Offcanvas

���������������

하트브리드, 셸쇼크, 토르 등 2014년을 장식한 보안 '사건 사고' 13가지

2014년은 웹 보안 사태가 전례없는 수준으로 시험대에 올랐던 한 해다. 그러나 나쁜 소식만 있는 것은 아니다. 2014년은 대형 해킹 사고, 심각한 취약점 노출 등 많은 보안 문제가 노도와 같이 몰아쳤던 한 해다. SSL 취약점이 인터넷의 심장을 관통했고, '암호화(Crypto)' 세계는 중요한 자산 하나를 잃어버렸다. 소니는 다시 한 번 사이버공격의 가장 큰 피해자 가운데 하나가 됐다. 이렇게 해킹 공격과 비극이 연달아 발생했지만 긍정적인 발전상에 관한 소식도 전해졌다. 구글과 야후는 이메일 암호화에 더욱 신중히 접근했고, 안드로이드와 iOS는 암호화 기능을 강화했으며, 토르(Tor)는 중요한 지원자로 페이스북을 얻었다. 이 슬라이드는 2014년에 일어난 주요 보안 사건 사고다. 떠들썩했던 한 해가 많이 남지 않았지만, 이 기간에도 사건사고가 발생할 소지는 있다. 한국의 한국수력원자력 해킹 사태처럼. editor@itworld.co.kr

보안 토르 와이어럴커 셸쇼크 사건 사고 고투 페일 PGP 하트브리드 소니 트루크립트

2014.12.22

2014년은 웹 보안 사태가 전례없는 수준으로 시험대에 올랐던 한 해다. 그러나 나쁜 소식만 있는 것은 아니다. 2014년은 대형 해킹 사고, 심각한 취약점 노출 등 많은 보안 문제가 노도와 같이 몰아쳤던 한 해다. SSL 취약점이 인터넷의 심장을 관통했고, '암호화(Crypto)' 세계는 중요한 자산 하나를 잃어버렸다. 소니는 다시 한 번 사이버공격의 가장 큰 피해자 가운데 하나가 됐다. 이렇게 해킹 공격과 비극이 연달아 발생했지만 긍정적인 발전상에 관한 소식도 전해졌다. 구글과 야후는 이메일 암호화에 더욱 신중히 접근했고, 안드로이드와 iOS는 암호화 기능을 강화했으며, 토르(Tor)는 중요한 지원자로 페이스북을 얻었다. 이 슬라이드는 2014년에 일어난 주요 보안 사건 사고다. 떠들썩했던 한 해가 많이 남지 않았지만, 이 기간에도 사건사고가 발생할 소지는 있다. 한국의 한국수력원자력 해킹 사태처럼. editor@itworld.co.kr

2014.12.22

오픈SSL 하트브리드 취약점 '1단계 대처법'

오픈SSL 취약점으로부터 조직을 보호하기 위해 조속한 조치가 필요하다고 전문가들이 입을 모으고 있다. 하트브리드(Heartbleed)라고 명명된 이번 취약점을 이용하면 웹 서버의 메모리를 해독할 수 있다. 이 메모리에는 서버와 브라우저 사이의 트래픽을 암호화하는데 사용되는 사설 키가 포함되곤 하기에 문제가 커진다. 오픈SSL에 2011년 도입된 이번 이번 취약점은 SSL(Secure Socket Layer)과 TLS(Transport Layer Security) 모든 버전에 영향을 끼친다. 오픈SSL은 오픈소스 아파치와 같은 웹 서버를 비롯해 각종 클라우드 서비스에 널리 이용되고 있다. 인터내셔널 인포메이션 시스템 시큐리티 써티피케이션 콘소시엄의 임원 디렉터 W.호드 팁튼은 "이미 위험에 노출됐다고 상정하고 대처해야만 한다"라고 CSO들에게 주문했다. 그렇다면 CSO들이 취해야 할 조치는 무엇일까? 우선 이번 취약점에 영향받은 시스템을 확인하고 분류해야 하며, 패치 작업을 신속히 진행해야 한다고 전문가들은 조언했다. 인터넷에 노출된 이들 시스템은 대단히 위험하다는 지적이다. 다행히 오픈SSL 프로젝트는 패치를 배포한 상태다. 지금 곧바로 이를 다운로드 받아 수정사항을 적용할 수 있다. 다음 단계는 서버가 이용하는 SSL 인증서를 교체하는 것이다. 서버가 위험에 노출됐는지 여부를 확인할 수 없기에 일단 교체하는 것이 바람직하다고 전문가들은 설명했다. 오픈 웹 애플리케이션 시큐리티 프로젝트(OWASP)의 셰이프 시큐리티 디렉터이자 의장 마이클 코츠는 "만약 공격자가 SSL 사설 키를 보유했다면, 과거와 미래의 커뮤니케이션을 모두 해독할 수 있다. 공공/사설 인증서를 교체해야 한다"라고 조언했다. 인증서를 교체한 후에는 기존 시스템을 사용하는 이들이 새로운 비밀번호를 사용하도록 해야 한다. 코츠는 "사용자들이 비밀번호를 바꾸도록 강제하는 것도 검토해야 한다"라고 말했다....

보안 하트브리드 오픈SSL

2014.04.11

오픈SSL 취약점으로부터 조직을 보호하기 위해 조속한 조치가 필요하다고 전문가들이 입을 모으고 있다. 하트브리드(Heartbleed)라고 명명된 이번 취약점을 이용하면 웹 서버의 메모리를 해독할 수 있다. 이 메모리에는 서버와 브라우저 사이의 트래픽을 암호화하는데 사용되는 사설 키가 포함되곤 하기에 문제가 커진다. 오픈SSL에 2011년 도입된 이번 이번 취약점은 SSL(Secure Socket Layer)과 TLS(Transport Layer Security) 모든 버전에 영향을 끼친다. 오픈SSL은 오픈소스 아파치와 같은 웹 서버를 비롯해 각종 클라우드 서비스에 널리 이용되고 있다. 인터내셔널 인포메이션 시스템 시큐리티 써티피케이션 콘소시엄의 임원 디렉터 W.호드 팁튼은 "이미 위험에 노출됐다고 상정하고 대처해야만 한다"라고 CSO들에게 주문했다. 그렇다면 CSO들이 취해야 할 조치는 무엇일까? 우선 이번 취약점에 영향받은 시스템을 확인하고 분류해야 하며, 패치 작업을 신속히 진행해야 한다고 전문가들은 조언했다. 인터넷에 노출된 이들 시스템은 대단히 위험하다는 지적이다. 다행히 오픈SSL 프로젝트는 패치를 배포한 상태다. 지금 곧바로 이를 다운로드 받아 수정사항을 적용할 수 있다. 다음 단계는 서버가 이용하는 SSL 인증서를 교체하는 것이다. 서버가 위험에 노출됐는지 여부를 확인할 수 없기에 일단 교체하는 것이 바람직하다고 전문가들은 설명했다. 오픈 웹 애플리케이션 시큐리티 프로젝트(OWASP)의 셰이프 시큐리티 디렉터이자 의장 마이클 코츠는 "만약 공격자가 SSL 사설 키를 보유했다면, 과거와 미래의 커뮤니케이션을 모두 해독할 수 있다. 공공/사설 인증서를 교체해야 한다"라고 조언했다. 인증서를 교체한 후에는 기존 시스템을 사용하는 이들이 새로운 비밀번호를 사용하도록 해야 한다. 코츠는 "사용자들이 비밀번호를 바꾸도록 강제하는 것도 검토해야 한다"라고 말했다....

2014.04.11

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13