본문 바로가기
반응형

분류 전체보기264

남북공동선언 악용한 북한 해킹 공격 사례 지난 정권과 다르게 정권이 바뀐 뒤로 남북 관계가 이전 같지 않은데요. 최근 6.15 남북공동선언 22주년 통일정책포럼 발제문으로 위장한 피싱 공격이 진행 중이라고 하니 조심하셔야할 것 같습니다. 어렸을 때부터 남북 통일이 되어야한다고 배워왔던 세대로서 이 주제에 대해서는 항상 조심스럽게 접근하고 있었는데, 북한 해커 조직에서 이와 관련하여 피싱 공격이 지속적으로 발견되고 있어서 저도 이런 메일이 오면 별 생각없이 열어볼 것 같은데, 오늘은 이 부분에 대해 말씀드리고자 합니다. ​ 이번 공격의 경우 통일이나 외교, 안보 분야 종사자들을 타겟으로 해서 보낸 것으로 보이는데요. 이번 피싱 메일의 경우 새 정부의 대북통일정책 방향을 언급하고, 남북 평화를 위해 준비된 통일정책포럼 내용을 포함고 있다고 합니다... 2022. 7. 7.
OLE 개체 기능 악용한 APT 한글 문서 사례 얼마 전에 MS 오피스에서 발견된 취약점을 이용하여 만든 문서를 열기만 해도 악성코드에 감염될 수 있다는 내용을 "MS 오피스 제로데이 취약점 사례"에 대해서 설명드린적이 있었습니다. 이런 공격들은 이전까지 발견하지 못한 공격이기 때문에 패치가 나오기 전까지는 대응을 할 수 없다고 말씀드렸는데요. 그런데 최근 유행하고 있는 문서형 악성코드가 꼭 새로운 취약점만 가지고 만들어지는 건 아니죠. 기존에 문서에서 제공하는 기능들을 가지고 악성 행위를 할 수 있는데, 오늘은 한글 문서가 제공하는 OLE 개체 연결 삽입 기능을 이용한 문서형 악성코드에 대해 설명드리도록 하겠습니다. ​ 여러분들도 익숙하게 알고있는 한컴에서 만든 한글이라는 프로그램은 굉장히 오래전부터 사용되어 왔죠. 지금도 학교에서 과제를 하거나 대.. 2022. 7. 6.
U-48) 패스워드 최소 사용기간 설정 이번에 다뤄볼 내용은 "패스워드 최소 사용기간 설정"이라는 항목입니다. 저번에 설명드린 "​U-47) 패스워드 최대 사용기간 설정"과 한 단어만 빼고 동일하기에 같은 항목이 아닌가라고 생각하실 수도 있는데요. 심지어 패스워드 최대 사용기간을 설정하면서 최소 사용기간도 설정해야한다는 말 자체가 역설적으로 느껴질 수도 있습니다. 하지만 해당 항목도 어느 정도 의미가 있어서 점검 항목에 포함된 것이기 때문에, 자세한 이유는 아래서 설명하도록 하고 우선은 취약점 개요에 대해 정리하고 넘어가도록 하겠습니다. 이전 글을 읽으시고 패스워드 최대 사용기간 설정에 대한 점검을 하실 줄 알게 되셨다면, 이번 항목은 정말 쉬울거라고 생각합니다. 다만 패스워드 최대 사용기간 설정이 있음에도 불구하고, 최소 사용기간은 왜 존재.. 2022. 7. 3.
U-47) 패스워드 최대 사용기간 설정 지난 글인 "U-46) 패스워드 최소 길이 설정"에 이어서 이번에는 "패스워드 최대 사용기간 설정" 점검 항목에 대해 설명하도록 하겠습니다. 이번 항목도 점검 방법이나 조치 방법이 저번 항목과 굉장히 비슷하기 때문에 언급하는 내용들이 크게 다르진 않겠지만, 패스워드 최대 사용기간을 왜 설정해야 하는지와 ISMS 심사에서 해당 항목의 판단 기준이 맞지 않는다면 정말로 결함을 주는지 등 실제 컨설팅 사례에 대해서도 말씀드려보겠습니다. 그럼 우선 취약점 개요에 대해 간단히 정리하고 넘어가보도록 하죠. 이번 점검 항목의 핵심은 패스워드 최대 사용기간이 설정되어 있는지의 여부입니다. 앞에서 패스워드 복잡성 설정이나 계정 잠금 임계값 설정을 통해서 어느 정도 무작위 대입을 방지할 수 있다고 말씀드렸었죠. 그런데 패.. 2022. 7. 2.
보안 컨설팅 업무 회고 작년 8월 개발 직무로 다니고 있던 회사를 퇴사한 후, 올해 3월에 보안 컨설팅이라는 업종으로 직무를 전환하여 새로운 회사에 입사하였다. 올해 3월에 "퇴사 후 6개월 간의 회고록"이라는 입사를 하고 나서 이러한 일을 할 것 같다라고 적으면서 거의 한탄만 늘어놓은 글을 작성한 적이 있었는데, 생각했던 것보다 일이 재밌기도 하고 많은 것을 배워서 첫 프로젝트 투입 후 두달 간의 기록을 남겨 놓고자 글을 쓴다. 퇴사 후 6개월 간의 회고록 작년 8월 다니던 회사를 퇴사하고 거의 6개월 동안 백수 생활을 하면서 지냈다. "퇴사 준비"라는 제목으로 올린 글을 쓴 이후로 정말 오래간 만에 일상 글을 쓰게 되었는데, 심적으로 정말 힘든 jaysecurity.tistory.com 위의 글에서는 쉬는 동안 ISMS 인.. 2022. 6. 30.
애플 M1 프로세서 시스템 권한 탈취 취약점 사례 애플이라고 하면 사과라는 영어 단어로만 알고 있던 어렸을 때와 다르게, 지금은 맥북이나 아이폰을 만드는 세계적인 기업이자 미국의 시가총액 1위 기업으로 아시고 계실텐데요. 물론 저는 아직까지도 스마트폰이나 맥북을 한 번도 사용해보지 않았습니다. 사실 개발과 보안을 주 업으로 삼은 입장에서 폐쇄적인 정책과 좀 더 정교한 보안 체계 때문에 맥북을 써볼까도 했지만, 그래도 여전히 익숙한 윈도우가 좀 더 사용하기 좋기 때문이었죠. 그런데 최근 맥북에 탑재된 M1 프로세서에 설계 오류로 인한 시스템 권한 탈취 취약점이 발견되었다고 하는데요. 오늘은 과거 인텔의 CPU 취약점과 비슷하면서도 조금 다른 애플 M1 프로세서의 취약점에 대해 이야기드리도록 하겠습니다. ​ 아마 맥OS가 설치된 맥북을 보안 때문에 사용하시.. 2022. 6. 26.
U-46) 패스워드 최소 길이 설정 오늘은 주통기 점검 가이드의 46번째 항목인 "패스워드 최소 길이 설정"에 대해 이야기해 보고자 합니다. 사실 이번 항목은 "U-02 패스워드 복잡성 설정"에서 어느 정도 말씀드려서 크게 설명드릴 것은 없다고 생각되는데, 설정 파일의 위치나 옵션에 대한 이야기는 하지 않았기 때문에 해당 부분을 중점적으로 간략히 언급하도록 하겠습니다. 그리고 해당 취약점을 스크립트로 구성할 때 점검하는 방법과 어떻게 조치를 해야하는지까지 보도록 하죠. 그러면 우선 취약점 개요에 대해 짧게 정리해보겠습니다. 취약점 개요를 보시면 이번 항목은 설명할 필요가 없을만큼 정말 간단한데요. 패스워드 복잡성 설정 점검에서 말씀드렸던 것처럼, 패스워드 길이가 짧으면 짧을수록 Brute Force 공격에 의해 시도될 수 있는 경우의 수가.. 2022. 6. 25.
개인정보보호법 개정안 핵심 개인정보 전송요구권 최근 보안 컨설팅을 진행하면서 제일 많이 보게 된 법이 흔히 개보법이라고 부르는 개인정보보호법 인데요. 사실 컨설팅을 하기 전에는 개인정보보호법이 있다고만 알고 있었지, 해당 법이 정확히 어떤 법이고 어떻게 하면 법을 위반하는 건지 잘 몰랐었습니다. 이 개인정보보호법이 굉장히 중요하다는 것을 이제서야 알게 되었는데, 이 법이 제정되기 전에는 특정 사이트에서 회원가입을 하더라도 비밀번호와 같은 중요한 정보가 암호화되지 않은 채로 데이터베이스에 저장되기도 했고, 지금은 특정 법률이 적용되지 않는 이상 처리할 수 없는 주민등록번호도 저장하는 경우도 더러 있었습니다. 이 개인정보보호법 덕분에 개인정보가 법적으로 보호 받을 수 있도록 된 것인데, 오늘은 근래 국회에서 발의된 개보법 개정 사항 중 핵심인 "개인정보.. 2022. 6. 23.
U-45) root 계정 su 제한 이번 글에서는 주통기 점검 가이드의 45번째 항목인 "root 계정 su 제한"에 대해 다뤄보도록 하겠습니다. 개정 전 가이드에서는 6번째로 나와있던 점검 항목이면서 계정 관리 부분에 포함된 부분이죠. 오늘 설명드리는 항목도 지난 "U-44) root 이외의 UID가 '0' 금지" 항목처럼 일반 계정의 root의 권한을 사용할 수 없도록 점검하는 것과 비슷한 맥락으로 보시면 됩니다. 이번에는 이전에 언급하지 못했던 리눅스의 권한 체계와 그룹 계정에 대해서 설명드릴텐데, 일단 점검 항목에 대해 개요를 간단하게 정리하도록 하겠습니다. 점검 내용을 보시면, su 명령어를 사용할 수 있는 사용자 계정을 지정한 그룹이 존재하는지 점검한다고 써있죠. 리눅스에서 su 명령어는 한 번씩 써 보셨겠지만 "Switch U.. 2022. 6. 19.
반응형

티스토리툴바