'보안' 태그의 글 목록

본문 바로가기

보안

구글은 정보보안을 어떻게 하고 있는가 항상 궁금해오던 사항인데, 구글 한국 블로그에 오늘 날짜로 포스팅된 내용이다... 다는 믿을 수 없겠지만, 구글의 정보보안에 대해서 직접 언급한 내용으로 의미있고, 분명히 가이드가 될 만한 기업이기에 펌질하여 포스팅한다.====================================================================================================== 작성자: 더글라스 메릴, 엔지니어링 부사장 날짜: 2008년 3월 26일 (수요일) 여 러분이 알고 계시듯이, 구글은 우리의 삶을 보다 효율적으로 만들 수 있는 제품 개발을 위해 많은 시간을 보내고 있습니다. 이메일 정리, 사진 공유, 실시간 문서 공동 작업 등을 더욱 편리하게 해주는 제품들이지요. 여러분이.. 더보기

우리들이 알거나 혹은 모르고 있는 바이러스의 진실 컴퓨터 바이러스 따라잡기 현재 ‘컴퓨터 바이러스’라고 불리는 악성 프로그램을 예방하기 위해 수많은 백신 프로그램과 그에 대한 대비책이 나와 있다. 하지만 아직도 바이러스 프로그램에 대해 정확히 인식하지 못하거나, 그것의 위험성에 대해 제대로 파악하지 못하고 있는 사용자 또한 많은 것이 사실이다. 그래서 이번 호에는 우리들이 잘 안다고 생각했지만 모르고 지나칠 수 있는 바이러스의 진실에 대해 이야기를 풀어보고자 한다. 컴퓨터 바이러스는 유기적인 생물체다? 컴퓨터 바이러스를 ‘바이러스 프로그램’이라고 한다면 이해하기가 훨씬 수월할 것이다. 그러나 그것은 덜 자극적인(?) 이름이라서 그런지 별로 사랑받지 못하고 있다. 누구는 또 그것을 ‘소프트웨어 AIDS’라고도 부르며 ‘쓰레기 프로그램(garbageware.. 더보기

보안담당자가 걸어가는 길 Security 는 국내 대부분의 기업조직에서 통합된 비즈니스의 일부분이기보다는 흔히 비용(overhead)으로 간주된다. 그러나 회사 자산보호는 분명 비즈니스의 일부로써 Security가 비즈니스의 몸통은 아니더라도 일부분으로의 역할이 인정되어야 한다. 하지만 발생하지도 않은 미래의 사건에 대해 현재 시점에서 비용을 지불하기 싫을 뿐더러 발생하지도 않을 것이라는 안일한 생각을 갖고 있는 것이 국내 기업경영자들의 지배적인 정서다. 보안담당자들이 이들과 효과적으로 의사소통하기 위해서는 비용대비 효과의 중요성부터 철저히 인식해야 한다. 비 용대비 효과 측면에 있어 Security는 보험과 비교할 만하다. 보험과 Security 두 분야 모두 안전에 관한 것이다. 그러나 가장 큰 차이는 보험은 나쁜 일이 발생.. 더보기

기업 보안담당자들이 말하는 2008년 정보보호 대부분의 대규모 온라인 서비스를 운영하고 있는 기업 보안 담당자들은 2008년의 가장 큰 보안 이슈로 DDOS 공격을 지목했다. 나 또한, 아직까지 국가적 정책이 정해져있지 않고, 확실하게 방어될 수 없는 DDOS가 규모면에 있어서는 가장 큰 보안을 위협하는 공격기법이 아닐까 생각한다. 이와 아울러, 최근 봇넷 등을 통해 강력히 전파되어 PC의 성능을 현저하게 떨어뜨리고 관련 네트워크를 마비시키거나 문제를 일으키는 패턴에 대해서도 심각하게 그 대응책을 고려해봐야 할 것으로 본다. 그런데, 아래의 내용과 같이 각 업체의 보안담당자를 정확히 알려주는게 실질적인 보안에 있어서 도움이 되는 행위인지는 다시 한번 생각해볼 일이다. ==============================================.. 더보기

웹 인터페이스를 이용한 패킷펜스 IT 보안분야에도 큰 비용을 들이지 않고, 시도해 볼 수 있는 많은 프로그램과 툴들이 있는 것 같다. 그것이 자신의 환경에 맞게 하기 위해서는 부단히 경험해 보는 수밖에 없을 것이다. 처음 접하지만, 그 기능과 성능이 궁금하다... ======================================================================================= 패킷펜스는 설치하기 상당히 어려운 시스템이나 시간 투자 대비 가치는 뛰어나다. 이 시스템은 유저가 선호하는 어떤 OS 환경이나 디바이스와도 궁합이 잘 맞으며, 다양하면서도 안전한 기능들을 지녔다. 이 중 하나가 웹기반의 admin 툴이라는 것이다. 패킷펜스를 설치하는데 요구 사항이 꽤 많으며, 커맨드 라인을 통해 핸들링 .. 더보기

해커의 진화 "인터넷 장난이 범죄로 이어지다" 인터넷 장난이 범죄로 이어지다 뾰족한 나무를 가지고 노는 아이들처럼, 인터넷 기반 불법 행위 범죄자들은 내기를 늘리고 있다. “이거, 네가 1등 할 수 있어?”라는 해커들은 신원을 훔치고 이익을 위해 사기를 저지르며 범죄로 빠져든다. 연대기는 명확하고, 실제 이익 원인이다. 게임은 만일 이것을 게임이라고 할 수 있다면, 1990년대 초반 학생들과 천재 아이들이 단지 가능하다는 것을 보여주고자 기업과 정부 시스템에 난입하면서 시작됐다. 그들은 그들의 상징으로 전화 카드를 남겼다. 무해한 약간의 조롱이었다. 재밋거리가 너무 많다. 1990년대 말, 해커들은 기업의 잘난 척을 조롱하는 수단으로 시스템에 간섭하기 시작했다. 블랙햇들이 시스템을 늘어지게 하고 트래픽을 정지시키며 파일을 파괴하고 웹 사이트를 손상시.. 더보기

2007년을 위협했던 10대 보안위협 전년 대비 악성코드 39.1%, 스파이웨어 11.7% 증가 허위 안티스파이웨어, 봇넷, 이동저장장치 겨냥 악성코드 등 기승 전파 및 은폐 기법 지능화로 위협 감지 어려워 정보보안 기업 안철수연구소(대표 오석주 www.ahnlab.com) 는 21일 2007년 1월부터 11월까지의 악성코드/스파이웨어 동향을 분석한 결과 올 1월~11월에 새로 발견된 악성코드(바이러스, 웜, 트로이목마의 통칭)는 5,599개로 전년 동기 대비 39.1% 증가했으며, 스파이웨어는 6036개가 새로 발견돼 지난해 동기 대비 11.7% 증가했다고 발표했다. 또 한 한 해 동안의 주요 흐름을 분석해 ‘2007년 보안 위협 10대 트렌드’를 발표했다. 공격의 국지성 심화를 비롯해 ‘사이버 블랙 마켓’ 통한 대가성 범죄 급증, 웹사이.. 더보기

[외신 10대 뉴스] 좀비PC들과의 치열한 사이버 격전 황당한 얘기가 될런지는 모르겠지만, 현재의 이 극성한 악성코드와 각종 바이러스의 범람은 점차로 생물학적인 체계와 유사하게 발전해 나가는 것으로 보인다. 변이와 변종이 심하고, 발전 속도가 급속도로 빨라지며, 인공지능적인 측면에서도 (물론 프로그램 된 것이긴 하지만,) 놀라울 따름이라고 말할 수 있겠다... 먼 훗날 언젠가 우리는 봇넷(BotNet)으로 구성된 좀비PC 군단과 대규모의 전쟁을 치뤄야 하는건 아닌지 모를일이다... =========================================================================================== 올해 세계 보안업계를 가장 힘들게한 악성코드로 단연 '봇넷(BotNet)’을 꼽을 수 있다. 2005년부터 거론되기 .. 더보기

ARP스푸핑 이용, 악성코드 감염 사례 급증 온라인 게임 계정탈취 목적 트로이목마 여전히 기승 악의적 해킹사고 피해, 개인이 가장 많이 당해 한국정보보호진흥원(이하 KISA) 관계자는 “최근 ARP 스푸핑 기법을 통해 보안이 취약한 이용자의 PC를 악성코드에 감염시키는 사례가 빈번히 발생하고 있다”며 “네트워크 관리자는 자사 네트워크가 이러한 침해사고에 악용되지 않도록 네트워크 보안관리를 철저히 하고 인터넷 이용자는 윈도우즈를 최신 보안업데이트 상태로 유지하고 백신프로그램으로 바이러스 감염여부를 점검해야 한다”고 당부했다. ⓒ보안뉴스 한편 KISA 통계분석 자료를 살펴보면 지난 11월 한달간 웜·바이러스 피해신고는 10월에 비해 22.2%가 증가했고 해킹신고 처리는 전월대비 4.9% 감소한 것으로 나타났다. 또 전 세계 악성 봇감염 추정 PC 대비.. 더보기

PMS(패치관리시스템) 기업의 기본 인프라로 인식확대되어야 기업 및 서비스 보안에 있어서 어느 것이 더 중요하다고 비교를 하는 것은 애매할런지 모르지만, 여러가지 측면을 고려할 때, 반드시 생각해야 하는 것 중에 하나가 보안 패치의 적용 부분이다. 실제 본인의 경우, 기업의 내부 인프라 및 외부 서비스를 위한 서버를 운용함에 있어 대부분의 보안 사고 및 문제 발생이 사소하게 여겼던, 보안 패치의 즉각적인 적용이 이뤄지지 않아서 인 경우가 대부분이었다. 점차 Zero-Day Attack이라는 말이 나올 정도로 서버 및 서비스의 취약점을 대상으로 공격의 주기가 그만큼 짧아졌다. 이에 대해 적절히 대응하지 않는다면, 대다수의 많은 서버 및 서비스가 그만큼의 공격 대상으로 노출되기 쉽다는 것이다. 정부 및 대기업, 대형 포털 등은 이에 대해 오히려 기민하게 반응하여 대.. 더보기

보안에 취약한 애플리케이션에 투자하라 100% 공감하는 내용이다. 이제 해킹을 위한 공격 방법의 트렌드가 확실히 변화했다. 네트웍이 목표가 아니라, 사용자들이 사용하는 실질적인 어플리케이션 자체가 목적이 되었다. 그만큼 직접적인 타격을 많이 주기도 하지만, 대응을 하지 못하는 기업의 입장에서는 대외 공신력 및 브랜드 가치가 하락할 수밖에 없기 때문이다. 천번을 반복해서 얘기한다해도 문제될 것이 없다고 생각한다. 보안은 사후약방문 [死後藥方文] 되어서는 안된다. 끊임없이 예방해야 하며, 이를 위한 방법으로 개발 기획상에 보안에 대한 적용 부분이 명시되어야 한다. 코딩단계부터 적용할 지침과 가이드가 마련되어야 하며, 당장이 아닌, 먼 미래까지도 바라볼수 있는 안목을 가져야하지 않을까 생각한다. 우선 나부터 그러한 노력을 시작해야 하겠다. ===.. 더보기

네이버, 개인정보보호 강화 시동 대형 포털의 이러한 정보보호를 위한 행보는 고무적이다. 여타 경쟁 관계에 있는 포털들에게 영향을 줄 뿐만 아니라, 실질적으로 사용자를 위한 정보보호 조치이다. 이제 보안 서비스의 경쟁 시대가 열리는 것 같다. 차별화되고 편리한 서비스에서 이제 안전하게 보호되는 차원의 서비스로 비교되는 그러한 시점이 된 것이라 본다. 정보를 보호하는 자가 인터넷 패권을 쥐게 되지 않을까 생각한다. ======================================================================================================================== 김효정 기자 ( ZDNet Korea ) 2007/10/05 네이버는 이용자가 직접 생성 가능한 아이디 개수를 관.. 더보기

[데이터베이스 보안 ①] 보안 최종대상 DBMS 지킨다 김태정 기자 ( ZDNet Korea ) 2007/10/04 내부자에 대한 보안관리가 몇 년 사이 기업들의 주요과제로 떠올랐다. 내부자에 의한 산업기밀이나 고객정보 유출 사례가 계속해서 발생하고 있으며, 기술적 타격은 물론 기업 신뢰도에도 치명적인 타격을 입히고 있다. 산업기밀 유출자 중 86.4%가 퇴직자를 포함한 내부인력이라는 중기청의 올 7월 발표에서 나타나듯 보안의 타깃이 외부에서 내부로 옮겨지는 것이다. 따라서 기업들은 네트워크단 솔루션으로 외부칩입을 막던 것을 넘어 안으로부터 정보를 지키는 보안체계 확립에 힘을 기울이고 있다. 업체 난립해 가격 경쟁 심화 이런 추세와 맞물려 보안의 최종 대상인 DBMS(Database Management System)를 지키는 DB보안 솔루션 시장이 꿈틀거리고.. 더보기

SK커뮤니케이션즈, 기획과 개발단계부터 보안적용 항상 IT보안 관련 이론서에 나오는 말이다. 기획과 개발 단계부터 보안을 적용해야 한다는... 그러나, 실질적으로 그러한 기업 및 서비스 업체는 많지 않은 것이 현실이다. 따라서 SK커뮤니케이션즈의 사례는 부러울 따름이고, 보안을 생각한다는 것은 대한민국에서는 그만큼의 여유가 있다는 얘기와 직결된다. 어느 정도 매출치를 확보하고 있기 때문이라는 얘기다. 난 단지 누구나가 알고 있는 보안의 가치만큼, 혹은 최소한의 그만큼은 지켜지길 바랄 뿐이다. ============================================================================ “실질적이고 전사적인 보안이 아니면 보안이 아니다” “함께 즐기고 신나고 재미있는 서비스”를 모토로 하고 있는 SK커뮤니케이션.. 더보기

정보통신망법, ‘종합정보보호법’으로 확대개정 정통부, 개인정보보호·이용자보호·망 보안 분리 초고속인터넷 시대의 법률인 ‘정보통신망법’이 방송통신시스템보호법, 개인정보보호법, 정보통신망 이용자보호법 등 3개 법률로 분리, 확대된다. 정보통신부는 IT기술의 발달로 제기된 정보통신망법의 한계를 해결하기 위해 포괄적인 의미의 ‘정보보호법’을 제정하고 개인정보 보호, 이용자 보호, 망 보호 등으로 분리하기로 했다. 우리나라는 ‘정보통신 강국’이라는 자부심에도 불구하고 종합적인 정보보호법이 없어 정보시스템과 이용자가 피해를 당해도 법을 통해 구제를 받지 못하는 일이 발생했다. 정부는 이러한 문제를 해결하기 위해 개인정보와 이용자 보호, 정보통신 시스템의 안전성을 확보할 수 있는 ‘정보보호법’을 제정한다. 정보통신부는 인터넷·방송·통신 등 정보통신의 모든 분야.. 더보기

블루투스 모바일 기기「보안에 빨간 불」 블루투스는 그 편이성에 비해 상대적으로 보안성에 대한 인식은 가장 떨어지는 것으로 보인다. ============================================================================================================================ Lynn Tan ( CNET News.com ) 2007/09/27 블루투스를 이용한 무선 기능을 갖춘 모바일 기기가 급속히 보급되는 가운데, 유저는 이 기술의 보안 취약성에 대해 알 필요가 있다고 시만텍의 한 임원이 경고했다. 조사회사 인사이트익스프레스가 실시한 조사에 의하면, 모바일 기기 유저의 73%는 휴대 전화나 블루투스 기능을 가진 모바일 기기가 위험에 처할 가능성이 있는 보안상 문제에.. 더보기

웹2.0보안「Ajax와 XML을 방어해라」 웹2.0은 비지니스적 마인드에서 나온 용어지, 결코 기술적으로 새로운 개념이 결합된 형태는 아니다. 종전에 부각되지 못했던 기술들을 좀더 발전 시켜 적용하면서 좀 더 그럴사한 웹2.0의 기술인 것으로 치부될 뿐이다. 웹2.0이라고 해서 보안적으로 크게 달라질 이슈는 없다. 단, 사용환경의 변화에 맞춰 위협의 범위 및 대상이 좀더 가변적이 되거나 유연한 형태를 가지고 있다는 데에는 충분히 고려하여 보안 대책을 강구해야 할 것이다. ====================================================================================================================================== “웹2.0 시대의 보안은 Ajax, X.. 더보기

주민번호 대체수단「아이핀」문제점 속출 나름 대한민국 IT 강국이라고 자부하고 있다. 그러나, 보안 측면의 횡보에서는 전혀 그렇지 못하고, 혹은 과감히 시행을 하게 되더라도 너무 많은 문제 포괄한채로 시행을 강행하거나 막 시행 임박해서 취소되거나 하는 선례가 많았다. 아래의 문제도 그와 유사한 형태인 듯 싶다. 보안적 인식은 대중에게 있어 전혀 그들이 살고 세계와 무관하다고 치부하는 비율이 대부분이다. IT를 직업으로 삼고, 공부하는 이들도 그러한 인식의 부재가 팽배한 가운데, 입법 예고까지 한 아이핀의 문제는 빠른 적용이 우선 순위에 있을 것이 아니라, 충분히 검토하고 고려하고 하는 대중 수용적 보완적 기간을 일정 갖어야 되지 않을까 싶다. 그리고 이 시기와 더불어 이를 사용할 대상인 일반인들의 보안적 사고 인식에 대해서 2배, 혹은 3배 .. 더보기

MS, 해커 테마로 한 블로그 개설 아래의 기사로만 본다면 MS의 보안 관련 정책이 좀더 현실적으로 개방되었다고 볼 수 있겠네요, 환영합니다. "이이제이 [以夷制夷]" 라는 중국의 고사성어가 이런 경우에 쓰이면 딱 좋겠다는 생각을 해봅니다. 그런데, 해커라는 단어의 쓰임을 좀 더 차별해서 사용했으면 합니다. =================================================================================== Tom Espiner ( ZDNet UK ) 2007/08/30 MS가 자사의 코드 침입 테스트나 취약성 테스트를 논의하기 위한 블로그를 개설했다. 이 블로그(hackers @ MS)를 보면 MS가 고용한 침입 테스터와 그 활동이 무엇인지 알 수 있다. 다른 기업들도 코드나 컴퓨터 시스템.. 더보기

보안 문제는「직원 책임」? Tim Ferguson ( CNET News.com ) 2007/08/27 유럽의 중소기업 IT 관리자들은 온라인 보안 위반에 대해 동료 직원들을 비난하고 있지만, 대다수 중소기업은 웹 사용 정책을 실행하지 않고 있다. 보안 소프트웨어 기업 웹센스가 위탁한 연구에 따르면, 유럽 중소기업 IT 관리자의 4분의 1 이상이 보안 문제에 대한 책임이 회사 직원에게 있다고 밝혔다. IT 관리자에게 가장 실망스러운 문제는 (보안을 의식하지 않는) 직원 행동이며(관리자의 3분의 1 가량이 인용했다), 기업 일정에 걸맞게 견고하지 않은 보안과 예산상의 제약 요인이 뒤를 이었다. 이번 조사 결과 직원의 3분의 1 가량은 P2P 서비스와 무료 소프트웨어 다운로드 사이트와 같이 보안 위험이 높은 것으로 알려진 사이트에 대한.. 더보기

이전 1 2 다음

티스토리툴바