중국 크래커에게 IPS와 IDS는 있으나 마나
글쓴이: se4rhg / 작성시간: 목, 2008/02/21 - 10:09오전
IPS와 IDS만 믿고 있다간 다 당한다
중국 크래커, 공격 한 두달 전부터 사전 작업 실시
로그기록 지속적으로 살펴야하고 보안교육 철저히해야
통상적으로 중국 크래커들은 국내 사이트를 크래킹 하기 한 두달 전부터 정보수집 작업을 실시하는 것이 일반적
그 과정에서 침입 루트를 만들고 공격이 가능하다고 판단이 되면...
Forums:
기사 내용에 있는 두
기사 내용에 있는 두 가지 시나리오에 치명적이라면 시스템 설계가 잘못된 거죠. (한숨)
----
I paint objects as I think them, not as I see them.
atie's minipage
----
I paint objects as I think them, not as I see them.
atie's minipage
흠.. 회사의 거의
흠.. 회사의 거의 모든 시스템에 대한 권한을 가지고 있는 저도 DB 에 접근을 못하는데, 고객센터 PC 를 뚫어서 DB 를 빼 갈 수 있다니 신기하군요. 더군다나 거의 CS 조직은 외주를 주거나 call center 가 분리되어 있는 경우가 대부분이라서 동일 네트워크로 묶지 않을텐데.. auction 은 어떻게 설계가 되어 있었을지 궁금하기도 하군요. (정말 CS 를 통해서 빼 간 것이라면..)
어찌보면...
요근래 치명적 해킹 사건을 보면 기술적 해킹보다는 사회적 해킹이 더 많은 듯합니다.
예전 케빈 미트닉의 해킹 경로를 보더라도 서버를 직접 뚫기보다는
대부분이 사내 내부 사용자의 ID/Pass를 알아내어 위로 올라가는 경우였습니다.
그때 읽은 기사 내용중, 한 회사 임원급 비서에게 전화를 걸어 보안 회사를 사칭해서
비서의 개인 ID/Pass를 알아가지고 하나씩 올라갔다고 하더군요..그 회사도 세계 글로벌
기업이었던걸로 기억합니다.
이런 사건 사례들을 보면 방화벽이나 IDS처럼 시스템 보안도 중요하지만 이와 더불어
사내 내부 보안정책 또한 시스템 보안 정책 못지않게 중요하게 다뤄야하지 않을까 하네요.
역시
... 보안을 아무리 잘해본들 ... 사람이 문제라는 내용으로 받아들여집니다.
군대에서 아무리 사주경계 잘 서고, 암구어를 어려운 걸 하면 뭐하겠습니까 ...
'손들어 움직이면 쏜다.'
'나야'
'충성 ~ 근무중 이상무'
이렇게 되면 소용이 없는 거죠. 대대장이 암구어 없이 접근한다고 ... 총 쐈다는 소리는 들어본 적이 없으니 ...
아무리 보안성이 좋다고 하는 운영체제나 프로그램이라고 한들 .. 비밀번호를 1111 이렇게 적어놓는 이상 ... 또는 .. 키보드 밑에 아이디링 비밀번호 적은 포스트 잇을 붙여 놓고 다니는 데야 .. 뭐 .. 방법이 없는 거죠.
(그러고 보면 내 비밀번호도 꽤 단순한데.. 4벌식 써본 사람이 별로 없어서 안전한가 봅니다...)
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
글 주제에는 조금
글 주제에는 조금 벗어나지만~
암구어 없이 접근한다고 총 쏜 사람.... 여기 있습니다. ㅡ.ㅡ;;;
기억을 하실지 모르겠지만 200x년 가을 경에 수도 서울을 지키는 모 사령부에서 총기 피탈 사건이 있었죠.
그게 제가 복무했던 부대였고 제가 소속되었던 xx단 이었습니다.
24시간 중 1시간에 최소 1번 5대기 출동에 3-4시간마다 출동하는 특공대. 게다가 가끔씩 헬기 레펠까지...
5대기 출동해서 탄약 밀봉 풀고 탄 분배하고 임무 수행하고 종료 후 탄수 확인, 밀봉 후에 곧 바로 5대기 출동을 연속으로 3번이나 해 보신분 계신가요 ? 전 해봤습니다. @..@;;
심지어 탄약고에는 아주 민감한 적외선 감지기가 설치되었고, 낙엽 하나 벌레 한마리만 스쳐도 울리는 경고음. 시도때도 울리는 경고음이 울릴때마다 출동하는 5대기와 사령부 특공대들.
내일이 제대인 사람들도 얄짤없이 정 3교대 근무에 다 들어가고 근무->수색->근무->수색->... 의 끊임없는 반복.
안습이었습니다. ㅡ.ㅡ;;;
-_-;;탑코더라는 사이트를 아십니까?.
미국에서 AMD 주최로 열리는
전세계 코딩대회라는군요,..
살짝 가봤는데
영어의 압박과
수상자들의 연령대에
감탄을..
그중에 한국인도 한명있네요..
2006년 64명중에 한명!
멋있다.
저도 하고싶네요.ㅠㅠ.
탄생은 죽음의 시작에 불과하다.
laziness, impatience, hubris
不恥下問 - 진정으로 대화를 원하면 겸손하게 모르는 것은 모른다고 말하는 용기가 필요하다.
사용자 정보를
사용자 정보를 빼내는데 꼭 DB를 직접 엑세스 해야하는건 아니지요.
IPS와 IDS는 뭘 말하는
IPS와 IDS는 뭘 말하는 건지요? 배움이 짧다 보니...
--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.
----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.
대형 장비를 들이내
대형 장비를 들이내 마네. 헛짓거리하는 것보다 ...
사내 직원들 보안교육을 시키는데 중점을 두어야 됩니다.
/* ....맑은 정신, 건강한 육체, 넓은 가슴으로 세상과 타협하자. */
보안교육 필요없게
보안교육 필요없게 시스템 설계해서 이행하면 됩니다. 몇 가지만 예를 들어볼까요?
네트웍과 어플리케이션의 사용자 패스워드가 같은 것은 등록을 안시킵니다.
DB는 사내 랜에서만 접속이 되게합니다.
프로그래머는 테스트 데이타 갖고만 작업을 합니다.
중요 데이타는 필드별 암호화 합니다.
사용자별 DB 접근 제한합니다.
DBA는 암호화 로직을 모릅니다.
CS에 확인을 위해 보여주는 데이타는 확인에 필요한 부분만을 디스플레이합니다.
이쯤만 해도 최소한 내 회사에서 몇 천 건씩 빠져나가는 데이타 유출은 막을 수 있을겁니다.
----
I paint objects as I think them, not as I see them.
atie's minipage
----
I paint objects as I think them, not as I see them.
atie's minipage
이론적으로 가능은 하겠지만...
이론적으로 가능은 하겠지만, 과연 보안 교육이 필요없는 시스템 설계가
가능할지는 사실 회의적일 수 밖에 없네요...
아무리 설계를 완벽하게 한다 한들 결국 대외비에 접근하는건 사람인데요...
모든 사람이 "나"와 같지는 않죠....
사람이 만든 것인데
사람이 만든 것인데 완벽하게 모든 것을 막는다고 생각할 수는 없지요. 양 손으로 패스워드쳐서 위성을 탈취하는 영화도 있었는데... 기사의 내용대로라면 기본부터 시스템 설계가 부실한 겁니다. 그런데 전문가 의견 달아서 사실을 왜곡하는 쪽으로 발뺌하는 것은 향후에 아무 도움도 안될 뿐더러 자신이 없으면 고객의 정보를 받지를 말아야 하는 서비스 업체의 기본에 미치지 못합니다.
대외비의 계층을 구분하는 것처럼 시스템의 설계에서도 계층을 나누려는 노력부터가 우선해야지 그것이 안된 상태에서 아무리 보안교육을 강조해도... 맞습니다. 모든 사람이 "나"와 같지는 않죠.
----
I paint objects as I think them, not as I see them.
atie's minipage
----
I paint objects as I think them, not as I see them.
atie's minipage