[News] 랜셈웨어 - 이메일(Email) 첨부파일로 랜셈웨어 파일 유포 조심!!! ■ 아래의 그림처럼 김석우(seok2254@nate.com) 으로 온 메일입니다. - 제목 : 제품 문의 합니다. - 내용 -> 첨부와 같이 제품 견적문의 합니다. -> 확인 부탁 드립니다. - 첨부파일 : 제품문의.egg -> 알집으로 압축되어 있고 압축 풀면 제품문의.pdf 라는 파일이 나옴. ※ 해당 메일 받으시면 고민하지 마시고 삭제 하시길~!!! 파일 바이러스 체크 사이트 : https://www.virustotal.com VirusTotal www.virustotal.com 위의 사이트에 들어가서 파일 첨부해주면 70여개의 백신으로 부터 바이러스 검사해줌. 아래의 그림 참조(위의 첨부파일 검사한 것임.) ※ ..

워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 공격예방을 위한 조치툴 공개! 출처: http://blog.alyac.co.kr/1096 [알약 공식 블로그] ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853 문의 사항 남기기

[Network 보안] 계정관리 - 암호화된 패스워드 사용 ■ 대상 : Cisco, Passport, Juniper ■ 취약점 개요 - 네트워크 장비의 패스워드는 디폴트로 평문 텍스트 형태로 저장되기 때문에 설정파일 유출 시 패스워드도 함께 노출 - 평문으로 저장되어 있을시 해독될 가능성이 쉬워 정보에 대한 유출 위험이 있으므로 모든 패스워드를 암호화하여 저장하도록 설정을 변경해야 함 ■ 보안대책 - 양호 : 패스워드 암호화 설정이 적용된 경우 - 취약 : 패스워드 암호화 설정이 적용되어 있지 않은 경우 ■ 조치방법 - 패스워드 암호화 설정 적용 ■ 보안설정 방법 ◆ 대상 장비별 점검 방법 - Cisco Router@ show running-config 1. Enable Secret 사용 확인 2. Pa..

[Network 보안] 계정관리 - 패스워드 설정 ■ 대상 장비 : Cisco, Alteon, Passport, Juniper, Piolink ■ 취약점 개요 - 네트워크 장비의 초기 설정 패스워드를 변경하지 않고 사용하는 경우 비인가자의 불법적인 접근이 가능하며, 기본 패스워드는 인터넷상에서 검색을 통해 노출되어 있어 비인가자의 관리자 권한획득이 가능함 - 네트워크 장비의 초기 설정 패스워드는 반드시 변경 설정하여야 함 ■ 보안대책 - 양호 : 장비 접속 패스워드를 변경, 설정하여 사용하는 경우 - 취약 : 장비 접속 패스워드가 설정되어 있지 않거나, 초기 설정 패스워드를 사용하는 경우 ■ 보안설정 방법 ◆ 대상 장비별 점검 방법 - Cisco Router# show running-config Enab..

[Network 보안] 계정관리 - 보안장비 Default 계정 변경 ■ 대상 장비 : 방화벽, IPS, ,IDS, VPN 등 보안장비 ■ 위험도 : 상 ■ 취약점 개요 - 디폴트 로그인 계정은 장비 제조업체에서 출고 시 설정되어 나오는 기본 계정정보를 의미 - 각 제조사의 장비별 디폴트 계정 리스트는 인터넷 등을 통해 쉽게 구할 수 있으며 악의적인 사용자가 이러한 디폴트 계정을 이용하여 불법적으로 방화벽 장비에 접근할 수 있고, 시스템 침입 경로를 제공하는 등 일반적인 정보시스템 침해사고보다 심각한 피해를 초래할 수 있음 ■ 보안대책 - 양호 : 장비에서 제공하고 있는 디폴트 계정명을 변경하여 사용하는 경우 (ID 변경이 불가능 할 경우 패스워드로 보완 필요) - 취약 : 장비에서 제공하고 있는 디폴트..

[보안 해킹] PC 유지관리 - 윈도우의 감시기능 무력화시키는 프로그램 프리웨어입니다. 윈도우7/8.1/10 에는 MS사에 사용자의 정보를 수집, 서버로 전송하는 기능이 있습니다. 그래서 러시아의 한 단체(저는 잘모름)에서 이를 스파이 기능으로 판단하고MS에 사용자의 정보를 보내는 기능를 차단하는 프로그램을 만들었습니다.개인적으로 느낀 점은 윈도우가 가벼워진 느낌이네요.웹셔핑은 조금 빨라진 느낌이구요. 물론 개인적인 생각입니다.^^ 프로그램명 : Destroy Windows Spying사이트 : http://dws.wzor.net/ (여기서 다운받으세요.) 기능은1. High efficiency (고효율)2. Disable/Enable Windows Update3. Remove spying apps4. ..

[보안 해킹] 개인정보 암호화 적용 사례 - 저장시 암호화 ■ 응용프로그램 자체 암호화 방식 ◆ 적용 환경 - 적용분야 : 공공기관 - 업무종류 : OO기관 대국민 서비스 - 개인정보보유량 : 약 9천3백만 건 ◆ 적용 사유 - 차세대 시스템으로 새로운 응용프로그램 개발이 필요함 - 기존 DBMS에서 플러그인을 제공하지 않음 ◆ 적용 구성도 응용프로그램 자체 암호화 방식의 적용 구성도 ◆ 주요 특징 - 암·복호화 작업이 다수의 어플리케이션 서버로 부하 분산 - 암호화 컬럼 크기 증가에 따라 관련 응용프로그램 인터페이스의 변경이 필요 - 암호화 후 DB 서버의 성능 저하는 적으나, 일부 질의에서는 색인 처리불가로 응용프로그램 코드의 변경이 요구 - 암호화 컬럼 크기 증가에 따른 DB 서버 디스크 및 주기억..

[보안 해킹] 개인정보 암호화 적용 사례 - 전송시 암호화 ■ 웹서버와 클라이언트 간 암호화 사례 ◆ 아파치(Apache) 웹서버를 이용한 SSL 방식의 설정 - 대표적인 오픈소스 웹서버 소프트웨어인 아파치에서 설정파일인 'httpd.conf'를 변경하여 SSL/TLS를 설정할 수 있다. 이 설정파일에는 공인인증서의 위치, 서버용 인증서 위치, 공개키와 개인키의 위치 등이 들어가며 SSL/TLS에서 사용하는 암호 알고리즘을 정해준다. ◆ 웹브라우저가 SSL 방식으로 웹서버에 연결된 경우 과 같이 웹브라우저 주소창 또는 하단의 상태표시줄에 자물쇠 표시가 나타나게 된다. SSL 방식에서 나타나는 웹브라우저 자물쇠 표시 ■ 개인정보처리시스템 간 암호화 사례 ◆ 윈도우(Windows)에서 IPsec VPN 방식..

[보안 해킹] 개인정보 암호화 방식 - 저장시 암호화 ■ 개인정보처리시스템 암호화 ◆ 개요 ⊙ 개인정보를 처리하고 관리하는 개인정보처리시스템은 DB에 저장된 개인 정보를 암호화하여 저장함으로써 개인정보의 변경, 파괴 및 유출을 방지 해야 한다. ⊙ 개인정보처리시스템의 DB를 암호화할 수 있는 방식은 암·복호화 모듈의 위치와 암·복호화 모듈의 요청 위치의 조합에 따라 [표 1]과 같이 구분할 수 있다. [표 1] 개인정보처리시스템 암호화 방식의 구분방 식 암·복호화 모듈 위치 암·복호화 요청위치 주요내용 응용 프로그램 자체 암호화 어플리케이션 서버 응용 프로그램 - 암·복호화 모듈이 API 라이브러리 형태로 각 어플리케이션 서버에 설치되고, 응용프로그램에서 해당 암·복호화 모듈을 호출하는 방식- DB 서버..

[보안 해킹] 개인정보 암호화 방식 - 전송시 암호화 ■ 웹서버와 클라이언트 간 암호화 ⊙ 웹서버와 클라이언트 간 개인정보 전송시 암호화를 위하여 공인인증기관이 발급한 서버 인증서를 설치한 보안서버를 사용하는 방식으로 웹브라우저에 기본적으로 내장된 SSL/TLS 프로토콜로 접속하는 SSL 방식과 웹브라우저에 보안 프로그램을 설치하여 접속하는 응용프로그램 방식으로 구분할 수 있다. ⊙ SSL 방식은 웹페이지 전체를 암호화(웹페이지내 이미지 포함)하며 응용프로그램 방식은 특정 데이터만을 선택적으로 암호화할 수 있지만, 보안서버와 웹브라우저에 부가적인 프로그램을 설치해야 한다. ⊙ 공공기관에서는 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 우선 적용해야 한다. ■ SSL 방식 ⊙ SSL 방식은 전송 계층..

[보안 해킹] 홈페이지 보안 취약점 점검 ■ 무료 취약점 점검 - KISA에서 중소기업들을 상대로 무료로 웹 취약점 점검을 실시하고 있다. ■ 웹 취약점 점검이란? - 웹 취약점 점검 서비스는 SQL injection, Cross site scripting 등의 취약점을 원격으로 점검해 주는 서비스 - 점검 결과는 보고서로 제공 해 주며 발견된 취약점을 보완하여 웹사이트의 보안을 강화할 수 있다. - 점검은 오탐지/미탐지의 가능성이 있으며, 점검 결과는 어떠한 증빙자료로도 사용 할 수 없다. ■ 이용대상 - 해당 KISA에서 제공하는 서비스는 중소기업기본법 제2조에 해당하는 중소기업에 제공된다. ■ 신청방법 - 아래 해당 사이트에 가서 신청서를 작성하면 된다. - 주소 : http://www.boho.o..

[보안 해킹] 홈페이지 개발 보안 - 주석을 통한 정보 노출 ■ 취약점 설명 - 소스코드 주석문에 민감한 정보(개인정보, 시스템 정보 등)이 포함되어 있는 경우, 외부 공격자에 의해 패스워드 등 보안 관련 정보가 노출될 수 있는 취약점 ■ 보안대책 ⑴ 디버깅 목적으로 주석 ID, 패스워드, 시스템 관련정보 등 보안관련 정보는 개발완료 후 제거 필요 ■ 코드예제 - 디버깅 등의 목적으로 주석문에 관리자 아이디, 패스워드 기술한 형태의 코딩 - 프로그램 개발 시 주석문 등에 남겨놓은 사용자 계정이나 패스워드 등의 정보는 개발 완료 후 삭제조치 하도록 코딩 ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853 문의 사항 남기기

[보안 해킹] 홈페이지 개발 보안 - 취약한 패스워드 복구 ■ 취약점 설명 - 패스워드 복구 메커니즘(아이디/비밀번호 찾기 등)이 취약한 경우 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구 되는 취약점 ■ 보안대책 ⑴ 사용자를 식별하기 위한 수단 활용 시 그 사용자의 유일한 값 사용 ⑵ 사용자 본인인증 메커니즘 구현 시 추측이 불가하게 구현 ⑶ 임시 패스워드 발급 시 안전한 난수 값 사용 ■ 코드예제 - 사용자 본인확인 인증 시 아이디로만 인증하는 형태의 코딩 - 사용자 본인확인 인증 시 아이디와 이메일을 활용하여 검증 ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853 문의 사항 남기기

[보안 해킹] 홈페이지 개발 보안 - 취약한 암호화 알고리즘 사용 ■ 취약점 설명 - 중요정보를 암호화하기 위해 사용되는 방법이 인코딩(또는 암호화)을 하는데 취약한 인코딩 방법(예 : base64) 및 암호화 알고리즘(예 : RC2, RC4, RC5, MD4, SHA1, DES 등)을 사용할 경우, 공격자가 해독기 가능하여 중요정보가 노출될 수 있는 취약점 ■ 보안대책 ⑴ 개인정보 등 중요정보를 보호하기 위해 사용하는 암호 알고리즘[참고] 적용시, IT보안인증 사무국이 안전성을 확인한 검증필 암호모듈 사용 패스워드 생성 보안 로직 권고사항※ 출처 : 암호 알고리즘 검증기준 Ver 2.0 (2012. 3), 암호모듈 시험기관(IT 보안인증 사무국) ■ 코드예제 - 메세지(msg)를 취약한 DES 알고리즘..

[보안 해킹] 홈페이지 개발 보안 - 쿠키변조 ■ 취약점 설명 - 웹 서비스에서 사용자 인증 등 중요기능 구현 시 쿠키를 활용할 경우 공격자의 패킷스니핑을 통해 해당 쿠키가 탈취되어 타 사용자로 로그인이 가능해지는 취약점 ■ 보안대책 ⑴ 사용자 인증 등 중요기능 구현 시 가급적이면 Cookie 대신 Session 방식 사용 ⑵ 사용자 인증 등 중요기능 구현 시 Cookie(또는 Session) 방식 활용 시 안전한 알고리즘(SEED, 3DES, AES 등)을 사용 ■ 코드예제 - 쿠키를 생성하여 사용하고 있지만 암호화 하지 않고 평문으로 값을 사용하여 공격자가 해당 값을 조직하여 권한 상승이 가능한 형태의 코딩 - 아래의 코드는 쿠키를 생성 시 value 값을 받아들여 getEncrypt(AES 암호화)..

[보안 해킹] 홈페이지 개발 보안 - 데이터 평문전송 ■ 취약점 설명 - 중요정보와 관련된 민감한 데이터 (개인정보, 비밀번호 등)를 평문으로 송수신 할 경우, 통신채널 스니핑을 통해 인가되지 않은 사용자에게 민감한 데이터가 노출될 수 있는 취약점 ■ 보안대책 ⑴ 중요정보와 관련된 민감한(개인정보, 비밀번호 등) 전송 시 통신채널(또는 전송데이터) 암호화 적용 ■ 코드예제 - 패스워드가 암호화 없이 네트워크를 통하여 서버로 전송되도록 코딩되어 공격자로 부터 패킷 스니핑시 노출 될 수 있는 취약한 코딩 - 패스워드를 네트워크를 통하여 서버에 전송하기 전에 암호화를 수행하도록 코딩 ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853 문의 사항 남기기

[보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리 ■ 취약점 설명 - 인증 시 마다 동일한 세션 ID가 발급되거나 세션 타임아웃을 너무 길게 설정하여 공격자가 세션을 재사용 할 수 있는 취약점 ■ 보안대책 ⑴ 세션 ID는 로그인 시 마다 추측할 수 없는 새로운 세션 ID로 발급 ⑵ 세션 타임아웃 설정을 통해 일정시간(최대 30분 이상) 동안 움직임이 없을 경우 자동 로그아웃 되도록 구현 ■ 코드예제 - 세션 유지 시간을 10000분으로 설정하여 세션 타임아웃 시간 설정이 의미가 없게 코딩되어 있으며, 중복 로그인을 허용하는 형태의 코딩 - 세션 유지 시간을 20분이내로 설정하고, 중복 로그인을 허용하지 않도록 코딩 ※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853..

[보안 해킹] 홈페이지 개발 보안 - 취약한 계정 생성 허용 ■ 취약점 설명 - 회원가입 시 안전한 패스워드규칙이 적용되지 않아, 무차별 대입법 공격 등에 의해 공격자에게 패스워드가 노출될 수 있는 취약점 ■ 보안대책 - 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성규칙을 강제 할 수 있는 로직 적용 패스워드 생성 보안로직 권고사항분 류 내 용 패스워드 생성규칙 - 세가지 종류 이상의 문자구성으로 8자리 이상의 길이- 두가지 종류 이상의 문자구성으로 10자리 이상의 길이 패스워드 생성 금지규칙 - 간단한 문자(영어단어 포함)나 숫자의 연속사용은 금지- 키보드 상에서 일련화 된 배열을 따르는 패스워드 선택금지- 사전에 있는 단어, 이를 거꾸로 철자화한 단어 사용 금지- 생일, 전화..

[보안 해킹] 홈페이지 개발 보안 - URL/파라미터 변조 ■ 취약점 설명 - 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 구현하여 공격자로 하여금 값을 변조하여 중요정보에 접근 가능해지는 취약점 ■ 보안대책 ⑴ 중요한 정보가 있는 페이지(계좌이체 등)는 재 인증 적용 ⑵ 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL이나 ESAPI의 보안 기능 등)를 사용 ⑶ 응용프로그램이 제공하는 정보와 기능을 역할에 따라 배분함으로써 공격자에게 노출되는 공격노출면(attack surface) 최소화 ⑷ 사용자의 권한에 따른 ACL(Access Control List) 관리 ■ 코드예제 - 계좌이체 시 사용자 인증을 위한 별도의 접근제어 방법이 사용되지 않고 있으며, 이는 임의 사용자의 정보를 외부..

[보안 해킹] 홈페이지 개발 보안 - HTTP 응답분할 ■ 취약점 설명 - HTTP 요청에 들어 있는 인자값이 HTTP 응답헤더에 포함되어 사용자에게 다시 전달 될 때 입력값에 CR(Carriage Return)이나 LF(Line Feed)와 같은 개행문자가 존재하면 HTTP 응답이 2개 이상으로 분리되어, 공격자는 개행문자를 이용하여 첫 번째 응답을 종료시키고, 두번째 응답에 악의적인 코드를 주입하여 XSS 및 캐시 훼손(Cache Poisoning) 공격 등이 가능한 취약점 ■ 보안대책 ⑴ 외부에서 입력된 인자값을 HTTP 응답헤더(Set Cookie 등)에 포함시킬 경우 CR, LF 등의 개행문자를 제거 ■ 코드예제 - 공격자가 "Wiley Hacker\r\nHTTP\1.1 200 OK\r\n"를 ..