security 썸네일형 리스트형 내가 꿈꾸는 개발 철학 “Rainbow-S” 제목은 거창하지만, 실은 심플하다. IT기반의 기획과 개발을 진행하면서, 근간이 되는 나름의 철학이 필요했고, 그러한 개념을 정리하다보니, 알파벳 “S”로 시작되는 7가지 단어로 규정되어 Rainbow라는 애칭을 붙였다. 이미 IT기반의 다양한 문건에서 Rainbow라는 애칭이 많이 사용되어 지고 있다. Next Real Web은 이러한 7가지 개념속에서 조화롭게 구현될거라 믿는다. 1. Spirit (Red) - 기획하거나 개발하고자 하는 궁극적인 목적을 가진다. 2. Simple (Navy) - UI와 UX는 최대한 사용자에게 학습과 교육을 필요로 하지 않는다. 3. Stylish (Purple) - 간결함속에도 독특함과 신선함이 느껴지는 디자인, 4. Smart (Green) - Web 2.0 개념.. 더보기 구글은 정보보안을 어떻게 하고 있는가 항상 궁금해오던 사항인데, 구글 한국 블로그에 오늘 날짜로 포스팅된 내용이다... 다는 믿을 수 없겠지만, 구글의 정보보안에 대해서 직접 언급한 내용으로 의미있고, 분명히 가이드가 될 만한 기업이기에 펌질하여 포스팅한다.====================================================================================================== 작성자: 더글라스 메릴, 엔지니어링 부사장 날짜: 2008년 3월 26일 (수요일) 여 러분이 알고 계시듯이, 구글은 우리의 삶을 보다 효율적으로 만들 수 있는 제품 개발을 위해 많은 시간을 보내고 있습니다. 이메일 정리, 사진 공유, 실시간 문서 공동 작업 등을 더욱 편리하게 해주는 제품들이지요. 여러분이.. 더보기 우리들이 알거나 혹은 모르고 있는 바이러스의 진실 컴퓨터 바이러스 따라잡기 현재 ‘컴퓨터 바이러스’라고 불리는 악성 프로그램을 예방하기 위해 수많은 백신 프로그램과 그에 대한 대비책이 나와 있다. 하지만 아직도 바이러스 프로그램에 대해 정확히 인식하지 못하거나, 그것의 위험성에 대해 제대로 파악하지 못하고 있는 사용자 또한 많은 것이 사실이다. 그래서 이번 호에는 우리들이 잘 안다고 생각했지만 모르고 지나칠 수 있는 바이러스의 진실에 대해 이야기를 풀어보고자 한다. 컴퓨터 바이러스는 유기적인 생물체다? 컴퓨터 바이러스를 ‘바이러스 프로그램’이라고 한다면 이해하기가 훨씬 수월할 것이다. 그러나 그것은 덜 자극적인(?) 이름이라서 그런지 별로 사랑받지 못하고 있다. 누구는 또 그것을 ‘소프트웨어 AIDS’라고도 부르며 ‘쓰레기 프로그램(garbageware.. 더보기 보안담당자가 걸어가는 길 Security 는 국내 대부분의 기업조직에서 통합된 비즈니스의 일부분이기보다는 흔히 비용(overhead)으로 간주된다. 그러나 회사 자산보호는 분명 비즈니스의 일부로써 Security가 비즈니스의 몸통은 아니더라도 일부분으로의 역할이 인정되어야 한다. 하지만 발생하지도 않은 미래의 사건에 대해 현재 시점에서 비용을 지불하기 싫을 뿐더러 발생하지도 않을 것이라는 안일한 생각을 갖고 있는 것이 국내 기업경영자들의 지배적인 정서다. 보안담당자들이 이들과 효과적으로 의사소통하기 위해서는 비용대비 효과의 중요성부터 철저히 인식해야 한다. 비 용대비 효과 측면에 있어 Security는 보험과 비교할 만하다. 보험과 Security 두 분야 모두 안전에 관한 것이다. 그러나 가장 큰 차이는 보험은 나쁜 일이 발생.. 더보기 기업 보안담당자들이 말하는 2008년 정보보호 대부분의 대규모 온라인 서비스를 운영하고 있는 기업 보안 담당자들은 2008년의 가장 큰 보안 이슈로 DDOS 공격을 지목했다. 나 또한, 아직까지 국가적 정책이 정해져있지 않고, 확실하게 방어될 수 없는 DDOS가 규모면에 있어서는 가장 큰 보안을 위협하는 공격기법이 아닐까 생각한다. 이와 아울러, 최근 봇넷 등을 통해 강력히 전파되어 PC의 성능을 현저하게 떨어뜨리고 관련 네트워크를 마비시키거나 문제를 일으키는 패턴에 대해서도 심각하게 그 대응책을 고려해봐야 할 것으로 본다. 그런데, 아래의 내용과 같이 각 업체의 보안담당자를 정확히 알려주는게 실질적인 보안에 있어서 도움이 되는 행위인지는 다시 한번 생각해볼 일이다. ==============================================.. 더보기 웹 인터페이스를 이용한 패킷펜스 IT 보안분야에도 큰 비용을 들이지 않고, 시도해 볼 수 있는 많은 프로그램과 툴들이 있는 것 같다. 그것이 자신의 환경에 맞게 하기 위해서는 부단히 경험해 보는 수밖에 없을 것이다. 처음 접하지만, 그 기능과 성능이 궁금하다... ======================================================================================= 패킷펜스는 설치하기 상당히 어려운 시스템이나 시간 투자 대비 가치는 뛰어나다. 이 시스템은 유저가 선호하는 어떤 OS 환경이나 디바이스와도 궁합이 잘 맞으며, 다양하면서도 안전한 기능들을 지녔다. 이 중 하나가 웹기반의 admin 툴이라는 것이다. 패킷펜스를 설치하는데 요구 사항이 꽤 많으며, 커맨드 라인을 통해 핸들링 .. 더보기 해커의 진화 "인터넷 장난이 범죄로 이어지다" 인터넷 장난이 범죄로 이어지다 뾰족한 나무를 가지고 노는 아이들처럼, 인터넷 기반 불법 행위 범죄자들은 내기를 늘리고 있다. “이거, 네가 1등 할 수 있어?”라는 해커들은 신원을 훔치고 이익을 위해 사기를 저지르며 범죄로 빠져든다. 연대기는 명확하고, 실제 이익 원인이다. 게임은 만일 이것을 게임이라고 할 수 있다면, 1990년대 초반 학생들과 천재 아이들이 단지 가능하다는 것을 보여주고자 기업과 정부 시스템에 난입하면서 시작됐다. 그들은 그들의 상징으로 전화 카드를 남겼다. 무해한 약간의 조롱이었다. 재밋거리가 너무 많다. 1990년대 말, 해커들은 기업의 잘난 척을 조롱하는 수단으로 시스템에 간섭하기 시작했다. 블랙햇들이 시스템을 늘어지게 하고 트래픽을 정지시키며 파일을 파괴하고 웹 사이트를 손상시.. 더보기 2007년을 위협했던 10대 보안위협 전년 대비 악성코드 39.1%, 스파이웨어 11.7% 증가 허위 안티스파이웨어, 봇넷, 이동저장장치 겨냥 악성코드 등 기승 전파 및 은폐 기법 지능화로 위협 감지 어려워 정보보안 기업 안철수연구소(대표 오석주 www.ahnlab.com) 는 21일 2007년 1월부터 11월까지의 악성코드/스파이웨어 동향을 분석한 결과 올 1월~11월에 새로 발견된 악성코드(바이러스, 웜, 트로이목마의 통칭)는 5,599개로 전년 동기 대비 39.1% 증가했으며, 스파이웨어는 6036개가 새로 발견돼 지난해 동기 대비 11.7% 증가했다고 발표했다. 또 한 한 해 동안의 주요 흐름을 분석해 ‘2007년 보안 위협 10대 트렌드’를 발표했다. 공격의 국지성 심화를 비롯해 ‘사이버 블랙 마켓’ 통한 대가성 범죄 급증, 웹사이.. 더보기 네트워크 분석 툴(NBA), 2% 부족한 방어벽 메운다 네트워크 행위 분석툴이 제로데이 위협을 차단할수 있다 끊임없는 감시체계, 2차 침투 차단 네트워크 트래픽을 감시하고 비일상적이거나 의심스러운 행위가 발견되면 실시간 경보를 발행하는 보안 병기고에 새로운 무기가 생겼다. 미국 IT 전문지 네트워크 월드는 최근 ‘네트워크 행위 분석툴이 제로데이 위협을 차단할수 있다’고 보도해 보안전문가들의 관심을 불러 모았다. 네트워크 행위 분석 툴(NBA Network Behavior Analysis tools)은 단순히 기존의 정책과 알려진 서명에 기초한 공격을 감지하고 차단하는 침입 감지 및 방어 시스템(IDS/IPS)을 강화하는 방화벽과 같은 전략적 보안 제품이 남긴 공백을 채워준다. 제로데이 공격을 예측하는 NBA툴은 스팸 봇으로 드러나 클라이언트 기계와 인터넷에 .. 더보기 [외신 10대 뉴스] 좀비PC들과의 치열한 사이버 격전 황당한 얘기가 될런지는 모르겠지만, 현재의 이 극성한 악성코드와 각종 바이러스의 범람은 점차로 생물학적인 체계와 유사하게 발전해 나가는 것으로 보인다. 변이와 변종이 심하고, 발전 속도가 급속도로 빨라지며, 인공지능적인 측면에서도 (물론 프로그램 된 것이긴 하지만,) 놀라울 따름이라고 말할 수 있겠다... 먼 훗날 언젠가 우리는 봇넷(BotNet)으로 구성된 좀비PC 군단과 대규모의 전쟁을 치뤄야 하는건 아닌지 모를일이다... =========================================================================================== 올해 세계 보안업계를 가장 힘들게한 악성코드로 단연 '봇넷(BotNet)’을 꼽을 수 있다. 2005년부터 거론되기 .. 더보기 ARP스푸핑 이용, 악성코드 감염 사례 급증 온라인 게임 계정탈취 목적 트로이목마 여전히 기승 악의적 해킹사고 피해, 개인이 가장 많이 당해 한국정보보호진흥원(이하 KISA) 관계자는 “최근 ARP 스푸핑 기법을 통해 보안이 취약한 이용자의 PC를 악성코드에 감염시키는 사례가 빈번히 발생하고 있다”며 “네트워크 관리자는 자사 네트워크가 이러한 침해사고에 악용되지 않도록 네트워크 보안관리를 철저히 하고 인터넷 이용자는 윈도우즈를 최신 보안업데이트 상태로 유지하고 백신프로그램으로 바이러스 감염여부를 점검해야 한다”고 당부했다. ⓒ보안뉴스 한편 KISA 통계분석 자료를 살펴보면 지난 11월 한달간 웜·바이러스 피해신고는 10월에 비해 22.2%가 증가했고 해킹신고 처리는 전월대비 4.9% 감소한 것으로 나타났다. 또 전 세계 악성 봇감염 추정 PC 대비.. 더보기 네이버, 개인정보보호 강화 시동 대형 포털의 이러한 정보보호를 위한 행보는 고무적이다. 여타 경쟁 관계에 있는 포털들에게 영향을 줄 뿐만 아니라, 실질적으로 사용자를 위한 정보보호 조치이다. 이제 보안 서비스의 경쟁 시대가 열리는 것 같다. 차별화되고 편리한 서비스에서 이제 안전하게 보호되는 차원의 서비스로 비교되는 그러한 시점이 된 것이라 본다. 정보를 보호하는 자가 인터넷 패권을 쥐게 되지 않을까 생각한다. ======================================================================================================================== 김효정 기자 ( ZDNet Korea ) 2007/10/05 네이버는 이용자가 직접 생성 가능한 아이디 개수를 관.. 더보기 [데이터베이스 보안 ①] 보안 최종대상 DBMS 지킨다 김태정 기자 ( ZDNet Korea ) 2007/10/04 내부자에 대한 보안관리가 몇 년 사이 기업들의 주요과제로 떠올랐다. 내부자에 의한 산업기밀이나 고객정보 유출 사례가 계속해서 발생하고 있으며, 기술적 타격은 물론 기업 신뢰도에도 치명적인 타격을 입히고 있다. 산업기밀 유출자 중 86.4%가 퇴직자를 포함한 내부인력이라는 중기청의 올 7월 발표에서 나타나듯 보안의 타깃이 외부에서 내부로 옮겨지는 것이다. 따라서 기업들은 네트워크단 솔루션으로 외부칩입을 막던 것을 넘어 안으로부터 정보를 지키는 보안체계 확립에 힘을 기울이고 있다. 업체 난립해 가격 경쟁 심화 이런 추세와 맞물려 보안의 최종 대상인 DBMS(Database Management System)를 지키는 DB보안 솔루션 시장이 꿈틀거리고.. 더보기 SK커뮤니케이션즈, 기획과 개발단계부터 보안적용 항상 IT보안 관련 이론서에 나오는 말이다. 기획과 개발 단계부터 보안을 적용해야 한다는... 그러나, 실질적으로 그러한 기업 및 서비스 업체는 많지 않은 것이 현실이다. 따라서 SK커뮤니케이션즈의 사례는 부러울 따름이고, 보안을 생각한다는 것은 대한민국에서는 그만큼의 여유가 있다는 얘기와 직결된다. 어느 정도 매출치를 확보하고 있기 때문이라는 얘기다. 난 단지 누구나가 알고 있는 보안의 가치만큼, 혹은 최소한의 그만큼은 지켜지길 바랄 뿐이다. ============================================================================ “실질적이고 전사적인 보안이 아니면 보안이 아니다” “함께 즐기고 신나고 재미있는 서비스”를 모토로 하고 있는 SK커뮤니케이션.. 더보기 정보통신망법, ‘종합정보보호법’으로 확대개정 정통부, 개인정보보호·이용자보호·망 보안 분리 초고속인터넷 시대의 법률인 ‘정보통신망법’이 방송통신시스템보호법, 개인정보보호법, 정보통신망 이용자보호법 등 3개 법률로 분리, 확대된다. 정보통신부는 IT기술의 발달로 제기된 정보통신망법의 한계를 해결하기 위해 포괄적인 의미의 ‘정보보호법’을 제정하고 개인정보 보호, 이용자 보호, 망 보호 등으로 분리하기로 했다. 우리나라는 ‘정보통신 강국’이라는 자부심에도 불구하고 종합적인 정보보호법이 없어 정보시스템과 이용자가 피해를 당해도 법을 통해 구제를 받지 못하는 일이 발생했다. 정부는 이러한 문제를 해결하기 위해 개인정보와 이용자 보호, 정보통신 시스템의 안전성을 확보할 수 있는 ‘정보보호법’을 제정한다. 정보통신부는 인터넷·방송·통신 등 정보통신의 모든 분야.. 더보기 블루투스 모바일 기기「보안에 빨간 불」 블루투스는 그 편이성에 비해 상대적으로 보안성에 대한 인식은 가장 떨어지는 것으로 보인다. ============================================================================================================================ Lynn Tan ( CNET News.com ) 2007/09/27 블루투스를 이용한 무선 기능을 갖춘 모바일 기기가 급속히 보급되는 가운데, 유저는 이 기술의 보안 취약성에 대해 알 필요가 있다고 시만텍의 한 임원이 경고했다. 조사회사 인사이트익스프레스가 실시한 조사에 의하면, 모바일 기기 유저의 73%는 휴대 전화나 블루투스 기능을 가진 모바일 기기가 위험에 처할 가능성이 있는 보안상 문제에.. 더보기 보안 문제는「직원 책임」? Tim Ferguson ( CNET News.com ) 2007/08/27 유럽의 중소기업 IT 관리자들은 온라인 보안 위반에 대해 동료 직원들을 비난하고 있지만, 대다수 중소기업은 웹 사용 정책을 실행하지 않고 있다. 보안 소프트웨어 기업 웹센스가 위탁한 연구에 따르면, 유럽 중소기업 IT 관리자의 4분의 1 이상이 보안 문제에 대한 책임이 회사 직원에게 있다고 밝혔다. IT 관리자에게 가장 실망스러운 문제는 (보안을 의식하지 않는) 직원 행동이며(관리자의 3분의 1 가량이 인용했다), 기업 일정에 걸맞게 견고하지 않은 보안과 예산상의 제약 요인이 뒤를 이었다. 이번 조사 결과 직원의 3분의 1 가량은 P2P 서비스와 무료 소프트웨어 다운로드 사이트와 같이 보안 위험이 높은 것으로 알려진 사이트에 대한.. 더보기 버린 PC에서 정보가 센다 20개 기사를 저장할 수 있습니다. 보안의 취약점은 항상 사소한 것을 간과하는 데서 발생한다... 가까운 주위를 살피자... ^^ ================================================================================= 김태정 기자 ( ZDNet Korea ) 2007/08/24 혹 시 수명이 다한 PC를 아무 조치 없이 폐기 했는가? 만약 중요한 정보가 남았다면 큰 낭패를 볼 수 있다. 이를 노리는 ‘정보 유출자’들이 상당수 존재하고 있기 때문이다. 파일을 나름 삭제했다 해도 특화된 솔루션을 사용하지 않았다면 얼마든지 복구, 악용될 수 있다. 2004년 KAIST가 발표한 ‘개인정보 유출실태 보고서’에 따르면 인터넷경매를 통해 구매한 41개 PC.. 더보기 SQL 서버 2005 보안 가이드 1 안전한 데이터베이스를 위한 보안 기법 최인규 | 필라넷 DB 사업부 기업들은 몇 번의 사고를 경험한 후에야 보안의 필요성을 인식하게 된다. 보안을 위한 턴키는 없으며, 다만 자신의 계층에서 최선을 다하면 될 것 이다. 물리적인 취약점이 존재하더라도 자신의 데이터베이스를 충실히 관리하는 장인정신이 필요하다. 현실에서의 데이터베이스 보안 핵심은 장인정신을 가진 관리자를 양성하는 것이 아닐까 생각해 본다. 얼마 전에 SQL 서버 2005가 출시되었다. 많은 회사에서 SQL 서버를 2005 버전으로 업그레이드할 것이고, 이에 따라 관리자는 새로운 기능을 익혀야 하며 알아야 할 사항도 많아졌다. 새로운 기능, 보안, 가용성, 성능 등에서 5년의 세월동안 SQL 서버가 진화했기 때문이다. 개인정보보호법에 DB시스템.. 더보기 이전 1 다음
