'Security_Space' 카테고리의 글 목록 (2 Page)

본문 바로가기

Security_Space

2007 '디지털 음악' 결산 : 글로벌 5大 트렌드! 디지털 음악에 관심이 많으신듯한 DTWin님의 블로그에서 가져온 내용입니다.저또한 아직까지는(?) 디지털 음악에 관심이 많은 터라, 국내 뿐만 아니라, 국제적인 특히, 미국쪽 이슈에 관해서 많은 관심을 가지고 있습니다. 현재까지 국내와 해외의 디지털 음악 씬은 많은 부분에서 차이가 있습니다. 그렇지만, 해외의 이슈에 대해서도 국내 일부 업체등에서는 항상 시도는 하는 것으로 알고 있습니다. 그 중심에 선 것이 Free DRM이라고도 하는 내용입니다. DRM은 해당 디지털 음원을 보호하기 위한 장치를 한 것으로, 이것을 통해 실질적인 컨텐츠 보호 작용이 일어나게 됩니다. 그러나, DRM의 한계가 명확하며, 소비자 측면에서의 가용성과 개인이 구매한 음원의 권리 부분에 문제가 발생하는 듯, 그 폐해 또한 적잖.. 더보기

웹 응용프로그램 침입, 원천 차단한다. 유해트래픽 탐지·차단 기능 갖춰야 웹 응용프로그램 보호프로파일(PP)은 웹상의 응용프로그램을 안전하게 보호하고 공격을 사전에 탐지 및 차단하는 기능을 가지는 하드웨어, 펌웨어 또는 소프트웨어 형태로 구현된 웹 응용프로그램 침입차단 시스템을 의미한다. 평가대상(TOE:Target of Evaluation)은 인터넷에 연결된 웹 존 외부와 내부를 연결하는 지점에 인라인 방식, 프락시 방식 또는 플러그인 필터링 방식으로 연결돼 실시간으로 웹 존 외부에서 내부로 흐르는 유해한 웹 트래픽을 탐지하고 차단하는 기능을 갖췄다. 이러한 기능을 갖추기 위해서는 우발적 또는 외부의 공격에 의해 고장 발생시 최소한의 보안기능을 유지해 정상적인 서비스를 제공해야 한다. 특히 보안과 관련된 행동에 대한 책임을 추적하기 위해 보.. 더보기

웹 2.0 시대의 사이버범죄, 전과는 차원이 다르다! 딱히 웹 2.0을 지칭한다는 자체도 모순일 수 있다. 이것은 단지 웹 1.0과 2.0의 근본적인 차이로 인해 해커들에 의한 불법 위변조, 공격행위가 쉬워졌다는 것을 의미하지는 않기 때문이다. 아마도 아래의 내용의 필자는 개발 방법이나 시스템이 틀려졌음에도 불구하고, 그것에 대한 보안을 간과하고 있는 부분을 경고하고 있다고 보는 것이 더 타당할 것이다. 분명히 웹 1.0이라 불리우던 시대와 2.0으로 불리우는 시대의 개발 방법론과 그에 맞는 환경 및 시스템은 고도화, 지능화되고, 편리하게 유연해진 것이 사실이다. 이러한 개발방법론은 나날이 발전되어 오고 있으나, 여전히 전 시대에와 마찬가지의 문제로 개발 방법론에 있어 보안 영역은 여전히 심각한 수준으로 소외당하고 있는 것이 사실이다. 웹의 1.0과 2.0.. 더보기

소프트웨어 개발자 보안 테스트 표준화 듣던 중 정말 반가운 소식... 이런 부분은 조금 늦은 감이 있긴 하지만, 상당히 좋은 소식이다. 개발 관련 보안의 표준화를 테스트한다는 취지가 미래지향적이며, 소프트웨어 개발에 있어 총체적인 정리와 더불어 한차원 나아가는 계기가 될 것으로 믿는다. =================================================================================================== 소프트웨어 개발자들이 2번 연필을 다듬는다. 보안 프로그래밍 지식에 대한 표준화 테스트가 발표될 예정이다. 보안 프로그래밍 이사회는 20일(미국시간) 기업이 개발자의 보안 프로그래밍 지식을 테스트하기 위한 표준안을 공개했다. 표준안의 목표는 기업이 사내외 개발자들에게 소프트웨어 애플.. 더보기

집중분석-달라진 개인정보보호법 공공기관, 개인정보 수집 절차 까다로워져 앞으로 공공기관에서 개인정보를 수집하려면 당사자와 협의 후 이용해야 하며 정보에 대한 처리 전반을 인터넷에 공시하는 등 절차가 강화된다. 또 인권침해와 범죄예방에 대한 논란이 되고 있는 CCTV 설치 역시 주민동의가 없을 경우 설치할 수 없으며 각종 개인정보 신고제도를 운영한다. 행정자치부는 이같은 내용을 골자로한 ‘공공기관의 개인정보보호에 관한 법률’을 개정, 18일부터 시행하고 있다. 이번 개정안은 그동안 문제점을 지적돼 왔던 공공기관의 무분별한 CCTV 설치와 개인정보 파일의 파기, 개인정보 침해 사실 신고제, 개인정보 관리 책임과 지정 등 6개를 신설했고 개인 정보의 범위 확대와 개인정보 파인 보유 요건 엄격화 등 3개는 현행법을 보완·강화 했다. 개정안 .. 더보기

이재우 동국대 교수 (ISC)2 Harold F. Tipton 수상 이재우 교수님은 개인적으로 대학원 은사님으로, 대한민국 IT보안을 위해 정말 많은 노력을 하셨다. 업적을 일일이 열거할 수는 없지만, IT보안에 대한 내 사고를 180도 바꾸어주신 존경하는 스승님이다. 앞으로도 건강하게 많은 후배들에게 멋지고 좋은 강의를 계속해 주시리라 믿는다. Harold F. Tipton 수상을 진심으로 축하드린다. ======================================================================================================================= (ISC)2 Member Reception 개최, 이재우 동국대 교수 Harold F. Tipton 수상 지난 16일 저녁 서울 롯데호텔에서는 (ISC)2 M.. 더보기

PC로 타인 휴대폰 모든 정보 빼낼 수 있다! 인구대비 휴대폰 보유 및 사용 빈도가 높은 우리나라의 경우, 휴대폰을 교체할 때, 기존 휴대폰의 정보를 모두 안전하게 삭제하고 폐기하느냐에 대한 부분도 더욱 더 신경써야 하는 부분이라고 생각한다. ===================================================================================================== 휴대폰 구조적인 문제로 완전삭제 안돼... 모두 복원가능 우 리가 흔히 사용하고 있는 휴대폰은 이제 없어서는 안될 필수품으로 자리잡고 있다. 대화도 하고 문자메시지도 보내고 이것으로 인터넷을 활용하기도 한다. 때로는 지하철이나 버스를 탈 때 결제용으로 사용하기도하는 등 다양한 용도로 사용되고있다. 그 런만큼 중요한 도구이기도 하다... 더보기

PMS(패치관리시스템) 기업의 기본 인프라로 인식확대되어야 기업 및 서비스 보안에 있어서 어느 것이 더 중요하다고 비교를 하는 것은 애매할런지 모르지만, 여러가지 측면을 고려할 때, 반드시 생각해야 하는 것 중에 하나가 보안 패치의 적용 부분이다. 실제 본인의 경우, 기업의 내부 인프라 및 외부 서비스를 위한 서버를 운용함에 있어 대부분의 보안 사고 및 문제 발생이 사소하게 여겼던, 보안 패치의 즉각적인 적용이 이뤄지지 않아서 인 경우가 대부분이었다. 점차 Zero-Day Attack이라는 말이 나올 정도로 서버 및 서비스의 취약점을 대상으로 공격의 주기가 그만큼 짧아졌다. 이에 대해 적절히 대응하지 않는다면, 대다수의 많은 서버 및 서비스가 그만큼의 공격 대상으로 노출되기 쉽다는 것이다. 정부 및 대기업, 대형 포털 등은 이에 대해 오히려 기민하게 반응하여 대.. 더보기

보안에 취약한 애플리케이션에 투자하라 100% 공감하는 내용이다. 이제 해킹을 위한 공격 방법의 트렌드가 확실히 변화했다. 네트웍이 목표가 아니라, 사용자들이 사용하는 실질적인 어플리케이션 자체가 목적이 되었다. 그만큼 직접적인 타격을 많이 주기도 하지만, 대응을 하지 못하는 기업의 입장에서는 대외 공신력 및 브랜드 가치가 하락할 수밖에 없기 때문이다. 천번을 반복해서 얘기한다해도 문제될 것이 없다고 생각한다. 보안은 사후약방문 [死後藥方文] 되어서는 안된다. 끊임없이 예방해야 하며, 이를 위한 방법으로 개발 기획상에 보안에 대한 적용 부분이 명시되어야 한다. 코딩단계부터 적용할 지침과 가이드가 마련되어야 하며, 당장이 아닌, 먼 미래까지도 바라볼수 있는 안목을 가져야하지 않을까 생각한다. 우선 나부터 그러한 노력을 시작해야 하겠다. ===.. 더보기

"WebKnight 로그분석 및 고급 룰 설정" 발표자료 웹방화벽에 대한 인식이 바뀌고, 그로 인한 수요가 증가하는 듯 하다. 그러나 여전히 비용적인 측면에서 중소기업등에서 구입하기에는 대단히 고가로 인식되고 있다. 오픈소스가 전 세계적인 트렌드가 되면서, 웹방화벽 역시 공개형 제품이 나와 있으며, 아래에 소개되는 WebKnight는 버전을 거듭하면서, 점차 성능과 안정성 등에서 만족할만한 수준을 보이고 있다. 웹보안 등에 관해서 관심이 많고, 문제로 고민 받고 있는 관리자라면, 도입하여 적용을 생각해보는 것도 좋을것이라 생각한다. ================================================================================================================ 2007년 11월 5일에 있던.. 더보기

SW 보안은「개발단계에서 출발」 코드 보안에 있어, 우리의 현실은 외국의 그것들과 비교해서 많이 늦은 편이다. 그러나, 지금부터라도 관심을 가지고 진행을 한다면 다행이라고 생각한다. 점점 보안의 레이어는 상위 계층으로 이르고 있고, 결국 소스코드의 보안에 까지 이르게 되는데, 완성된 소스를 분석하여 보안을 강화하는 것은 상당히 비효율적이다. 애초에 개발 초기 단계부터 소스 코드를 제작함에 있어 가이드와 지침이 존재한다면 훨씬 안정적으로 진행되지 않을까 싶다. 개발자들의 특성상 본인의 습관화된 코딩 방법으로만 코드를 작성하게 되고, 참조하는 다른 코드의 사용에도 검증 과정을 많은 부분 생략한 채, 사용한다. 이러한 부분은, 소스 자체의 결함으로 이어지게 되고, 결국 프로그램적인 에러 발생의 주요한 원인이 되기도 한다. 당장의 시간적인 손.. 더보기

패스워드 안전성 검토 체크리스트 패스워드는 개인정보보호의 가장 기본이다. 그래서, PC를 사용하는 직장이나 학교에서는 늘 패스워드를 주기적으로 바꾸고, 8자 이상의 영문과 숫자, 그리고 특수문자로 조합된 패스워드를 사용하라고 강조하고 있다. 그럼에도 불구하고, 일반 사용자들은 여전히 본인이 기억하기 쉬운, 대단히 간단한 조합이나 의미가 있는 숫자등을 나열하여 사용하고 있다. 이러한 쉬운 패스워드는 특히 웹서비스등에서 사용할때, 악의적인 목적의 무차별 대입 공격(Brute Force Attack) 등에 쉽게 누출될 수 있게 된다. 본인이 사용하고 있는 패스워드의 안정성 검토를 스스로 체크해 볼 수 있는 체크리스트가 있어 가져와 포스팅한다. # 자신이 사용하고 있는 패스워드의 안정성은 얼마나 될까?! 다음의 체크리스트 항목 중 하나 이상의.. 더보기

Threat Modeling 예전에 학교에서 공부하면서, 이해보다는 무조건 암기했던 기억이 있습니다. "Threat Modeling"은 아직 우리의 일반적인 웹서비스 환경에서는 일반화되지 않아서, 웹개발 하시는 분들에게는 좀더 필요한 방법론이라고 생각합니다. 국내에는 아직 "Threat Modeling"의 책이 나와 있지 않고, Microsoft에서 2004년에 나온 "Threat Modeling"이라는 책도 번역되어 있지 않아서, 처음 접하시는 분들에게는 다소 내용이 어려울 수도 있을 듯 합니다. 기회가 닿으면 해당 내용을 번역하고, 풀이하여 포스팅 해보도록 하겠습니다. 첨부 파일은, Microsoft에서 Threat Modeling을 위한 Tool을 제공하고 있는데, 좀더 용이하게 모델링을 완성할 수 있습니다. =========.. 더보기

Silverlight의 DRM과 Windows Media DRM의 호환 MS의 Windows Media DRM과 Silverlight에 들어가게될 DRM이 어떤 차이가 있는지에 대해서 간략한 자료가 있어 소개합니다. ======================================================================= Silverlight의 DRM에 대해서 관심있는 분들이 많아서 여러 사항들을 정리해 보았습니다. Q. Silverlight는 미디어에 대한 DRM을 지원하나요? A. 네. Silverlight1.1부터 "PlayReady" DRM을 지원예정입니다. 아마 관심 있으신 분들은, Silverlight가 사용하는 DRM이 "PlayReady" DRM이라는 새로운 DRM 기술임을 알고 계실거에요. Microsoft의 "PlayReady" DRM.. 더보기

PDF 공격, 어도비 패치도 효과 없어 보안의 대상 영역에 안전지대는 존재하지 않는 것 같다. 문서상의 안전 등의이유로 업계에서 PDF 포맷을 많이 사용하고 있는데, 이 또한 단순히 심리적인 안전 불감증이 아닐까 한다. ========================================================================================== 어도비시스템즈가 어도비 리더와 아크로뱃 같은 자사제품의 소프트웨어에 내재하는 보안 취약성을 수정한 지 24시간도 안돼 악성코드를 첨부한 PDF 파일이 스팸메일 필터에 걸렸다. 이 적극적인 공격이 발견된 현재, 윈도우 유저는 즉시 자신의 컴퓨터를 검사해 악성 소프트웨어가 있는지 확인하고 모든 필요한 패치를 적용해야 한다. 시만텍의 딥사이트 위협 관리 시스템(DeepSi.. 더보기

ADOBE의 플래시 비디오(FLV) DRM 로드맵 최근 동영상 UUC 붐이 일어나면서, 관련 업체마다 각자의 동영상 스트리밍 방식을 보여주고 있다. 이에 발맞춰 Adobe의 Flash Video도 코덱을 새로 만들고, 인코더와 스트리밍 엔진의 신규 제작 등이 일어나고 있는 추세다. 그러나 Adobe의 포커스는 여기에 보안적인 이슈를 추가하여 DRM 강화를 꾀하려는 듯 보인다. 정확한 얘기는 좀더 지나봐야 알겠지만, 컨텐츠 보호를 강화하겠다는 의지는 충분히 엿볼 수 있을 것 같다. ==================================================================================================== 플래시 비디오의 수요가 증가하면서 플래시 비디오 파일인 FLV 에 대한 연구도 많아지고 있는 추세.. 더보기

MS, 금융권 안티피싱 사업「초읽기」전용 사이트 구축해 보안패치 배포키로 정말 간단하고, 조금만 신경을 쓰면 많은 사고는 사전에 예방할 수 있다. 특히, 보안 분야에 있어서는 더욱 그러한 내용들이 많다. 마이크로소프트가 금융권의 안티피싱에 관심을 가지고 뛰어드는 것은 대단히 환영할 만한 일이다. 보안패치를 통해 많은 MS기반의 운영체제 및 인터넷 브라우저, 어플리케이션 등등이 취약점으로 부터 상당 부분 자유로워지게 된다. 그러나, 최근에 주위의 일부 개인 사용자들의 경우를 보니, 보안패치를 진행할 수가 없는 것을 보았다. 원인을 살펴보니, 해당 OS가 정품이 아니라는 것이었다. 정품여부를 체크해서 정품이 아닌 사용자의 OS는 보안패치 및 기타 성능 패치등이 이뤄지지 않게 하고 있었다. 물론 이윤을 추구하는 기업의 입장으로 볼때, 이해하지 못할 부분은 아니지만, 이미 선택의 여.. 더보기

Acunetix WVS V5 Review -2 이전 포스트에 이어서 아큐네틱스의 도구에 대한 리뷰를 진행하고 전체적인 평을 하도 록 하겠습니다. 번거롭게 리뷰가 두개로 나우어지게 되어서 애독자분들에게 불편함을 드려 죄송합니다. 마지막까지 좋은 글이 나올 수 있도록 최선을 다하겠습니다. HTTP 퓨져(HTTP Fuzzer): 그림 15. HTTP 퓨저 화면 HTTP 퓨저(Fuzzer)는 편집기 및 스니퍼(Sniffer)와 관계하여 이용할 수 있고, 비슷하다고 할 수 있을 것 입니다. 하지만 퓨저는 이들 도구와 차이가 있는데, 퓨저는 변수에 문제 주입을 매뉴얼이 아닌 자동으로 주입할 수 있다라는 것입니다. 퓨징(Fuzzing)은 버퍼오버플로우(Buffer Overflow)에 대한 브루트 포스(Brute Force) 검사를 빠르고 쉬운 방법으로 가능하게 .. 더보기

Acunetix WVS V5 Review -1 근간에 웹사이트의 취약점을 이용한 해킹 시도가 더욱더 증가하였으며, 이러한 취약점을 사전에 찾아내어 적절한 조치를 취하는 것이 웹을 이용한 서비스를 운영하고 있는 개인과 업체에게 중요한 이슈로 자리를 잡았다. 이미 개인적으로도 웹서비스의 취약점을 점검하고자 사용하고 있는 툴로써, 관련 자료를 찾던 중, 네이버에 "Security Perspective"를 운영중인 제이슨님의 블로그에서 아래와 같은 좋은 자료를 찾아내어 포스팅하게 되었다. ========================================================================= 아큐네틱스 웹 취약점 점검도구인 WVS는? 웹 취약점 점검도구인 WVS는 악의적인 공격자가 시스템과 데이터로의 불법적인 접근을 획득하기 위해.. 더보기

[데이터베이스 보안 ④] 일본으로 눈 돌리는 DB보안 업체들 김태정 기자 ( ZDNet Korea ) 2007/10/15 현재 국내 DB보안 시장은 심각한 과열 양상을 보이고 있다. 올해 시장규모는 150억원 정도로 다른 보안 시장에 비해 적은 편이지만, 업체 수는 20여개가 넘는다. 이 중에는 아직 수주를 한건도 못 올린 업체들도 있다. 이는 제 살 깎기식 가격 경쟁으로 이어져 ‘팔아도 남는 것이 없다’는 고민이 업계에 만연하다. 한 업계 관계자는 “DB보안을 원하는 수요는 계속해서 늘어나고 있지만, 업체수가 워낙 많다보니 원가 건지기도 힘든 상황”이라고 우려했다. 이에 대한 돌파구로 몇몇 DB보안 업체들은 해외시장에서의 수익 창출을 모색하고 있다. DB보안 태동시기와 기술수준이 해외와 거의 격차가 없어 가능성은 충분하다는 생각이다. 웨어밸리 백용기 이사는 “세.. 더보기

이전 1 2 3 4 다음

티스토리툴바