딜라이트닷넷

취약점

[창간기획] ‘오펜시브 시큐리티(Offensive Security)’의 부상

이유지의 안전한 네트워크 세상 15.09.23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷] 국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다. ‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다. 몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바…

[창간기획①] 그레이해쉬 “공격 기술을 알아야 방어도 할 수 있다”

이유지의 안전한 네트워크 세상 15.09.23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷] 그레이해쉬는 ‘오펜시브 리서치’의 전문성을 전면에 내세운 대표기업이다. “공격 기술을 알아야 방어할 수 있다”는 철학을 바탕으로 작년 6월 설립됐다. 신생업체이지만 국내외에서 해커 이승진 대표의 활약상은 이미 잘 알려져 있다.이승진 그레이해쉬 대표는 “공격 기술을 알아야 방어도 가능하다. 새로운 공격기법이 끊임없이 개발되고 기존 보안 솔루션을 우회한 공격이 이뤄지는 상황에서는 공격자 입장에서 하는 연구가 필수적이다”며 ‘오펜시브 리서치’의 중요성을 이같이 설파했다.…

[창간기획②] 블랙펄시큐리티 “해킹 경험이 보안수준 향상에 기여, ‘오펜시브’ 보안 활성화 필요”

이유지의 안전한 네트워크 세상 15.09.23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷]“방어기법을 개발하기 위해서는 공격기법을 연구해야 한다. 이는 단순히 특정 기업이나 기관의 문제가 아니라 국가 차원의 사이버보안 수준에 영향을 미친다.”블랙펄시큐리티의 공동 창업자인 심준보 기술이사(CTO)는 ‘오펜시브 시큐리티’의 필요성을 이같이 강조하면서 기업은 물론, 국가 차원에서도 이 분야가 좀 더 활성화될 수 있도록 노력 기울여야 한다고 견해를 밝혔다. 그 이유로 심 이사는 “해커들로부터 실제 공격 받는 경험을 갖는다는 것은 아주 값지다. 향후 방어를 위한 정책을…

[창간기획③] NSHC “‘창’은 예방 조치, 사후대응하는 ‘방패’만으로는 보안 부족”

이유지의 안전한 네트워크 세상 15.09.23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷]NSHC는 모바일 백신, 모바일 앱 위변조 방지, 앱 난독화, 키보드 입력 보안 솔루션을 공급하고 있는 모바일 보안 전문기업이다. 국내 금융사와 공공기관, 게임사 등에 모바이 보안 제품을 활발히 공급해 왔다.최근에는 모바일 게임 보안에 특화된 ‘지엑스쉴드(GxShield)’와 핀테크 통합 보안 솔루션인 ‘에프엑스쉴드(FxShiedl)’를 선보이면서 제품군도 대폭 확대했다.모바일 백신, 앱 위협조 방지, 앱 난독화, 키보드 입력보안 제품으로 구성된 대표 제품군인 ‘드로이드엑스(Droid-X 3.0)’는…

[창간기획①] 클라우드로의 긴 여정, SW 업체들의 변화

백지영 기자의 데이터센터 트랜스포머 15.09.22 19:15

추석 연휴가 지나면 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)’이 시행된다. 관련 업계는 이에 대비하기 위한 준비로 분주하다. 특히 클라우드 발전법은 공공분야의 빗장을 풀었다는 점에서 의미가 깊다.  1만5000여개에 달하는 국내 공공기관이 클라우드 서비스를 활용할 수 있는 법적 근거가 마련되면서 업계에서는 공공분야가 클라우드 산업 활성화의 마중물 역할을 할 것으로 기대한다. 공공기관 이외에도 의료와 금융 등 그동안 사실상 클라우드 서비스가 제한돼 있던 분야까지도 관련 법제도…

'정보보호산업진흥법' 하위법령 제정안 공청회 전문가 의견

이유지의 안전한 네트워크 세상 15.09.16 14:09

오는 12월 23일 시행하는 ‘정보보호산업의 진흥에 관한 법률(정보보호산업진흥법)’ 하위법령 제정안 공청회가 15일 삼성동 코엑스에서 열렸다. 미래창조과학부는 지난 6월 제정된 정보보호산업진흥법은 시행을 앞두고 후속작업에 박차를 가하고 있다. 이 법 하위법령인 시행령과 시행규칙 제정안을 마련해 지난달 28일부터 입법예고에 들어갔다. 이번 공청회도 관련 의견을 수렴하기 위해 마련한 자리다. 이날 토론회에는 정준현 단국대 교수가 좌장을 맡았으며, 박춘식 서울여대 정보보호학과 교수와 이경호 고려대 정보보호대학원 교…

공유기에 제로데이 취약점 ‘잔뜩’…반드시 펌웨어 업데이트 해야

이민형 기자의 인터넷 일상다반사 15.01.22 15:34

사진제공 : 이슈메이커스랩, 레드얼럿국내에서 판매되고 있는 인터넷공유기에 제로데이(0day) 취약점이 가득한 것으로 조사됐다. 제로데이 취약점은 보안업데이트가 발표되지 않은 상황에서의 취약점을 뜻한다.이러한 제로데이 취약점은 자동화된 공격도구에 적용되며, 공격도구는 인터넷공유기를 해킹해 파밍 등의 2차 공격을 실시하도록 탈바꿈시킨다. 22일 이슈메이커스랩과 NSHC 레드얼럿팀은 최근 인터넷공유기를 해킹하는 공격도구를 분석한 결과를 발표했다.공격도구는 중국어로 돼 있으며, 주요 기능은 ▲공유기 암호 임의 변경…

“내년 사물인터넷 위협 높아질 것”

이민형 기자의 인터넷 일상다반사 14.11.28 15:17

2013년이 대규모 해킹의 해, 2014년이 하트블리드(Heartbleed), 셸쇼크(Shellshock)와 같은 초대형 취약점들로 보안 위협이 심화된 해였다.내년에는 새로운 보안 위협을 양산하고 취약점을 악용하려는 이들과, 이러한 보안 위협에 맞서는 이들 간의 대결 구도, 이른바 ‘창과 방패’의 싸움이 더욱 심화되는 해가 될 것으로 전망된다.또한 사물인터넷(IoT), 모바일, 클라우드 등 IT 환경의 발전으로 새로운 범주의 보안 위협이 등장할 것으로 예상된다.시만텍이 발표한 ‘2015년 보안시장 전망 Top 10’에 따르면, ▲스마트 홈을 겨냥한…

[딜라이트닷넷 창간기획] 사물인터넷 활성화, 선결과제는 보안

이민형 기자의 인터넷 일상다반사 14.09.30 07:00

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.각종 센…

[딜라이트닷넷 창간기획] 사물인터넷 센서 통신을 보호하라

이민형 기자의 인터넷 일상다반사 14.09.30 07:01

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.각종 센…

안드로이드 기본 브라우저가 위험하다

이민형 기자의 인터넷 일상다반사 14.09.17 16:07

구글 안드로이드 4.4 이전 버전에 탑재된 기본 브라우저(AOSP 브라우저)에서 크로스사이트스크립팅(XSS) 결함에 따른 취약점이 발견됐다.이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)가 무력화되는 문제가 발생한다.SOP는 월드와이드웹 컨소시엄(W3C)에서도…

아이클라우드 해킹에 사용된(?) ‘브루트포스’ 공격은 무엇?

이민형 기자의 인터넷 일상다반사 14.09.02 09:52

제니퍼 로렌스, 케이트 업튼 등 미국 유명 셀럽(연예인)들에게 지난달 31일(현지시각)은 악몽의 하루였을 것이다. 자신의 누드사진들이 외부 해킹에 의해 대외적으로 노출됐기 때문이다. 셀럽들이 누드사진을 찍는 것은 일상다반한 일이지만 문제는 당사자가 원하지 않았음에도 노출됐다는 점이다.애플, 아이클라우드 해킹 사고 자체 조사 시작1일(현지시각) 애플은 이번 해킹에 사용된 아이클라우드 취약점을 패치하고 자체적인 조사에 착수했다. 아직까지 어떤 해킹 수법이 사용됐는지는 알려지지 않은 상황이다.일부 IT, 보안업계에서…

2013년 글로벌 보안 시장은 5% 성장…국내는 절반 수준

이민형 기자의 인터넷 일상다반사 14.08.26 15:39

전세계 보안SW 시장이 2012년 190억 달러에서 2013년 4.9% 성장한 199억 달러로 조사됐다. 가트너는 이같은 성장세가 이어져 올해는 더 큰 폭으로 성장할 것으로 예측했다.가트너의 8월 보고서를 살펴보면 올해 전세계 정보보안 지출이 2013년 대비 7.9% 늘어난 711억 달러에 이를 것이며, 그 중 내부정보 유출방지(DLP) 분야 지출이 18.9% 로 가장 빠른 성장세를 보일 것으로 전망된다. 2015년 전체 정보보안 지출 규모는 8.2% 더 성장해 769억 달러에 달할 전망이다.특히 모바일, 클라우드, 소셜 및 정보 관련 기술 도입이 늘어나면서,…

차세대 결제 수단, 웨어러블 기술 각광?

이상일 기자의 IT객잔 14.08.22 10:49

지문, 홍체 등 신체 인식과 웨어러블 기기 중 무엇이 차세대 지불결제 수단으로 대두될 수 있을까?최근 여신금융협회가 발표한 ‘지불결제기술의 발전과 대중화 요건’ 보고서에서 이러한 점을 분석해 주목받고 있다. 앞서 간편 결제 등 새로운 결제 서비스가 시장에 나오면서 본인인증 수단에 대한 다양한 연구가 진행되고 있다. 실제로 최근 금융결제원이 바이오정보 관리센터 테스트베드 구축에 나서 바이오 정보에 대한 인증 및 안정성 여부를 확인하기로 했다. 특히 향후 금융결제망과 연동을 전제로 추진되는 사업인 만큼 생체정보…

보안 업데이트의 생활화가 해킹사고 막는다

이민형 기자의 인터넷 일상다반사 14.08.20 08:52

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.피싱 클라이언트는 사용자의 일회…