본문 바로가기
반응형

Security Essay210

사용자 계정을 보호하는 2차 인증의 중요성 이번 글에서는 이전에 해킹 피해를 당하지 않으려면 필수적으로 설정해야 한다고 말씀드렸던 2단계 또는 2차 인증의 중요성에 대해 리마인드 차원에서 다시 한 번 설명드려볼까 합니다. "개인정보를 이용한 크리덴셜 스터핑 공격"에서 해커가 특정 사이트를 해킹해서 탈취한 계정 정보를 바탕으로 다른 사이트에 그대로 아이디와 패스워드를 넣어서 로그인을 한다..라고 말씀을 드렸죠. 저희가 사이트마다 다른 아이디와 패스워드를 만들어 가입하고 일일이 기억하기에는 어렵기 때문에 이는 어쩔 수 없는 부분이다..라는 것까지 말이죠. 그래서 이로 인해 발생하는 피해를 줄이기 위해서는 2차 인증을 필수적으로 해야한다라고도 설명드렸습니다. ​ 보통 2차 인증을 설정해놓으면 등록된 PC를 제외하고 로그인을 할 때마다 보안 코드를 받게.. 2021. 6. 11.
네이트 개인정보 유출한 스니핑 사례 오늘은 꽤 오래전에 발생했던 네이트의 개인정보 유출 사건에 대해서 말씀드려볼까 합니다. 벌써 10년전 일인데요.. 그때는 고등학생이기 때문에 내 정보가 유출되든 말든 지금과 같이 보안에는 딱히 관심도 없었는데, 오히려 그래서 개인정보 유출에 있어서 비교적 안전(?)했었던 아이러니한 일이 있었죠. 이게 무슨 말인지는 오늘의 주제인 스니핑과 함께 차근차근 설명드리도록 하겠습니다. ​ 자.. 그럼 일단 네이트 개인정보 유출 사건에 대해 설명드릴텐데, 사실 이 내용은 "페이스북 개인정보 유출 사례"와 동일할 것으로 생각됩니다. 어떤 취약점을 이용했는지 나와있지는 않지만 보나마나, 웹 서버에서 접근제어를 제대로 안했다던지, 관리자 계정의 기본 패스워드를 바꾸지 않아서 해서 해커가 쉽게 권한을 얻었거나.. 파일을 .. 2021. 6. 10.
비트코인 계좌 해킹 사례 일하기 싫은 월요일이 돌아왔군요. 그래도 먹고 살려면 어쩔 수 없으니.. 이번주도 힘을 내서 달려보도록 하겠습니다. 이번주 첫 에세이에서 말씀드릴 내용은 이전에도 한 번 말씀드린 적이 있었던 "암호화폐 거래소를 노린 피싱 사례"와 거의 비슷한 내용인데요. 이번에 소개드릴 기사는 보안 뉴스 같은 전문 채널이 아닌 좀 더 내용을 전달하고 있는 네이버 뉴스에서 가져와봤습니다. 그럼 이전 내용을 복습한다는 느낌으로 컴팩트하고 명료하게 전달하고 마치도록 해보죠. ​ 최근에 몇몇 분들이 가지고 있던 암호화폐가 사라지는 일이 발생해서 뉴스에 나왔었죠. 그때는 단순히 신고된 사건을 경찰과 KISA(한국인터넷진흥원)에서 수사 중이라고만 해서, 아무래도 피싱 관련 공격이 아니었을까 했었는데 제 예상 그대로 였습니다. 따지.. 2021. 6. 7.
오픈소스 취약점 의존성 문제 이번주는 주말이 금방 지나가는 것 같습니다. 요즘 계속해서 생각하는건데, 별로 한건 없는데 시간은 잘가는.. 그런 씁쓸한 느낌은 지울 수가 없군요. 자.. 한탄은 접어두고, 오늘은 보안보다는 개발에 초점을 맞춘 사례를 다뤄보고자 합니다. 처음에 제목을 '오픈소스 취약점 디펜던시 문제'로 잡았다가, 영어 발음을 그대로 쓰기엔 처음보는 분들이 이해가 어려울 것 같아서 '의존성'으로 바꿨는데요. IT 업계에 있다보면 한국어로 번역하지 않고 영어 그대로 써야 그 단어 자체의 느낌을 전달할 수 있는 용어들이 꽤 많죠. 그래도 이 글에서는 쉽게 풀어서 말씀드리는게 목적이기 때문에 영어 발음을 그대로 가져다 쓰는 것은 웬만해서 지양하도록 하겠습니다. 그럼 금주의 마지막 글을 시작해보죠. ​ 개발이나 보안 공부를 처음.. 2021. 6. 6.
보안 사고와 주가의 관계 오늘은 주말이기도 해서 평소와는 다른 주제인 '보안 사고와 주가의 관계'에 대해 준비를 해봤습니다. 여기서 말하는 주가는 우리가 알고 있는 주식 가격이 맞구요. 저도 주식을 하고 있는 한 사람으로써 '특정 기업이 보안 사고로 인해 개인정보가 유출되거나 하면 그 기업의 주가에 영향을 미칠까?'라는 질문의 답은 무엇일지 궁금했었죠. 그래서 이번 기사를 가져왔는데.. 여기서 설명드리는 내용은 코스피나 코스닥이 아닌, 나스닥에 상장된 주식을 기준으로 말씀드리는 점을 인지하고 보시길 바랍니다. ​ 일단 결론부터 말씀을 드리면, 보안 사고가 터졌을 때 우리가 생각하는 것 만큼 영향을 많이 끼치지는 않는다..라고 합니다. 제가 생각하기에는 랜섬웨어 공격이나 개인정보 유출로 인한 보안 사고가 터지면, 엄청난 주가 하락.. 2021. 6. 5.
브랜드를 사칭하는 스푸핑 공격 사례 오늘은 브랜드를 사칭하는 사례인 브랜드 스푸핑(Spoofing)이라는 공격에 대해 설명드려볼까 합니다. 여기서 말하는 브랜드는 우리가 아는 삼성, LG 같은 브랜드가 맞구요. 스푸핑이라는 개념 자체는 원래 네트워크 기반 공격에서 자주 나오는 내용인데요. 네트워크 공격 기법 중 하나인 DDoS는 "패킷 디도스 공격 사례"이미 한 번 설명드리긴 했지만, 자세하게 말씀드리지는 않았기에 별도로 공부를 하시지 않으셨다면 감을 잡기는 힘드셨을거라 생각합니다. 아마 이제 막 보안이나 네트워크를 공부하시는 분들이라면, 스니핑이니 스푸핑이니 하이재킹이니 하는 기법을 접하실텐데요. 오늘은 이 중 해커가 만든 가짜 사이트인데 실제 사이트인 것처럼 속여서 피해자의 정보를 빼내는.. 스푸핑에 대한 개념을 간단한 설명과 함께 기.. 2021. 6. 4.
악성코드를 검사하는 바이러스 토탈 벌써 6월이라니 정말 실감이 안나는군요. 왜 이렇게 시간은 빠르게 지나가는지, 거기다 왜 주말은 더 빨리 지나가는 건지 아쉬운 마음이 드는 아침입니다. 그래도 이틀만 버티면 주말이니 힘내서 오늘의 에세이를 시작해보죠. 원래 이번주는 다양한 랜섬웨어에 대해 설명드리려고 했는데요. 본격적인 랜섬웨어에 대한 기사를 설명드리기 앞서서, 다운로드 받은 파일이 악성코드인지 쉽게 판단하는 방법에 대해 먼저 말씀드리고 넘어갈까 합니다. 자.. 그럼 시작해보죠. ​ 보통 저희 PC에는 V3나 알약과 같은 안티 바이러스와 같은 백신이 하나쯤은 설치되어 있을 겁니다. 만약 그렇지 않다면 빨리 일반적인 백신을 설치하길 권장드립니다. 물론 윈도우 운영체제 자체에서 Windows Defender같은 보안 소프트웨어를 내장하고는 .. 2021. 6. 3.
유출된 이메일을 사용한 피싱 공격 사례 이번주부터 점차 날씨가 더워지는 듯 하다가도 비가 오니 또 선선해지는군요. 이러다가 갑자기 폭염이 올거 같긴 한데, 올해는 그렇게 많이 덥지 않았으면 하는 바람입니다. 이번 글에서 말씀드려볼 내용도 피싱에 관한 내용입니다만.. 피싱 자체를 다루기 보다는, 해커들이 내 정보를 어떻게 알고 이런 피싱 메일들을 보내는지에 대해 초점을 맞춰서 설명드려 보겠습니다. ​ "개인정보를 이용한 크리덴셜 스터핑 공격"에서 이런 말씀을 드렸었죠. 여러분들이 가입한 사이트의 서버가 해커에 의해 해킹 당하게 된다면, 해당 서버에 있는 정보들은 다크웹에 업로드 된다.. 즉, 다크웹 같은 어둠의 경로를 통해서 해커들 사이에서 공유가 된다..라는 의미입니다. 물론 계정정보가 들어있는 해당 서버의 DB에 암호화가 잘 되어있다면 서버.. 2021. 6. 2.
암호화폐 거래소를 노린 피싱 사례 최근 암호화폐 투자 열풍이 거세게 불고 있죠. 저도 2017년 쯔음 큰 돈은 아니지만 어느 정도 투자를 했었는데, 한번 폭락을 겪은 뒤로 묻어 놓고 3년이 지난 지금 다시 올라가나 싶어서 탈출 계획을 세웠지만 다시 폭락하고 있더군요. 어느 정도 올랐을 때 탈출했어야 했는데, 좀 더 오르겠지 기다리다가 또 탈출 타이밍을 놓쳐버린.. 이래서 사람의 욕심은 끝이 없다고하나 봅니다. 자 각설하고, 오늘은 암호화폐 거래소 계정을 노린 피싱 사례에 대해서 간략하게 설명해보겠습니다. ​ "네이버를 사칭한 피싱 메일 공격"를 말씀드렸을 때와 동일한 케이스로 보셔도 무방합니다만, 조금 신기한 것은 특정 기업의 로그인 페이지로 위장하고 있는데 피해자가 URL을 클릭하면 공격대상 메일 주소가 로그인 폼에 자동으로 입력이 되.. 2021. 5. 31.
반응형

티스토리툴바