Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해커

해커, 훔친 나체 사진으로 350여 여성의 옷을 벗기다

FBI는 350명 여성의 온라인 계정에서 개인 정보를 훔친 혐의를 받는 한 남자를 체포했다. 이 용의자는 그들에게 성적착취를 위한 목적으로 사진을 훔쳐 그것으로 피해자들을 협박해 옷을 벗게 하고 웹캠을 통해 누드 사진을 찍었다는 혐의를 받고 있다.    경찰은 비도덕적으로 벗은 사진을 내놓았는데, 고소장의 내용은 온라인 계정에 있는 어마어마한 량의 사적인 데이터가 안전하지 않다는 것을 보여준다.    30건의 고소장에 따르면, 27세의 게리 카자란은 많은 이메일, 페이스북, 스카이프 계정을 해킹해 그들 소유의 나체 사진을 포함한 사적인 데이터를 검색했다.    카자란은 개인 정보를 탈취한 후 피해 여성들에게 자신에게 협조하지 않으면 그들의 페이스북에 부적절한 사진을 게재하겠다고 협박하고 스카이프를 사용해 웹캠을 통해 상반신을 드러낸 여성들의 사진을 찍었다.    경찰은 카자란의 PC에서 3,000여 장의 여성 사진을 발견했으며, 일부는 그가 갈취한 여성들로부터 받은 것이었다.    피해자 수는 350여 명으로 추정되지만 더 많을 것으로 보인다. 피해자 대부분 용의자 집 근처인 미국 캘리포니아 글렌데일 인근이었다.    카자란은 또한 피해자의 친구들에게 접촉해 피해자로 가장하고 동일한 협박을 시도한 것으로 알려졌다. 이런 섹스토션(Sextortion) 사건은 종종 있었지만 이번 사건처럼 대규모적인 것은 아니었다.    지난해 한 연구원은 트렌드넷에서 제작된 보안 목적으로 웹캠 카메라에 원격 납치의 취약점이 있음을 발견됐다. editor@itworld.co.kr

해커 섹스토션 2013.02.01

어노니머스, 미 정부기관 사이트 공격···라스트 리조트 작전 개시

어노니머스란 이름 아래 활동하고 있는 해커들이 지난 주말 미 정부기관 웹 사이트를 공격해, 홈페이지를 미국 사법 제도에 대한 실망감을 상세하게 설명하는 문장으로 바꿔치기했다. 이들은 또한 여러 미 정부기관 웹 사이트에서 수집한 기밀 정보를 공개하겠다고 위협했다.   공격의 대상이 된 곳은 미 양형위원회(U.S. Sentencing Commission)로, 미 연방 사법제도의 양형 정책을 수립하는 곳이다.   위원회는 약식 발표문을 통해 “오늘 아침 사이버 공격으로 위원회 웹 사이트가 일시적으로 다운됐지만, 현재 회복됐다. 위워노히의 출판물과 교육 자료, 연방 양형 통계 등을 다시 이용할 수 있다”고 밝혔다.   사이트가 다운되기 전에 바꿔치기된 메시지에 따르면, 공격 대상 사이트와 공격 시기는 무작위로 이뤄진 것이 아닌 것으로 보인다.     해커들이 남긴 메시지는 “오늘로부터 2주전, 아론 슈왈츠가 살해당했다”라며, 자살한 아론 슈왈츠가 왜곡된 사법제도에 의해 이길 수 없는 게임을 강요 당했기 때문에 살해 당한 것과 마찬가지라고 주장했다.   슈왈츠의 자살은 핵티비스트 커뮤니티의 분노를 불러 일으켰는데, 대부분 슈왈츠에 대한 무리한 기소와 벌금이 죽음의 직접적인 원인이라고 비난했다.   해커들은 또 웹 사이트에 남긴 메시지에서 미 양형위원회 웹 사이트를 공격한 것이 상징적인 의미가 있기 때문이라고 밝혔는데, 위원회의 양형 지침이 공정한 재판을 받을 시민의 권리를 기만하고 있으며, 잔인하고 비정상적인 처벌을 금하는 미 수정헌법 8조를 명백하게 위반하고 잇다고 주장했다.   또한 자신들이 다수의 미 정부기관 사이트에 침입해 공개되면 곤란한 기밀 자료를 모았다고 주장하며, “우리는 다탄두 미사일을 위한 핵분열 물질을 충분히 확보했...

해커 어노니머스 핵티비스트 2013.01.28

글로벌 칼럼 | 해커를 고용했더니 깜짝 놀랄 문제점 발견

필자가 매년 지출하는 중요한 예산 가운데 하나가 바로 분기별 보안 평가다. 주요 시설의 물리적 침투 시험(enetration testing), 또는 주요 애플리케이션이나 제품을 평가하는데 주로 중점을 두고 있다. 그러나 이번 분기에는 해커 한 명을 고용하기로 결정을 내렸다.   필자는 자사의 보안이 제법 탄탄하다고 생각하고 싶다. 그러나 100% 안전한 것은 아니다. 취약점을 발견할 수 있는 유일한 방법은 내부 평가를 하는 것이다. 해커를 채용해 이런 평가를 하면 더 좋다. 최소한 침투 시험 전문가인 컨설턴트를 고용해야 한다.   또한 서드파티가 완벽하게 독립적으로 평가하면 더 완전한 현황을 파악할 수 있다고 생각했다. 필자는 컨설턴트에게 딱 한 가지만 못하도록 했다.    서비스 거부 공격(DoS)이다. 외부 회사를 이용하면 자사의 보안 팀이 얼마나 효과적으로 의심스러운 활동을 발견해 내는지를 시험할 수도 있다. 이를 위해 IT 부서의 믿을 수 있는 몇 명만 이 사실을 알도록 했다.    또다른 혜택도 있다. 데이터 누출 방지 시스템, 보안 사고 및 이벤트 관리 시스템이 자사를 얼마나 잘 보호해주는지 더 많은 정보를 얻을 수 있다는 것이다.   필자는 컨설턴트에게 평가 대상으로 선정한 핵심 애플리케이션을 제외하고는 다른 자세한 정보를 주지 않았다. 외부 컨설턴트가 개인 해커 또는 해커 단체가 사용하는 방법과 동일한 방법으로 해킹을 하기 원했기 때문이다.   2주 뒤 보고서가 도착했다. 외부 DNS 서버 가운데 하나가 내부 주소 공간을 노출시키고 있다는 중요한 사실을 알게 됐다. 또한 DNS 서버를 설정하면 누군가 내부 기반, 명명 규칙 매핑을 포함 존 정보를 옮길 수 있다는 것도 알았다. 해커들은 이 정보를 이용해 내부 네트워크를 파악, 목표에 초점을 맞출 수 있다.   다른 문제...

해커 침투테스트 보안평가 2012.10.11

미국 국가안전보장국 국장, 해커에게 도움 요청

미국 국가안전보장국(National Security Agency, NSA) 젠 키이스 알렉산더 국장은 지난달 말 데프콘 컨퍼런스에서 연사로 나와 해커들에게 사이버공간을 안전하게 만드는데 도와줄 것을 요청했다.    미국 사이버전의 수장인 알렉산더는 "이 행사는 세계 최고의 사이버보안 커뮤니티로, 여기에 있는 이들의 재능으로 국가가 필요한 사이버공간의 안전을 지킬 수 있다"고 말했다.    또한 알렉산더는 "해커들은 정부와 민간 기업들과 함께 협업적인 방법으로 활동할 수 있을 것"이라며, "우리는 네트워크를 보호할 수 있으며, 시민의 자유와 프라이버시 또한 존중한다. 그리고 해커는 우릴 도울 수 있다"고 말했다.    알렉산더는 데프콘 키즈(Defcon Kids)의 창시자들을 축하하면서 이런 행사는 최고의 독창성을 가진 화이트 햇 해커가 되는 방법을 가르쳐 주는 것이라고 말했다.    그는 "민간 기업과 정부간의 정보 공유가 절실하다"고 주장했다. "국가는 자체 레이더 화면에서 나타나지 않는 사이버 공격을 좌절시킬만한 대책을 갖고 있지 못한다"고 지적하면서 "기업들이 자사의 침입 보호 시스템에서 나오는 정보를 NSA와 실시간으로 공유할 수 있다면 상당히 희망적일 것이라고 말했다.    알렉산더는 "당국은 월 스트리트가 위협에 직면한 상황이라도 이를 예측할 수 있는 방법이 없다"고 덧붙였다. "다음 대책은 주요기반 시설과 민감한 네트워크의 안전을 도울 수 있는 표준을 공동으로 개발하는 것"이라고 주장했다.     알렉산더는 메타스틀로잇(Metasploit)과 다른 침입 테스팅 툴을 예로 들면서 "이미 해커 커뮤니티는 사이버공간을 보호...

해커 NSA 화이트 해커 2012.08.14

2012 블랙햇 해커 컨퍼런스 하이라이트

지난 주 블랙햇 해커 컨퍼런스가 개최되면서 디지털 업계 종사자들은 조금 더 불안한 느낌으로 한 주를 보냈다.   이번 행사에서 보안 연구가들에게 의해 깨진 기술로는 호텔 객실 잠금장치, 홍채 스캐너, 구글 바운서, POS 터미널, 그리고 NFC 기술 등이 있다.   컨퍼런스 참가자들 중 호텔에 묵은 사람들은 특히 모질라의 소프트웨어 개발자 코디 브로셔스의 발표에서 엄청난 불안감을 느꼈다. 브로셔스는 자체 제작한 50달러짜리 디바이스로 호텔 객실을 쉽게 열어 버렸기 때문이다.   이 도구는 호텔에서 마스터 키 카드를 사용할 수 있도록 프로그램하는 데 사용하는 것과 유사한 것이었다. 하지만 오니티(Onity)에서 만든 객실 잠금장치에만 통하며, 성공 확률은 33% 정도이다. 하지만 전세계적으로 4~500만 개의 호텔 객실이 대상이 된다.   생체 보안 기술의 패배 보안성 강한 생체 ID 인증 방식 역시 이번 블랙햇에서 허점을 드러냈다. 스페인의 연구가는 어떻게 사람 눈의 홍체 실물과 똑 같은 이미지를 만들어 낼 수 있는지를 보여줬다. 스페인 마드리드주립대의 연구팀에 따르면, 고급 상용 인식 시스템을 대상으로 한 시험에서 홍채 스캐너를 80% 정도 속인 것으로 알려졌다.   가짜 홍채 이미지는 과거에도 만들어졌지만, 장기에 관해 수집된 데이터로부터 실제 사람의 홍채를 복제한 것은 이번이 처음이다.   자사의 온라인 앱 스토어인 구글플레이에 바운서(Bouncer)를 도입하면서 구글은 이 기술이 자사 앱스토어에서 악성 프로그램에 감염된 앱이 배포되는 것을 상당 기간 막아줄 것이라고 믿었다. 하지만 이번 블랙햇에서 트러스트웨이브(Trustwave)의 지적에 의해 벌써 의문이 제기됐다. 트러스트웨이브는 정교화된 은폐 기법을 사용해 어떤 식으로 치명적인 문제가 있는 앱을 바운서의 레이더망 속으로 침투시켰고, 연구원들이 찾아낼 ...

해커 블랙햇 호텔 2012.07.30

해커들이 악용하는 최악의 웹 애플리케이션 로직 결함 톱 10

해커들은 온라인 주문이나 기타 프로세스의 약점을 악용하기 위해서 특히 웹 상에서 비즈니스 로직(Business Logic)의 결함을 찾아 다니고 있다. 애플리케이션의 보안을 검증하는 NT OBJECTives는 가장 빈번히 발견되는 비즈니스 로직 결함 열 가지를 선정했다.   1. 인증 플래그(Flag) 및 권한 승급 애플리케이션에는 자체적인 접속 제어 목록과 권한이 설정되어 있기 때문에 인증 이행이 약화되면 다른 사람의 콘텐츠에 접근하거나 더 큰 권한을 갖는 더 높은 수준의 사용자가 되는 등에 악용할 수 있는 취약성이 나타나게 된다.    여기서 필요한 것은 목표가 될 수 있는 ACL/권한과 관련이 있는 매개변수의 이름을 확인하는 일이며, 테스트를 진행하는 사람은 퍼지(Fuzzy) 툴을 이용해 비트 패턴이나 권한 플래그를 바꿀 수 있으며, 이를 통해 공격자가 권한을 악용하거나 승급시키거나 인증 과정을 우회하는 위치를 찾아낼 수 있다.   2. 중요한 매개변수 조작 및 승인되지 않은 정보/콘텐츠에 대한 접근 HTTP GET 및 POST 요청이 애플리케이션에 전달될 때는 일반적으로 이름/값 쌍(Pair), JSON, XML 등 여러 매개변수가 수반되지만, 이런 것들은 추측을 통해 조작하거나 예상할 수 있다. 이를 위해서는 쉽게 예상할 수 있는 값을 찾고 매개변수의 값을 변환해 승인되지 않은 접속 권한을 얻을 수 있는지 확인해야 한다.   3. 개발자의 쿠키 추측 및 비즈니스 프로세스/로직 우회 쿠키는 종종 HTTP에서의 상태를 유지하기 위해서 사용되지만, 개발자들은 세션 쿠키(Session Cookie)를 사용할 뿐 아니라 세션 전용 변수를 이용해 내부적으로 데이터를 구축한다. 애플리케이션 개발자들은 로직의 약점을 드러내는 주요 시점에서 브라우저 상에 새로운 쿠키를 설정한다.    여기서 문제는 쿠키가 역엔지니...

애플리케이션 취약점 해커 2012.05.08

미국 나사 등, 웹사이트 정보 해킹당해

미 항공우주국(NASA)이 최근 자사 웹 사이트 중 하나가 언노운(Unkonw)의 공격을 받은 사실을 인정했다. 언노운은 지난 몇 주 동안 웹사이트를 공격했고 이를 공개적으로 페이스트빈(Pastebin)에 게재했다.   언노운이 5월 1일 오하이오 주 클리블랜드에 있는 글렌 연구센터(Glenn Research Center)에서 호스팅된 나사 홈페이지를 해킹했다고 주장한다고 이 센터의 공공 문제 전문가 샐리 V. 해링턴은 이메일 성명서에서 밝혔다.   "나사의 보안 담당자들은 40월 20일 사이트 침입을 감지했고 사이트를 오프라인으로 변경했다"라고 해링턴은 말했다. "나사는 IT보안의 문제를 매우 심각하게 여기고 있지만, 어떤 지점에서도 민감하거나 제어된 정보는 없었다"라고 그녀는 덧붙였다.   언노운은 지난 수 주 동안의 해킹 사실을 지난 주 초에 페이스트빈(Pastebin)에 공개했는데 여기에는 미국 공군, 프랑스 국방부, 유럽 우주 등의 하위 도메인도 공격했다는 주장이 실려있었다   언노운은 바레인의 국방부도 해킹했다고 주장했으나 이 웹사이트는 사실 말레이시아에 인접한 보르네오 섬에 있는 작은 나라인 브루나이의 자원부에 속하는 것으로 알려졌다.   언노운은 미 공군 사이트를 해킹해 입수한 약 215MB 분량의 문서를 공개했는데 여기에는 각종 비용 영수증부터 비상시 통신 계획과 관련한 문서에 이르기까지 다양한 정보들이 있었다. 대다수의 문서가 2012년 날짜로 기재돼 있고 일부는 ‘기밀 사항이 아님’이라고 표시돼 있었다. 미 공군 관계자는 이에 대해 즉각적으로 논평하지 않았다.   언노운은 지난 주 목요일 트위터에 "조만간 해킹당한 공공기관들에게 우리가 어떻게 뚫고 들어가 그들의 데이터베이스에 접근해 정보를 빼왔는지를 알리는 이메일이 갈 것이다”...

해커 해킹 웹사이트 2012.05.07

어노니머스가 물러나고 "언노운즈"가 뜬다

언노운즈(Unknowns)란 새로운 해커 그룹이 뜨고 있다. 이들은 자신들이 NASA 글렌 연구센터와 미 공군, 유럽우주국 등을 해킹했다고 자랑하며, 일부 네트워크 액세스 세부사항을 공개하기도 했다.   페이스트빈(Pastebin)에 남겨진 공개 편지에서 언노운즈는 이외에도 태국 해군, 하버드 대학, 리놀트, 프랑스 국방부 등이 포함된 이른바 “희생자” 명단을 공개했다. 하지만 언노운즈는 어노니머스처럼 이들 기관을 침입한 것이 특별한 이유가 있어서라고는 말하지 않았다. 이들의 설명에 따르면, 해킹의 동기는 그저 자신들의 보안 관련 능력을 과시하기 위한 것이다.   언노운즈는 “희생자들이여, 우리는 당신들의 문서와 데이터 일부를 공개했으며, 아마 조금은 피해를 입힐지도 모르겠다. 하지만 그것은 우리의 목적이 아니다. 만약 그렇다면 당신들의 사이트는 완전히 망가졌을 것이다. 우리는 당신들이 1~2주 내로 우리가 발견한 취약점을 보완할 것이라는 사실을 알고 있으며, 이것이 실제로 우리가 원하는 것이다”라고 밝혔다. 또한 다른 웹 사이트를 연이어 공격할 것이라고 넌지시 알려주기도 했다.   언노운즈는 “희생자들”에게 남긴 메일을 통해 자신들에게 접촉하면 자신들이 어떻게 데이터베이스에 침투한 방법에 대한 정보를 즉시 제공하겠다고 밝혔다.    또한 “우리가 조처를 취하기 전에 연락하면 도움을 줄 것이며, 아무 것도 공개하지 않을 것”이라고 했다. 하지만 공공기관에서 어둠의 해커그룹에게 보안 관련 조언을 받는 것은 지극히 비상식적인 방법이기 때문에 이들 기관이 어떤 식으로 대처할지는 확실하지 않다.  editor@itworld.co.kr

해커 해킹 어노니머스 2012.05.04

인터넷 세계를 좌지우지하는 숨은 인형술사 열전

래리 페이지, 세르게이 브린, 마크 저커버그, 제프 베조스. 인터넷을 사용하는 이들이라면 이 인물들의 이름을 한 번쯤은 접해봤을 것이다. 조금 더 기술적인 관심이 있는 사람들에게는 빈튼 서프나 마크 안드레센과 같은 이름들 역시 낯설지 않을 것이다.    그러나 인터넷 세계에는, 사람들이 알지 못하는 진정한 강자들이 바글거리고 있다. 어떤 이들은 인터넷 인프라의 필수 요소들을 조종하고 있고, 또 어떤 이들은 어떤 기업이 투자를 받을지, 어떤 웹사이트가 더 많은 트래픽을 차지할지, 그리고 어떤 사이트가 내일에도 살아 남을지를 결정한다. 인터넷을 조종하는 줄을 흔들면, 모두가 휘청거리는 숨은 실력자들을 살펴본다.   매트 커츠(Matt Cutts) 공식 직함 : 구글 대표 엔지니어 숨겨진 신분 : 검색 닌자   구글의 검색 품질 (안티 웹 스팸)팀을 이끌고 있는 커츠는 웹사이트가 지나치게 ‘스팸스럽다'는 이유로 구글 페이지 랭킹의 바닥으로 추락시킬 수 있는 인물이다. 지난 2년 간 구글은 자사의 검색 결과 페이지에서 컨텐츠 팜(Content Farm, 검색 엔진 노출에 최적화 되어있지만 실상은 저질 정보만 담고 있는 웹사이트)이나 스크래퍼(scrapers, 자신들의 콘텐츠 구축을 위해 다른 사이트의 콘텐츠를 훔치거나 복제한 웹사이트), 그리고 과다 광고 페이지 등 저질 웹사이트들을 추방하기 위해 수 차례 검색 알고리즘을 변화시켜 왔다.    주의를 기울여야 하는 이유 : 그가 진행한 알고리즘의 수정 한번으로, 구글 검색 페이지의 상단에 위치하던 웹사이트가 한 순간에 나락으로 떨어질 수 있다.    로렌스 E. 스트리클링(Lawrence E. Strickling) 공식 직함 : 커뮤니케이션 및 정보 거래 위원회 차관보 숨겨진 신분 : 루트의 주인   스트...

검색 인터넷 투자 2012.05.03

2011년 사이버 공격 "대부분 회피 가능했다"

사이버 공격이 점점 정교해지고 있다는 우려가 커지고 있지만, 지난 주 발표된 버라이즌의 연례 데이터 침해 보고서에 따르면, 2011년 발생한 데이터 침해 사고의 90% 이상에서 해커들은 비교적 단순한 방법을 사용한 것으로 나타났다.   또한 80%에 이르는 공격에서 해커들은 자신들이 일부러 찾아냈다기 보다는 우연히 희생자를 공격하게 된 것으로 나타났다.    이는 기업들이 정교한 보안 통제에 점점 더 많은 비용을 투여하고 있지만, 여전히 기본적인 보안의 준수사항을 간과하고 있다는 것을 보여준다.   버라이즌의 보고서는 850건 이상의 데이터 침해 사고에 대한 조사를 기반으로 이런 결론을 내렸는데, 이 보고서에는 미 비밀경호국과 영국, 네덜란드, 아일랜드, 호주의 사법기관이 참여했다.   데이터 침해 피해기업과 보안 전문업체는 일반적으로 사업 공격을 매우 정교하고 노련한 해커들이 집단적으로 참여하는 것으로 설명하는 경향이 있다. 하지만 버라이즌의 보고서는 현실은 이와는 판이하게 다르다는 점을 보여준다.   대부분의 데이터 침해에서 해커는 특별한 기술이나 자원, 많은 맞춤형 작업이 필요하지 않았다. 실제로 버라이즌은 96%의 공격이 해커에게는 “매우 어렵지는 않았다”고 밝혔다. 보고서는 “여기에 더해 97%는 해당 기관이 까다롭고 값비싼 대응책을 이용하지도 않고도 회피할 수 있는 것이었다”고 덧붙였다.    버라이즌의 보안 애널리스트 마크 스피틀러는 때에 따라 피해를 입은 기업들은 파이어월이 없기도 했고, 포트를 인터넷에 열어놓거나 장비의 기본 패스워드나 쉽게 추측할 수 있는 패스워드를 사용했다고 밝혔다.    상황이 이렇다 보니 2011년에 해커들은 대부분의 경우 새로운 해킹 툴이 필요하지 않았다는 것. 스피틀러는 “새로운...

해커 해킹 사이버공격 2012.04.02

2011년 해커가 훔친 정보는 "1억 7,400만 건"

지난 2011년 해커가 훔친 디지털 기록이 약 1억 7,400만 건에 이르는 것으로 나타났다. 버라이즌읜 연례 데이터 침해 보고서에 따르면, 사이버 범죄자들에 의한 데이터 침해는 2010년 400만 건에서 무려 4,000%나 증가했다.   이처럼 데이터 절취가 큰 폭으로 증가한 것은 이 기간에 핵티비스트 활동이 활발했다는 데도 원인이 있다. 버라이즌에 따르면, 855건의 데이터 침해 사고 중 58%가 해커에 의한 데이터 도난인 것으로 나타났다.   비록 2011년의 데이터 사고가 전년에 비해 큰 폭으로 증가했지만, 버라이즌이 조사를 시작한 2004년부터의 기록에서는 두 번째에 불과하다. 또한 도난 당한 데이터의 규모에 비해 이로 인한 금전적 피해는 상당히 적은 것으로 나타났다.   보고서는 “2011년 데이터 절취 피해 기업은 자사의 손실이 수억 달러에 달하는 것으로 추정하고 있지만, 실제로는 그만큼 크지 않다”며, “실제로 대부분의 경우는 사고에서 비교적 큰 피해를 입지 않고 회복했다”고 전했다.   하지만 2011년은 개인 신분 정보가 디지털 범죄의 주 공격 대상이 된 해였다. 해커에 의한 데이터 절취 중 약 95%가 개인의 이름이나 연락처, 신분증 번호 등의 정보를 포함하고 있었다. 2010년에는 1%에 불과했다.     이번 보고서에서 발견된 사실 중 나쁜 징조 두 가지는 특정 조건 때문에 가능했던 데이터 절취의 비율(79%)과 별도의 복잡하고 비싼 방어책 없이도 회피할 수 있었던 사고의 비율(97%)이 높다는 것이다. 더구나 96%의 데이터 절취는 고도의 기술이나 비싼 자원 없이도 실행할 수 있는 것이었다.   버라이즌은 보고서 작성을 위해 주요 사법기관과 공조하고 있다.  editor@itworld.co.kr

해커 데이터 도난 2012.03.23

IT 전문가들, "우리 회사 보안에 돈 못 건다"

자신이 맡고 있는 시스템의 보안이 안전하다는 데 돈을 걸 수 있을만큼 보안에 확신을 가지고 있는 IT 전문가가 많지 않은 것으로 나타났다.   폰팩터(PhoneFactor)가 최근 실시한 설문조사에 따르면, 대부분의 IT 전문가들은 자신이 맡고 있는 기업이나 조직의 네트워크가 보안상 안전하다는 데 단 한 푼의 내기도 걸지 않을 것이라고 답했다. 폰팩터는 다중 인증 솔루션 공급업체이다.   이번 조사 결과는 기업의 보안에 대한 평가 기준과 갈수록 증가하는 보안 위협에 대한 평가가 적절하지 못하다는 사실을 말해준다. 이번 설문조사는 올해 2월에 실시됐으며, 300명 이상의 IT 전문가가 참여했다.   설문은 향후 12개월 내에 자사 네트워크가 침해되지 않는다는 데 돈을 걸 것이냐고 물었고, 이 설문에 참여한 IT 전문가의 57%는 돈을 걸지 않겠다고 답했다. 폰팩터가 제시한 내기 금액이 다소 컸던 것은 사실이다. 폰팩터는 자사 네트워크 보안에 대해 0달러, 1,000달러, 5,000달러, 5만 달러, 100만 달러의 내기 금액을 제시했다.   하지만 폰팩터가 1,000달러 이하의 내기 금액을 제시했다고 하더라도 0달러를 선택한 응답자의 비율은 크게 달라질 것으로 보이지 않는다. 다른 질문에서도 비슷한 결과가 나왔기 때문이다. 84%의 응답자가 전문 해커가 자사 네트워크에 침입할 수 있다고 답한 것이다.  특히 이들 84% 중에서 거의 1/4에 달하는 응답자가 전문 해커라면 자사 네트워크에 확실히 침입할 수 있다고 답했다.   또한 전체 응답자의 25%만이 만약 자사 네트워크가 해킹을 당했다면 그 사실을 알 수 있다고 확신했다.   자사 네트워크가 취약하다고 보는 첫 번째 이유는 제로데이 취약점, MIB 공격 등의 악성 프로그램의 만연이라고 답한 응답자는 55%였으며, 거의 절반에 가가운 45%의 응답자가 직원들이 개인...

해커 설문 보안 2012.03.21

어노니머스 지지자도 사이버 범죄의 공격 대상

시만텍이 발표한 새로운 연구 보고서에 따르면, 사이버 범죄자들은 컴퓨터를 악성 소프트웨어로 감염시킬 기회를 결코 놓치지 않으며, 심지어 다른 온라인 불법 행위 가담자들도 공격 대상이 된다.   최근 일군의 사이버 범죄자들이 최근 슬로우로리스(Slowloris)란 DDoS 툴을 개조해 제우스 봇넷용 클라이언트를 포함하도록 했다. 제우스 봇넷은 은행 웹 사이트의 로그인 정보와 패스워드를 훔치는 것으로 악명이 높다. 시만텍에 따르면, 이들 사이버 범죄자들이 이 툴을 이용해 해커 단체인 어노니머스 지지자들을 공격했다.   어노니머스는 반정부 반기업 운동으로 잘 알려져 있는 단체로, 주로 해킹을 통해 얻은 민감한 데이터를 폭로하거나 DDoS 공격으로 공공기관의 웹 사이트를 마비시키는 등의 활동을 해 왔다.   어노니머스는 주로 세계 각지의 인터넷 사용자로부터의 연대 지원에 의존하며, 사람들에게 DDoS 툴을 다운로드할 것을 권장하기도 한다. 지난 2011년 5월 어노니머스는 페이스트빈(pastebin) 클립보드 웹 사이트에서 지지자들에게 슬로우로리스란 DDoS 툴을 다운로드할 것을 권장한 바 있다. 어노니머스의 이런 독려 운동은 트위터 등을 통해 인터넷 전반에 넓게 퍼졌다.   하지만 시만텍은 제우스를 이용하는 사이버 범죄자들이 이 포스트를 그대로 복사해 1월 20일에 다시 한 번 게시한 것을 발견했다. 하지만 이번에는 슬로우로리스 DDoS 툴로의 링크가 개조된 악의적인 버전으로 연결됐다. 이 게시물은 대형 파일 공유 사이트인 메가업로드가 당국에 의해 폐쇄된 날에 올려 졌는데, 어노니머스는 이날 메가업로드 옹호를 위한 대규모 캠페인을 개시했다.   개조된 슬로우로리스로 연결된 링크는 또한 원래 어노니머스가 올린 진짜 DDoS 공격 툴로도 연결되어 있었다.   시만텍은 만약 피해자들이 이 개조된 슬로우로리스 툴을 다운로드해 실행했다면...

해커 사이버범죄 제우스 2012.03.06

윤리적인 해커가 되는 방법

해커라고 모두 나쁜 짓만 하는 것은 아니다. 해킹 기술을 좋은 방향으로 사용하려면 무엇이 필요한지 살펴보자.   바이러스, DDoS 공격 또는 버퍼 오버플로우라는 용어에 묘한 매력을 느끼는가? 그렇다면 합법적인 해커, 즉 윤리적인 해커, "착한" 해커 또는 침투 테스터가 적성에 맞을지도 모른다.   네트워크 보안을 우려하는 기업과 정부 관련 조직들은 데이터 도난과 사기를 방지하기 위해 윤리적인 해커와 침투 테스트를 통해 네트워크나 애플리케이션, 기타 컴퓨터 시스템을 점검하고 개선한다. 불법적인 해킹만큼 아드레날린이 솟구치진 않겠지만 적어도 떳떳한 삶을 살 수 있고, "나쁜" 해커들처럼 교도소에 들어갈 일도 없다.   윤리적 해커를 대상으로 하는 채용 시장 상황은 어떨까? 아주 좋다! 전반적인 경기 침체에도 불구하고 IT 시장은 성장세를 이어가는 중이다. 가트너는 전 세계 엔터프라이즈 IT 지출이 2009년에서 2010년 사이 5.9% 증가해 총 2조 7,000억 달러에 이른 것으로 추산했다. 보안에 대한 우려도 더욱 증폭되고 있다. 가트너는 2011년에서 2015년까지 5년 동안 보안 서비스에 대한 전 세계의 지출 규모가 40% 가까이 증가해 491억 달러를 초과할 것으로 예상했다.   경력이 짧은 윤리적 해커의 경우 IT 경력과 교육 수준, 그리고 입사하는 회사에 따라 연 5만 달러에서 10만 달러 사이의 연봉을 받는다. 몇 년 동안 경력을 쌓은 후에는, 특히 독립 컨설팅으로 진출할 경우 연 12만 달러 이상 받을 수 있다.   그러나 윤리적 해커가 되기 위해서는 준비가 필요하다. IT 보안 쪽 경력이 없으면 학위나 자격증도 별 도움이 되지 못한다. 다른 IT 직종과 마찬가지로 기업들은 대졸 인력을 선호하지만, 무엇보다 중요한 것은 관련 경력이다. 학위가 없더라도 경력에 자격증까지 갖춘다면 학위를 대신할 수 ...

해커 해킹 보안 2012.02.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.