Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해커

IDG 블로그 | “시리로 온도 조절” 해커들 시리 활용 본격화

시리는 아이폰 4S에서 가장 인기있는 기술 중 하나이다. 하지만 많은 사용자들이 이 기능을 단지 애플의 위젯이나 웹 서핑 이외의 곳에서도 사용하고 싶어한다. 그리고 일군의 대담한 해커들이 바로 그런 일에 착수하고 있다. 첫번째 시도는 온도조절기를 설정하는 것이다. 유튜브에 올라온 비디오를 보면, 피트(트위터 ID @Plamoni)란 해커는 시리로 프록시 서버를 사용해 와이파이 온도조절기를 설정하는 방법을 보여준다. 프록시 핵에 연결된 시리를 사용해 피트는 음성 명령으로 현재 온도에 대한 정보를 끌어내고, 온도조절기에 새로운 프로그램을 설정한다.   이런 홈 프로그래밍은 새로울 것이 없지만, 음성 인식과 음성 명령을 지원하는 컴퓨터는 DARPA 연구소나 IBM 수퍼컴퓨터 외에는 보기 어려운 것이다. 하지만 시리는 아주 쓸만한 AI 시스템으로 사용자가 말하는 것의 대부분을 이해하며, 이를 프록시 서버가 이해할 수 있는 단순한 명령어로 번역하는 것도 가능하다.   피트의 프록시에서 가장 멋진 것은 이 프레임워크가 시리의 기능을 확장할 수 있는 다른 플러그인도 구현할 수 있다는 것이다. 피트는 시리 프록시(Siri Proxy) 코드를 코드 공유 사이트인 GitHub에 올렸으며, 이미 다른 개발자들이 만들어낸 플러그인들이 공개되고 있다.  editor@itworld.co.kr

해커 음성인식 시리 2011.11.23

루마니아 해커, NASA 시스템 침투 파괴 혐의로 체포

루마니아 당국은 NASA 서버를 파괴해 미국 우주 항공 시스템에 50만 달러의 피해를 입힌 26세의 해커 로버트 부티카를 루마니아 서북부에 위치한 클루지에서 체포했다고 밝혔다.    지역 신문에 따르면, 이 해커는 ‘Iceman’이라는 온라인 이름을 사용했으며, 그는 고학력이나 직업을 갖지 못했다고 밝혔다.    부티카는 2010년 10월 12일을 시작으로 장기간에 걸쳐 몇 대의 NASA 서버를 해킹한 혐의를 받고 있다. 루마니아 당국은 이 해커는 보호받는 데이터를 파괴하고 그곳의 액세스를 방해했다고 주장했다.   기소 내용은 부티카가 허가받지 않은 액세스 권한 획득을 포함해 컴퓨터 시스템에 수정, 파괴 등 여러 문제를 야기하고, 허가 없이 데이터 액세스를 방해한 점, 그리고 해킹 프로그램의 소지를 포함했다.      그는 검사들이 구금 기간을 연장하기 위한 법원 명령을 기다리는 동안 경찰 구치소에서 24시간을 보낼 것이다. 당국은 그의 집을 급습해 여러 대의 컴퓨터를 압류했다.    루마니아 당국은 그는 범죄 활동을 통해 유인, 수정, 그리고 데이터를 손상시키고, 액세스를 방해함으로써 컴퓨터 서버 운영에 심한 손실을 주었다고 밝혔다. 이 해커 사건은 범죄인 인도 요구가 없기 때문에 루마니아에서 심리하게 될 것이다.    부티카는 NASA가 소유한 컴퓨터 시스템에 침입해 파괴한 첫번째 루마니아 해커가 아니다. 사실 미국 우주 항공국은 해커들이 보기에 그들의 기술을 증명받을 수 있는 평범한 타깃이다.    루마니아인 빅터 포어는 2005년 NASA, 미국 에너지국, 그리고 미 해군이 소유한 여러 대의 서버를 해킹했다. 최근 그는 법원에서 미국 정부에게 24만 달러의 피해 보상하라는 명령에 대해 항소 중이다.  ...

해커 해킹 루마니아 2011.11.17

2대의 미 인공위성, 4번이나 접속 권한 뺏겨

중국인으로 의심되는 해커는 2007년과 2008년에 두대의 미국 인공위성을 4번에 걸쳐 별도의 공격으로 방해했다.    블룸버그 비즈니스위크 기사에 따르면, 미 의회 위원회에 게시된 보고서에서 공격자는 위성 가운데 하나를 제어권을 장악해 충분히 액세스할 수 있었지만 그렇게까지는 하지 않았다고 전했다.    블룸버그는 NASA과 미국 지질 조사국에 의해 관리되는 랜드셋-7과 NASA에 의해 관리되는 자원탐사위성 테라AM-1 위성 모두 중국으로 추정되는 해커에 의해 공격당했다.    공격자는 노르웨이 스피츠버겐에 있는 스발바르 위성 기지에서 지상 제어 시스템을 위태롭게 함으로써 위성의 접속 권한을 획득했다.      해커는 2008년에 테라 AM-1 위성을 두번이나 방해했다(7월에 2분정도를, 다시 10월에는 9분정도). 한편 랜드셋-7 시스템은 2007년 10월과 2008년 7월에 12분이상을 간섭받았다.    자원탐사위성인 랜드셋-7 위성의 2007년 10월 공격은 간섭을 조사받는 2008년에서야 발견됐다.    보고서는 "이런 간섭이 더 중요한 기능을 가진 위성에 행해지면, 수많은 잠재적 위협을 받게 된다. 위성 제어에 접속한 공격자는 위성을 손상 또는 파괴할 수 있다. 공격자는 또한 거부하거나, 점진적으로 저하시키거나, 위성의 전송을 조작할 수 있다.    이 보고서는 직접 공격의 배후로 추정되는 중국 정부나 군대를 지목하지 않았다. 하지만 적의 우주 시스템과 지상 기반의 위성 제어 시스템을 사용할 수 없게 하는 중국 군사 전략과 일치된다고 밝혔다.     중국의 충돌시 명시된 전략은 미국 우주와 컴퓨터 시스템을 위태롭게 하고, 방해, 부정, 저하, 기만 또는 파괴하는 것이다....

해커 미국 접속 2011.10.28

어리석은 해커 치욕의 전당 베스트 5

인터넷이 황량한 서부라면, 해커들은 현 시대의 무법자들이다. 그리고 이전의 총잡이들처럼 한 번의 잘못으로 감옥 생활을 할 수 있다. 그들이 실제로 돈을 훔쳤던지 아니면 단지 혼란만을 야기시켰냐에 따라 공격 실패는 잔인한 결과로 이어질 수 있다. 그리고 요즘에는 실수가 허용되는 범위도 단 몇 비트에 불과하다. 인터넷의 국제적인 특성 덕분에 놀라울 정도로 많은 수의 보안관들이 사이버 범죄자들을 추적하고 있기 때문이다.   하지만 가끔은 보안관들이 그렇게 열심히 추적할 필요가 없을 때도 있다. 기지를 발휘한다면, 해커들은 순식간에 어리석은 결정을 내리고 온라인 상에 자신의 흔적을 추적할 수 있는 가상 지도를 남길 것이다.   어떻게 하면 그렇게 되는지는 인포월드가 선정한 어리석은 해커 수법 치욕의 전당에 이름을 올린 5명의 용의자들에게 물어보기 바란다.   어리석은 해커 수법 1 : 해킹과 트윗을 체포될 때까지 반복한다   용의자 : 스콧 아키사스키 혐의 사실 : FBI가 후원하는 웹 사이트 해킹   사건의 전말 : 아키사스키는 사이버 범죄 예방을 위해 FBI가 운영하는 프로그램인 인프라가드(InfraGard)의 웹 사이트를 해킹한 혐의로 기소되었다. 그렇다. 잘못 쓴 것이 아니다: 사이버 범죄 예방. 다른 말로 "해커가 엮이고 싶지 않은 곳"에 대한 백과사전의 항목이 있다면, 인프라가드가 제일 위에 올라 있을 것이다.   비록 상식적으로는 말이 안되지만 누군가 인프라가드에 잠입해야 한다고 결정했다. 인프라가드와 정부의 관계가 누군가를 잘못된 길로 인도한 것이 분명하다. 지난 6월 최근의 컴퓨터 범죄 관련 법안에 대한 저항의 표시로 해커 단체인 룰즈섹(LulzSec)이 해당 기관의 사이트 중 하나를 망가뜨렸다.   아키사스키와 관련된 문제는 그로부터 한 달 후 2011년 7월에 발...

체포 해커 실수 2011.10.27

MS의 유투브 채널, '털렸다'

마이크로소프트 공식 유투브 채널이 지난 토요일에 납치당해 모든 동영상이 일시적으로 제거됐다. 해커는 마이크로소프트가 경연대회를 열고 있다는 다른 사람의 주장을 올려놓았다.    해커들에 의해 제작된 "우리는 서브박스를 후원하고 있다, 서브박스를 할 수 있는 배경을 만들어라"는 두개의 동영상의 제목이 게재됐다. 한편 채널의 설명에는 "스폰서가 되고 싶습니까?, 나에게 메시지를 남기시오"라는 수정된 문구가 있었다.       해커 혐의자는 "나는 단순히 2006년에 내가 만든 내 계정에 로그인한 것일뿐 잘못이 없다"고 게시판에 올렸다.     이는 납치범이 동영상 공유 웹사이트에 초기에 등록했다는 것을 의미한다. 그 계정은 상표권을 이유로 마이크로소프트이 가져갔지만, 원래 이메일은 접속할 수 있게 유지된 것으로 보인다.    이 사건이 어떻게 된 것인지는 분명치 않지만, 2008년에 유투브는 자신의 구글의 계정과 자신의 오래된 계정을 링크하는 옵션을 사용자에게 제공하기 시작했다. 이것은 올해 필수적인 것이 됐고, 이를 통해 이전 소유자가 지금 접속해 무언가를 할 수도 있다.   사용자의 이메일 주소가 유투브에서 마이크로소프트에서 사용하는 구글 계정으로 링크되어 있다면, 그는 비밀번호를 재설정할 수 있는 권한을 얻을 수 있을 것이다.    소포스 수석기술 컨설턴트 그레이엄 클루리는 "이것이 사실이라면, 동영상 네트워크에 설립되어 있는 다른 잘 알려진 브랜드에도 영향을 미치는, 엄청난 문제를 야기할 수 있을 것"이라고 경고했다.     마이크로소프트는 그 계정이 납치된 것에 사용된 수단에 대해 언급하지 않았지만, 곧 통제력을 회복했고, 삭제된 동영상을 복구했다. 한편 자신이 ...

구글 마이크로소프트 해커 2011.10.25

세서미 스트리트, 해킹당해...22분간 포르노 사진 게시

미진학 아동들을 대상으로 인기있는 세서미 스트리트 채널은 지난 일요일 해커로부터 공격을 당해 채널에 있는 모든 동영상은 삭제되고 포르노 사진이 게시됐다.    넥스트 웹에 따르면, "이는 22분동안 구글에 올라가 있었다"고 전했으며, 유투브 관계자는 "유투브의 커뮤니티 가이드는 그래픽 콘텐츠를 금지한다"며, "언제나 구글은 이와 같이 만들어진 부적절한 자료는 즉시 제거한다"고 밝혔다.    한편 아이들의 쇼를 제작하는 세서미 스트리트 워크숍은 이번 사고에 대해 "세서미 채널에 문제가 생겼으며, 현재 원본 콘텐츠 복원을 위해 유투브/구글과 협력 중"이라고 발표했다. 세서미는 항상 시청자에 대한 연령에 적합한 콘텐츠를 제공하기 위해 노력하고, 이 문제를 신속하게 해결하기 위해 최선을 다할 것"이라고 밝혔다.    이 채널이 파손당한 것에 더해, 세서미 스트리트의 유투브 프로필이 MREDXWX로 변경됐으며, 아동 포르노와 특정인에 대한 메시지가 기재됐다.    유투브 사용자인 MREDXWX는 이번 공격과는 전혀 상관없다고 부인했다. 유투브 채널 페이지에서 MREDXWX는 글자로 된 동영상을 게시했다.  "세서미 스트리트를 해킹한 적이 없다. 난 게임플레이 동영상을 만드는 정직한 유투브 사용자로, 커뮤니티 가이드를 존중한다"고 밝혔다.    해커가 언급한 Mrsuicider라는 채널 사이트는 루마니아에 본사를 둔 음악 애호가의 것으로 추정된다.    소셜 뉴스사이트 레딧에서 레이저넛은 "이는 보복성 해킹으로 나타난다"며, "본질적으로 이 사건 뒤에는 이 사람이 슬퍼하기를 바라는 의도가 깔려있다"고 주장했다.  &n...

해커 해킹 유투브 2011.10.18

MySQL.com 악성 코드에 감염...루트 권한 3,000달러에 판매

오픈소스 MySQL 데이터베이스용 웹 사이트인 MySQL.com이 해킹되어 방문자들에게 악성 프로그램을 퍼트리는데 사용된 것으로 나타났다.   보안 전문업체인 아머라이즈(Armorize)는 27일 이런 문제를 발견하고 공지했다. 해커들은 자바스크립트 코드를 사이트에 심어 방문자들에게 다양한 브라우저 공격을 시도했는데, 이 때문에 구버전 브라우저나 패치를 하지 않은 플래시나 어도비 리더, 자바 등을 사용한 윈도우 기반 PC의 상당수가 악성 프로그램에 감염됐을 가능성이 있는 것으로 알려졌다.   아머라이즈의 CEO 웨인 후앙은 이 문제는 공지 후 6시간 만에 해결됐으며, 악성 코드가 활동한 시간은 하루가 채 못될 것이라고 밝혔다.   후앙은 해커가 블랙홀 키트를 이용해 사이트 방문자를 공격했다고 설명했지만, 아직 이들 해커가 심은 악성 소프트웨어의 목적이 무엇인지는 파악하지 못했다고 밝혔다. 일반적으로 사이버 범죄자들은 피해자의 패스워드를 훔치거나 가짜 안티바이러스 소프트웨어용 광고를 띄우기 위해, 또는 봇넷 컴퓨터를 만들기 위해 악성 프로그램을 설치한다.   MySQL.com 프로젝트를 관리하는 오라클은 아직 이 문제에 대한 조사를 진행하고 있으며, 공식적인 코멘트는 내놓지 않고 있다.   MySQL.com 같은 방문객이 많은 오픈소스 웹 사이트가 최근 들어 여러 차례 공격을 받고 있다. 리눅스 재단도 악성 소프트웨어 감염 때문에 Kernel.org, Linux.com 등의 여러 웹 사이트를 정지시켜야만 했다. 그리고 MySQL.com은 올해 초에도 공격을 받은 바 있다.   지난 3월 MySQL.om을 공격한 해커는 훔친 사용자 이름과 패스워드를 공개했으며, 이 데이터를 이용해 사이트를 다시 공격했을 가능성도 있다. 트렌드 마이크로의 수석 위협 연구원인 맥심 곤차로브는 러시아 지하 포럼에서 'sourc...

맬웨어 악성프로그램 해커 2011.09.27

IDG 블로그 | 해커가 더 똑똑해질 필요가 없는 이유

수년동안 사이버 범죄는 같은 기술과 전술을 사용하고 있지만, 기업들은 방어하는데 실패하고 있다.    온라인, 인쇄, TV, 라디오 등 각 매체에서는 악의적인 해킹이 점점 더 정교해지고 있다고 주장한다. 겉으로 보기에 미디어들은 세상이 정교한 도구와 방법을 가진, 도저히 막을 수 없는 최고의 해커가 있다고 믿기를 원한다.     하지만 이는 현실과는 거리가 멀다. 악의적인 해커는 매번 똑같은 도구를 사용해 똑같은 약점을 공격하고 있다. 그럼에도 기업과 최종 사용자는 그들 스스로를 지키려 하지 않는다. 오늘날의 공격자들과 그들의 도구는 거의 무적처럼 심각하게 공공의 위해를 가한다.    악성코드, 버퍼 오버플로, 사회 공학 기법, 비밀 번호 크래킹, 동적 봇넷과 같은 공격자들의 전략과 기술은 컴퓨터가 발명된 이래로 변한 것이 없다.    예를 들어 컴퓨터 메인보드의 BIOS를 수정해 검색과 제거를 어렵게 만든 메브로미라는 새로운 루트 킷이 있었지만, 이는 새로운 것이 아니었다. 1998년에는 CIH 바이러스가 창궐했다. 데이터를 삭제하거나 하드 드라이브를 파괴하고, 대금청구의 인질을 잡는 악성 코드는 항상 미디어의 헤드라인을 장식했다. 에이즈 트로이 목마 프로그램은 1989년에 나왔다.    서버를 손상시키는 데 가장 일반적인 방법은 애플리케이션 공격과 SQL 인젝션이다. 이 방법들은 10년이 넘었다. 심지어 가장 인기있는 최종 사용자의 공격인 가짜 안티바이러스 프로그램이나 제조데이 공격은 영원히 계속될 것이다.    첫번째 가짜 안티바이러스 프로그램은 1989년에 맥아피 소프트웨어를 가장해 등장했다. 직후 존 맥아피는 프로그램에 디지털 사인을 사용하기 시작했으며, 나머지 온라인 소프트웨어 산업도 이를 쫓아갔다.    기초적인 보안에 집중하...

안티바이러스 해커 악성 코드 2011.09.21

중국 해커들, 사이버 절도 반대 성명 발표

저명한 중국인 해커 2명은 중국이 국제적으로 해킹 공격의 요지로 여겨지는 것을 보고, 사이버 절도 반대를 요구하는 모임을 제안하고, 동료 해커들에게 지원을 요구한다고 밝혔다. 두 해커는 공 웨이와 완 타오. 그들은 ‘해커들의 자체 징계 협의회’를 출범한다고 중국 언론과 인터넷에 그 내용을 공개했다. 그들은 더 이상의 언급을 거부했지만, 문서에서는 해킹 활동의 도덕적인 모습을 소개하기도 했다.   발표 내용은 해커들은 일반 대중의 정보를 훔쳐 돈을 벌지 않겠다는 것이다. 또한 해킹 그룹은 지식이나 수입을 거둬들이는 도구를 보급하지 않을 것이라고 덧붙였다. 대중의 개인 정보와 특히 어린이와 미성년자의 정보는 보호돼야 한다며, 사람들의 개인 정보를 사거나 파는 어떤 행위는 부적절하다고 강조했다.   그들은 해커를 보안 취약점을 연구하는 인터넷과 컴퓨터의 개발을 추진하는 사람들로 정의했다. 또한 해커가 하는 일은 악의적인 손상을 가하는 것이 아니고, 해커를 정치적으로 사용할 수 없다고 덧붙였다. 협약의 초안은 다음주 상하이에서 400~500여 명이 참석할 것으로 예상되는 ‘해커 컨퍼런스’에서 공식화될 것이다. 그 다음 회의에서 투표로 승인 여부가 결정될 것으로 보인다. 공과 완은 최근 IT 보안 업계에서 일하고 있지만, 중국의 초기 해커로써 명성을 얻었다. 공은 중국 해커 그룹의 하나인  GAC(Green Army Corps)의 설립자이고, 완은 해킹 그룹인 CEU(China Eagle Union)을 만들었다. 두 그룹은 외국 웹사이트를 공격하고 외관을 훼손하는 작업에 참여한 것으로 알려졌다. 그들은 중국 최고 법원이 지난 8월에 해커들이 기존 법률에 따라 처벌 대상이 될 수 있다는 판결이 난후, 처음으로 중국 언론에 이 계획을 발표한 것. 공은 “중국은 건강한 해킹 문화가 부족하고, 인터넷 기술에 관심이 있는 초기 입문자들이 쉽게 잘...

해커 중국 사이버 절도 2011.09.19

"페이스북, 3주내 해커에게 4만 달러 현상금 지불할 것"

페이스북은 3주전 시작한 자사의 웹사이트에서 결점을 찾은 해커에게 현금을 지불하는 '버그 포상금 프로그램' 결과, 4만 달러 이상을 지불해야 한다고 밝혔다. 페이스북은 이 프로그램을 ‘월요일의 성공작’이라 부르며, “보안 연구원들이 동원돼, 전세계 페이스북닷컴이 좀더 안전해졌다”며, “우리는 수많은 보안 전문가들을 알고 협력 관계를 가지고 있지만, 이 프로그램은 인터넷 보안에 대해 열정적인 터키에서 폴란드까지 전세계 16개국 이상에서 사람들에게 보안 설정을 넓히면서 보안을 강화했다”고 페이스북에 글을 올렸다.   최근 기술 업체들은 해커가 범죄에 유용할 수 있는 버그를 찾아 단순히 폐기하기보다는, 해커들이 버그를 찾아서 공식화해서 보고하는 것을 격려하고 있다. 실제로 구글과 모질라는 이와 유사한 버그 포상금 프로그램도 진행중이다.    페이스북은 버그당 500달러를 지불하고, 이례적으로 문제시 되는 것에 많은 투자를 할 것이다. > “버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유 예를 들어, 페이스북은 “한 해커가 실제로 훌륭한 보고서를 제출해 5,000 달러를 받았다”며, 또한 “페이스북은 6가지 다른 문제점을 해결한 연구원들에게 7,000 달러를 지불했다”고 밝혔다.   단점으로 페이스북은 홍보를 하기 위한 사람들의 가짜 리포트를 거래하기도 한다고 밝혔다. 페이스북은 버그 포상금 프로그램에 대해 찬사를 보냈지만, 서드파티 업체가 만든 수많은 페이스북 애플리케이션으로 확대해야 하지는 않을 것이라고 밝혔다. 불행이도 이는 실현 가능하지 않기 때문이라고 설명했다. Robert_McMillan@idg.com

페이스북 해커 포상금 2011.08.30

“버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유

자신의 집에 침입하는 도둑에게 돈을 줄 수 있는가? 대부분의 현명한 사람은 아니라고 답할 것이다. 하지만 점점 더 많은 현명한 기업들이 "그렇다"라고 대답하고 있다. 구글같은 기업들은 자사의 소프트웨어에 침입할 수 있는 구멍을 찾는 해커들에게 상당한 포상을 제공하고 있다.   이런 기업들은 종종 버그 하나를 발견하면 수천 달러를 지급하기 때문에 버그 사냥은 상당한 수익으로 이어진다. 그리고 이것과는 차원이 다르지만 마이크로소프트는 자사의 블루햇 프라이즈(BlueHat Prize) 대회에서 윈도우 애플리케이션을 해킹으로부터 보호할 수 있는 최고의 방법을 찾아낸 해커에게 20만 달러의 상금을 지급하기도 했다.   관련 기업들은 이런 포상금 프로그램이 자사의 제품을 더욱 안전하게 만든다고 말한다. 구글 웹 애플리케이션 사업부에서 취약점 포상금 프로그램(Vulnerability Reward Program)을 담당하고 있는 보안 프로그램 관리자 아담 메인이 "우리는 더 많은 버그 보고(Bug Report)를 받아 더 많은 버그를 수정함으로써 사용자들에게 더 나은 경험을 제공할 수 있게 된다"면서, "우리는 또한 이런 버그를 찾아내는 전문가들과도 긍정적인 관계를 형성하고 있다”라고 말했다.   하지만 이 프로그램은 많은 논란을 불러 일으키고 있다. 마이크로소프트같은 기업들은 포상금을 사람들이 취약점을 찾아내도록 유도하기 위해서가 아니라 악당을 잡기 위해서만 사용해야 한다고 믿는다. 또한 여기에는 더블딥(Double Dip) 문제가 있다. 해커들은 취약성을 찾아내 상금을 받아 내고는 악의가 있는 구매자들에게 이 정보를 팔 수 있는 가능성이 있는 것이다.   포상금 전쟁 매년 캔섹웨스트(CanSecWest) 보안 컨퍼런스 기간에 벌어지는 해킹 대회 Pwn2Own은 해커들에게 있어서 월드시리즈 포커대회(World Serie...

구글 마이크로소프트 해커 2011.08.18

중소기업을 위한 데이터 및 개인정보 침해 예방책 10가지

어노니머스(Anonymous)나 룰즈섹(LulzSec)같은 해커그룹 때문에 지난 수 개월간 데이터 파괴는 피할 수 없는 재앙인 것처럼 보였다. 만약 HB개리(HBGary)나 RSA 시큐리티(RSA Security)같은 보안업체들이 안전하지 않다면, 일반적인 중소규모 기업은 누구를 믿어야 하는가? 완벽한 네트워크 보안도 없고, 묘책도 없는 것이 사실이지만, IT 관리자들은 다양한 방법으로 네트워크 침입을 예방하고 데이터와 개인 정보를 더 잘 보호할 수 있다.   SafetyWeb.com과 myID.com의 웹 보안 및 온라인 개인정보 보호 전문가들과 함께 10개의 서로 다른 데이터 및 개인정보 침해 시나리오를 마련하고, 이를 피할 수 있는 방법들을 알아보았다.   1. 안전하지 못한 네트워크 선택으로 인한 데이터 침해  시스코나 썬같은 이름은 전 세계의 IT 부서들에서 사용되는 기업 수준의 네트워킹 기술과 동의어라 할 수 있다. 하지만 일반적으로 중소기업들은 이런 장비들을 구매하는데 필요한 예산이 부족하다. 만약 SMB가 네트워크 인프라를 보유하고 있다면, 아마도 일반 가정용으로 만들어진 네트워크 장비를 이용해 구축한 것일 가능성이 높다. 일부 소기업은 라우터를 전혀 사용하지 않고 인터넷에 직접 연결하기도 한다. 기업은 고품질 좋은 라우터를 이용하고 이 라우터들의 기본 암호를 변경함으로써 네트워크 보안을 개선하고 대부분의 위협을 차단할 수 있다.    2. 부적절한 파쇄 조치로 인한 데이터 침해 쓰레기통에서 신상 정보를 훔치는 도둑들은 서류를 파쇄하지 않고 처리하는 기업들을 주요 목표로 한다. 대부분의 가정용 파쇄기는 소규모 기업들이 사용하기에 충분하지만, 만약 개인 정보를 매일 출력하고 파쇄하는 것을 반복한다면 상용 파쇄기를 마련하는 것도 현명한 선택이 될 수 있다. 민감한 정보나 개인 신상 데이터를 포함하고 있는 서류들은 폐기하기 전에 반드시 꼼꼼히 파쇄하도...

해커 해킹 개인정보 2011.08.02

영국 경찰, “어노니머스 대변인 체포했다” 발표

영국 경찰이 어노니머스의 일원으로 의심되는 10대 2명을 심문하고 있는데, 그중 한 명이 어노니머스의 대변인으로 알려진 ‘Topiary'인 것으로 확인됐다고 밝혔다. 이는 최근 어노니머스 관련 제재 조치 중 가장 의미있는 성과로 평가되고 있다.   토피어리의 실제 이름은 공개되지 않았지만, 영국 경찰은 19세 피의자를 영국 북동부의 세트랜드 섬의 자택에서 체포해 런던 중앙 경찰서로 이송하고 있다고 밝혔다.   토피어리는 트위터 채널을 통해 “어노니머스, 룰즈섹, 기타 강렬한 사이버 승리의 전형들과 일을 하고 있다”고 스스로를 설명하고 있으며, 최근 “사상을 체포할 수는 없다”는 포스트를 남겨 관심을 모았다.    어노니머스의 최근 캠페인은 사람들에게 페이팔 계정을 해지하도록 촉구하는 것이었다. 이베이의 자회사인 페이팔은 위키리크스에 대한 서비스 차단으로 인해 이들 해커 그룹의 주요 공격 대상이 되어 왔다.    이번 영국 경찰의 토피어리 체포는 어노니머스와 룰즈섹이 페이팔에 대한 보이코트 캠페인을 발표한지 몇 시간 만에 이뤄진 것이다. 현재 룰즈섹의 트위터 계정은 페이팔에 대한 공개적인 비난 이후 업데이트가 되지 않고 있다.   하지만 영국 경찰의 이번 발표에 모순이 있다는 지적도 있다. 지난 달 발표된 문서에 따르면, 룰즈섹의 일원인 토피어리는 스웨덴에 살고 있으며, 실명은 다니엘 애커맨 샌드버그인 것으로 드러났다. 이는 영국에서 체포됐다는 사실과 분명히 충돌하는 것이라, 조만간 룰즈섹과 어노니머스측의 대응이 있을 것으로 예상된다.  editor@itworld.co.kr

체포 해커 어노니머스 2011.07.28

미 FBI, 어노니머스 해커 12명 체포

FBI가 해킹 그룹 어노니머스의 구성원으로 의심되는 인물에 전국적인 규모의 단속을 통해 12명 이상을 체포한 것으로 알려졌다.    캘리포니아와 뉴저지, 플로리다 등지의 체포 소식이 폭스뉴스와 CBS 뉴스 등을 통해 보도됐는데, 이들 뉴스는 모두 익명의 정보원으로부터 나온 정보를 기반으로 한 것이다.   FBI의 대변인들은 컴퓨터월드의 확인 취재에서 현재 진행 중인 사이버 범죄에 대한 조사와 관련해 집적적인 사법 집행이 이뤄졌다는 사실을 인정했다. 하지만 수사 중인 해커 그룹의 이름이나 체포에 대해서는 긍정도 부정도 하지 않았다.   FBI 워싱턴 본부와 샌프란시스코 지부의 대변인들은 조만간 이에 대한 발표가 있을 것이라고만 대답했다.   폭스뉴스의 보도에 따르면, FBI는 어노니머스 일원으로 의심되는 세 명의 집에 대한 압수수색을 단행했으며, 지오다니 조단으로 알려진 한 명의 집에서 적어도 한 대 이상의 컴퓨터를 압수한 것으로 보인다.   이번 단속은 최근 어노니머스에 의한 해킹 공격이 증가하면서 이에 대한 대응으로 이뤄진 것으로 보인다. 지난 주 어노니머스는 군수업체인 부즈 알렌 해밀턴의 컴퓨터를 해킹해 군 관련 인물 9만여 명의 이메일 주소와 패스워드를 유출시켰다고 주장했다.   또한 이달 초에는 이민법 반대를 목적으로 아리조나 경찰 노조 웹 사이트에 대한 반복적인 공격을 감행해 사이버테러 그룹으로 분류되기도 했다.   보안 전문업체인 애플리케이션 시큐리티(Application Security)의 CTO 조시 숄은 이번 FBI의 단속은 예견되었던 것이라고 평가했다. 숄은 “어노니머스는 많은 사람들을 화나게 했다”며, “불장난을 계속하면 언젠가는 화상을 입게 된다”고 덧붙였다.   하지만 한 가지 이상한 것은 일부 어노니머...

해커 FBI 어노니머스 2011.07.20

2011년 요주의 해커 단체...“목적도 방식도 제각각”

해커들은 웹 사이트를 공격하고 정보를 훔친다. 온라인 상에 약 6,000개의 해커단체(Hacker Group)가 있으며, 전 세계적으로 약 5만여 명의 "말썽꾸러기“ 해커들이 활동하고 있다. 이런 해커 단체들이 위협이 되고 있는 사실이지만, 그 목적, 방식, 효과는 다양하다.   이들은 화가 나면 기업과 정부 시스템에 침입해 기밀 정보를 훔쳐 이를 대중에 공개하거나 서비스 거부(Denial Of Service) 공격으로 이를 파괴한다. 활동이 눈에 띄지는 않지만 잘 알려진 어노니머스(Anonymous)와 단명한 룰즈섹(Lulz Security) 등이 유명하다. (룰즈섹의 구성원은 6명으로 해체 후 어노니머스에 합류했다.)   어노니머스는 수년에 걸쳐서 사이언톨로지교(Church of Scientology), 서포트 온라인 힙합(Support Online Hip Hop) 웹 사이트, 노 쿠싱 클럽(No Cussing Club) 웹 사이트 등을 공격했고 유튜브에 아동용 영상으로 위장한 성인물을 게재한 것으로 추측된다.    핵티비스트의 대표주자 어노니머스 2009년 이란 대통령선거의 결과에 이의를 제기하는 이란인 단체에 합류했다고도 한다. 그리고 호주 정부가 ISP로 하여금 인터넷 상의 포르노물을 검열하도록 할 계획을 세우자 지난 2009년 호주 수상의 웹 사이트를 다운시킨 사건에도 관련되어 있는 것으로 알려져 있다. 어노니머스는 반 저작권침해(Anti-piracy) 단체나 법률회사에 등에 DDoS 공격을 가함으로써 저작권 침해 활동가들이 저작권법에 대항해 싸우는 것을 돕고 있다.    어노니머스는 미 육군 브래들리 매닝이 유출한 것으로 알려진 미 국무부 내부정보 등의 기밀 정보를 공개하는 위키리크스(WikiLeaks)를 지지하고 있다. 매닝은 현재 수감되어 재판을 기다리고 있다.   어노니머스는 소니 해...

해커 어노니머스 보안 2011.07.12

글로벌 칼럼 | 해킹에 대처하는 자세, “해커처럼 생각하라”

  필자는 종종 경력 관리 자문가들로부터 IT 보안 전문가들의 역량 향상을 위해서는 어떠한 자질이 요구 되는지에 대하여 질문을 받곤 한다. 그리고 이에 대한 필자의 답은 한결같다. 해커처럼 생각하라.   물론 이 대답이 불법적 행위에 참여하는, 블랙햇 해커를 염두에 두고 하는 말은 아니다. 진정한 컴퓨터 보안 전문가들은, 언제나, 생각으로 그칠지라도, 시스템을 해킹한다. 그들은 본능적으로 자신들이 접하는 모든 종류의 시스템을 파괴할 방법에 대하여 고민한다. 해커의 눈으로 시스템을 바라봄으로써, 시스템의 약점을 더 잘 이해하고 이에 대한 대응책을 마련할 수 있게 된다. 해커를 막는 최선의 도구는 해커 자신들이다.   필자는 필자가 다루는 모든 시스템을 해킹할 수 없음을 안다. 지난 주 필자는 마을의 슈퍼마켓에서 쇼핑을 하고 있었다. 계산을 마친 필자가 계산대를 떠나려는 순간, 누군가 환불할 물건을 가지고 계산대로 왔고, 도난 경보기가 울리기 시작했다. 당황한 필자가 그에게 사과를 요청하려 했지만, 그는 이미 방향을 돌려 고객 서비스 센터로 향하고 있었다. 그 순간, 필자는 생각했다. 사람들이 내가 도둑질을 하지 않았다는 사실을 알 수 있을까? 아니, 그들은 알 수 없다.    필자는 여전히 적극적인 해커로써의 마음을 가지고 있다. 만일 필자가 진짜 도둑질을 할 마음이었다면, 훔친 물건을 숨겨 매장을 빠져 나갈 때 까지 시간을 벌어줄 공범을 만드는 것이 충분히 가능했을 것이다. 공범의 역할은 그저 보안 태그가 미처 제거되지 않은 물건을 손에 들고 있는 것만으로 충분하다. 필자는 공범이 그 물건을 들고 도난 경보기 옆으로 걸어가는 동안 매장을 빠져나갈 것이다. 그리고 필자의 공범은 매장에서 도망치는 대신, 경보기의 옆에 서서 매장의 안전 요원이 올 때까지 손을 흔들고 있기만 하면 된다.   도난 경보기의 약점은 이것이 한 명의 도둑과 다수의 도둑을 ...

해커 해킹 보안 2011.06.14

터키, 어노니머스 해커 32명 체포...제재 조치 본격화

  터키가 해킹 그룹 “어노니머스(Anonymous)”의 정부 웹 사이트 DDoS 공격에 대한 대응으로 32명의 해커를 체포했다고 터키 정부 공영 신문이 밝혔다.   터키 국영 아나돌루 에이전시는 앙카라와 이스탄불 등 12개 도시에서 어노니머스 구성원으로 의심되는 자들을 체포했다고 전했다.   이로써 터키는 스페인에 이어 최근에 어노니머스와 관련된 자들을 체포한 나라가 됐다. 해킹 그룹 어노니머스는 자신들이 반대하는 정부기관이나 기업에 대해 DDoS 공격을 하는 정치적 활동가들의 단체로 알려져 있다.    지난 주 금요일에는 스페인이 어노니머스에 대해 최초의 단속 조처를 취하기로 결정했다며, 소니 웹 사이트를 포함해 스페인의 은행과 정부 웹 사이트에 대해 DDoS 공격을 주도한 것으로 의심되는 3명을 체포했다고 밝혔다.   이날 어노니머스는 자신들의 웹 사이트인 AnonOps 커뮤니케이션을 통해 자신들이 터키 정부 웹 사이트를 공격한 것은 오는 8월부터 터키가 도입하려는 인터넷 브라우징에 대한 필터링 계획에 반대하기 위한 것이라고 밝혔다. 실제로 터키에서는 지난 5월 이 계획에 반대하는 사람들이 30여 도시에서 거리 시위를 벌이기도 했다.   어노니머스는 발표문을 통해 “지난 수년 동안 유튜브와 래피드셰어, 파일서브 등 수많은 사이트에 대한 차단 등 터키 정부에 의한 검열을 목격해 왔다”며, “최근에는 터키 정부가 구글 서비스에 대한 액세스도 차단했다. 이런 검열 행위는 도저히 용서할 수 없는 것이다”라고 강조했다.   어노니머스는 공격은 손쉬운 DDoS 공격 툴로 알려진 "저궤도 이온대포(Low Orbit Ion Cannon)"를 사용해 실행될 것이라고 밝혔는데, 보안 전문가들은 이 툴이 사용자를 추적하기 어렵지 않...

해커 DDos anonymous 2011.06.14

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.