해킹
-
구매주문에 의한 해킹가능성카테고리 없음 2016. 7. 19. 16:07
사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다. 하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경..
-
소셜엔지니어링 해킹의 이해와 방지카테고리 없음 2016. 7. 5. 17:10
소셜엔지니어링(social engineering)이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미한다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용된다. 소셜엔지니어링 공격은 기존 사이버공격과 같은 결과를 야기한다. 사이버범죄자는 피해자의 기밀정보를 알아내는 데 사용될 수 있는 개인정보를 자신에게 제공하도록 유도한다. 이들은 목적은 피해자의 금전, 물품, 중요정보, 사진 등 개인데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있다. 이들은 개인정보 탈취에 아무런 거리낌이 없다는 점에서 더욱 위험하다. 이러한 공격을 방지하려면 단지 안티바이러스 등 솔루션에 의존하기만 해서는 부족하고 우선 그 수법을 이해해야 한..
-
취약점악용 방지 프로그램 추천카테고리 없음 2016. 6. 23. 15:15
취약점악용(exploit) 방지 프로그램은 플래시나 브라우저 취약점 악용 그리고 각종 신종 취약점악용을 활용하는 사이버공격수법을 차단함으로써 추가 보안대책을 제공한다. 여기에서는 취약점악용을 방지할 수 있는 프로그램을 소개한다. 다만 이들 프로그램을 두 종 이상 동시에 사용하는 방법은 권장하지 않는데 불필요할뿐더러 프로그램 간에 충돌이 발생할 수도 있기 때문이다. Malwarebytes Anti-ExploitMalwarebytes Anti-Exploit는 설치만 하면 별도의 설정이 요구되지 않아 간편하게 사용할 수 있는 프로그램이다. 무료로 사용할 수도 있고 돈을 내고 기능이 확장된 유료버전을 사용할 수도 있는데 무료버전이라 해도 기능이 상당히 우수한 편이다. 무료버전은 인터넷익스플로러, 크롬, 파이어폭..
-
라우터 보안 확인 및 개선카테고리 없음 2016. 6. 23. 14:06
가정용 라우터는 보안이 취약한 편이며 허술하게 제작된 수많은 라우터들이 사이버공격에 노출된 실정이다. 가정용 라우터는 스마트폰 시장처럼 여러 제조업체들이 수많은 종류의 기기를 대규모로 제작하지만 이들 기기에 대한 업데이트 등 후속조치가 철저하지 못하며 이 때문에 공격에 쉽게 노출될 수 있다. 여기에서는 라우터 보안 결함이 야기할 수 있는 문제와 이를 확인하는 방법을 소개한다. 공격자는 사용자 라우터의 DNS 서버 설정을 변경하여 사용자 접속을 악성 DNS 서버로 이동시키는 수법을 자주 사용한다. 사용자가 예를 들어 은행 웹사이트에 접속하고자 할 경우 위와 같이 정상적인 DNS가 아닌 악성 DNS 서버를 거친다면 원래 은행이 아닌 피싱 사이트로 접속하게 된다. 이 때 주소창에는 여전히 정상적인 은행 URL..
-
이중인증(two-factor authentication) 보안 우회과정IT 정보/IT, 보안 소식&팁 2016. 5. 25. 16:20
이중인증방식은 보기와 달리 완벽하게 안전하진 못하다. 피해자가 사용하는 이동통신업체나 이중인증방식 자체를 기만할 경우 물리적 인증토큰이 없이도 이중인증을 뚫을 수 있다. 물론 어떤 보안대책도 완벽하다고는 할 수 없기 때문에 이중인증방식이 그 자체로 뒤떨어지는 방식이라고 할 수는 없다. 취약점은 바로 이동통신업체 대부분의 경우 이중인증은 로그인 시도시 사용자 휴대전화로 SMS를 전송하는 방식으로 이루어진다. 사용자가 휴대전화상에서 별도의 앱을 통해 코드를 생성하기도 하지만 대체로 휴대전화에 전송된 SMS 코드를 통해 로그인이 가능하다. 혹은 사용자가 비상시 전화번호로 등록한 번호를 실제로 사용한다는 점이 확인되고 나면 이중인증 자체가 생략되기도 한다. 사용자의 고유한 전화번호가 있고 이 번호를 이동통신업체..
-
해킹된 데이터의 거래가격IT 정보/IT, 보안 소식&팁 2016. 5. 19. 15:58
해킹이 일어나는 이유는 무엇인가. 달리 구하기 어려워서 굳이 해킹을 해야 얻을 수 있는 것이 무엇인가. 이러한 질문은 회사의 규모를 막론하고 늘 나오게 된다. 대부분의 경우 회사가 보유한 제조방법이나 유행전망 등의 정보는 이를 보유한 회사 혹은 그 경쟁사가 아닌 이들에게는 큰 가치가 없다. 하지만 개인식별정보(personally identifiable information), 보건정보(protected health information, PHI), 카드정보 등의 고객정보는 상당한 가치를 가지고 있으며 쉽게 매각할 수 있다. 회사의 규모에 관계없이 고객정보 또는 직원에 대한 정보를 컴퓨터에 저장하고 있다면 해킹표적이 된다. 그렇다면 해커가 이러한 정보에 대한 해킹을 통해 얻을 수 있는 건 무엇인가. 신용/..
-
사물인터넷의 보안문제IT 정보/IT, 보안 소식&팁 2016. 1. 7. 15:26
필자는 2014년 초 당시 본격적으로 등장하기 시작했던 사물인터넷을 소개하며 소비자의 일상생활과 기업세계 모두를 변화할 잠재력이 있다고 설명했다. 거의 2년이 지난 현재 사물인터넷은 대세가 됐으나 이제는 냉장고, TV, 온도계, 의료기기, 커피머신, 경보시스템 등 온라인에 연결되어 사용자와 해커 모두 어디에서든 접근 가능한 수많은 전가기기를 둘러싸고 단순히 IP주소가 모자란다는 것보다도 훨씬 중대한 문제가 있다. 보통 데스크탑 컴퓨터, 서버, 스마트폰을 언급할 때는 보안을 크게 중시하지만 컴퓨터처럼 생기지 않았음에도 역시 컴퓨터에 해당하는 커넥티드 사물에 대해서는 정작 보안인식이 흐려지는 경향이 있어 보인다. 필자는 최근 사물인터넷의 취약한 보안상황, 이에 대응할 방법, 새로운 커넥티드 기기를 통한 침투..
-
[인포그래픽]차량이 해킹되는 과정IT 정보/IT, 보안 소식&팁 2015. 12. 21. 12:20
사람들은 대체로 좋아하는 대상의 약점에 대해서는 주목하지 않는다. 하지만이 부분이 우리 스스로의 안전과 직결된다면 충분히 알아둬야 할 필요가 있다. 사물인터넷이 나날이 빠르게 진화하여 우리의 삶을 편리하게 해 주는 스마트기기와 각종 시스템을 끌어들이고 있다는 사실은 분명하다. 네트워크에 연결된 스마트자동차 역시 위험성이 있다는 사실에도 불구하고 운전자들에게 인기를 얻고 있다. 오늘날 해커들이 자동차의 보안시스템에 침투할 수 있는 경우의 수는 그 어느 때보다도 많다. 그렇다면 차량 해킹을 방지할 수 있을까. Arxan Technologies 소프트웨어보안 및 어플리케이션 방호 업체로서 세계 각지의 어플리케이션이 모두 안전해지고 믿을 수 있도록 한다는 사명을 내세우고 있으며 최근 사이버범죄자들이 네트워크 연..