Currently browsing: 보안칼럼

헬로 키티 해킹

헬로 키티, 너마저

키티가 털렸다. “Hello Kitty?” 아니, 나 전혀 헬로하지 않아,, T_T a 초월적 인기 캐릭터 ‘헬로 키티(Hello Kitty)’의 팬 커뮤니티 사이트 ‘산리오타운닷컴(Sanriotown.com)’의 이용자 330만 명의 정보가 유출되었다. 범죄 발견 경위도 예사롭지 않다. 인터넷상에 그냥 아무렇게나 덜렁 노출되어 있었던 것이다. 키티의 주인 ‘산리오닷컴(Sanrio.com)’의 안전에 대한 의혹도 있지만, 이에 대해 회사는 아무 […]

Read more
신용카드 보안

오프라인 신용카드 보안, 지갑에서 서버까지

  모든 정보보안 문제는 순전히 경제적 판단을 통해서만 제대로 풀어낼 수 있다. 즉, 정보가 가진 경제적 가치에 대한 판단 문제다. 보안을 통해 지키고자 하는 정보가 나에게 얼마나 중요한 정보인가? 얼마나 큰 값어치가 있나? 그리고 또 해커에게는 얼마나 매력적인 정보인가? 그리고 이를 모두 종합하면, 얼마나 비싼 정보인가? 정보를 지키는 일 […]

Read more
등대

불확실성 바다의 등대, 두 개의 그래프

22개 국가 50개 기업 경영자 대상 설문을 정리한 ‘Global Risk Survey 2014’에 따르면, 오늘날 기업 경영에 있어 가장 위험한 리스크 1위는 55%(3항 선택 시, 1항 선택은 29%)를 차지한 ‘경제 불확실성’, 2위는 50%(1항 선택 19%)를 차지한 ‘사이버 위협’이다.하지만 경영 일선에서는 그 두 항목의 순위를 바꿔 곤란함을 호소하는 경우가 많다. 불확실성이야 […]

Read more
sql 인젝션

아니? 뽐뿌가 SQL 인젝션에 무너졌다고?

미래창조과학부는 지난 9월 11일 발생한 ‘뽐뿌’ 웹사이트 침해사고 관련 민관합동조사단의 조사결과를 발표했다. 결과는, 정말 안타깝게도 SQL 인젝션을 통한 개인정보 탈취 사건이었다. 이건 무슨, 범죄 수법의 박물관도 아니고 어째서 이런 고색창연한 수법에 번번이 당하는가. ‘뽐뿌’는 주로 스마트폰을 판매하는 쇼핑몰 정보를 공유하는 인터넷 커뮤니티 사이트다. 2005년에 개장해 10년 동안 스마트폰 대중화에 […]

Read more
보안칼럼 028

탑재와 순응, 장사꾼들의 뻔뻔한 말장난

정보보안 업계의 기업활동, 특히 홍보, 힘들다. 상품 특성상 고객의 정체를 밝히지 못할 때가 많다. 상도 기본에 위배된다. 여기저기 많이 팔았다고 막 자랑하고 싶은데, 그렇게 대놓고 자랑을 해야 더 잘 팔릴 텐데, 그럴 수 없다. 홍보 담당자에겐 완전 뻘밭. 사실 고객 정체를 밝힌다더라도 달라질 건 없다. 어떤 제품을 사용한다는 사실이 […]

Read more
마이넘버 해킹

한국의 주민등록번호와 일본의 마이넘버

요 며칠 일본 마이넘버 제도의 정보보안적 안전성 관련해 우려하는 기사가 종종 보입니다. 이에 일본 현지 매체에 게재한 글을 옮깁니다. 좀 지나치게 정직하게 말하자면 정보보안, 나아나 모든 리스크 매니지먼트 업계는 사회의 공포를 먹고 삽니다. 그 공포가 현실이 됐을 때는, 이미 늦은 거죠. 그러니 공포는 이 업계의 밥줄이나 마찬가지입니다. 하지만 사실에서 […]

Read more
자동차 해킹

"자동차 해킹!" 기사 쓰나미에 대해

근래 갑자기 “자동차 해킹!” 기사들이 무슨 쓰나미처럼 막 쏟아졌다. 잠깐 조용하나 싶더니 “자동차 해킹, 또 성공!”이라며 또 요란하다. ‘자동차 해킹’ 구글링하면 10페이지쯤 쫙 깔린다. 이게 뭔 일이여? 살펴보니, 미국 IT 잡지 ‘Wired’의 저널리스트 Andy Greenberg와 전직 NSA 해킹 툴 전문가 등이 모여 기획한 폭로성 기사 때문. 이들은 예전에도 자동차 […]

Read more
보안칼럼

스타트업 웹사이트 보안의 기준, WAF

“바야흐로 본격 웹 시대, 웹 보안이 가장 중요하다!” 맨날 떠든다. 스스로도 사실 좀 질릴 정도다. 그럼에도 세상이 그 중요성을 제대로 알아주지 않으니 좀 섭섭하기도 하고 심신 피로하고 지친다. 그래도 꾹 참고 계속 떠들어야만 한다. 왜? 웹 보안은 정말 중요하니까! 곰곰이 생각해 봤다. 요즘 세상은 모든(!) 일이 인터넷, 즉 웹을 […]

Read more
cms

CMS+클라우드 사용자에게, 웹사이트란 무엇인가?

앞선 ‘완벽한 웹 보안’ 세 편을 통해 웹 서버를 직접 운용할 정도로 꽤 규모 큰 조직 입장에서의 웹 보안 방법에 대해 알아보았다. 하지만 웹 서버를 직접 운용하지 않는 개인 그리고 소규모 사업자는 뭘 어떻게 해야 하나? 언제 저 많은 것들을 다 하란 말인가? 방법을 알아보자. 먼저 다시 짚어보는 바, […]

Read more
보안칼럼 024

실제 현장에서 벌어지는, 실전 웹 보안

(‘완벽한 웹 보안, 어떤 것들이 필요한가?’에서 이어집니다.) 완벽한 웹 보안 3/3 앞선 두 편에서 웹 서비스 구축을 진행하기 전에 고려해야 할 이상적인 웹 보안 방법론의 요소에 대해 알아보았다. 하지만 이는 말 그대로 이상적인, 즉 원론적인 대응이라 이미 한창 웹 서비스를 하고 있는 개인이나 기업의 현실과는 다소간 괴리가 있을 수 […]

Read more