| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
- OpenCV
- 이미지자르기
- 웹스크래핑
- AI
- CBI면접
- 파이썬
- 롯데그룹
- 모의면접
- PT면접
- 롯데모의면접
- 클레어키건
- 롯데그룹모의면접
- RAY
- rayframework
- 머신러닝
- 롯데
- 웹크롤링
- selenium
- 이미지크롤링
- 병렬프로그래밍
- 셀레니움
- 파이참
- beautifulsoup
- opencv를이용한이미지자르기
- 크롤링
- 면접
- JBLY
- 웹크롤러
- 이처럼사소한것들
- 롯데인재개발원
- Today
- Total
아리아 날다
1장. 공격과 위협에 대한 오해와 진실(I) 본문
p.18
해킹은 쉽게 당할 수 있고, 해킹은 잘 탐지되지 않으며, 해킹 사실은 잘 보고되거나 공개되지 않는다. “우리 회사에서는 사고가 없었다”라고 하는 진정한 의미는 “우리 회사는 이미 사고가 수도 없이 났지만 탐지를 못한 것” 이거나 “설령 탐지를 해도 담당자가 보고를 하지 않은 것” 일 수도 있다.
p.41
사람들은 자신이 정한 기준을 한 번 깨고 나면 더 이상 자기 행동을 통제하려 하지 않는다. 그리고 그때부터는 부정행위나 범죄의 유혹에 이전보다 훨씬 쉽게 넘어간다. 그러므로 초기 단계의 작은 유혹에 넘어가는 것은 매우 위험하다.
p.51
대응방안
첫째, 보안 정책을 수립하고 점검 리스트를 만들어야 한다.
둘째, 웹 사이트(서버)를 보호하기 위한 다양한 보안 설정 및 패치를 수행해야 한다.
셋째, 자신의 기업의 사이트에 대해서 공격자가 하는 것과 동일하게 테스트를 해야한다.
구글 검색을 직접 수행하며, 몇 가지 툴(gooscan, athena, sitedigger 등)을 활용하여 자신의 기업 사이트가 얼마나 취약한지 점검한다. 마지막으로 민감한 데이터가 노출되어 있다면 구글 데이터베이스에서 제거하도록 한다.
p. 54
최신 공격자들은 전화로 자신을 가장할 뿐 아니라 메일로도 가장한다. 대담하게도 보안부서 직원의 메일을 도용해서 공격 대상이 되는 직원에게 메일을 보내기도 한다.
p.58
웹 전용 보안시스템이 강력하게 구축되어 있고, 보안 관리가 강한 기업도 철저한 보안을 지키기 어렵다. 그 이유는?
첫째, 네트워크나 서버 등의 보안대책은 표준화되어 있다. 그러나 불행히도 웹애플리케이션에 대한 보안대책은 표준화되어 있지 않다. 실제 웹사이트를 만드는 언어는 매우 다양하고, 다양한 언어에 따라 구현되어야 하는 보안 대책이 각기 다르다.
둘째, 웹애플리케이션의 사후 보안은 어렵다. 네트워크나 서버 장비들은 설치해 놓은 후에 보안을 적용해도 큰 문제가 없다. 그러나 웹애플리케이션은 그렇게 하기 어렵다.
웹애플리케이션이 만들어지기 위해서는 일반적으로 ‘분석’. ‘설계’, ‘코딩’을 거쳐야 한다. 안전한 애플리케이션이 되기 위해서는 이러한 과정 하나하나에 보안이 반영되어야 하지만 지금까지 국내에서는 이러한 과정을 무시해왔다.
(애플리케이션 보안에 ‘프로세스’라는 표현을 사용하기도 한다. 개발 프로세스 상에서 보안이 같이 연결되어야만 보안문제가 해결되지 일회성 취약성 점검이나 대책으로 해결이 불가능하다는 것을 의미)
셋째, 애플리케이션 변경은 자주 일어난다. 초기에는 안전했던 사이트가 시간이 지나면서 매우 허술한 사이트로 변할 수 있다.
넷째, 사각지대가 존재한다.
⇒ 보안전문가, 업무부서원, 개발자들이 같이 모여서 위협 시나리오를 도출해야 한다.
p.62
공격자들이 pc를 공격한다는 의미는 무엇일까?
- 불특정 다수를 타깃
- 주소 사람들이 많이 방문하는 사이트 자체에 악성코드를 심어놓거나 사람들이 많이 다운로드 받는 콘텐츠에 악성코드를 심어놓음
- 특정 대상을 타깃
- APT(Advanced Persistent Threat)
- 공격자가 특정 개인의 PC에 침투하려는 경우도 있고, 특정 시스템을 해킹하기 위한 전초 단계로 경로가 되는 PC를 장악하려는 경우도 있다.
p.70
기업은 배포 시스템을 잘 관리해야 한다. 이 시스템의 인증, 권한 관리 등 위험을 평가해야 한다. 보안회사들도 당연히 주의해야 하고 자신들이 보낸 소프트웨어임을 입증해 주어야 한다.
p.72
해커들은 랜 스캐너, 무선 스니퍼, 암호 크랙 프로그램, 기타 공격도구들로 무장하여 이러한 무선접속환경을 마음껏 해킹하고 도청할 수 있다.
그들이 가장 흔하게 사용하는 방법 중 하나는 해커 자신의 AP를 만들어 사용자들로 하여금 그곳에 접속하게 하는 것이다.
또한 기업의 임직원들이 기업 내에서 임의로 활성화시킨 AP 기능에 해커가 접속하여 회사 내부망에 침투할 수도 있다. 기업 내에서 직원들이 임의로 AP기능을 만드는 것은 너무도 쉬워졌다. 때로 편의성을 위해, 때로 실수로 이러한 경우가 발생한다.
이 경우 해커는 이 기능에 접속하여 손쉽게 기업의 보안 시스템을 우회하여 기업의 내부망에 침투할 수 있다.
p.76
피싱(phising)은 private data와 fishing을 조합한 말로 전자우편이나 메신저를 사용해서 신뢰할 수 있는 사람이나 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 등의 개인 정보를 얻어내거나 금전적이득을 획득하려는 방법 중 하나이다.
p.79
“네가 진짜 너라는 것을 증명해봐라”라는 요구들에 집중하고 있었다. 이에 사용자들에게 복잡한 패스워드를 요구하고, 엄청난 보안시스템을 설치하기를 요구해왔으며, 공인인증서를 사용하라는 등 각종 요구를 해왔다.
…
많은 사용자들은 간단한 금융거래를 하기 위해 수많은 보안 프로그램을 설치
…
자신의 PC에 무언가 설치되는 것에 대해서 심각하게 받아들이지 않게 되었고 이렇나 현상이 국내에서 악성코드들이 더욱 기승을 부리게 된 원인 중 하나라고도 말하고 있다.