Offcanvas

���������������

블로그 | 로우코드는 위험하다?··· 동의할 수 없는 이유

필자는 ‘로우코드와 노코드 개발에서 신경 써야 할 4가지 보안 문제’라는 기사를 흥미롭게 읽었다. 여기서는 기본적으로 기업이 로우코드 솔루션을 경계해야 한다는 것을 전제로 한다. 로우코드로 인해 보안 문제가 발생할 수 있기 때문이다. 담당 기자인 크리스 휴스는 “애플리케이션 개발에 참여하는 직원이 많아지면서 로우코드 개발로 인한 새로운 취약점이 발생하거나 보안 문제가 드러나지 않을 수 있다”라고 말했다. 하지만 필자는 휴스의 주장에 전혀 동의하지 않는다. 구체적으로 말하면, 본래 로우코드/노코드 솔루션에는 안전하거나 위험한 것이 존재하지 않는다. 로우코드/노코드 솔루션의 안전성은 모든 애플리케이션 개발 플랫폼과 시스템, 프로세스, 정책에 대해 수동이나 자동 여부에 관계없이 기업이 투자한 것에 비례한다. 애플리케이션 개발자 수를 줄이면 보안 취약점이 생길 확률이 낮아지는 것은 맞다. 하지만 이런 논리라면 애플리케이션을 안전하게 만드는 최고의 방법은 엔지니어링 팀의 규모를 축소해 개발할 애플리케이션 수를 줄이는 것과 다름없다. 애플리케이션 수가 적을수록 애플리케이션 보안 문제도 감소한다는 명제는 참이지만 사실 말장난에 불과하다. 이런 주장은 애플리케이션 개발에 대한 협소한 시각을 반영한다. 유능한 CSO는 기업을 억압하지 않으며, 기업의 성장을 독려한다. 기업이 커지고 빠르게 성장할수록 보안 문제에 대처하는 것은 더욱 어렵다. 기업이 개발할 수 있는 애플리케이션을 제한하는 데 치중하며 보안 문제를 개선하는 것은 CSO가 기업의 성공에 기여하는 좋은 방법이 아니다. 최고의 CSO는 성장의 기회 속에 내재된 보안 문제를 해소할 방법을 찾아낸다. 로우코드라고 해서 다를 게 없다. 기업은 ‘시민 개발자’가 유용한 애플리케이션을 개발하도록 지원함으로써 성장할 수 있다. 보안 취약점을 막는 가장 좋은 방법은 CSO와 IT 담당자가 시민 개발자의 고품질이고 신뢰할 수 있으며, 안전한 로우코드 개발 플랫폼 개발을 지원하는 데 중점을 두는 것이다. 이를 위해서는 로우코...

로우코드 노코드 시민개발자 보안취약점

2022.03.17

필자는 ‘로우코드와 노코드 개발에서 신경 써야 할 4가지 보안 문제’라는 기사를 흥미롭게 읽었다. 여기서는 기본적으로 기업이 로우코드 솔루션을 경계해야 한다는 것을 전제로 한다. 로우코드로 인해 보안 문제가 발생할 수 있기 때문이다. 담당 기자인 크리스 휴스는 “애플리케이션 개발에 참여하는 직원이 많아지면서 로우코드 개발로 인한 새로운 취약점이 발생하거나 보안 문제가 드러나지 않을 수 있다”라고 말했다. 하지만 필자는 휴스의 주장에 전혀 동의하지 않는다. 구체적으로 말하면, 본래 로우코드/노코드 솔루션에는 안전하거나 위험한 것이 존재하지 않는다. 로우코드/노코드 솔루션의 안전성은 모든 애플리케이션 개발 플랫폼과 시스템, 프로세스, 정책에 대해 수동이나 자동 여부에 관계없이 기업이 투자한 것에 비례한다. 애플리케이션 개발자 수를 줄이면 보안 취약점이 생길 확률이 낮아지는 것은 맞다. 하지만 이런 논리라면 애플리케이션을 안전하게 만드는 최고의 방법은 엔지니어링 팀의 규모를 축소해 개발할 애플리케이션 수를 줄이는 것과 다름없다. 애플리케이션 수가 적을수록 애플리케이션 보안 문제도 감소한다는 명제는 참이지만 사실 말장난에 불과하다. 이런 주장은 애플리케이션 개발에 대한 협소한 시각을 반영한다. 유능한 CSO는 기업을 억압하지 않으며, 기업의 성장을 독려한다. 기업이 커지고 빠르게 성장할수록 보안 문제에 대처하는 것은 더욱 어렵다. 기업이 개발할 수 있는 애플리케이션을 제한하는 데 치중하며 보안 문제를 개선하는 것은 CSO가 기업의 성공에 기여하는 좋은 방법이 아니다. 최고의 CSO는 성장의 기회 속에 내재된 보안 문제를 해소할 방법을 찾아낸다. 로우코드라고 해서 다를 게 없다. 기업은 ‘시민 개발자’가 유용한 애플리케이션을 개발하도록 지원함으로써 성장할 수 있다. 보안 취약점을 막는 가장 좋은 방법은 CSO와 IT 담당자가 시민 개발자의 고품질이고 신뢰할 수 있으며, 안전한 로우코드 개발 플랫폼 개발을 지원하는 데 중점을 두는 것이다. 이를 위해서는 로우코...

2022.03.17

Log4Shell 보안 취약점 노출과 공격을 감지하는 방법

기업 보안 팀은 지난 몇 주 동안 Log4j 오픈소스 자바 구성요소에서 발견된 일련의 취약점으로 인해 여전히 바쁘다. 영향을 받는 라이브러리를 패칭하는 것이 우선시되야 하지만, 방대한 네트워크에서 영향을 받는 모든 애플리케이션과 서버를 파악하는 것은 쉽지 않다. 간접적인 소프트웨어 종속성과 서드파티 제품 때문이다.   문제는 기업이 노출됐을 가능성이 있는 자산을 찾는 시간이 오래 걸릴수록, 공격자가 자산을 찾아 악용할 수 있는 시간도 그만큼 늘어난다는 것이다. 정부 지원을 받는 사이버 공격 집단부터 랜섬웨어 공격 집단, 암호화폐 마이닝 및 DDoS 봇넷까지 다양한 공격 집단이 원격 코드 실행 취약점을 악용하고 있다. 따라서 기업은 취약한 자산을 파악하고 사례별로 완화 전략을 수립해야 할 뿐만 아니라, 서버와 애플리케이션 로그에서 침해 및 취약점 공격 징후도 파악해야 한다.   애플리케이션과 서버 취약점 감지 보안 커뮤니티는 디렉토리와 파일 시스템에서 Log4j 패키지 인스턴스를 스캔할 수 있는 여러 오픈소스 도구를 개발해 배포했다. 또한, 이런 취약점을 감지할 수 있는 상용 취약점 스캐너도 있다. 하지만 모든 스캐너에 사각지대가 있을 수 있으며, 특히 lLog4j 같은 자바 구성요소는 더욱 그렇다. 실제로 많은 자바 패키지가 JAR(Java Archive) 파일로 되어 있지만, JAR 외에 압축되지 않은 TAR(Tape Archive)과 WAR(Web Application Archive), EAR(Enterprise Application Archive), SAR(Service Application Archive), PAR(Portlet Archive), RAR(Resource Adapter), KAR(Apache Karaf Archive) 형식도 자바 애플리케이션 배포에 사용된다. 게다가 JAR도 유형이 여러가지다. Uber Jar나 Fat Jar라고 불리는 패키지에는 자바 프로그램과 모든 종속성이 포함돼 있지만 셰이딩 또는 언셰이딩...

log4shell 보안취약점

2021.12.28

기업 보안 팀은 지난 몇 주 동안 Log4j 오픈소스 자바 구성요소에서 발견된 일련의 취약점으로 인해 여전히 바쁘다. 영향을 받는 라이브러리를 패칭하는 것이 우선시되야 하지만, 방대한 네트워크에서 영향을 받는 모든 애플리케이션과 서버를 파악하는 것은 쉽지 않다. 간접적인 소프트웨어 종속성과 서드파티 제품 때문이다.   문제는 기업이 노출됐을 가능성이 있는 자산을 찾는 시간이 오래 걸릴수록, 공격자가 자산을 찾아 악용할 수 있는 시간도 그만큼 늘어난다는 것이다. 정부 지원을 받는 사이버 공격 집단부터 랜섬웨어 공격 집단, 암호화폐 마이닝 및 DDoS 봇넷까지 다양한 공격 집단이 원격 코드 실행 취약점을 악용하고 있다. 따라서 기업은 취약한 자산을 파악하고 사례별로 완화 전략을 수립해야 할 뿐만 아니라, 서버와 애플리케이션 로그에서 침해 및 취약점 공격 징후도 파악해야 한다.   애플리케이션과 서버 취약점 감지 보안 커뮤니티는 디렉토리와 파일 시스템에서 Log4j 패키지 인스턴스를 스캔할 수 있는 여러 오픈소스 도구를 개발해 배포했다. 또한, 이런 취약점을 감지할 수 있는 상용 취약점 스캐너도 있다. 하지만 모든 스캐너에 사각지대가 있을 수 있으며, 특히 lLog4j 같은 자바 구성요소는 더욱 그렇다. 실제로 많은 자바 패키지가 JAR(Java Archive) 파일로 되어 있지만, JAR 외에 압축되지 않은 TAR(Tape Archive)과 WAR(Web Application Archive), EAR(Enterprise Application Archive), SAR(Service Application Archive), PAR(Portlet Archive), RAR(Resource Adapter), KAR(Apache Karaf Archive) 형식도 자바 애플리케이션 배포에 사용된다. 게다가 JAR도 유형이 여러가지다. Uber Jar나 Fat Jar라고 불리는 패키지에는 자바 프로그램과 모든 종속성이 포함돼 있지만 셰이딩 또는 언셰이딩...

2021.12.28

강은성의 보안 아키텍트ㅣ보안 제품에 보안취약점이 있다고?

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

강은성 강은성의 보안 아키텍트 CISO 보안 보안 제품 가상사설망 해킹 VPN 랜섬웨어 보안취약점 마이크로소프트 구글 오라클 아마존 삼성전자 LG전자 네이버 SDL 보안공학 모의해킹 위협 모델링

2021.08.27

최근 한 국책연구소가 국내 기업에서 개발한 가상사설망(VPN)의 취약점으로 인해 해킹을 당했다. 한국인터넷진흥원(KISA)의 보안 공지에 따르면 이 VPN에 “관리자페이지 접근 가능 및 계정 변경 가능 취약점”이 있었다고 한다. 지난 5월 세계를 떠들썩하게 한 미국 콜로니얼 파이프라인의 송유관 마비 사태 역시 VPN을 통한 랜섬웨어 공격으로 발생했다. 이 회사 사장이 미국 상원 청문회에서 한 증언에 따르면 이 VPN이 오래되어 2단계 인증 기능이 없었고, (복잡한 패스워드를 사용했지만) 범인은 이 VPN 계정을 통해 내부에 침투했다고 한다.  올해 상반기에는 세계적으로도 잘 알려진 VPN 기업인 포티넷과 펄스시큐어의 VPN 취약점을 악용한 공격이 기승을 부렸다. 전반적으로 코로나19 상황에서 재택근무가 급증하면서 VPN의 사용이 많아졌고, 그것을 노린 범행자들의 공격 또한 크게 늘어난 것으로 보인다. 지난 4월에는 세계적인 네트워크 보안기업인 소닉월의 이메일보안 제품에서 원격에서 관리자 권한으로 접근할 수 있는 심각한 제로데이 취약점(CVSS 9.8점)을 파이어아이에서 발견해 소닉월에 제공했다. 파이어아이는 이 문제를 자신의 고객사에 대한 공격을 탐지하는 과정에서 알아냈다고 하니 이미 피해가 상당히 발생했을 가능성이 있다. 보안 제품에 보안취약점이 있다고?  그렇다. SW가 들어가는 이상 ‘당연히’(!) 보안취약점이 있을 수 있다. (물론 HW에도 보안취약점이 있을 수 있다.) 보안 제품이라면 보안취약점이 생기지 않도록 다른 제품보다 더 노력해야겠지만, 보 안제품이라고 보안취약점이 없어야 한다고 생각하는 것은 합리적이지 않다.  ‘오류’가 하나도 없는 SW가 존재하기 어렵듯이 보안취약점이 하나도 없는 SW 역시 존재하기 어렵다. 심지어 출시할 때까지는 보안취약점이 없었으나 새로운 공격 방법이 나타나 보안취약점이 생기기도 한다. SW 오류와 보안취약점의 차이점이다.   SW를 업그레이드할 때마다 쏟아지는 보안취약...

2021.08.27

기고 | 오픈소스 코드 속 보안 취약점을 피하는 실무 팁 4가지

올해 들어 오픈소스 생태계의 무결성과 보안을 지키기가 더 어려워졌다. 오픈소스는 대부분의 경우 누구나 거의 무료로 사용하고 수정해 커뮤니티에 기여할 수 있다는 점에서 개발자의 가장 요긴한 도구 역할을 해왔다. 더 높은 투명성과 보안을 보장하고 여러 프로젝트에 걸친 개발자 간의 협업을 촉진하는 수단이기도 했다. 그러나 동시에 오픈소스는 공격자가 이를 악용해 돈을 버는 길을 터주기도 했다.   보안 사고를 분석하는 보안 연구원으로서, 필자는 최근 오로지 비트코인 마이닝을 목적으로 하는 700개가 넘는 타이포스쿼팅(typo-squatting) 루비젬(RubyGem) 패키지를 발견했다. 이 중에는 최소 26개의 깃허브 프로젝트에 은밀하게 악성코드를 심은 옥토퍼스 스캐너(Octopus Scanner)도 있었다. 이러한 사고는 공개 접근이 가능한 개방형 시스템의 경우 악의적인 사람도 접근해 악용할 수 있다는 사실을 잘 보여준다. 이런 사례가 악의적 구성요소에 관한 것이라면, 보안 취약점이 발견되지 않은 채 사용되는 정상적인 오픈소스 패키지는 어떨까? 인기 있는 리포지토리를 거쳐 최종적으로 소프트웨어 공급망까지 흘러 들어가는 취약점 또는 악성 패키지는 고객에게 큰 피해를 초래할 수 있다. 실제로 npm, 파이파이(PyPI), 뉴겟(NuGet), 페도라(Fedora) 같은 인기 오픈소스 리포지토리에서 취약한 구성요소와 악성 구성요소가 발견됐다. 스니크(Snyk)의 2020년 오픈소스 보안 현황 보고서에 따르면, 지난 몇 년 동안 생태계 전반의 오픈소스 패키지에서 확인된 총취약점 수를 보면 Node.js와 자바에서 매년 새로운 취약점이 가장 많이 발견됐다. 또한, 2018년에 비해 2019년에 보고된 신규 취약점의 수가 더 적은 것은 소프트웨어 개발 프로세스의 초기에 보안을 구현하기 위해 노력했기 때문이다. 보고서는 “이 추세가 지속된다면 오픈소스 소프트웨어의 보안을 개선하기 위한 노력이 결실을 보기 시작했다는 긍정적인 신호로 볼 수 있다”라고 평가했다. ...

오픈소스 보안취약점 취약점

2020.08.21

올해 들어 오픈소스 생태계의 무결성과 보안을 지키기가 더 어려워졌다. 오픈소스는 대부분의 경우 누구나 거의 무료로 사용하고 수정해 커뮤니티에 기여할 수 있다는 점에서 개발자의 가장 요긴한 도구 역할을 해왔다. 더 높은 투명성과 보안을 보장하고 여러 프로젝트에 걸친 개발자 간의 협업을 촉진하는 수단이기도 했다. 그러나 동시에 오픈소스는 공격자가 이를 악용해 돈을 버는 길을 터주기도 했다.   보안 사고를 분석하는 보안 연구원으로서, 필자는 최근 오로지 비트코인 마이닝을 목적으로 하는 700개가 넘는 타이포스쿼팅(typo-squatting) 루비젬(RubyGem) 패키지를 발견했다. 이 중에는 최소 26개의 깃허브 프로젝트에 은밀하게 악성코드를 심은 옥토퍼스 스캐너(Octopus Scanner)도 있었다. 이러한 사고는 공개 접근이 가능한 개방형 시스템의 경우 악의적인 사람도 접근해 악용할 수 있다는 사실을 잘 보여준다. 이런 사례가 악의적 구성요소에 관한 것이라면, 보안 취약점이 발견되지 않은 채 사용되는 정상적인 오픈소스 패키지는 어떨까? 인기 있는 리포지토리를 거쳐 최종적으로 소프트웨어 공급망까지 흘러 들어가는 취약점 또는 악성 패키지는 고객에게 큰 피해를 초래할 수 있다. 실제로 npm, 파이파이(PyPI), 뉴겟(NuGet), 페도라(Fedora) 같은 인기 오픈소스 리포지토리에서 취약한 구성요소와 악성 구성요소가 발견됐다. 스니크(Snyk)의 2020년 오픈소스 보안 현황 보고서에 따르면, 지난 몇 년 동안 생태계 전반의 오픈소스 패키지에서 확인된 총취약점 수를 보면 Node.js와 자바에서 매년 새로운 취약점이 가장 많이 발견됐다. 또한, 2018년에 비해 2019년에 보고된 신규 취약점의 수가 더 적은 것은 소프트웨어 개발 프로세스의 초기에 보안을 구현하기 위해 노력했기 때문이다. 보고서는 “이 추세가 지속된다면 오픈소스 소프트웨어의 보안을 개선하기 위한 노력이 결실을 보기 시작했다는 긍정적인 신호로 볼 수 있다”라고 평가했다. ...

2020.08.21

딥코드, C와 C++에도 AI 기반 코드 리뷰 지원

딥코드가 자바, 자바스크립트, 파이썬에 이어 C와 C++ 코드를 추가 지원한다고 발표했다. 딥코드는 머신러닝을 기반으로 코드를 분석해 보안 취약점 및 버그를 찾아내는 클라우드 서비스다.    딥코드 자동화 툴은 수천 개의 오픈소스 프로젝트를 학습함으로써 코드가 저장된 호스팅 플랫폼 또는 로컬 리포지토리에 대한 피드백을 제공해 눈길을 끌었던 바 있다. 회사는 해당 툴이 단순히 텍스트가 아닌 실행 중인 소프트웨어라는 맥락적 차원에서 코드를 분석하기 때문에 기존 코드 분석 툴보다 정확하고 상세한 피드백을 제공할 수 있다고 밝혔다.  딥코드는 소프트웨어 보안 취약점 대부분이 C와 C++ 코드베이스에서 발견된다는 점에서 이번 추가 지원이 큰 효과를 보일 것으로 기대했다. 설명에 따르면 C와 C++은 개발자 실수로 발생되는 문제를 거의 또는 아예 예방하지 못한다. 게다가 C와 C++ 최신 버전은 하위 호환성을 유지하는 데 중점을 둬 보안 취약점에 여전히 노출돼 있다.    회사에 따르면 딥코드의 지식기반은 C와 C++에서 드러나는 많은 문제뿐만 아니라 다른 언어들과 관련한 코딩 스타일 문제, 리소스 유출 문제, 메모리 할당 문제, 날짜 처리 문제, 개발 언어 버전 간 비호환성 문제 등도 아우른다.  한편 딥코드는 리눅스 커널 분석을 통해 C 코드베이스에서 많은 일반적인 문제들을 발견했다고 전했다. 이를테면 명령행 인자 혹은 환경 변수에서 전달된 확인되지 않은 매개 변수, 사용 후 해제 시 발견되는 취약점(Use After Free, UAF), 널 포인터(Null pointer) 검사 누락 등이다. 이밖에 안전하지 않은 임시 파일 생성 또는 특정 명령이 컴파일 과정에서 최적화돼 의도된 효과가 나타나지 않는 가능성 등 교묘한 문제들도 있다고 회사 측은 덧붙였다.  딥코드는 첫 출시 당시 자바, 자바스크립트, 타입스크립트, 파이썬을 지원했다. 회사에 따르면 C와 C++ 및 기타 언어에 대한 지원 계획...

보안 코드리뷰 리눅스커널분석 딥코드 C언어 보안취약점 머신러닝 C++ 파이썬 버그 자바스크립트 오픈소스 자바 코드분석

2020.03.20

딥코드가 자바, 자바스크립트, 파이썬에 이어 C와 C++ 코드를 추가 지원한다고 발표했다. 딥코드는 머신러닝을 기반으로 코드를 분석해 보안 취약점 및 버그를 찾아내는 클라우드 서비스다.    딥코드 자동화 툴은 수천 개의 오픈소스 프로젝트를 학습함으로써 코드가 저장된 호스팅 플랫폼 또는 로컬 리포지토리에 대한 피드백을 제공해 눈길을 끌었던 바 있다. 회사는 해당 툴이 단순히 텍스트가 아닌 실행 중인 소프트웨어라는 맥락적 차원에서 코드를 분석하기 때문에 기존 코드 분석 툴보다 정확하고 상세한 피드백을 제공할 수 있다고 밝혔다.  딥코드는 소프트웨어 보안 취약점 대부분이 C와 C++ 코드베이스에서 발견된다는 점에서 이번 추가 지원이 큰 효과를 보일 것으로 기대했다. 설명에 따르면 C와 C++은 개발자 실수로 발생되는 문제를 거의 또는 아예 예방하지 못한다. 게다가 C와 C++ 최신 버전은 하위 호환성을 유지하는 데 중점을 둬 보안 취약점에 여전히 노출돼 있다.    회사에 따르면 딥코드의 지식기반은 C와 C++에서 드러나는 많은 문제뿐만 아니라 다른 언어들과 관련한 코딩 스타일 문제, 리소스 유출 문제, 메모리 할당 문제, 날짜 처리 문제, 개발 언어 버전 간 비호환성 문제 등도 아우른다.  한편 딥코드는 리눅스 커널 분석을 통해 C 코드베이스에서 많은 일반적인 문제들을 발견했다고 전했다. 이를테면 명령행 인자 혹은 환경 변수에서 전달된 확인되지 않은 매개 변수, 사용 후 해제 시 발견되는 취약점(Use After Free, UAF), 널 포인터(Null pointer) 검사 누락 등이다. 이밖에 안전하지 않은 임시 파일 생성 또는 특정 명령이 컴파일 과정에서 최적화돼 의도된 효과가 나타나지 않는 가능성 등 교묘한 문제들도 있다고 회사 측은 덧붙였다.  딥코드는 첫 출시 당시 자바, 자바스크립트, 타입스크립트, 파이썬을 지원했다. 회사에 따르면 C와 C++ 및 기타 언어에 대한 지원 계획...

2020.03.20

마이크로소프트, SMBv3 취약점 패치 배포

마이크로소프트가 파일 공유 서비스 SMBv3에서 발생하는 취약점을 수정한 KB4551762 업데이트를 배포했다.  해당 취약점은 3월 정기 보안 업데이트에서 보고됐다. SMB 보안 취약점은 2017년 전 세계적인 랜섬웨어 공격으로 악용된 사례가 있다.    이번 패치는 32비트와 ARM64, x64 기반 시스템용 윈도우 10 버전 1903과 1909, 그리고 윈도우 서버 버전 1903과 1909를 대상으로 한다. SMBv3 취약점을 통해 SMB 서버가 악용되면 해커가 조작된 패킷을 SMBv3 서버로 보내 악의적인 SMBv3 서버를 구성하고 사용자가 해당 서버에 연결하도록 유도할 수 있다.  패치 업데이트 외에 마이크로소프트는 공격자가 파워쉘(PowerShell) 명령을 통해 취약점을 악용하는 것을 차단하고자 SMBv3 압축 비활성화를 권고했다. SMBv3 압축 비활성화 코드는 다음과 같다. Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force SMB 압축이 윈도우 또는 윈도우 서버에서 현재 사용되지 않으므로 SMB 압축을 비활성화해도 성능에 부정적인 영향을 미치지 않을 것이라고 회사 측은 설명했다. 또한 해당 조치가 SMB 클라이언트 악용을 완전히 방지할 수는 없기 때문에 마이크로소프트는 TCP 포트 139, 445와 UDP 포트 137, 138를 차단해 SMB 트래픽 허용을 막을 것을 추가적으로 제안했다. 한편 SMB 공유를 호스팅하지 않는 윈도우 클라이언트 및 서버의 경우 윈도우 디펜더 방화벽(Windows Defender Firewall)을 통해 모든 인바운드 SMB 트래픽을 차단할 수 있다. ciokr@idg.co.kr

마이크로소프트 SMB 악성코드 멀웨어 랜섬웨어 윈도우10 보안취약점 SMBv3

2020.03.13

마이크로소프트가 파일 공유 서비스 SMBv3에서 발생하는 취약점을 수정한 KB4551762 업데이트를 배포했다.  해당 취약점은 3월 정기 보안 업데이트에서 보고됐다. SMB 보안 취약점은 2017년 전 세계적인 랜섬웨어 공격으로 악용된 사례가 있다.    이번 패치는 32비트와 ARM64, x64 기반 시스템용 윈도우 10 버전 1903과 1909, 그리고 윈도우 서버 버전 1903과 1909를 대상으로 한다. SMBv3 취약점을 통해 SMB 서버가 악용되면 해커가 조작된 패킷을 SMBv3 서버로 보내 악의적인 SMBv3 서버를 구성하고 사용자가 해당 서버에 연결하도록 유도할 수 있다.  패치 업데이트 외에 마이크로소프트는 공격자가 파워쉘(PowerShell) 명령을 통해 취약점을 악용하는 것을 차단하고자 SMBv3 압축 비활성화를 권고했다. SMBv3 압축 비활성화 코드는 다음과 같다. Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 –Force SMB 압축이 윈도우 또는 윈도우 서버에서 현재 사용되지 않으므로 SMB 압축을 비활성화해도 성능에 부정적인 영향을 미치지 않을 것이라고 회사 측은 설명했다. 또한 해당 조치가 SMB 클라이언트 악용을 완전히 방지할 수는 없기 때문에 마이크로소프트는 TCP 포트 139, 445와 UDP 포트 137, 138를 차단해 SMB 트래픽 허용을 막을 것을 추가적으로 제안했다. 한편 SMB 공유를 호스팅하지 않는 윈도우 클라이언트 및 서버의 경우 윈도우 디펜더 방화벽(Windows Defender Firewall)을 통해 모든 인바운드 SMB 트래픽을 차단할 수 있다. ciokr@idg.co.kr

2020.03.13

블로그ㅣ필립스 휴에서 보안 결함 발견··· IoT에 의미하는 바는?

최근 스마트 조명, 필립스 휴에서 보안 결함이 발견됐다. 이는 가정, 사무실, 산업 네트워크에 또 다른 커넥티드 기기를 추가할 때마다 발생할 수 있는 위험을 경고한다.    보안 취약점이 포착된 필립스 휴 필립스 휴 스마트 조명 시스템은 아마 전 세계에서 가장 많이 설치된 스마트 홈 솔루션 중 하나일 것이다. 그렇기 때문에 보안업체 체크포인트가 2월 5일 공개한 보고서를 주목할 필요가 있다. 보고서는 필립스 휴에 보안 결함이 발견됐다고 밝혔다.  지그비(Zigbee) 저전력 무선 프로토콜, 필립스 휴 스마트 조명, 제어 브릿지의 원격 취약점을 접속 포인트로 삼아 홈/오피스 네트워크에 침투가 가능했던 것으로 관측된다.  스마트 조명 시스템이 다음과 같이 장악됐을 가능성이 있다고 체크포인트는 예측했다. 먼저 해커들이 조명을 제어하는 브릿지를 장악하고, 그다음 해커가 내부 네트워크에 침투할 수 있게 만드는 일련의 행위를 사용자가 하도록 속이는 것이다. 체크포인트는 이 문제점을 즉각 필립스에 통보했고, 해당 제조사는 빠르게 문제점에 대응하는 소프트웨어 패치를 배포했다.  * 참고: 보안업체 카스퍼스키의 조사에 의하면, 지난 12개월 동안 스마트 홈 기기에 대한 공격이 약 700% 증가했다.  왜 이런 일이 계속 발생하는가?  이는 2014년 미국 대형 유통업체 타겟(Target)의 해킹 공격을 떠올리게 한다. 그 당시 해커들은 커넥티드 HVAC(Heating, Ventilation, and Air Conditioning) 시스템의 취약점을 사용해 수백만 개의 신용 및 직불 카드 정보를 탈취했다.  이러한 사건은 해커가 네트워크를 침투했을 때 발생할 수 있는 일이다. 작게는 네트워크를 도청(packet-sniffing)하거나, 당신의 은행 정보를 해킹할지도 모른다. 심각하게는 근무하고 있는 발전소의 액세스 코드가 털릴 수도 있다.  여기서 주목할 점은 타겟 해킹이 ...

보안 보안결함 스마트조명 보안취약점 홈킷 커넥티드 디바이스 지그비 스마트홈 해커 프라이버시 애플 필립스휴

2020.02.10

최근 스마트 조명, 필립스 휴에서 보안 결함이 발견됐다. 이는 가정, 사무실, 산업 네트워크에 또 다른 커넥티드 기기를 추가할 때마다 발생할 수 있는 위험을 경고한다.    보안 취약점이 포착된 필립스 휴 필립스 휴 스마트 조명 시스템은 아마 전 세계에서 가장 많이 설치된 스마트 홈 솔루션 중 하나일 것이다. 그렇기 때문에 보안업체 체크포인트가 2월 5일 공개한 보고서를 주목할 필요가 있다. 보고서는 필립스 휴에 보안 결함이 발견됐다고 밝혔다.  지그비(Zigbee) 저전력 무선 프로토콜, 필립스 휴 스마트 조명, 제어 브릿지의 원격 취약점을 접속 포인트로 삼아 홈/오피스 네트워크에 침투가 가능했던 것으로 관측된다.  스마트 조명 시스템이 다음과 같이 장악됐을 가능성이 있다고 체크포인트는 예측했다. 먼저 해커들이 조명을 제어하는 브릿지를 장악하고, 그다음 해커가 내부 네트워크에 침투할 수 있게 만드는 일련의 행위를 사용자가 하도록 속이는 것이다. 체크포인트는 이 문제점을 즉각 필립스에 통보했고, 해당 제조사는 빠르게 문제점에 대응하는 소프트웨어 패치를 배포했다.  * 참고: 보안업체 카스퍼스키의 조사에 의하면, 지난 12개월 동안 스마트 홈 기기에 대한 공격이 약 700% 증가했다.  왜 이런 일이 계속 발생하는가?  이는 2014년 미국 대형 유통업체 타겟(Target)의 해킹 공격을 떠올리게 한다. 그 당시 해커들은 커넥티드 HVAC(Heating, Ventilation, and Air Conditioning) 시스템의 취약점을 사용해 수백만 개의 신용 및 직불 카드 정보를 탈취했다.  이러한 사건은 해커가 네트워크를 침투했을 때 발생할 수 있는 일이다. 작게는 네트워크를 도청(packet-sniffing)하거나, 당신의 은행 정보를 해킹할지도 모른다. 심각하게는 근무하고 있는 발전소의 액세스 코드가 털릴 수도 있다.  여기서 주목할 점은 타겟 해킹이 ...

2020.02.10

시스코, 소프트웨어 라이선스 관리자 관련 중요 보안 패치

시스코가 최근 PLM(Prime License Manager) 소프트웨어 관련 '중요한(critical)' 보안 취약점을 패치했다고 밝혔다. 해커가 랜덤 SQL 쿼리를 실행할 수 있는 오류를 바로 잡았다. 시스코 PLM은 라이선스 만료를 포함해 기업의 사용자 기반 라이선스 관리 기능을 제공한다. 시스코 발표에 따르면, 이번 PLM 패치의 첫 버전은 자체 '기능적' 문제 때문에 발표됐다. 이름은 'ciscocm.CSCvk30822_v1.0.k3.cop.sgn'이다. 백업과 업그레이드, 복구 관련 문제를 일으킬 수 있는 SQL 보안 취약점을 수정한 것이었다.   시스코는 이후 ciscocm.CSCvk30822_v2.0.k3.cop.sgn 패치를 추가로 내놓았다. 업체 측은 "ciscocm. CSCvk30822_v1.0.k3.cop.sgn 패치를 설치한 사용자는 ciscocm.CSCvk30822_v2.0.k3.cop.sgn 패치로 업그레이드 해야 한다. v2.0 패치를 설치하면 먼저 v1.0 패치를 삭제하고 v2.0 패치를 설치하게 된다"라고 설명했다. 시스코에 따르면, 이 보안 취약점은 SQL 쿼리에서 사용자 입력을 적절하게 검증하지 않으면서 발생했다. 해커가 악의적인 SQL 설명이 포함된 HTTP POST 요청을 보내면 PLM 데이터베이스 내의 데이터를 자유롭게 수정, 삭제할 수 있다. 또는 프스트그래 SQL 관리자에게만 부여되는 쉘 접근 권한을 탈취할 수 있다. 이 보안 취약점은 시스코 PLM 버전 11.0.1과 그 이후 버전에 영향을 준다. ciokr@idg.co.kr

시스코 패치 보안취약점

2018.12.26

시스코가 최근 PLM(Prime License Manager) 소프트웨어 관련 '중요한(critical)' 보안 취약점을 패치했다고 밝혔다. 해커가 랜덤 SQL 쿼리를 실행할 수 있는 오류를 바로 잡았다. 시스코 PLM은 라이선스 만료를 포함해 기업의 사용자 기반 라이선스 관리 기능을 제공한다. 시스코 발표에 따르면, 이번 PLM 패치의 첫 버전은 자체 '기능적' 문제 때문에 발표됐다. 이름은 'ciscocm.CSCvk30822_v1.0.k3.cop.sgn'이다. 백업과 업그레이드, 복구 관련 문제를 일으킬 수 있는 SQL 보안 취약점을 수정한 것이었다.   시스코는 이후 ciscocm.CSCvk30822_v2.0.k3.cop.sgn 패치를 추가로 내놓았다. 업체 측은 "ciscocm. CSCvk30822_v1.0.k3.cop.sgn 패치를 설치한 사용자는 ciscocm.CSCvk30822_v2.0.k3.cop.sgn 패치로 업그레이드 해야 한다. v2.0 패치를 설치하면 먼저 v1.0 패치를 삭제하고 v2.0 패치를 설치하게 된다"라고 설명했다. 시스코에 따르면, 이 보안 취약점은 SQL 쿼리에서 사용자 입력을 적절하게 검증하지 않으면서 발생했다. 해커가 악의적인 SQL 설명이 포함된 HTTP POST 요청을 보내면 PLM 데이터베이스 내의 데이터를 자유롭게 수정, 삭제할 수 있다. 또는 프스트그래 SQL 관리자에게만 부여되는 쉘 접근 권한을 탈취할 수 있다. 이 보안 취약점은 시스코 PLM 버전 11.0.1과 그 이후 버전에 영향을 준다. ciokr@idg.co.kr

2018.12.26

슈나이더 SW 2종류서 '원격 코드 실행' 취약점 발견

사이버 보안 업체 테너블(Tenable)이 슈나이더 일렉트릭 애플리케이션 2종류에서 원격 코드 실행 보안 취약점(remote code execution vulnerability)을 발견했다. 인두소프트 웹 스튜디오(InduSoft Web Studio)와 인터치 머신 에디션(InTouch Machine Edition)이다. 이들 애플리케이션은 미국내 제조, 정유, 자동화, 풍력 및 태양 발전 시설 등에서 사용된다. 테너블에 따르면, 이 취약점을 이용하면 해커가 기반 시스템을 완전하게 장악할 수 있다. 이 보안 취약점은 사이버 범죄자가 문자그대로 네트워크를 통해 이동할 수 있도록 추가로 공격할 수 있는 시스템을 보여준다. 여기에는 HMI(human-machine interface)도 포함된다. 최악의 경우 해커가 설비 운영을 방해하거나 아예 중단시킬 수도 있다. 테너블의 CPO(chief product officer) 데이브 콜은 "디지털 트랜스포메이션은 핵심 인프라스트럭처에서도 일어나고 있다. 이에 따라 과거에는 격리된 형태의 시스템이 외부 세계와 연결되고 있다. 이번에 슈나이더 일렉트릭 제품에서 발견된 보안 취약점은 특히 심각하다. 사이버 범죄자가 우리 사회의 전력 시스템에 심각한 피해를 주고 중단시킬 가능성이 있기 때문이다"라고 말했다. 이어 "태너블의 연구는 현대적인 컴퓨팅 환경 전반에 대한 평가와 분석, 업계 전체의 보안 취약점 발견에 초점을 맞추고 있다. 클라우드와 IT, IoT, OT(operational technology) 등이 모두 포함된다. 점점 심각해지는 이 문제를 풀려면 업계와 협업해야 한다. 실제로 우리는 슈나이더 측에 빠르게 이 심각한 문제를 해결하는 패치를 내놓을 것을 권고했다"라고 말했다. 슈나이더는 이미 자동화 툴 인두소프트 웹 스튜디오와 HMI 클라이언트 인터치 머신 에디션에 대한 패치를 내놨다. 인두소프트 웹 스튜디오 8.1 또는 그 이전 버전을 사용하고 있다면 이번 보안...

해킹 슈나이더 보안취약점

2018.05.04

사이버 보안 업체 테너블(Tenable)이 슈나이더 일렉트릭 애플리케이션 2종류에서 원격 코드 실행 보안 취약점(remote code execution vulnerability)을 발견했다. 인두소프트 웹 스튜디오(InduSoft Web Studio)와 인터치 머신 에디션(InTouch Machine Edition)이다. 이들 애플리케이션은 미국내 제조, 정유, 자동화, 풍력 및 태양 발전 시설 등에서 사용된다. 테너블에 따르면, 이 취약점을 이용하면 해커가 기반 시스템을 완전하게 장악할 수 있다. 이 보안 취약점은 사이버 범죄자가 문자그대로 네트워크를 통해 이동할 수 있도록 추가로 공격할 수 있는 시스템을 보여준다. 여기에는 HMI(human-machine interface)도 포함된다. 최악의 경우 해커가 설비 운영을 방해하거나 아예 중단시킬 수도 있다. 테너블의 CPO(chief product officer) 데이브 콜은 "디지털 트랜스포메이션은 핵심 인프라스트럭처에서도 일어나고 있다. 이에 따라 과거에는 격리된 형태의 시스템이 외부 세계와 연결되고 있다. 이번에 슈나이더 일렉트릭 제품에서 발견된 보안 취약점은 특히 심각하다. 사이버 범죄자가 우리 사회의 전력 시스템에 심각한 피해를 주고 중단시킬 가능성이 있기 때문이다"라고 말했다. 이어 "태너블의 연구는 현대적인 컴퓨팅 환경 전반에 대한 평가와 분석, 업계 전체의 보안 취약점 발견에 초점을 맞추고 있다. 클라우드와 IT, IoT, OT(operational technology) 등이 모두 포함된다. 점점 심각해지는 이 문제를 풀려면 업계와 협업해야 한다. 실제로 우리는 슈나이더 측에 빠르게 이 심각한 문제를 해결하는 패치를 내놓을 것을 권고했다"라고 말했다. 슈나이더는 이미 자동화 툴 인두소프트 웹 스튜디오와 HMI 클라이언트 인터치 머신 에디션에 대한 패치를 내놨다. 인두소프트 웹 스튜디오 8.1 또는 그 이전 버전을 사용하고 있다면 이번 보안...

2018.05.04

삼성 '스마트캠'서 치명적 보안 취약점 발견

인기 있는 보안 카메라인 삼성 스마트캠(SmartCam)에서 치명적인 원격 코드 실행 보안 취약점이 확인됐다. 해커가 이를 악용하면 최고 관리자 권한을 탈취해 카메라를 완전히 장악할 수 있다. Image Credit: Samsung Techwin America 이 보안취약점은 해커 단체인 '엑스플로이티어(Exploiteers)'의 연구자가 발견했다. 이 단체는 이전에도 이 기기의 보안취약점을 발견해 공개한 바 있다. 이 취약점을 이용하면 업체가 로컬 웹 기반 관리 인터페이스를 비활성화한다고 해도 해커가 웹 스크립트를 통해 명령어를 삽입할 수 있다. 삼성 스마트캠은 클라우드 네트워크 보안 카메라이다. 이 제품을 처음 개발한 업체는 삼성 테크윈이지만, 2015년 삼성이 이 사업부를 한국의 재벌인 한화그룹에 매각해 현재는 한화 테크윈으로 이름이 바뀌었다. 지난 몇년간 스마트캠 제품의 웹 기반 관리 인터페이스에서 보안취약점이 잇달아 발견되자 한화 테크윈은 로컬 관리 패널을 완전히 비활성화하기로 결정했다. 현재 사용자는 별도의 스마트폰 앱과 '마이 스마트캠(My SmartCam)' 클라우드 서비스를 통해서만 카메라에 접근할 수 있다. 그러나 엑스플로이티어 연구팀이 삼성 스마트캠 SNH-1011을 분석한 결과, 로컬 네트워크에서 웹 인터페이스에 접근할 수 없다고 해도 웹 서버는 여전히 기기에서 실행되고 있고 '아이와치(iWatch)'라고 불리는 비디오 모니터링 시스템 관련 일부 PHP 스크립트가 서비스되고 있는 것으로 나타났다. 이런 스크립트 중에는 사용자가 파일을 업로드해 아이와치 소프트웨어를 업데이트하는 스크립트가 포함돼 있는데, 파일명 처리에 관련해 보안 취약점을 가지고 있었다. 이 취약점은 인증되지 않은 공격자가 셸 명령을 추가해 루트 권한으로 웹 서버를 실행하는 데 악용될 수 있다. 엑스플로이티어의 연구자는 "아이와치 Install.php 보안취약점을 악용하면 특정 파일명...

삼성 해킹 한화 스마트캠 보안취약점

2017.01.17

인기 있는 보안 카메라인 삼성 스마트캠(SmartCam)에서 치명적인 원격 코드 실행 보안 취약점이 확인됐다. 해커가 이를 악용하면 최고 관리자 권한을 탈취해 카메라를 완전히 장악할 수 있다. Image Credit: Samsung Techwin America 이 보안취약점은 해커 단체인 '엑스플로이티어(Exploiteers)'의 연구자가 발견했다. 이 단체는 이전에도 이 기기의 보안취약점을 발견해 공개한 바 있다. 이 취약점을 이용하면 업체가 로컬 웹 기반 관리 인터페이스를 비활성화한다고 해도 해커가 웹 스크립트를 통해 명령어를 삽입할 수 있다. 삼성 스마트캠은 클라우드 네트워크 보안 카메라이다. 이 제품을 처음 개발한 업체는 삼성 테크윈이지만, 2015년 삼성이 이 사업부를 한국의 재벌인 한화그룹에 매각해 현재는 한화 테크윈으로 이름이 바뀌었다. 지난 몇년간 스마트캠 제품의 웹 기반 관리 인터페이스에서 보안취약점이 잇달아 발견되자 한화 테크윈은 로컬 관리 패널을 완전히 비활성화하기로 결정했다. 현재 사용자는 별도의 스마트폰 앱과 '마이 스마트캠(My SmartCam)' 클라우드 서비스를 통해서만 카메라에 접근할 수 있다. 그러나 엑스플로이티어 연구팀이 삼성 스마트캠 SNH-1011을 분석한 결과, 로컬 네트워크에서 웹 인터페이스에 접근할 수 없다고 해도 웹 서버는 여전히 기기에서 실행되고 있고 '아이와치(iWatch)'라고 불리는 비디오 모니터링 시스템 관련 일부 PHP 스크립트가 서비스되고 있는 것으로 나타났다. 이런 스크립트 중에는 사용자가 파일을 업로드해 아이와치 소프트웨어를 업데이트하는 스크립트가 포함돼 있는데, 파일명 처리에 관련해 보안 취약점을 가지고 있었다. 이 취약점은 인증되지 않은 공격자가 셸 명령을 추가해 루트 권한으로 웹 서버를 실행하는 데 악용될 수 있다. 엑스플로이티어의 연구자는 "아이와치 Install.php 보안취약점을 악용하면 특정 파일명...

2017.01.17

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8