2014년 11월 27일 목요일

2014년 11월 25일 화요일

KAIST CSRC 주간 보안동향보고서(2014-47)

KAIST CSRC 주간 보안동향보고서(2014-47)

1. 악성코드 유포/경유지 동향 및 분석
- 금주 악성코드 유포지 12개, 경유지 96개 등 총 108개 악성 웹페이지가 탐지되었으며, 전주대비 경유지는 증가, 유포지는 감소
   (전주 대비 총 악성코드 경유지 128.6% 증가, 유포지 72.7%감소)
- CVE-2014-6332 APT공격에 이용되는 증후 확인
- JSCK Exploit Kit을 이용한 악성코드 유포 증가

2. 보안 정보
- 빙산의 일각? 러시아발 멀웨어 3종 세트
- IE ‘갓모드’ 악용한 악성코드 유포 주의

자세한 내용은 첨부되어 있는 금주 주간 보안동향 보고서를 확인 바랍니다.

https://www.facebook.com/download/757038807665365/%EC%A3%BC%EA%B0%84%EB%8F%99%ED%96%A5%EB%B3%B4%EA%B3%A0%EC%84%9C2014_47W_%EC%9D%BC%EB%B0%98%EC%88%98%EC%8B%A0%EC%9E%90.pdf

한-APEC 개인정보보호 국제 컨퍼런스

CONCERT, Weekly News Tracking & Commentary Vol.116 Nov 2014

CONCERT, Weekly News Tracking & Commentary Vol.116 Nov 2014

http://concert.or.kr/newsletter/vol_116_weekly.html

2014년 11월 21일 금요일

[보도자료] 안드로이드 모바일 앱 당 평균 4.8개 보안 취약점 발견!

정보보안 전문 커뮤니티 SecurityPlus(대표 박형근)에서는 지속적으로 증가하는 모바일 위협에 대해 현재 모바일 앱의 보안 현황을 진단하기 위해 2014년 11월 11일부터 13일까지 국내에서 가장 많이 사용하는 국내외 안드로이드 모바일 앱 총 59개(유틸리티 앱 27개, 금융 앱 13개, 소셜 네트워킹 관련 5개, 소셜 커머스 관련 5개, 앱스토어 앱 4개, 메신저 앱 4개, 안티 바이러스 1개)에 대해 보안 취약점 분석을 수행했다.


그 결과, 발견된 보안 취약점 총 개수는 286개로 평균 모바일 앱당 4.8개의 보안 취약점이 발견되었으며, 그 중 가장 많이 발견된 보안 취약점은 일반적인 웹 보안 취약점 통계와 유사하게 OWASP Mobile Top10 Risk 기준으로 M8. 신뢰할 수 없는 입력에 의한 보안 결정 취약점인 사용자 입력값 검증 부재(26.9%)였다. 이 취약점으로 인해 모바일 앱의 비정상적인 상태(DoS) 유발 뿐만 아니라, 악의적인 코드 실행을 할 수 있는 메모리 오류(Memory Corruption) 등이 발생할 수 있고, 보안 취약점 테스트 중 일부 앱에서는 메모리 오류가 발생했다.

고위험군 보안 취약점들 중에서 가장 많이 발견된 보안 취약점은 중간자(MiTM) 공격에 의한 크로스사이트 스크립팅(XSS) 취약점이었다. 이 취약점은 중요 데이터 전송에 있어 암호화된 통신 채널을 사용하지 않거나, 내장 웹 브라우저 내에 자바스크립트가 활성화되어 있는 경우에 나타나게 된다. 이 취약점으로 인해 피해자의 중요 정보가 유출되거나 입력 혹은 트랜잭션 중인 데이터가 조작될 수 있다. 특히 금융 혹은 소셜 커머스 앱에서 중요 금융 데이터를 암호화한다고 해도 반드시 유의해야 할 취약점이다.

또한, 그 외에도 간과하기 쉬운 취약점들은 두 번째로 가장 많이 나온 취약점인  “android:allowBackup” 속성의 활성(True)이다. 본래 이 속성값은 ADB(Android Debug Bridge)를 통해서 앱 백업과 복구를 가능케 하는 설정이나, 백업된 앱을 악용하여 앱 내의 민감한 정보를 유출할 수 있으므로 모바일 앱 내에 민감한 정보를 저장해야 하는 경우, 암호화 스토리지에 보관하는 방안 이외에도 ADB에 의한 백업을 허용하지 않아야 한다. 즉, “android:allowBackup” 속성의 비활성(False) 적용을 해야 한다. 두 번째로 간과하기 쉬운 취약점은 보안 목적으로 랜덤 함수 호출 시, 취약한 java.util.Random 혹은 java.lang.Math.random 함수를 사용함으로써 공격자가 쉽게 이 앱에서 생성한 랜덤 숫자를 예측 가능한 취약점이 존재한다. 따라서, 보안 목적으로 랜덤 함수를 사용할 때에는 반드시 java.security.SecureRandom 함수 혹은 보다 보안 강화된 랜덤 함수를 사용해야 한다.

SecurityPlus의 박형근 대표는 “2015년도에도 모바일 보안 위협은 지금보다도 더욱 높아질 것으로 예상된다. 따라서 모바일 앱 개발에 있어서도 모바일 개발자에 대한 안전한 코딩 가이드 교육, 모바일 보안 라이브러리 활용, 지속적인 취약점 관리 등 모바일 분야에도 개발보안 라이프사이클 도입을 통해 보다 안전한 모바일 환경 만들어 나가야 한다.” 고 강조했다.

2014년 11월 20일 목요일

SecurityPlus 이벤트! ZDNET 보안 컨퍼런스 참여

SecurityPlus 이벤트!

http://security.zdnet.co.kr/program.html 이 행사에 반드시 참여할 수 있는 분만이 응모 가능한 이벤트. 애매하신 분 빼고, 후기까지 남기실 수 있는 선착순 5명을 기다립니다.

보안 컨퍼런스 후기 특공대 모집! 5명의 전사는 지금 바로 helpdesk@securityplus.or.kr로 신청해 주세요. ^^

Apple(iOS, Apple TV, OS X Yosemite) 보안 업데이트 권고

Apple(iOS, Apple TV, OS X Yosemite) 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22223

Microsoft 보안 공지 MS14-068 - 긴급

Microsoft 보안 공지 MS14-068 - 긴급

https://technet.microsoft.com/library/security/MS14-068

2014년 11월 18일 화요일

KAIST CSRC 주간 보안동향보고서(2014-46)

KAIST CSRC 주간 보안동향보고서(2014-46)

1. 악성코드 유포/경유지 동향 및 분석
- 금주 악성코드 유포지 44개, 경유지 42개 등 총 86개 악성 웹페이지가 탐지되었으며, 전주대비 경유지 및유포지 모두 증가
(전주 대비 총 악성코드 경유지 147.1% 증가, 유포지 131.6%증가)
- 악성코드 유포 탐지 우회를 위하여 알려지지 않은 HTTP 포트를 사용
- 악성코드 유포 추적 우회를 위하여 TDS(Traffic Distribution System)를 이용

2. 보안 정보
- 국산 보안 제품 해킹 통로 악용 `심상치 않다`
- 트렌드마이크로 "내년 표적 공격이 대세 이룰 것"
자세한 내용은 첨부되어 있는 금주 주간 보안동향 보고서를 확인 바랍니다.

http://on.fb.me/1uoB7Nn

2014년 11월 17일 월요일

IBM Security [GTS] Associate Partner_글로벌 보안 컨설턴트_실장, 상무급 채용 공고

IBM Security [GTS] Associate Partner_글로벌 보안 컨설턴트_실장, 상무급 채용 공고

http://bit.ly/1xOpqle

IBM Security [GTS] Associate Partner_글로벌 보안 아키텍트_실장, 상무급 채용 공고

IBM Security [GTS] Associate Partner_글로벌 보안 아키텍트_실장, 상무급 채용 공고

http://bit.ly/1xOoHAE

Concert, Weekly News Tracking & Commentrary Vol.115, Nov 2014

Concert, Weekly News Tracking & Commentrary Vol.115, Nov 2014

http://concert.or.kr/newsletter/vol_115_weekly.html

IBM X-Force Threat Intelligence Quarterly, 4Q 2014 영문판 발표

IBM X-Force Threat Intelligence Quarterly, 4Q 2014가 발표되었습니다. 이번 보고서에는 처음으로 IoT 보안에 대해 다루고 있습니다. 또한 BotNet C&C Server 서비스 국가로 한국이 3위를 차지했네요. 물론 1위인 미국과 격차는 크지만요. 빨리 한글판을 준비해야겠지만, 영문으로 미리 보실 분은 http://public.dhe.ibm.com/common/ssi/ecm/en/wgl03062usen/WGL03062USEN.PDF

2014년 11월 14일 금요일

한국수력원자력(주)에서 차장급 사이버보안 전문가 채용!

한국수력원자력(주)에서 차장급 사이버보안 전문가 채용!
- 사이버관제센터 근무 1명, 원전본부 각 1명씩 4명 등 총 5명
http://www.khnp.co.kr/RECU/

2014년 11월 12일 수요일

2017년 CIO 업무시간의 80%는 분석, 사이버보안 및 디지털 서비스를 통한 신규 매출 창출에 집중될 전망

- IDC, 2015년 CIO 아젠다

CIO Agenda에 대한 IDC FutureScape 전망을 아래와 같이 간략히 요약해 본다.

1.
 2017년이 되면 CIO는 업무시간의 80%를 분석(analytics), 사이버보안, 디지털 서비스를 통한 신규 매출 창출에 쏟게 될 것이다.

2.
 2016년 글로벌 기업의 경쟁 전략에 있어 65% 가량은 제3의 플랫폼(the 3rd Platform) 기반의 실시간 IT-as-a-Service (ITaaS)를 필요로 할 것이다.

3.
 2016년 글로벌 기업 CEO 중 70%가 비즈니스 우선순위 Top 3 중의 하나로 '보안'을 꼽을 것이다.

4
. 2015년 60%의 CIO가 모바일, 클라우드 및 오픈소스 어플리케이션의 속도와 스프롤(sprawl) 해결을 위한 방안으로 데브옵스(DevOps)를 활용할 것으로 보인다.

5.
 2016년 CIO의 80%는 혁신을 주도하고 비즈니스 의사결정을 개선시킬 새로운 아키텍처 프레임웍을 구축할 것이다.

6.
 2020년이 되면 글로벌 기업 CIO 중 60%는 IT 제품 및 디지털 서비스 제공을 담당하는 최고디지털책임자(CDO, Chief Digital Officer)로 대체될 것이다.

7.
 2016년까지 CIO의 80%는 현 IT 자산의 때이른 노후화에 대처하기 위해 제3의 플랫폼으로의 마이그레이션을 가속화할 것이다.

8.
 2018년 글로벌 기업 CIO 중 30%는 전사적 데이터 및 분석 전략을 실행할 것이다.

9.
 2017년 제3의 플랫폼 기술에 대한 벤더 소싱 관계의 35%가 실패하고, CIO는 새로운 소싱 프로세스를 진행할 것으로 전망된다.

10.
 2018년 CIO의 50%는 오픈 스탠다드 기반 프레임웍을 지향함에 따라 기존 IT 기술 통제 방식을 포기할 것이다.

IDC의 Research Network에서 고문을 맡고 있는 마이클 로슨(Michael Rosen)은 “제3의 플랫폼으로 인한 변화는 기업이 IT를 사용하는 방법, IT 제공 형태, 그리고 IT 조직의 구조에 중대한 영향을 미치고 있다"며, 통찰력있는 CIO라면 이러한 변화속에서 핵심적인 역할을 맡을 기회를 포착하고 조직에서의 역할을 격상시킬 수 있을 것"이라고 강조했다.

2014년 11월 MS 정기 보안 업데이트 권고

2014년 11월 MS 정기 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22163

Adobe Flash Player 신규 취약점 보안 업데이트 권고

Adobe Flash Player 신규 취약점 보안 업데이트 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=22164

2014년 11월 10일 월요일

Concert, Weekly News Tracking & Commentary, Vol 114. Nov 2014

Concert, Weekly News Tracking & Commentary, Vol 114. Nov 2014

http://concert.or.kr/newsletter/vol_114_weekly.html

ASTAP 정보보호 핸드북 개발 현황

정보화 시대를 거치면서 우리는 수많은 IT 기기들과 접하게 되었다개인 PC를 필두로 하는 컴퓨터에서부터 핸드폰의 진화로 요새는 쉽게 접하게 된 스마트폰이나 많은 무선 기기들또한 이러한 IT 기기를 이용하는 많은 서비스들도 함께 이용하게 되었다편리한 세상에서 진화된 기기를 이용하여 편리한 서비스를 받는 것은 분명 축복받은 일이지만 그것을 사용함에 있어 올바르게 사용하지 못한다면 행복이 불행이 되는 것도 한 순간의 일일 것이다다양한 매체와 서비스를 사용한다는 것은 뒤집어 생각하면 그만큼 개인의 정보 노출에 가까울 수 있다는 말이고 이는 현명하게 대처하지 못한다면 오히려 자신의 개인 정보를 도둑질 당할 수 있는 지경까지 이르게 될 수도 있다는 것을 명심해야 할 것이다그러나 너무도 많은 기기와 서비스소프트웨어 들의 존재로 인해 일반 사용자들은 무엇을 어떻게 사용하는 것이 올바르게 이용하는 것인지 모르고 자신의 방식대로 사용하려는 경향이 있다물론 자신이 편하기 위해 사용하는 것이므로 용이성이나 편리성이 기본이 되어야 하는 것은 분명하지만 그것만을 내세우다가 자신의 정보를 남에게 자신도 모르게 빼앗기는 우를 범하는 것은 피해야 할 것이다.
정보보호를 전문적으로 공부하고 적용하는 전문가들이야 자신이 알아서 안전하고 효율적으로 사용할 것이지만 일반적인 사용자들은 정보보호에 대한 개념도 없이 자신이 직접적으로 입는 피해가 없으면 이러한 문제를 간과하기 쉽다그러나 개인 정보의 침해나 해킹은 반드시 남의 일만은 아니며 나에게도 언제나 일어날 수 있는 일이라는 것을 명심해야 한다이러한 관점에서 전문가 입장에서는 구체적인 정보보호 이론은 아니더라도 개인 사용자들이 올바르게 기기를 사용하고 서비스를 이용할 수 있는 가이드라인을 제시하여 사회의 구성원 모두가 안전하고 편리하게 첨단 기기들을 이용할 수 있는 기반을 조성해줄 필요가 있다이러한 작업이 실제로 국제 표준화 단체들에서도 관심의 대상이며 일반 사용자들에게 올바른 사용법을 알려주고자 하는 노력이 표준화 기구들에서도 일어나고 있다그 중 하나가 아태지역 표준화기구인 ASTAP forum 정보보호 전문가 그룹에서의 정보보호 핸드북 작성 작업이다.

표준화 진행현황
2012 8월에 개최된 제20 ASTAP forum 회의에서 정보보호 관련 유용한 정보를 제공할 수 있는 정보보호 핸드북(Security handbook)을 작성하기로 한 정보보호 전문가 그룹(EG IS)은 한국 주도하에 2013 3월의 제21 ASTAP forum 회의와 2013 9월에 열린 제22 ASTAP forum을 통해 스마트폰 보안 고려사항안전한 전자금융거래를 하기 위해 사용자가 주의해야 할 사항 등을 목록에 추가하기로 결정하였고 2014 3월에 개최된 제23 ASTAP forum에서는 정보보호 핸드북을 완성하기 위한 목차가 처음으로 한국에 의해 제안되었다이러한 작업은 시스템 운영자나 서비스 제공업자 차원이 아닌 일반 단말 사용자들로 그 범위를 제한하였고 상당히 많은 내용들이 포함되어야 하므로 일단은 그 범위를 한정하지 않고 2015년 최종적인 결과물이 나올 때까지 ASTAP forum 참석 전문가들이 필요하다고 생각하는 다양한 분야의 기고를 받아 처리하기로 결정하였다이와 더불어 최근 개최된 제24차 ASTAP forum(2014.8.27~2014.8.29, 태국 방콕)에서는 정보보호 핸드북 작성을 위해 제23 ASTAP forum에서 한국 측에서 제시한 목차를 일본 측에서 수정 제시한 목차가 한국 측과의 의견 조율을 통해 최종 목차가 결정되었다그리고 정보보호 핸드북에 포함될 내용도 기존에 이미 제안되었던 내용을 포함하여 2015년까지 지속적으로 제안을 받고 보강하여 최종본을 완성하기로 결정하였다24ASTAP forum 정보보호 전문가 그룹에서는 다음과 같은 내용을 정보보호 핸드북의 내용으로 삼고추후 제안되는 것을 추가하기로 하였으며 일반 사용자들에게 지침이 될 수 있는 정보를 제공함을 목적으로 하기 때문에 지속적으로 써 왔던 용어인 정보보호 핸드북이 적절하지 않을 수도 있다는 논의 끝에 2015년 개최되는 차기 회의를 통해 작성하는 문서의 취지에 맞는 제목을 제안하도록 참여 전문가들에게 요청하였다지난 제24 ASTAP forum까지 제안되었던 정보보호 핸드북에 포함될 내용들은 다음과 같다.

1) 안전성이 높은 패스워드 선택 및 이용방법
2) 최소한의 PC 보안 취약점 점검 항목
3) 무선랜(Wi-Fi)을 안전하게 사용하기 위한 주의사항
4) 안전한 금융 거래를 위한 주의 사항
5) 스마트폰 침해 및 악성코드 공격 방지를 위한 방법
6) 무선랜의 안전한 구축과 운영 방법

정보보호 전문가 그룹은 핸드북에 대한 작업을 2015년 완료를 목표로 전문가들의 참여와 의견 반영을 통해 만들어 왔으며 이러한 정보보호 핸드북 작성은 지난 4~5년간 아태 지역 정보보호 전문가들의 관심사였다이러한 작업의 시작은 아시아태평양전기통신협의체(APT) 회원국들 전문가들에게 실시한 설문 조사 등을 통한 준비 작업을 거쳐 이루어졌으며 참여 전문가들의 노력으로 정보보호 핸드북 문서를 작성하고 있다.

결언
지금까지 아태 지역에서의 정보보호 선진국이라면 단연 한국과 일본을 손꼽을 수 있었으며 실제로 이 두 나라에 비해 상대적으로 기술이 떨어지는 나라들은 일반적인 내용에 대한 튜토리얼 형식의 자료를 지속적으로 요구해 왔던 것이 현실이다이러한 것과 맞물려 우리나라의 일반 사용자들도 올바르게 사용하는 방법에 대한 산발적인 자료만으로 자신이 사용하는 하나하나의 정보를 찾는 것에 서투르고 귀찮아 해 이제까지의 사용은 주먹구구식이었던 것이 사실이다따라서 우리나라의 사용자들에게도 이러한 가이드라인이 제시된다면 개인 정보의 침해에 대한 인식의 고취와 안전한 정보 기기의 사용을 이루어낼 수 있을 것이다. ASTAP forum 정보보호 전문가 그룹의 정보보호 핸드북 작성과 같은 작업이 밑바탕이 되어 일반 사용자들의 좀 더 안전하고 효율적인 기기와 서비스의 사용을 기대해 본다.

류희수 (경인교육대학교 수학교육과 교수, hsryu@ginue.ac.kr)

2014년 11월 4일 화요일

Sean Boran의 IT 보안 해설서에 대한 웹 서비스 링크 복구

Sean Boran의 IT 보안 해설서에 대한 웹 서비스 링크를 복구했습니다. 오래 걸렸네요. 아직 완전치는 않지만, 나름 볼 수는 있을 겁니다. http://securityplus.or.kr/ITSecurityCookbook/

뭐, 워낙 오래된 내용이라 좀 그렇긴 하지만, 여전히 시작하는 사람들에게는 도움되지 않을까 합니다... ^^

음.... >.< 많은 동참 바래요... ^^a;;;;

음.... >.<  많은 동참 바래요... ^^a;;;;

http://www.securityplus.or.kr/donation

KAIST CSRC 주간 보안동향보고서(2014-44)

KAIST CSRC 주간 보안동향보고서(2014-44)

1. 악성코드 유포/경유지 동향 및 분석
- 금주 악성코드 유포지 14개, 경유지 14개 등 총 28개 악성 웹페이지가 탐지되었으며, 전주대비 경유지 및유포지 모두 증가
   (전주 대비 총 악성코드 경유지 180% 증가, 유포지 75%증가)
- Sweet Orange Exploit Kit 유포 국내 증가에 따른 분석 및 대응방법

2. 보안 정보
-DDoS 공격에 사물인터넷 기기 이용돼
-카카오톡 DB 가져가는 스파이앱 유포

자세한 내용은 첨부되어 있는 금주 주간 보안동향 보고서를 확인 바랍니다.

https://www.facebook.com/download/574592002641576/%EC%A3%BC%EA%B0%84%EB%8F%99%ED%96%A5%EB%B3%B4%EA%B3%A0%EC%84%9C2014_44W_%EC%9D%BC%EB%B0%98%EC%88%98%EC%8B%A0%EC%9E%90.pdf

IBM X-Force 보안 동향 및 위험 보고서 2014년 3분기 한글본

IBM X-Force 보안 동향 및 위험 보고서 2014년 3분기 한글본 - 2014년 상반기 데이터 및 지속적인 분석을 바탕으로 Heartbleed의 최근 공격 활동부터 완화 전략까지 심층 조명

https://www.facebook.com/download/871941846171668/X-force%203Q_WGL03057KRKO.pdf

2014년 11월 3일 월요일

S.U.A와 함께하는 공군 정보보호 병, 부사관, 장교 설명회!

"S.U.A와 함께하는 공군 정보보호 병, 부사관, 장교 설명회!"

공군 정보보호과와 협의하여, 아래와 같은 계획과 일정으로 "공군 정보보호과 병, 부사관, 장교 모집 홍보 및 안내 세션"을 기획하고 있습니다.
또한, 지부별로 SUA에 대한 전반적인 안내가 이루어질 예정입니다.
"공군 정보보호과 병, 부사관, 장교 모집 홍보 및 안내"

[참석 대상]
공군 정보보호과 병, 부사관, 장교 모집에 관심 있는 SUA 남녀 대학생 모두

[행사 일정]
서울경기: 2014년 11월 13일 7시 중앙대학교 봅스트홀 207관 335강의실
영남지부: 2014년 11월 18일 6시 30분 부산대학교 컴퓨터 공학관 6203호
충청지부: 2014년 11월 21일 3시 대전대학교(예정)
호남지부: 2014년 11월 25일 3시 조선대학교 해오름관 2층 job매칭실

[관련 문의]
suahelpdesk@gmail.com