단은 이용하겠다는 뉴스가 나왔다. ActiveX란? 일단 공인인증서와 ActiveX를 동일하게 생각하는 잘못된 생각은 버리고.. ActiveX에 대해서 먼저 알아야 할 부분이 ActiveX는 웹브라우저를 플랫폼으로 구동하는 어플리케이션이라고 보면 된다. 원래는 ActiveX는 인터넷 익스플로러(IE)라는 MS에서 윈도 OS 기반으로..
-
개인이나 기업의 금품이 아닌 사회적 혼란을 노리는 랜섬웨어, 그리고 해킹Security 2017. 7. 7. 07:30
이번에 제대로 악명을 떨치고 있는 패트야, 그리고 그 전의 워너크라이까지 랜섬웨어 전성시대(?)가 진행되고 있다고 해도 과언은 아니다. 물론 그 전에도 랜섬웨어는 어느정도 존재했고 많은 피해를 보고 있지만 올해 언론에 전세계적으로 크게 보도되고 있는 워너크라이나 패트야를 보면 예전에 단순히 기업이나 개인의 금품을 노리는 그런 수준이 아니라 그 규모가 더 커져서 단순한 해커의 소행보다는 국가 시스템의 파괴, 그리고 그것에 이은 사회의 혼란을 일으키는 수준으로 어마무시해지는게 아닌가 하는 생각이 든다. 안전지대는 없는 랜섬웨어 최근 인터넷 호스팅 업체인 인터넷나야나를 폐업직전까지 몰고갔던 랜섬웨어는 리눅스 시스템도 랜섬웨어의 안전지대는 아니라는 것을 보여줬고 워너크라이와 패트야는 우리가 가장 많이 사용..
-
워너크라이, 그리고 패트야를 통해 본 랜섬웨어의 트랜드, 그리고 못난 인간들...Security 2017. 6. 30. 10:14
워너크라이(WannaCry), 패트야(Petya).. 요즘 인터넷을, 아니 보안 시장을 뜨겁게 달구고 있는 단어들이다. 이들 모두 랜섬웨어(Ransomware)의 일종으로 최근 급속하게 큰 피해를 주고 있는 녀석들이다. 한달 전에는 워너크라이로, 요 며칠동안은 패트야로 기업들이 몸살을 앓고 있는 중이다. 패트야는 지금도 진행중이기도 하고 말이다. 그리고 워너크라이나 패트야같은 랜섬웨어의 특징은 그 확산 방식과 범위가 기존에 언급되었던 랜섬웨어 수준이 아닌 더 엄청나고 크다는 점이다. 기존 랜섬웨어의 방식과 피해 범위 기존 랜섬웨어는 악성코드에 감염된 컴퓨터, 혹은 모바일 기기 안의 파일들을 암호화시키고 더 확장해서 네트워크 드라이브로 연결된 NAS나 컴퓨터의 파일을 감염시켜 암호화하는 것으로 피해를..
-
보안 시스템에 대한 맹신보다는 운영하는, 그리고 사용하는 사람들의 인식 변화가 훨씬 더 중요한 시점이...Security 2017. 4. 16. 22:28
이제 개인의 접속 이력을 더 이상 보호해주지 않는 시대가 왔다 미국 국회가 지난 3월말에 인터넷 프라이버시 보호 규정 중 사용자들의 웹브라우저 사용 이력을 사업자가 거래할 수 없게 만드는 규정을 폐지했다는 뉴스가 올라왔다. ZDNet Korea가 ZDNet 뉴스를 번역한 기사인데 발번역으로 욕을 먹었는데 이 글을 쓸 때 다시 보니 번역을 다시 수정했는지 좀 읽을만한 글이 되었다. 글의 내용은 VPN에 관련된 내용이지만 전반적인 내용은 VPN 서비스만 마냥 믿어서는 안된다는 얘기이며 내가 이 포스팅에서 얘기하고자 하는 내용은 시스템에만 전적으로 의지하지 말고 운영자, 사용자들의 인식 변화가 우선되어야 한다는 것이다. 일단 뉴스의 내용부터 잠깐 살펴보면 사업자는 자사의 서버에 기록된 사용자들의 웹브라우저 사..
-
업데이트와 버그 패치가 없는 스마트TV, 그리고 IoT 제품의 보안 이슈. 이제는 좀 심각하게 생각해야 할 시기가 온 듯..Security 2017. 4. 2. 13:45
좀 예전에 이슈가 된 내용이기는 한데 위키리크스가 삼성의 스마트TV가 해킹에 이용되었다는 내용을 폭로함으로 인해 스마트TV를 비롯한 IoT 제품들의 보안 이슈가 IT 업계의 화두로 잠시(?) 떠올랐다. 지금은 뭐 갤럭시 S8의 발표로 대중의 시선에서 좀 떨어진 내용이 되었지만 이런 보안 이슈는 단지 한순간의 이슈로 끝날 것이 아니라 지속적으로 해결해야 할 문제이기에 좀 신중하게 접근을 해야 하는 것이 맞을 듯 싶어서 내 블로그에 가볍게 얘기를 써볼까 한다. 어찌되었던 내 관심분야이기에 말이지. 보통 스마트TV에서 사용하는 OS는 안드로이드를 많이 쓴다. 안드로이드 자체가 오픈소스이기에 쉽게 가져다가 쓸 수 있고 커스터마이징도 용이하기 때문이다. 삼성의 경우 타이젠을 쓴다고 하는거 같은데 최근 몇몇 모델이..
-
ActiveX 프레임으로 고통받은 인터넷뱅킹과 공공기관 서비스. 전용 프로그램을 통해 그 불편함을 좀 덜어보면 어떨까?Security 2017. 3. 28. 07:30
예전에 이 블로그를 통해 공인인증서와 ActiveX에 대한 내 생각을 좀 정리를 해봤다. 내 기본적인 생각은 공인인증제도와 ActiveX 이슈는 분리시켜야 한다는 것이고 ActiveX는 이제는 좀 '안녕~'을 외치는 것이 맞지만 공인인증제도는 지금의 불완전한 부분을 보완하고 사용 강제 범위를 줄이고 대안 방법을 제시하여 다양한 인증 방법을 제시하는 것이 맞다고 본다. 그 내용을 해당 글에도 적었고 디지에코의 보고서로도 쓰기도 했다. 대한민국의 계약 관행, 정책, 절차 등이 획기적으로 바뀌지 않는 한 공인인증제도의 완전 폐지는 어려울 것이라는 것이 내 생각이다. 그러다보니 이래저래 ActiveX와 연계해서 공인인증제도의 폐지 얘기가 나오기도 하지만 차라리 그것보다는 다른 방법으로 ActiveX로 인해 불편..