반응형 전체 글264 U-44) root 이외의 UID가 '0' 금지 오늘 말씀드릴 리눅스 서버 취약점 점검 항목은 "root 이외의 UID가 '0' 금지"라는 항목입니다. 아무래도 리눅스 시스템의 권한 체계나 파일의 소유자에 대해 자세하게 공부하시 않으셨다면, 해당 제목만 보고 어떤 것을 점검하는 것인지 잘 와닿지 않으실 수 있는데요. 좀 더 명확한 점검 항목 제목은 "root 계정 이외의 User ID가 0이 아닌 계정 존재 유무 점검"이라고 해야지 조금 더 정확할 것 같습니다. 저번 글에서 말씀드린 /etc/passwd 파일 점검에 이어진 내용으로 보시면 될 것 같은데 먼저 취약점 개요에 대해 정리를 해보죠. 저번 점검 항목이었던 "U-04) 패스워드 파일 보호"에서 /etc/passwd의 구조를 설명드리면서, UID와 GID에 대해 짧게나마 말씀드린적이 있었죠. 다.. 2022. 6. 18. U-04) 패스워드 파일 보호 이번 글에서는 리눅스 서버 취약점 점검의 4번째 항목인 "패스워드 파일 보호"에 대해서 설명드리겠습니다. 오늘 말씀드리는 건 학부에서 운영체제나 리눅스에 대한 과목을 듣다보면 공부할 수 있는 부분이라고 생각하는데요. 이 항목은 옛날 운영체제가 아니라면 발견되지 않는 부분이기도 하고, 일부러 취약하게 만든게 아니라면 문제가 되지 않기 때문에 점검 항목 자체보다는 리눅스 패스워드 파일에 대한 기본적인 내용을 주로 다루겠습니다. 특히 정보보안기사에서 /etc/passwd의 구조에 대해 설명하라는 문제가 꽤 나오기 때문에 알고 계신다면 자격증을 공부하는데 많은 도움이 될 거라고 생각합니다. 이번 점검 항목은 설명할 "U-07) /etc/passwd 파일 소유자 및 권한 설정", "U-08) /etc/shadow.. 2022. 6. 16. 보안 솔루션 사칭 안드로이드 악성코드 사례 최근에는 계속해서 매크로를 이용한 문서나 윈도우 도움말 같은 새로운 형태의 악성코드를 포함한 피싱 메일에 대해 많이 설명드렸는데요. 과거부터 지금까지 윈도우 운영체제를 많이 사용하고 있기 때문에 한쪽으로 치우친 면이 없지 않아 있었는데, 오늘은 오랫만에 안드로이드 악성코드에 대해 말씀드리려고 합니다. 사실 악성코드 증가 폭은 윈도우보다 안드로이드 운영체제에서 더 크게 나타나는데, 그 이유가 계좌 조회나 이체 업무를 모바일뱅킹에서 하다보니 금융 정보와 같은 해커들이 노리는 정보가 스마트폰에 더 많이 저장되기 때문이죠. 이번에 말씀드리는 안드로이드 악성코드 사례도 은행들이나 증권사 같은 뱅킹 앱으로 위장한 케이스인데 이 부분에 대해 설명드리도록 하겠습니다. 제가 5년 전 대학원에서 안드로이드 악성코드에 .. 2022. 6. 12. U-03) 계정 잠금 임계값 설정 이번에는 리눅스 서버 취약점 점검의 세번째 항목인 "계정 잠금 임계값 설정"에 대해서 소개해보도록 하겠습니다. 이 부분은 이전 "U-01) root 계정 원격접속 제한"과 "U-02) 패스워드 복잡성 설정"에 대해 설명하면서, 대부분 패스워드 무차별 대입 공격은 계정 잠금 임계값 설정에 의해서 방어가 된다고 말씀을 드렸었죠. 계정 잠금 임계값 설정을 가장 간단히 생각해볼 수 있는 상황은 저희가 인터넷뱅킹에서 로그인을 할 때 입니다. 계좌 이체를 해야할 일이 있을 때 보통 웹이나 모바일에서 인터넷뱅킹에 접속해서 아이디와 패스워드 또는 공인인증서를 가지고 로그인을 하죠. 그런데 가끔 로그인에 실패했을 때 5회 이상 패스워드를 다르게 입력하면 서비스 이용이 제한된다는 경고창을 보셨을거라고 생각합니다. 패스워드.. 2022. 6. 11. 밀리의 서재 해킹으로 인한 개인정보 유출 사례 어렸을 때는 도서관이나 서점을 굉장히 많이 갔던 것 같은데, 나이가 들고 나서는 잘 가지 않을 뿐만 아니라 책도 많이 읽지 않는 것 같습니다. 대학생 때만 하더라도 공부를 할 때 두꺼운 전공책을 사서 필요한 부분을 읽고는 했었는데, 이제는 워낙 인터넷에 정보들이 많이 있다보니 그럴 필요가 없어졌기 때문인데요. 특히 전자책(e-Book)이 점차 대중화된 이후로는 서점에서 종이책을 사는 것보다 인터넷 서점에서 전자책을 사는 것을 선호하게 되었죠. 그런데 최근 전자책 대여 서비스가 활성화 됨과 동시에 해당 서비스에서 개인정보 유출과 같은 보안 문제가 붉어졌는데, 오늘은 밀리의 서재 서비스에서 발생한 개인정보 유출 사례에 대해 다뤄보겠습니다. 밀리의 서재에서는 월정액으로 전자책을 대여해서 읽을 수 있는데, .. 2022. 6. 8. U-02) 패스워드 복잡성 설정 이번 글에서는 주통기 점검 가이드의 "패스워드 복잡성 설정" 점검 항목에 대해서 이야기해보고자 합니다. 이번 항목은 지난번 다뤘던 항목인 "01) root 계정 원격 접속 제한"에 비해서는 시스템 정책 측면이 강하기도 하고, 패스워드를 복잡하게 설정해야 해킹을 당할 확률이 낮아진다는 건 모두들 아실거라 넘어갈까 생각도 했었는데요. 제가 정보보안기사 시험을 봤던 해인 2018년에 실기 서술형에서 비밀번호 작성규칙이 출제되었는데, 여기에 나오는 패스워드 복잡성 설정과도 연관이 되어있어서 이 부분도 함께 언급하면서 간단히 정리를 해보겠습니다. 먼저 주통기 점검 가이드에 나온 취약점 개요를 간단하게 정리를 해봤습니다. 그런데 지금 KISA에 올라온 주통기 점검 가이드에서는 오타를 수정하지 않은 것인지 양호와 취.. 2022. 6. 6. U-01) root 계정 원격접속 제한 오늘부터 "주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드"(이하 주통기 점검 가이드)를 기반으로 각 취약점 점검 항목을 쉽게 풀어서 정리해보도록 하겠습니다. 사실 이런 내용들은 구글에 검색하면 이미 티스토리를 포함한 많은 블로그에서 다루고는 있지만, 주통기 점검 가이드의 점검 항목을 요약하거나 핵심만 정리한 글들이 많아서 제가 쓰는 글에서는 책을 읽는 느낌으로 좀 더 자세히 설명을 하고자 합니다. 물론 최근 트렌드가 필요한 정보만 딱 집어서 핵심만 전달하고 그런 글들이 인기가 많다는 것을 알고 있지만, 추후 책 집필도 염두해두고 있기에 제 경험을 살려서 나름대로 진행해보고자 합니다. 주통기 점검 가이드에서는 첫 번째 대단원으로 Unix 서버 보안을 다루고 있고, 그 안에 계정 관리와 파.. 2022. 6. 5. 주요정보통신기반시설 취약점 점검 가이드 Intro 제가 지금 하고 있는 업무인 보안 컨설팅을 하기 전부터 소위 주통기라고 부르는 "주요정보통신기반시설 취약점 분석 평가 상세 가이드"에 대해 정리를 하고 싶었습니다. 이전 회사에서 개발 업무를 진행하면서 실제 서비스를 운영하는 리눅스와 같은 웹 서버의 취약점 점검이나 오라클, MySQL과 같은 DBMS 점검 그리고 대부분 중요하게 생각하지 않고 넘어갈 수 있는 개인 PC 점검까지 해당 가이드의 도움을 많이 받았었는데요. 이 취약점 점검 가이드가 2017년 이후 작년 2021년에 한 번 더 개정되고, OT 보안이나 클라우드에 대한 내용이 추가되어 더 자세해진 반면 여전히 점검 목적이나 조치 방법에 대해서 설명이 너무 간단한 경우도 있죠. 그래서 보안 업체에서 처음 취약점 점검 업무를 하거나 기술적 컨설팅.. 2022. 6. 4. MS 오피스 제로데이 취약점 사례 이제 6월이 시작인데 생각보다 날씨가 많이 더워졌습니다. 온난화가 심해지면서 올해는 작년보다 더 더울거라고 하는데 걱정이 앞서는군요. 본격적인 여름이 시작되는 7월에는 예상만큼 너무 덥진 않기 바라면서, 이번 글에서는 MS 오피스의 제로데이 취약점 사례에 대해 말씀드릴까 합니다. 보안 이슈에 대해 계속 글을 쓰면서, 제로데이라는 단어를 제목에 쓴 적은 처음인 것 같은데요. 어떻게 보면 피싱 메일 사례에 속하기도 하겠지만, 이전에 계속해서 말씀드렸던 매크로를 이용한 문서형 악성코드와는 다르게, 문서를 열기만 해도 감염이 되는 취약점을 이용했기 때문에 오늘은 이 부분에 대해 자세히 설명드리도록 하겠습니다. 보통 피싱 메일은 해커가 메일을 받는 사람의 이목을 끌 수 있는 컨텐츠로 메일을 써서, 피싱 사이트.. 2022. 6. 2. 이전 1 ··· 12 13 14 15 16 17 18 ··· 30 다음 반응형
