Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해커

"모든 나라가 해커에 뒤지고 있다" : 사이버 보안 보고서

미국과 영국은 다른 국가에 비해 사이버 공격에 대한 대비가 상대적으로 잘 되어 있는 곳으로 평가되고 있다. 하지만 맥아피와 SDA(Security & Defence Agenda)가 공동으로 진행한 사이버 보안 연구에 따르면, 아직도 모든 국가가 좀 더 노력을 기울여야 하는 것으로 나타났다.   23개국에 대한 사이버 보안 준비도를 평가한 이 보고서가 만점인 별 다섯 개를 부여한 국가는 단 한 곳도 없다. 이스라엘과 스웨덴, 핀란드가 별 네 개 반을 받았으며, 그 뒤를 이어 미국과 영국, 프랑스, 독일이 별 네 개, 반면에 인도와 브라질, 멕시코가 최하점을 받았다.   맥아피의 공공 부문 담당 CTO 필리스 쉬넥은 어떤 나라도 사이버 공격자를 앞서지는 못하고 잇다며, “악당들은 항상 착한 사람들보다 빠르고 교활하다”고 덧붙였다.   사이버 범죄자들은 법률이나 정책적 문제와 씨름할 필요가 없으며, 경쟁에 대한 우려 없이 서로 간에 정보를 자유롭게 공유하기 때문. 쉬넥은 “우리는 국경이 없는 적을 상대하고 있는데, 데이터를 공유하려면 회의를 하고 보고서를 작성해야만 한다”며, “엄청나게 불리한 입장”이라고 강조했다.   사이버 보안 관련 연구단체인 SDA는 이번 보고서를 위해 80명의 사이버 보안 전문가를 직접 인터뷰하고, 250명의 전문가를 대상으로 설문 조사를 실시했다. 응답자의 57%는 사이버 군비 경쟁이 벌어지고 있다고 답햇으며, 36%는 사이버 보안이 미사일 방어 대책보다 중요하다고 답했다. 또한 절반 가까운 45%가 사이버 보안이 국경 경비보다 중요하다고 답했다.   사이버 보안 전문가들의 공통된 주제는 사이버 위협에 대한 실시간 국제 정보 공유였다. 사이버 보안 전문가들은 오래 전부터 기업 간의, 그리고 민간 기업과 국가 간의 더 나은 정보 공유를 주창해 왔지만, 여러...

맥아피 해커 사이버공격 2012.01.31

IDG 블로그 | “시리로 온도 조절” 해커들 시리 활용 본격화

시리는 아이폰 4S에서 가장 인기있는 기술 중 하나이다. 하지만 많은 사용자들이 이 기능을 단지 애플의 위젯이나 웹 서핑 이외의 곳에서도 사용하고 싶어한다. 그리고 일군의 대담한 해커들이 바로 그런 일에 착수하고 있다. 첫번째 시도는 온도조절기를 설정하는 것이다. 유튜브에 올라온 비디오를 보면, 피트(트위터 ID @Plamoni)란 해커는 시리로 프록시 서버를 사용해 와이파이 온도조절기를 설정하는 방법을 보여준다. 프록시 핵에 연결된 시리를 사용해 피트는 음성 명령으로 현재 온도에 대한 정보를 끌어내고, 온도조절기에 새로운 프로그램을 설정한다.   이런 홈 프로그래밍은 새로울 것이 없지만, 음성 인식과 음성 명령을 지원하는 컴퓨터는 DARPA 연구소나 IBM 수퍼컴퓨터 외에는 보기 어려운 것이다. 하지만 시리는 아주 쓸만한 AI 시스템으로 사용자가 말하는 것의 대부분을 이해하며, 이를 프록시 서버가 이해할 수 있는 단순한 명령어로 번역하는 것도 가능하다.   피트의 프록시에서 가장 멋진 것은 이 프레임워크가 시리의 기능을 확장할 수 있는 다른 플러그인도 구현할 수 있다는 것이다. 피트는 시리 프록시(Siri Proxy) 코드를 코드 공유 사이트인 GitHub에 올렸으며, 이미 다른 개발자들이 만들어낸 플러그인들이 공개되고 있다.  editor@itworld.co.kr

해커 음성인식 시리 2011.11.23

루마니아 해커, NASA 시스템 침투 파괴 혐의로 체포

루마니아 당국은 NASA 서버를 파괴해 미국 우주 항공 시스템에 50만 달러의 피해를 입힌 26세의 해커 로버트 부티카를 루마니아 서북부에 위치한 클루지에서 체포했다고 밝혔다.    지역 신문에 따르면, 이 해커는 ‘Iceman’이라는 온라인 이름을 사용했으며, 그는 고학력이나 직업을 갖지 못했다고 밝혔다.    부티카는 2010년 10월 12일을 시작으로 장기간에 걸쳐 몇 대의 NASA 서버를 해킹한 혐의를 받고 있다. 루마니아 당국은 이 해커는 보호받는 데이터를 파괴하고 그곳의 액세스를 방해했다고 주장했다.   기소 내용은 부티카가 허가받지 않은 액세스 권한 획득을 포함해 컴퓨터 시스템에 수정, 파괴 등 여러 문제를 야기하고, 허가 없이 데이터 액세스를 방해한 점, 그리고 해킹 프로그램의 소지를 포함했다.      그는 검사들이 구금 기간을 연장하기 위한 법원 명령을 기다리는 동안 경찰 구치소에서 24시간을 보낼 것이다. 당국은 그의 집을 급습해 여러 대의 컴퓨터를 압류했다.    루마니아 당국은 그는 범죄 활동을 통해 유인, 수정, 그리고 데이터를 손상시키고, 액세스를 방해함으로써 컴퓨터 서버 운영에 심한 손실을 주었다고 밝혔다. 이 해커 사건은 범죄인 인도 요구가 없기 때문에 루마니아에서 심리하게 될 것이다.    부티카는 NASA가 소유한 컴퓨터 시스템에 침입해 파괴한 첫번째 루마니아 해커가 아니다. 사실 미국 우주 항공국은 해커들이 보기에 그들의 기술을 증명받을 수 있는 평범한 타깃이다.    루마니아인 빅터 포어는 2005년 NASA, 미국 에너지국, 그리고 미 해군이 소유한 여러 대의 서버를 해킹했다. 최근 그는 법원에서 미국 정부에게 24만 달러의 피해 보상하라는 명령에 대해 항소 중이다.  ...

해커 해킹 루마니아 2011.11.17

2대의 미 인공위성, 4번이나 접속 권한 뺏겨

중국인으로 의심되는 해커는 2007년과 2008년에 두대의 미국 인공위성을 4번에 걸쳐 별도의 공격으로 방해했다.    블룸버그 비즈니스위크 기사에 따르면, 미 의회 위원회에 게시된 보고서에서 공격자는 위성 가운데 하나를 제어권을 장악해 충분히 액세스할 수 있었지만 그렇게까지는 하지 않았다고 전했다.    블룸버그는 NASA과 미국 지질 조사국에 의해 관리되는 랜드셋-7과 NASA에 의해 관리되는 자원탐사위성 테라AM-1 위성 모두 중국으로 추정되는 해커에 의해 공격당했다.    공격자는 노르웨이 스피츠버겐에 있는 스발바르 위성 기지에서 지상 제어 시스템을 위태롭게 함으로써 위성의 접속 권한을 획득했다.      해커는 2008년에 테라 AM-1 위성을 두번이나 방해했다(7월에 2분정도를, 다시 10월에는 9분정도). 한편 랜드셋-7 시스템은 2007년 10월과 2008년 7월에 12분이상을 간섭받았다.    자원탐사위성인 랜드셋-7 위성의 2007년 10월 공격은 간섭을 조사받는 2008년에서야 발견됐다.    보고서는 "이런 간섭이 더 중요한 기능을 가진 위성에 행해지면, 수많은 잠재적 위협을 받게 된다. 위성 제어에 접속한 공격자는 위성을 손상 또는 파괴할 수 있다. 공격자는 또한 거부하거나, 점진적으로 저하시키거나, 위성의 전송을 조작할 수 있다.    이 보고서는 직접 공격의 배후로 추정되는 중국 정부나 군대를 지목하지 않았다. 하지만 적의 우주 시스템과 지상 기반의 위성 제어 시스템을 사용할 수 없게 하는 중국 군사 전략과 일치된다고 밝혔다.     중국의 충돌시 명시된 전략은 미국 우주와 컴퓨터 시스템을 위태롭게 하고, 방해, 부정, 저하, 기만 또는 파괴하는 것이다....

해커 미국 접속 2011.10.28

어리석은 해커 치욕의 전당 베스트 5

인터넷이 황량한 서부라면, 해커들은 현 시대의 무법자들이다. 그리고 이전의 총잡이들처럼 한 번의 잘못으로 감옥 생활을 할 수 있다. 그들이 실제로 돈을 훔쳤던지 아니면 단지 혼란만을 야기시켰냐에 따라 공격 실패는 잔인한 결과로 이어질 수 있다. 그리고 요즘에는 실수가 허용되는 범위도 단 몇 비트에 불과하다. 인터넷의 국제적인 특성 덕분에 놀라울 정도로 많은 수의 보안관들이 사이버 범죄자들을 추적하고 있기 때문이다.   하지만 가끔은 보안관들이 그렇게 열심히 추적할 필요가 없을 때도 있다. 기지를 발휘한다면, 해커들은 순식간에 어리석은 결정을 내리고 온라인 상에 자신의 흔적을 추적할 수 있는 가상 지도를 남길 것이다.   어떻게 하면 그렇게 되는지는 인포월드가 선정한 어리석은 해커 수법 치욕의 전당에 이름을 올린 5명의 용의자들에게 물어보기 바란다.   어리석은 해커 수법 1 : 해킹과 트윗을 체포될 때까지 반복한다   용의자 : 스콧 아키사스키 혐의 사실 : FBI가 후원하는 웹 사이트 해킹   사건의 전말 : 아키사스키는 사이버 범죄 예방을 위해 FBI가 운영하는 프로그램인 인프라가드(InfraGard)의 웹 사이트를 해킹한 혐의로 기소되었다. 그렇다. 잘못 쓴 것이 아니다: 사이버 범죄 예방. 다른 말로 "해커가 엮이고 싶지 않은 곳"에 대한 백과사전의 항목이 있다면, 인프라가드가 제일 위에 올라 있을 것이다.   비록 상식적으로는 말이 안되지만 누군가 인프라가드에 잠입해야 한다고 결정했다. 인프라가드와 정부의 관계가 누군가를 잘못된 길로 인도한 것이 분명하다. 지난 6월 최근의 컴퓨터 범죄 관련 법안에 대한 저항의 표시로 해커 단체인 룰즈섹(LulzSec)이 해당 기관의 사이트 중 하나를 망가뜨렸다.   아키사스키와 관련된 문제는 그로부터 한 달 후 2011년 7월에 발...

체포 해커 실수 2011.10.27

MS의 유투브 채널, '털렸다'

마이크로소프트 공식 유투브 채널이 지난 토요일에 납치당해 모든 동영상이 일시적으로 제거됐다. 해커는 마이크로소프트가 경연대회를 열고 있다는 다른 사람의 주장을 올려놓았다.    해커들에 의해 제작된 "우리는 서브박스를 후원하고 있다, 서브박스를 할 수 있는 배경을 만들어라"는 두개의 동영상의 제목이 게재됐다. 한편 채널의 설명에는 "스폰서가 되고 싶습니까?, 나에게 메시지를 남기시오"라는 수정된 문구가 있었다.       해커 혐의자는 "나는 단순히 2006년에 내가 만든 내 계정에 로그인한 것일뿐 잘못이 없다"고 게시판에 올렸다.     이는 납치범이 동영상 공유 웹사이트에 초기에 등록했다는 것을 의미한다. 그 계정은 상표권을 이유로 마이크로소프트이 가져갔지만, 원래 이메일은 접속할 수 있게 유지된 것으로 보인다.    이 사건이 어떻게 된 것인지는 분명치 않지만, 2008년에 유투브는 자신의 구글의 계정과 자신의 오래된 계정을 링크하는 옵션을 사용자에게 제공하기 시작했다. 이것은 올해 필수적인 것이 됐고, 이를 통해 이전 소유자가 지금 접속해 무언가를 할 수도 있다.   사용자의 이메일 주소가 유투브에서 마이크로소프트에서 사용하는 구글 계정으로 링크되어 있다면, 그는 비밀번호를 재설정할 수 있는 권한을 얻을 수 있을 것이다.    소포스 수석기술 컨설턴트 그레이엄 클루리는 "이것이 사실이라면, 동영상 네트워크에 설립되어 있는 다른 잘 알려진 브랜드에도 영향을 미치는, 엄청난 문제를 야기할 수 있을 것"이라고 경고했다.     마이크로소프트는 그 계정이 납치된 것에 사용된 수단에 대해 언급하지 않았지만, 곧 통제력을 회복했고, 삭제된 동영상을 복구했다. 한편 자신이 ...

구글 마이크로소프트 해커 2011.10.25

세서미 스트리트, 해킹당해...22분간 포르노 사진 게시

미진학 아동들을 대상으로 인기있는 세서미 스트리트 채널은 지난 일요일 해커로부터 공격을 당해 채널에 있는 모든 동영상은 삭제되고 포르노 사진이 게시됐다.    넥스트 웹에 따르면, "이는 22분동안 구글에 올라가 있었다"고 전했으며, 유투브 관계자는 "유투브의 커뮤니티 가이드는 그래픽 콘텐츠를 금지한다"며, "언제나 구글은 이와 같이 만들어진 부적절한 자료는 즉시 제거한다"고 밝혔다.    한편 아이들의 쇼를 제작하는 세서미 스트리트 워크숍은 이번 사고에 대해 "세서미 채널에 문제가 생겼으며, 현재 원본 콘텐츠 복원을 위해 유투브/구글과 협력 중"이라고 발표했다. 세서미는 항상 시청자에 대한 연령에 적합한 콘텐츠를 제공하기 위해 노력하고, 이 문제를 신속하게 해결하기 위해 최선을 다할 것"이라고 밝혔다.    이 채널이 파손당한 것에 더해, 세서미 스트리트의 유투브 프로필이 MREDXWX로 변경됐으며, 아동 포르노와 특정인에 대한 메시지가 기재됐다.    유투브 사용자인 MREDXWX는 이번 공격과는 전혀 상관없다고 부인했다. 유투브 채널 페이지에서 MREDXWX는 글자로 된 동영상을 게시했다.  "세서미 스트리트를 해킹한 적이 없다. 난 게임플레이 동영상을 만드는 정직한 유투브 사용자로, 커뮤니티 가이드를 존중한다"고 밝혔다.    해커가 언급한 Mrsuicider라는 채널 사이트는 루마니아에 본사를 둔 음악 애호가의 것으로 추정된다.    소셜 뉴스사이트 레딧에서 레이저넛은 "이는 보복성 해킹으로 나타난다"며, "본질적으로 이 사건 뒤에는 이 사람이 슬퍼하기를 바라는 의도가 깔려있다"고 주장했다.  &n...

해커 해킹 유투브 2011.10.18

MySQL.com 악성 코드에 감염...루트 권한 3,000달러에 판매

오픈소스 MySQL 데이터베이스용 웹 사이트인 MySQL.com이 해킹되어 방문자들에게 악성 프로그램을 퍼트리는데 사용된 것으로 나타났다.   보안 전문업체인 아머라이즈(Armorize)는 27일 이런 문제를 발견하고 공지했다. 해커들은 자바스크립트 코드를 사이트에 심어 방문자들에게 다양한 브라우저 공격을 시도했는데, 이 때문에 구버전 브라우저나 패치를 하지 않은 플래시나 어도비 리더, 자바 등을 사용한 윈도우 기반 PC의 상당수가 악성 프로그램에 감염됐을 가능성이 있는 것으로 알려졌다.   아머라이즈의 CEO 웨인 후앙은 이 문제는 공지 후 6시간 만에 해결됐으며, 악성 코드가 활동한 시간은 하루가 채 못될 것이라고 밝혔다.   후앙은 해커가 블랙홀 키트를 이용해 사이트 방문자를 공격했다고 설명했지만, 아직 이들 해커가 심은 악성 소프트웨어의 목적이 무엇인지는 파악하지 못했다고 밝혔다. 일반적으로 사이버 범죄자들은 피해자의 패스워드를 훔치거나 가짜 안티바이러스 소프트웨어용 광고를 띄우기 위해, 또는 봇넷 컴퓨터를 만들기 위해 악성 프로그램을 설치한다.   MySQL.com 프로젝트를 관리하는 오라클은 아직 이 문제에 대한 조사를 진행하고 있으며, 공식적인 코멘트는 내놓지 않고 있다.   MySQL.com 같은 방문객이 많은 오픈소스 웹 사이트가 최근 들어 여러 차례 공격을 받고 있다. 리눅스 재단도 악성 소프트웨어 감염 때문에 Kernel.org, Linux.com 등의 여러 웹 사이트를 정지시켜야만 했다. 그리고 MySQL.com은 올해 초에도 공격을 받은 바 있다.   지난 3월 MySQL.om을 공격한 해커는 훔친 사용자 이름과 패스워드를 공개했으며, 이 데이터를 이용해 사이트를 다시 공격했을 가능성도 있다. 트렌드 마이크로의 수석 위협 연구원인 맥심 곤차로브는 러시아 지하 포럼에서 'sourc...

맬웨어 악성프로그램 해커 2011.09.27

IDG 블로그 | 해커가 더 똑똑해질 필요가 없는 이유

수년동안 사이버 범죄는 같은 기술과 전술을 사용하고 있지만, 기업들은 방어하는데 실패하고 있다.    온라인, 인쇄, TV, 라디오 등 각 매체에서는 악의적인 해킹이 점점 더 정교해지고 있다고 주장한다. 겉으로 보기에 미디어들은 세상이 정교한 도구와 방법을 가진, 도저히 막을 수 없는 최고의 해커가 있다고 믿기를 원한다.     하지만 이는 현실과는 거리가 멀다. 악의적인 해커는 매번 똑같은 도구를 사용해 똑같은 약점을 공격하고 있다. 그럼에도 기업과 최종 사용자는 그들 스스로를 지키려 하지 않는다. 오늘날의 공격자들과 그들의 도구는 거의 무적처럼 심각하게 공공의 위해를 가한다.    악성코드, 버퍼 오버플로, 사회 공학 기법, 비밀 번호 크래킹, 동적 봇넷과 같은 공격자들의 전략과 기술은 컴퓨터가 발명된 이래로 변한 것이 없다.    예를 들어 컴퓨터 메인보드의 BIOS를 수정해 검색과 제거를 어렵게 만든 메브로미라는 새로운 루트 킷이 있었지만, 이는 새로운 것이 아니었다. 1998년에는 CIH 바이러스가 창궐했다. 데이터를 삭제하거나 하드 드라이브를 파괴하고, 대금청구의 인질을 잡는 악성 코드는 항상 미디어의 헤드라인을 장식했다. 에이즈 트로이 목마 프로그램은 1989년에 나왔다.    서버를 손상시키는 데 가장 일반적인 방법은 애플리케이션 공격과 SQL 인젝션이다. 이 방법들은 10년이 넘었다. 심지어 가장 인기있는 최종 사용자의 공격인 가짜 안티바이러스 프로그램이나 제조데이 공격은 영원히 계속될 것이다.    첫번째 가짜 안티바이러스 프로그램은 1989년에 맥아피 소프트웨어를 가장해 등장했다. 직후 존 맥아피는 프로그램에 디지털 사인을 사용하기 시작했으며, 나머지 온라인 소프트웨어 산업도 이를 쫓아갔다.    기초적인 보안에 집중하...

안티바이러스 해커 악성 코드 2011.09.21

중국 해커들, 사이버 절도 반대 성명 발표

저명한 중국인 해커 2명은 중국이 국제적으로 해킹 공격의 요지로 여겨지는 것을 보고, 사이버 절도 반대를 요구하는 모임을 제안하고, 동료 해커들에게 지원을 요구한다고 밝혔다. 두 해커는 공 웨이와 완 타오. 그들은 ‘해커들의 자체 징계 협의회’를 출범한다고 중국 언론과 인터넷에 그 내용을 공개했다. 그들은 더 이상의 언급을 거부했지만, 문서에서는 해킹 활동의 도덕적인 모습을 소개하기도 했다.   발표 내용은 해커들은 일반 대중의 정보를 훔쳐 돈을 벌지 않겠다는 것이다. 또한 해킹 그룹은 지식이나 수입을 거둬들이는 도구를 보급하지 않을 것이라고 덧붙였다. 대중의 개인 정보와 특히 어린이와 미성년자의 정보는 보호돼야 한다며, 사람들의 개인 정보를 사거나 파는 어떤 행위는 부적절하다고 강조했다.   그들은 해커를 보안 취약점을 연구하는 인터넷과 컴퓨터의 개발을 추진하는 사람들로 정의했다. 또한 해커가 하는 일은 악의적인 손상을 가하는 것이 아니고, 해커를 정치적으로 사용할 수 없다고 덧붙였다. 협약의 초안은 다음주 상하이에서 400~500여 명이 참석할 것으로 예상되는 ‘해커 컨퍼런스’에서 공식화될 것이다. 그 다음 회의에서 투표로 승인 여부가 결정될 것으로 보인다. 공과 완은 최근 IT 보안 업계에서 일하고 있지만, 중국의 초기 해커로써 명성을 얻었다. 공은 중국 해커 그룹의 하나인  GAC(Green Army Corps)의 설립자이고, 완은 해킹 그룹인 CEU(China Eagle Union)을 만들었다. 두 그룹은 외국 웹사이트를 공격하고 외관을 훼손하는 작업에 참여한 것으로 알려졌다. 그들은 중국 최고 법원이 지난 8월에 해커들이 기존 법률에 따라 처벌 대상이 될 수 있다는 판결이 난후, 처음으로 중국 언론에 이 계획을 발표한 것. 공은 “중국은 건강한 해킹 문화가 부족하고, 인터넷 기술에 관심이 있는 초기 입문자들이 쉽게 잘...

해커 중국 사이버 절도 2011.09.19

"페이스북, 3주내 해커에게 4만 달러 현상금 지불할 것"

페이스북은 3주전 시작한 자사의 웹사이트에서 결점을 찾은 해커에게 현금을 지불하는 '버그 포상금 프로그램' 결과, 4만 달러 이상을 지불해야 한다고 밝혔다. 페이스북은 이 프로그램을 ‘월요일의 성공작’이라 부르며, “보안 연구원들이 동원돼, 전세계 페이스북닷컴이 좀더 안전해졌다”며, “우리는 수많은 보안 전문가들을 알고 협력 관계를 가지고 있지만, 이 프로그램은 인터넷 보안에 대해 열정적인 터키에서 폴란드까지 전세계 16개국 이상에서 사람들에게 보안 설정을 넓히면서 보안을 강화했다”고 페이스북에 글을 올렸다.   최근 기술 업체들은 해커가 범죄에 유용할 수 있는 버그를 찾아 단순히 폐기하기보다는, 해커들이 버그를 찾아서 공식화해서 보고하는 것을 격려하고 있다. 실제로 구글과 모질라는 이와 유사한 버그 포상금 프로그램도 진행중이다.    페이스북은 버그당 500달러를 지불하고, 이례적으로 문제시 되는 것에 많은 투자를 할 것이다. > “버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유 예를 들어, 페이스북은 “한 해커가 실제로 훌륭한 보고서를 제출해 5,000 달러를 받았다”며, 또한 “페이스북은 6가지 다른 문제점을 해결한 연구원들에게 7,000 달러를 지불했다”고 밝혔다.   단점으로 페이스북은 홍보를 하기 위한 사람들의 가짜 리포트를 거래하기도 한다고 밝혔다. 페이스북은 버그 포상금 프로그램에 대해 찬사를 보냈지만, 서드파티 업체가 만든 수많은 페이스북 애플리케이션으로 확대해야 하지는 않을 것이라고 밝혔다. 불행이도 이는 실현 가능하지 않기 때문이라고 설명했다. Robert_McMillan@idg.com

페이스북 해커 포상금 2011.08.30

“버그 포상금 제도의 부상” 해커에게 돈을 주는 것이 안전한 이유

자신의 집에 침입하는 도둑에게 돈을 줄 수 있는가? 대부분의 현명한 사람은 아니라고 답할 것이다. 하지만 점점 더 많은 현명한 기업들이 "그렇다"라고 대답하고 있다. 구글같은 기업들은 자사의 소프트웨어에 침입할 수 있는 구멍을 찾는 해커들에게 상당한 포상을 제공하고 있다.   이런 기업들은 종종 버그 하나를 발견하면 수천 달러를 지급하기 때문에 버그 사냥은 상당한 수익으로 이어진다. 그리고 이것과는 차원이 다르지만 마이크로소프트는 자사의 블루햇 프라이즈(BlueHat Prize) 대회에서 윈도우 애플리케이션을 해킹으로부터 보호할 수 있는 최고의 방법을 찾아낸 해커에게 20만 달러의 상금을 지급하기도 했다.   관련 기업들은 이런 포상금 프로그램이 자사의 제품을 더욱 안전하게 만든다고 말한다. 구글 웹 애플리케이션 사업부에서 취약점 포상금 프로그램(Vulnerability Reward Program)을 담당하고 있는 보안 프로그램 관리자 아담 메인이 "우리는 더 많은 버그 보고(Bug Report)를 받아 더 많은 버그를 수정함으로써 사용자들에게 더 나은 경험을 제공할 수 있게 된다"면서, "우리는 또한 이런 버그를 찾아내는 전문가들과도 긍정적인 관계를 형성하고 있다”라고 말했다.   하지만 이 프로그램은 많은 논란을 불러 일으키고 있다. 마이크로소프트같은 기업들은 포상금을 사람들이 취약점을 찾아내도록 유도하기 위해서가 아니라 악당을 잡기 위해서만 사용해야 한다고 믿는다. 또한 여기에는 더블딥(Double Dip) 문제가 있다. 해커들은 취약성을 찾아내 상금을 받아 내고는 악의가 있는 구매자들에게 이 정보를 팔 수 있는 가능성이 있는 것이다.   포상금 전쟁 매년 캔섹웨스트(CanSecWest) 보안 컨퍼런스 기간에 벌어지는 해킹 대회 Pwn2Own은 해커들에게 있어서 월드시리즈 포커대회(World Serie...

구글 마이크로소프트 해커 2011.08.18

중소기업을 위한 데이터 및 개인정보 침해 예방책 10가지

어노니머스(Anonymous)나 룰즈섹(LulzSec)같은 해커그룹 때문에 지난 수 개월간 데이터 파괴는 피할 수 없는 재앙인 것처럼 보였다. 만약 HB개리(HBGary)나 RSA 시큐리티(RSA Security)같은 보안업체들이 안전하지 않다면, 일반적인 중소규모 기업은 누구를 믿어야 하는가? 완벽한 네트워크 보안도 없고, 묘책도 없는 것이 사실이지만, IT 관리자들은 다양한 방법으로 네트워크 침입을 예방하고 데이터와 개인 정보를 더 잘 보호할 수 있다.   SafetyWeb.com과 myID.com의 웹 보안 및 온라인 개인정보 보호 전문가들과 함께 10개의 서로 다른 데이터 및 개인정보 침해 시나리오를 마련하고, 이를 피할 수 있는 방법들을 알아보았다.   1. 안전하지 못한 네트워크 선택으로 인한 데이터 침해  시스코나 썬같은 이름은 전 세계의 IT 부서들에서 사용되는 기업 수준의 네트워킹 기술과 동의어라 할 수 있다. 하지만 일반적으로 중소기업들은 이런 장비들을 구매하는데 필요한 예산이 부족하다. 만약 SMB가 네트워크 인프라를 보유하고 있다면, 아마도 일반 가정용으로 만들어진 네트워크 장비를 이용해 구축한 것일 가능성이 높다. 일부 소기업은 라우터를 전혀 사용하지 않고 인터넷에 직접 연결하기도 한다. 기업은 고품질 좋은 라우터를 이용하고 이 라우터들의 기본 암호를 변경함으로써 네트워크 보안을 개선하고 대부분의 위협을 차단할 수 있다.    2. 부적절한 파쇄 조치로 인한 데이터 침해 쓰레기통에서 신상 정보를 훔치는 도둑들은 서류를 파쇄하지 않고 처리하는 기업들을 주요 목표로 한다. 대부분의 가정용 파쇄기는 소규모 기업들이 사용하기에 충분하지만, 만약 개인 정보를 매일 출력하고 파쇄하는 것을 반복한다면 상용 파쇄기를 마련하는 것도 현명한 선택이 될 수 있다. 민감한 정보나 개인 신상 데이터를 포함하고 있는 서류들은 폐기하기 전에 반드시 꼼꼼히 파쇄하도...

해커 해킹 개인정보 2011.08.02

영국 경찰, “어노니머스 대변인 체포했다” 발표

영국 경찰이 어노니머스의 일원으로 의심되는 10대 2명을 심문하고 있는데, 그중 한 명이 어노니머스의 대변인으로 알려진 ‘Topiary'인 것으로 확인됐다고 밝혔다. 이는 최근 어노니머스 관련 제재 조치 중 가장 의미있는 성과로 평가되고 있다.   토피어리의 실제 이름은 공개되지 않았지만, 영국 경찰은 19세 피의자를 영국 북동부의 세트랜드 섬의 자택에서 체포해 런던 중앙 경찰서로 이송하고 있다고 밝혔다.   토피어리는 트위터 채널을 통해 “어노니머스, 룰즈섹, 기타 강렬한 사이버 승리의 전형들과 일을 하고 있다”고 스스로를 설명하고 있으며, 최근 “사상을 체포할 수는 없다”는 포스트를 남겨 관심을 모았다.    어노니머스의 최근 캠페인은 사람들에게 페이팔 계정을 해지하도록 촉구하는 것이었다. 이베이의 자회사인 페이팔은 위키리크스에 대한 서비스 차단으로 인해 이들 해커 그룹의 주요 공격 대상이 되어 왔다.    이번 영국 경찰의 토피어리 체포는 어노니머스와 룰즈섹이 페이팔에 대한 보이코트 캠페인을 발표한지 몇 시간 만에 이뤄진 것이다. 현재 룰즈섹의 트위터 계정은 페이팔에 대한 공개적인 비난 이후 업데이트가 되지 않고 있다.   하지만 영국 경찰의 이번 발표에 모순이 있다는 지적도 있다. 지난 달 발표된 문서에 따르면, 룰즈섹의 일원인 토피어리는 스웨덴에 살고 있으며, 실명은 다니엘 애커맨 샌드버그인 것으로 드러났다. 이는 영국에서 체포됐다는 사실과 분명히 충돌하는 것이라, 조만간 룰즈섹과 어노니머스측의 대응이 있을 것으로 예상된다.  editor@itworld.co.kr

체포 해커 어노니머스 2011.07.28

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.