반응형 Security Essay210 애플의 앱 추적 투명성 도입 오늘은 지금까지 설명했던 악성코드 이슈가 아닌 프라이버시.. 즉 개인정보 보호에 대한 이야기를 드릴까 합니다. 여태까지는 기술적 보안 측면의 내용들만 소개시켜 드렸는데 너무 또 한쪽으로 치우쳐져 있으면 안될 것 같기도 하고, 최근 보안에서 중요한 화두가 데이터 3법, GDPR, 마이데이터(MyData)처럼 개인정보를 보호하는게 이슈가 되고 있기 때문에 이번에는 관리적 보안 측면에서 내용을 소개드리도록 하죠. 이번에 가져온 기사는 애플에서 앱 추적 투명성(App Tracking Transparency, ATT)을 도입했다는 이야기를 담고 있는데, 재미없을 수 있겠지만 최대한 관심이 갈 수 있게 내용을 풀어보도록 하겠습니다. 우선 왜 최근에 개인정보 보호가 화두가 되고 있는지 먼저 말씀드려보도록 할텐데요. .. 2021. 5. 30. 개인정보 유출 채팅 앱 사례 오늘은 스마트폰에서 개인정보를 유출하는 채팅 앱 사례에 대해 소개드리고자 합니다. 이번 글에서는 개인정보 유출에 포커스를 맞추기 보다는 스파이웨어라는 개념을 소개하기 위해 글을 썼다고 보시면 좋을 것 같습니다. 여기에 더해서 오늘은 안드로이드에서 악성 앱을 판단하는 기준에 대해서도 같이 설명드리도록 하죠. 자.. 그럼 스파이웨어부터 설명드리겠습니다. 다들 스파이웨어라는 건 대강 알고 계시겠지만, 스파이웨어와 비교되는 애드웨어와 헷갈리는 분들도 계실겁니다. 우리가 알고 있는 스파이(Spy)는 상대편에서 아군인 척 위장하여 기밀 정보를 몰래 빼내는 사람을 의미하죠. 그래서 스파이웨어는 Spy와 Software의 합성어로 피해자의 컴퓨터 정보나 개인정보를 수집하는 악성코드를 이야기합니다. 보통 애드웨어(A.. 2021. 5. 28. 영화 토렌트 불법 다운 시 악성코드 감염 사례 이번 글에서는 토렌트를 사용하시는 분들이라면 당하실 수도 있는 사례를 소개해보려고 합니다. 원래 토렌트라는게 파일 공유를 위해서 만들어진건데.. 사실상 불법 다운로드에 많이 사용되고 있죠. 이 때문에 처벌받는 경우도 많지만 여전히 많은 사람들이 영화나 다양한 프로그램들을 다운로드 하는데 사용합니다. 여기서 불법이니 그러면 안된다를 논하자는 건 아니고요. 많은 사람들이 사용하기 때문에 해커 입장에서는 토렌트가 좋은 먹잇감이 되고 있는 현실을 이야기하고자 합니다. 토렌트로 공유되는 파일 안에 악성코드를 심어놓고 배포하는.. 이런 사례에 대해 설명해 보도록 하죠. 토렌트를 써보시지 않으셨거나 아시지만 정확히 어떤 원리로 동작하는지 모르시는 분들을 위해, 토렌트의 간단한 동작 방식 정도만 설명하고 넘어가 보.. 2021. 5. 27. 패킷 디도스 공격 사례 이번 에세이에서는 앱(애플리케이션) 레벨에서의 공격이 아닌 네트워크 레벨에서의 공격에 대해서 다뤄보겠습니다. 지금까지는 스마트폰에 악성 앱이 설치되거나, 피싱 사이트에 접속해서 정보가 유출되는 앱 레벨에서 발생하는 공격에 대해 말씀드렸죠. 처음부터 우리와 먼 이야기보단 친숙한 부분부터 말씀드리는게 좋을 것 같아, 네트워크와 관련된 공격 사례는 우선순위가 뒤로 밀렸습니다. 그래도 저희가 컴퓨터를 사용하는 한 디도스와 같은 공격도 피해갈 수 없기 때문에 이번에 소개드려보겠습니다. 여기서 설명드리는 애플리케이션, 네트워크 레벨이라는 말은 네트워크를 처음 배울 때 나오는 OSI 7계층에서의 각 계층을 의미한다고 생각하시면 될 것 같습니다. 네트워크를 처음 공부하시거나 잘 모르셔도 제가 앞으로 쓸 글에서 쉽게.. 2021. 5. 26. 전문가를 타겟으로 한 스피어피싱 사례 오늘 갈무리해볼 기사는 이전 글인 "회계법인을 사칭한 스피어피싱 공격"에서 소개드린 내용과 비슷한 사례입니다. 여태까지는 '보안뉴스' 매체의 기사만 인용했었는데 이번에는 '데일리시큐'라고 하는 매체에서 괜찮은 내용이 있길래 가져와 봤습니다. 자.. 그럼 오늘도 짧게 정리해보도록 하죠. 어제 말씀드린 스피어피싱에 대해 짧게 요약하자면.. 불특정 다수가 아닌, 특정한 개인이나 기업을 대상으로 한 일종의 피싱 공격이라고 설명드렸습니다. 그래서 해커가 좀 더 공들여서 사전에 정보를 수집한 후 공격하기 때문에, 일반 피싱보다는 더 정교한 방식이다..라는 점을 강조했죠. 그리고 이번에 설명드릴 내용에는 사람의 심리를 이용한 방법도 추가되어 있어서, 알고계시면 이런 악성 메일에 속지 않을 가능성이 높아지지 않을까.. 2021. 5. 25. 기업을 타겟으로 한 펌웨어 해킹 오늘 말씀드릴 주제는 펌웨어 공격에 관한 내용입니다. 사실 애플리케이션이나 운영체제 보안에 대한 부분은 잘 설명드릴 수 있어도 펌웨어 쪽은 잘 모르는 분야이기 때문에, 쉽게 설명드릴 수 있을지 모르겠지만 펌웨어라는 개념에 대해 말씀드리고자 가져와봤습니다. 자.. 그럼 시작해보죠. 먼저 펌웨어가 무엇인지에 대해 간단하게 알아보겠습니다. 보통 저희가 처음 컴퓨터를 배울 때는 하드웨어(Hardware)와 소프트웨어(Software)로 나눠서 배우셨을 겁니다. 하드웨어는 CPU, 메모리, 키보드, 모니터 등.. 눈에 보이는 것으로 배웠을테고, 소프트웨어는 물리적으로 존재하지 않고 하드웨어에서 저장되면서 실행되는 프로그램들로 배웠었죠. 덧붙여서 하드웨어와 소프트웨어 사이에 인터페이스를 운영체제라고 배웠을 겁니.. 2021. 5. 24. 회계법인을 사칭한 스피어피싱 공격 오늘은 정말 짧고 간단하게 스피어피싱 공격에 대해서 설명드리려고 합니다. 사실 앞에서 "네이버를 사칭한 피싱 메일 공격"과 "4차 재난지원금 스미싱 공격 사례"에 대해 이미 설명드렸기 때문에 스피어피싱까지 설명하기에는 너무 지엽적이지 않나 싶은데요. 하지만 보안 기사와 같은 시험에도 자주 나오는 용어이기 때문에 알아두시면 도움이 되실 것 같아서 말씀드리도록 하겠습니다. 앞서 설명드린 피싱, 스미싱과 함께 자주 등장하는 스피어 피싱(Spear fishing)은 낚시를 하는 분들은 아시는 용어일텐데요. 사전에서 찾아보면 스노클이나 작살 같은 장비를 사용해서 수면 근처에서 즐기는 낚시라고 나와 있죠. 이 스피어피싱은 앞서 설명드린 피싱이나 스미싱과 다르게 불특정 다수가 아닌, 특정 개인이나 기업을 대상으로.. 2021. 5. 23. 송유관 업체 랜섬웨어 감염 사례 오늘은 이전부터 계속 말씀드린다고 했었던 랜섬웨어에 대한 이야기를 해보려고 합니다. 원래 랜섬웨어에 대한 내용을 시리즈로 쓰겠다고 했었는데 생각보다 많이 늦어졌군요. 보안 사고는 지금도 터지고 있기 때문에 쓸만한 주제는 굉장히 많기 때문인데요. 오늘도 다른 보안 이슈를 설명드릴까 하다가 마침 미국에서 송유관을 마비시킨 사건도 있고 해서 이를 기반으로 다뤄보도록 하겠습니다. 초반에 썼던 글인 "정상 소프트웨어로 위장한 랜섬웨어 감염 사례"에서 랜섬웨어는 데이터를 암호화하여 이를 인질로 삼아, 몸값을 요구하는 악성코드다..라고 설명을 드렸었는데요. 불특정 다수를 노리고 정상 파일인척 위장한 랜섬웨어를 이메일이나 피싱 사이트로부터 다운로드 받아 실행하도록 유도한다고 말씀드렸죠. 그런데 최근에는 해커들이 개.. 2021. 5. 22. 입사지원서로 위장한 랜섬웨어 공격 이번 에세이에서는 입사지원서로 위장한 랜섬웨어 사례에 대해 설명드리려고 합니다. "정상 소프트웨어로 위장한 랜섬웨어 감염 사례" 글에서 랜섬웨어에 대한 가장 기본적인 내용을 말씀드렸는데, 오늘도 어렵지 않은 선에서 설명드리면서 알고 있으면 도움이 될만한 기술적인 내용도 담아보도록 하겠습니다. 우선 랜섬웨어에 대해 간략히 리마인드 하자면.. '데이터를 인질로 잡아 몸 값을 요구하는 악성코드'라고 설명을 드렸었죠. 여러분 PC에 있는 파일들을 모두 암호화 한 후, 비트코인과 같은 암호화폐를 요구하는 놈이다..라고 생각하면 충분하다고 설명드렸고요. 이 랜섬웨어에 걸리려면 '메일의 첨부파일로 온 파일이나 특정 사이트에서 다운로드 받은 파일을 실행시켜야 한다'라는 전제 조건이 붙는다는 것까지 말씀드렸습니다. .. 2021. 5. 21. 이전 1 ··· 19 20 21 22 23 24 다음 반응형