2014년 5월 30일 금요일

A technical view of the OpenSSL ‘Heartbleed’ vulnerability

A technical view of the OpenSSL ‘Heartbleed’ vulnerability

https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/W746177d414b9_4c5f_9095_5b8657ff8e9d/page/A%20technical%20view%20of%20theOpenSSL%20%E2%80%98Heartbleed%E2%80%99%20vulnerability

2014년 5월 29일 목요일

세미나: 국제 정보보호 관리체계 표준 ISO27000과 향후 진행 방향

국제 정보보호 관리체계 표준 ISO27000과 향후 진행 방향

SecurityPlus 회원을 위한 정보보호 관리체계 스터디를 다시 시작합니다. 정보보호 거버넌스, 프레임워크, 관리 체계, 성숙도 모델, 성과 관리 등 다양한 주제로 지속 진행될 예정이며, 금번 강의는 그 첫번째 오리엔테이션 성격으로 ISO27000 표준에 대한 강의를 겸해서 향후 진행 방향과 다루게 될 전체 내용에 대해서 개괄적으로 살펴 보는 시간을 갇도록 하겠습니다. 많은 관심과 참여 바랍니다.

http://onoffmix.com/event/28623

IBM X-Force 보안 동향 및 위험 보고서 2014년 1분기 한글 보고서

IBM X-Force 보안 동향 및 위험 보고서 2014년 1분기 한글 보고서

https://www.facebook.com/download/484602195007000/WGL03045USEN_kor.pdf

[설문 요청] 전사적 보안협업을 위한 핵심성공요인에 관한 연구

[설문 요청] 전사적 보안협업을 위한 핵심성공요인에 관한 연구

https://docs.google.com/forms/d/1_ivjid99UiZDOkACfSiWiG2WDe9S-L7gnusp5Ir3qMQ/viewform

2014년 5월 28일 수요일

2014 IBM Security Conference 발표자료 다운로드

아래한글 임의코드 실행 취약점 보안 업데이트 권고

아래한글 임의코드 실행 취약점 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21144

2014 암호여름학교

안녕하세요.

2014 암호여름학교가 6월 24일부터 27일까지 대전 국가수리과학연구소에서 열립니다.

학부생과 대학원생을 대상으로 암호 전반에 관련하여 국내 최고 전문가들의 강연이 준비되어있습니다.
암호 기초부터 응용까지 암호를 이해하려는 학생들에게 좋은 기회입니다.

참가비는 물론 사전등록한 학생들에게 식사와 숙박을 무료로 제공하고 있으니 관심있는 분들의 많은 참석 부탁드립니다.

* 암호학교일정: 6/24(화) - 6/27(금)
* 사전등록기간: 6월 9일까지
* 문의처: cryptosummer@gmail.com

자세한 사항은 홈페이지를 참조하세요.
http://open.nims.re.kr/events/summercrypt2014

해외 비즈니스 가능한 보안 솔루션 찾습니다. ^^

안녕하세요. 박형근입니다.

국내 보안회사의 해외 진출을 적극 응원합니다.

현재 해외 비즈니스가 가능하고, 하기 기능 요구사항에 대해
적절한 보안 솔루션을 갖고 있다고 생각하시는 분은 helpdesk@securityplus.or.kr 로 연락 주시기 바랍니다. 

A solution for a "Jump-Server or Secure Access Proxy with a Content Filter function", which would allow to block administrative access to customer data, which match specific patterns.

Desired solution: A device that scans all administrative traffic between client and Company should block the connection for "personal secret" data such as health information etc... and illegitimate administrative requests.  Key is to correctly identify "personal secret" data and/or illegitimate admin requests.

감사합니다.

2014년 5월 26일 월요일

[경력 채용 공고] 시스코 소스파이어 엔지니어

[경력 채용 공고] 시스코 소스파이어 엔지니어
- 10년 경력 부장급 (30대 후반 40대 초반)
- 영어 커뮤니케이션 가능자
- 상기 채용에 응하고자 하는 경력 분은 helpdesk@securityplus.or.kr 로 이력서와 자기/경력 소개서 보내 주시기 바랍니다. ^^

ITL 사이버보안 전문강사 모집 공고(~ 5월 30일)

ITL 사이버보안 전문강사 모집 공고(~ 5월 30일)

http://www.itlkorea.kr/notice/notice_view.php?No=1624

Cisco 다중 취약점 보안 업데이트 권고

Cisco 다중 취약점 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21123

2014년 5월 22일 목요일

MS Internet Explorer 8 원격코드 실행 신규 취약점 주의 권고

MS Internet Explorer 8 원격코드 실행 신규 취약점 주의 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21090

ISACA, 학술부문 이슈포럼 - 6월 3일(화)


학술부문 이슈포럼
(2014년 6월 3)
ISACA회원 여러분 안녕하십니까?
최근 개인정보 유출 등 많은 보안사고가 발생하면서 조직에서의 CIO, CISO의 역할에 대해 중요성이 강조되고 있습니다.

각 분야의 전문가들인 ISACA 회원들이 한자리에 모여 자유롭고 편안하게 “CIO, CISO의 역할, 그리고 ISACA, CISA라는 주제를 가지고 서로의 생각을 나누는 시간을 가지고자 합니다.
많은 분들이 오셔서 서로의 의견을 공유하는 귀한 시간이 되었으면 합니다.감사합니다.
2014. 5. 22.
ISACA 학술부문 이슈포럼 이사 정재원


일 시
2014 6 3() 오후 7:30 ~ 9:00
장 소
여의도 부근(확정 후 재공지 예정)
내용

시간
내용
발표자
7:30 ~ 9:00
ISACA 이슈포럼 소개
사회자
CIO, CISO의 역할, 그리고 ISACA, CISA
참석자 전원
CPE
2시간 (세미나 이후 CPE 수료증 발급)
참가
신청
- 신청 기간: 2014년 5월 22일(목) ~ 2014년 6월 1일(월)
- 참가비: 무료
- 참가신청 하기 (
클릭)
- 상기 일정은 변경될 수 있습니다.
문의처
-  전화 : 02-2026-3820
-  이메일 : isacak@isaca.or.kr

Concert, Weekly News Tracking & Commentary May 2014, Vol.93

Concert, Weekly News Tracking & Commentary May 2014, Vol.93

http://concert.or.kr/newsletter/vol_93_weekly.html

Chip and Skim: cloning EMV cards with the pre-play attack

Chip and Skim: cloning EMV cards with the pre-play attack

http://www.cl.cam.ac.uk/~sjm217/papers/oakland14chipandskim.pdf

2014년 5월 16일 금요일

경찰청 사이버안전국 ISCR 개최

경찰청 사이버안전국 ISCR 개최
최근 해킹, APT, 개인정보 유출 등 사이버공격이 다방면에서 국민 생활에 위협을 미치고 있습니다. 이에 경찰청에서는 '범죄로부터 안전한 사이버공간 구현'이라는 주제로 국내외 공공기관, 학계, 기업 등의 각계 최고전문가들을 모시고 사이버보안 위협에 대해 논의하는 심포지엄을 마련했습니다. 국제사이버범죄대응 심포지엄은 올해로 15회째로, 작년 28개국 500여명이 참석한 대규모 국제회의입니다. (영한 동시통역이 제공됩니다)
회의명 : 2014 국제사이버범죄대응 심포지엄 (ISCR 2014)
일시 : 14. 6. 18(수)
장소 : 대한상공회의소 국제회의장(지하 2층)
심포지엄 등록페이지 : http://iscr.netan.go.kr
(검색사이트에서 'ISCR'이라고 검색하세요~)
사전등록하신 분에 한하여 참가 가능하며, 참가비는 없습니다.(점심을 무료로 제공합니다)
위 등록페이지에 들어오시면 자세한 정보를 얻으실 수 있습니다.여러분들도 참가하시어 최신 사이버보안 위협에 대해 알아보는건 어떨까요?

웹타임, 2014 보안특강 -사이버 보안 위협 증대 및 패러다임의 변화

웹타임, 2014 보안특강 -사이버 보안 위협 증대 및 패러다임의 변화

http://www.webtime.co.kr/course/lecture.view.asp?cidx=760

2014년 5월 14일 수요일

CONCERT, Weekly News Tracking & Commentary May 2014. Vol 92.

CONCERT, Weekly News Tracking & Commentary May 2014. Vol 92. 

http://concert.or.kr/newsletter/vol_92_weekly.html

Adobe 제품군 취약점 보안 업데이트 권고

Adobe 제품군 취약점 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21044

[채용 공고] KTDS 정보보호 센터장 (임원)

* 하기 채용 건은 해더헌터로부터 SecurityPlus 커뮤니티로 공식 요청된 인력 서칭 건으로 회원 중 하기 내용 보시고 채용에 임하시고 싶은 분은 이력서와 자기 소개서를 helpdesk@securityplus.or.kr 로 보내 주시면 선별해서 지원될 수 있도록 하겠습니다.
감사합니다.

1. 추천회사 개요
KT의 IT 서비스 자회사인 KT데이터시스템즈가 창립 1주년을 맞아 사명을 KTDS(대표 김종선, www.ktds.com)로 변경하고, 글로벌 IT 서비스 업체로 성장해 나가겠다는 비전을 발표했다.

KTDS 김종선 대표는 1일 회사 창립 1주년을 맞아 기자간담회를 열고 KT에서 분사 이후 1년간의 성과를 소개하고 향후 3년 이내에 국내 IT 서비스 시장의 4대 기업으로 성장해 나가겠다고 밝혔다.지난해 KT에서 분사해 독립 자회사로 출범한 KTDS는 KT 및 KTF 출신의 IT 인력들뿐만 아니라 새롭게 인력을 보강해 현재 800여명 이상의 IT 전문가들로 구성돼 있다.현재 KT 그룹의 IT시스템 설계, 개발, 구축, 운영, 유지보수 및 사용자 지원업무 등 KT 그룹의 전사적인 IT 서비스 업무를 담당하고 있다. KTDS는 3년 이내에 IT 아웃소싱, 비즈니스 프로세스 아웃소싱, 시스템 통합, 컨설팅 서비스 등의 영역에서 다양한 기업고객을 위한 IT 서비스를 제공하는 국내 4대 IT 서비스 브랜드로 성장해 나갈 계획이다. 특히, 품질전문가 보강을 통해 IT 서비스 관리 수준을 향상, IT 서비스의 생산성과 질을 높여 나갈 계획이다. KTDS는 일단 현재 진행하는 통합 KT의 시스템 구축과 시스템 관리 사업을 안정적으로 수행하면서 KT 그룹의 모든 IT부문 통합 추진을 단기 목표로 잡고 있다. 김종선 대표는 "KTDS는 KT 그룹의 안정적인 IT 서비스 운영 및 차세대 시스템 구축을 통해 IT 서비스 시장에서의 성장 기반을 조성하고 솔루션 기반 신사업을 발굴해 해외시장을 개척, 글로벌 IT 서비스 회사로 성장하겠다"고 말했다

2. 채용 사유 : KT가 지난 정보보안의 사건으로 인한  대대적인 정비작업으로 전문가 채용

고객사    케이티디에스(KTDS) www.ktds.com  
채용제목    정보보호 센터장 (임원)
직종    정보보호    연봉     OPEN
직책/직급    임원    나이    무관
학력    대졸이상    외국어    무관
근무지    강남    성별    무관
담당업무

자격요건    n Mission : 전사 및 그룹 정보보호체계 수립 및 이행

3. 조직 R&R

- 전사 및 그룹정보보호기획, 리스크관리, 대외대응

- 정보유출예방, 시스템 구축 등 기업정보보호

- 전사 및 그룹네트워크/정보시스템 정보보호 (해킹 기술별 침해예방/대응등)

- 전사 CSO 역할 수행, 그룹사 정보보호활동 지원

4. 수행 업무

- 정보보호 업무기획/정책수립 및 리스크 관리 총괄

- 전사 정보보호 침해사고 예방(취약점 진단, 개선) 및 대응 총괄

- 정보보호 관련 대내,외 커뮤니케이션 및 정보보호 교육계획 수립, 추진

- 대외 정보보호 사업화 계획 및 추진

5. 자격 요건

- 정보보호 경영전략과 조직관리, 정보시스템 기반 기술 및 보안/위험 관리

- 정보보호 관련 분야 경력 최소 10년 이상자

- 정보보호 관련 업무 자격 보유자 우대

- 개인정보보호 및 정보보안 Compliance 관점의 분석 및 대응능력 보유자

- 사업화(전략 및 마스터플랜 수립/이행) 능력 보유자
 
6. 전형방법
- 서류전형 ▶ 면접전형 2회 ▶ 처우협의

7. 제출서류
- 이력서,자기소개서,경력기술서

2014년 5월 MS 정기 보안 업데이트 권고

2014년 5월 MS 정기 보안 업데이트 권고 

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21043

제9회 금융정보보호 공모전

제9회 금융정보보호 공모전

https://www.fsa.or.kr/Event.do?command=eventView&eventIdx=18

Microsoft Security Intelligence Report Volume 16 - July through December, 2013

- Microsoft Security Intelligence Report Volume 16 - July through December, 2013 http://download.microsoft.com/download/7/2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intelligence_Report_Volume_16_English.pdf

- Microsoft Security Intelligence Report Volume 16 - July through December, 2013 Key Findings Summary http://download.microsoft.com/download/7/2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intelligence_Report_Volume_16_Key_Findings_Summary_English.pdf

- Microsoft Security Intelligence Report Volume 16 - July through December, 2013 Worldwide Threat Assessment http://download.microsoft.com/download/7/2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intelligence_Report_Volume_16_Worldwide_Threat_Assessment_English.pdf

- Microsoft Security Intelligence Report Volume 16 - July through December, 2013 Korea Regional Threat Assessment http://download.microsoft.com/download/3/5/9/359AE5F1-AA30-4A56-B6EC-3082593FA5FB/Microsoft_Security_Intelligence_Report_Volume_16_Regional_Threat_Assessment_Korea.pdf

2014년 5월 13일 화요일

5월 21일 오픈스터디: 사회공학 기법 해킹 II

5월 21일 오픈스터디: 사회공학 기법 해킹 II

https://www.facebook.com/events/615102228597585/?ref=3&ref_newsfeed_story_type=regular

NIST SP 800-52 Rev1, Guidelines for the Selection, Configuration, and Use of TLS Implementations

NIST SP 800-52 Rev1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security(TLS) Implementations

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf

차세대 보안리더 양성 프로그램 제3기 BoB 교육생 모집 안내

http://www.kitribob.kr/bob/

S.U.A 서울경기지부와 함께하는 난지캠핑장 여름 나드으리~

S.U.A 서울경기지부와 함께하는 난지캠핑장 여름 나드으리~☆

보안대첩 분들도 함께 한다고 하니, SecurityPlus 회원 분들도 함께 자리 빛내 주시면 더 좋을 것 같습니다.

행사 개요 및 등록은 첨부 포스터와 등록 링크를 활용하시기 바랍니다.

감사합니다.

https://docs.google.com/forms/d/19e0wwN_xSYS2HeKhjGJNvEFk5L0KRBxyDujh5B8NSTQ/viewform?usp=send_form


금융지주회사법 개정안(2014. 5. 2.)

개인 정보보호조치 강화, 의무위반에 대한 처벌 강화, 법정손해배상제도 도입 등을 골자로 한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 및 금융지주회사의 계열사간 개인정보 제공을 제한하는 금융지주회사법 개정안이 2014. 5. 2. 국회 본회의에서 통과되었습니다.


개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 금융지주회사법의 주요 내용은 다음과 같습니다.


■ 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률



 정보보호 최고책임자 지정 및 신고 의무화

개 정 전 구법에 의하면, 정보통신서비스 제공자의 경우 정보보호 최고책임자 지정은 의무사항이 아니었고, 그에 대한 신고의무는 없었습니다. 그러나 통과된 개정 법률에 의하면 종업원 수, 이용자 수 등이 일정 수준 이상인 정보통신서비스 제공자의 경우 정보보호 최고책임자를 지정하고 미래창조과학부 장관에게 신고할 의무가 부과되었습니다(개정 법률 제45조의3).



 개인정보 누출 등 24시간 이내 신고 의무화

통 과된 개정 법률에 의하면 정보통신서비스 제공자 등은 개인정보의 분실•도난•누출의 경우 그 사실을 안 때로부터 정당한 사유가 없는 한 24시간 이내에 해당 이용자에 대한 통지 및 방송통신위원회 또는 한국인터넷진흥원에 대한 신고를 하여야 합니다(개정 법률 제27조의3). 개정 전 구법에 의하면 분실 등의 사실을 안 때 ‘지체 없이’ 신고하도록 하였으나, 개정 법률은 정당한 사유가 없는 한 24시간 이내에 신고하도록 하여 신고의무 이행 기한을 좀 더 명확하게 규정한 것입니다.


 개인정보 파기 의무 강화

정 보통신서비스제공자가 개인정보를 파기할 경우 이를 복구•재생할 수 없도록 필요한 조치를 하도록 하고, 이를 위반 시 처벌을 강화(2년 이하의 징역 또는 1천만원 이하의 벌금)하였습니다(개정 법률 제29조제1항, 제73조제1호의2 신설). 개정 전 구법에 의하면 파기 의무 위반 시에는 3천만원 이하의 과태료 처분만 규정되어 있었습니다.


 법정 손해배상 책임의 인정

이 용자는 정보통신서비스 제공자 등이 관리하고 있는 자신의 개인정보가 분실•도난•누출된 경우 300만원 이하의 범위에서 법정손해배상을 청구할 수 있게 되었습니다(개정 법률 제32조의2 신설). 기존 손해배상 규정(제32조)과는 달리 정보통신서비스 제공자의 법 위반이 있거나 이용자의 개인정보가 분실•도난•누출된 경우에는 실제 손해의 발생 여부와 무관하게 손해배상을 청구할 수 있게 되었습니다.


 광고성 전화 및 문자 관련 규제

영 리목적의 광고성 정보를 전송하고자 하는 자가 취하여서는 아니되는 조치 중의 하나로서 전자우편주소 이외에 전화번호를 자동으로 등록하는 조치가 추가되었고, 또한 수신자를 기망하여 회신을 유도하는 조치를 금지하는 규정이 추가되었습니다(개정 법률 제50조제5항).


 개정법의 시행은 공포 후 6개월이 경과한 날로부터 시행됩니다(부칙 제1조).



■ 개정 금융지주회사법


 금융지주회사 계열사간 고객정보 공유 금지

개 정 전 구법에 의하면 금융지주회사 등은 그가 속하는 금융지주회사 등에게 영업상 이용하게 할 목적으로 개인신용정보를 제공할 수 있었습니다. 그런데, 개정법에 의하면 금융지주회사의 자회사 간 고객의 사전 동의 없이 이루어질 수 있는 정보제공의 범위를 내부 경영관리상의 목적으로만 가능하도록 한정하였고, 고객정보의 암호화 및 이용기간 경과 후 삭제 등 금융위원회가 정하는 방법과 절차를 준수하도록 하였습니다(개정 법률 제48조의2제1항•제2항).


 고객정보 공유 제공내역 통지 의무화

계열사 간 정보를 제공하는 경우에는 그 제공내역을 고객에게 통지하도록 하고, 위반 시 과태료(5천만원 이하)를 부과하도록 하였습니다(개정 법률 제48조의2제4항 및 제72조제1항제6호).


 경과규정

개정 전 법에 따라 금융지주회사 등에게 제공된 정보 중 개정법에 부합하지 아니하는 정보를 제공받은 금융지주회사 등은 이 법 시행 후 3개월 이내에 해당 정보를 파기하여야 합니다(부칙 제2조).


 개정법은 이 법의 공포 후 6개월이 경과한 날로부터 시행되며, 다만, 계열사 간 제공내역 통지의무의 경우에는 공포 후 1년이 경과한 날로부터 시행됩니다(부칙 제1조).

원문: 법무법인(유한) 태평양

2014년 5월 9일 금요일

Cisco WebEx Recording Format Players 다수 버퍼 오버플로우 취약점 보안 업데이트 권고

Cisco WebEx Recording Format Players 다수 버퍼 오버플로우 취약점 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21023

Prolexic, An Analysis of DrDoS SNMP/NTP/CHARGEN Reflection Attacks

Prolexic, An Analysis of DrDoS SNMP/NTP/CHARGEN Reflection Attacks

http://www.prolexic.com/kcresources/white-paper/white-paper-snmp-ntp-chargen-reflection-attacks-drdos/An_Analysis_of_DrDoS_SNMP-NTP-CHARGEN_Reflection_Attacks_White_Paper_A4_042913.pdf

2014년 금융보안연구원 직원 채용 공고

2014년 금융보안연구원 직원 채용 공고

https://www.fsa.or.kr/Board.do?command=boardView&board_mng_idx=1&board_idx=4191

[안내] 2014년 K-Shield 인증 교육과정 교육생 모집

[안내] 2014년 K-Shield 인증 교육과정 교육생 모집

https://academy.kisa.or.kr/reference/notice_view.kisa?SQ=1018

2014년 5월 1일 목요일

IE 제로데이 취약점의 피해를 최소화하기 위한 조치 필요

안녕하세요. 박형근입니다.

다들 아시겠지만, IE 제로데이 취약점의 피해를 최소화하기 위한 조치로, vgx.dll을 등록 해제하는 조치가 필요합니다.
아래 명령을 활용해도 좋고, 

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"

시만텍에서 제공한 배치 파일을 활용하셔도 좋을 것 같습니다.

https://www.facebook.com/download/428313940643237/CVE-2014-1776-migitation.zip

IE를 사용하지 말라는 외국 정부의 권고도 있지만, 삭제하지 않는 이상은 권고만으로는 부족한 것 같습니다.

아직 조치하지 않으셨다면 대응 검토 바랍니다.

감사합니다.

* 참고: http://www.symantec.com/connect/blogs/zero-day-internet-vulnerability-let-loose-wild?device=desktop

CONCERT, Weekly News Tracking & Commentary April 2014 Vol.90

CONCERT, Weekly News Tracking & Commentary April 2014 Vol.90

http://concert.or.kr/newsletter/vol_90_weekly.html