Offcanvas

������ ������

“버전 설정 악용해 셰어포인트·원드라이브 파일 해킹할 수 있다”

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이러한 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면 공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인트 온라인...

마이크로소프트 원드라이브 셰어포인트 랜섬웨어 사이버 보안 하이재킹 버전 관리 버전 설정

2022.06.17

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이러한 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면 공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인트 온라인...

2022.06.17

블로그 | IT 생애주기 관리, '이면의 진실'

IT 부문이 라이프사이클 관리, 즉 생애주기 관리를 잘 하는 경우란 생각보다 드물다. 그럴만한 이유가 있다. 먼저 라이프사이클 관리의 정의를 찾아보면 다음과 같다.    ‘개념화부터 수명 종료까지, 프로비저닝(Provisioning)부터 운영을 거쳐 퇴역까지 애플리케이션 또는 플랫폼의 라이프 사이클 관리에 대한 전략적 접근방식.’ 이러한 정의대로라면 라이프사이클 관리 업무가 전혀 구체적이지 않다. 새로운 플랫폼이나 애플리케이션을 도입하는 데 도움이 되지 않는다. 앱 개발 및 변화 관리 방법론의 목적이 바로 그것인 데도 그렇다. 일상 운영에도 도움이 되지 않는다. 애플리케이션 또는 플랫폼 퇴역에도 마찬가지다. 어쩌면 IT는 개념화 단계에서 수명 종료 시까지 특정 애플리케이션이나 플랫폼의 라이프사이클을 관리하는데 시간과 에너지를 투입할 이유를 없을 수도 있다.    버전 통용 관리 IT에 필요한 라이프사이클 관리 하지만 IT 부문에게 중요한 라이프사이클 관리 활동이 있다. IT에 필요한 라이프사이클 관리는 플랫폼과 상용 애플리케이션을 최신 상태, 즉 제공업체가 현재 판매하는 것보다 1~2버전 이상 뒤쳐지지 않은 상태로 유지하기 위한 일련의 신뢰할 수 있는 접근법이다. 흔히 ‘버전 통용 관리’(version currency management)라 부르기도 한다. 이 개념을 일반적인 라이프사이클 관리와 비교하기 위해, 애플리케이션 중 일부가 EGSL(EnGarde Secure Linux) 위에서 구동되는 상황을 살펴보자. 인가드(EnGarde)는 수명이 한참 전에 끝났다. 단순히 죽은 것이 아니라 완전히 죽었다. 인가드가 수명이 끝난 서버에서 구동한다고 해서 수명이 끝난 서버가 만료된 서버가 될 때 구매 선택권 없이 새로운 하드웨어에 설치해야 한다는 뜻은 아니다. 구동하는 플랫폼 중 하나에 대한 업데이트 또는 이에 의존하는 애플리케이션에 대한 업데이트를 통해 호환될 것이라는 뜻도 아니다. 인가드는 다른 쓸모 없고 지...

생애주기 관리 라이프사이클 관리 IT 관리 버전 관리

2022.04.04

IT 부문이 라이프사이클 관리, 즉 생애주기 관리를 잘 하는 경우란 생각보다 드물다. 그럴만한 이유가 있다. 먼저 라이프사이클 관리의 정의를 찾아보면 다음과 같다.    ‘개념화부터 수명 종료까지, 프로비저닝(Provisioning)부터 운영을 거쳐 퇴역까지 애플리케이션 또는 플랫폼의 라이프 사이클 관리에 대한 전략적 접근방식.’ 이러한 정의대로라면 라이프사이클 관리 업무가 전혀 구체적이지 않다. 새로운 플랫폼이나 애플리케이션을 도입하는 데 도움이 되지 않는다. 앱 개발 및 변화 관리 방법론의 목적이 바로 그것인 데도 그렇다. 일상 운영에도 도움이 되지 않는다. 애플리케이션 또는 플랫폼 퇴역에도 마찬가지다. 어쩌면 IT는 개념화 단계에서 수명 종료 시까지 특정 애플리케이션이나 플랫폼의 라이프사이클을 관리하는데 시간과 에너지를 투입할 이유를 없을 수도 있다.    버전 통용 관리 IT에 필요한 라이프사이클 관리 하지만 IT 부문에게 중요한 라이프사이클 관리 활동이 있다. IT에 필요한 라이프사이클 관리는 플랫폼과 상용 애플리케이션을 최신 상태, 즉 제공업체가 현재 판매하는 것보다 1~2버전 이상 뒤쳐지지 않은 상태로 유지하기 위한 일련의 신뢰할 수 있는 접근법이다. 흔히 ‘버전 통용 관리’(version currency management)라 부르기도 한다. 이 개념을 일반적인 라이프사이클 관리와 비교하기 위해, 애플리케이션 중 일부가 EGSL(EnGarde Secure Linux) 위에서 구동되는 상황을 살펴보자. 인가드(EnGarde)는 수명이 한참 전에 끝났다. 단순히 죽은 것이 아니라 완전히 죽었다. 인가드가 수명이 끝난 서버에서 구동한다고 해서 수명이 끝난 서버가 만료된 서버가 될 때 구매 선택권 없이 새로운 하드웨어에 설치해야 한다는 뜻은 아니다. 구동하는 플랫폼 중 하나에 대한 업데이트 또는 이에 의존하는 애플리케이션에 대한 업데이트를 통해 호환될 것이라는 뜻도 아니다. 인가드는 다른 쓸모 없고 지...

2022.04.04

깃허브, ‘코드 리뷰 제한’ 기능 추가

깃허브의 새로운 관리 기능은 ‘드라이브-바이(drive-by)’ 풀 리퀘스트 승인 및 ‘스팸성(spammy)’ 변경 요청을 처리하도록 설계됐다.  지난 11월 1일(현지 시각) 깃허브가 깃(Git) 기반 버전 관리 시스템 및 코드 공유 사이트 사용자를 위해 코드 리뷰 제한을 추가하고 모바일 알림을 개선했다.  회사에 따르면 코드 리뷰 제한의 목적은 ‘드라이브-바이’ 풀 리퀘스트 승인과 스팸성 변경 요청 문제를 해결하는 것이다. 메인테이너는 이제 풀 리퀘스트에 대해 변경을 승인하고 요청할 수 있는 사용자를 제한할 수 있다.  즉, 리포지토리 수준에서 읽기 이상의 액세스 권한을 명시적으로 부여받은 사용자로 승인 및 변경 요청을 제한할 수 있다. 사용자 또는 조직 계정과 연결된 모든 리포지토리에서 코드 리뷰 제한을 활성화할 수도 있다.  리포지토리 코드 리뷰 제한을 활성화하려면 해당 리포지토리의 설정 페이지로 이동하여 왼쪽 메뉴에서 조정 설정(Moderation Settings)을 선택한다. 그다음 ‘코드 리뷰 제한(Code review limits)’을 누른 후 ‘읽기 이상의 권한이 명시적으로 부여된 사용자로 제한(Limit to users explicitly granted read or higher access)’ 상자를 체크한다.    또한 깃허브 모바일 앱에서 스팸성 이슈와 풀 리퀘스트를 처리하기 어렵다는 문제를 해결하기 위해 모바일 알림이 개선됐다. 이제 모바일 알림에 스팸 이슈 또는 풀 리퀘스트 팝업이 표시되면 쉽게 해당 이슈를 닫고, 개발자의 스마트폰에서 바로 조직의 사용자를 블록할 수 있다.    이 2가지 기능은 깃허브가 올해부터 제공하기 시작한, 오픈소스 커뮤니티의 ‘삶의 질 향상’에 초점을 맞춘 기능 중 하나다. 이를 지원하는 다른 기능은 아래와 같다.  • 문제 양식(Issue forms): 필수 필드를 포함한 양식 필드로 문제 템플릿을 생성해 문제...

깃허브 코드 공유 코드 리뷰 풀 리퀘스트 버전 관리 리포지토리 개발자 오픈소스 메인테이너

2021.11.04

깃허브의 새로운 관리 기능은 ‘드라이브-바이(drive-by)’ 풀 리퀘스트 승인 및 ‘스팸성(spammy)’ 변경 요청을 처리하도록 설계됐다.  지난 11월 1일(현지 시각) 깃허브가 깃(Git) 기반 버전 관리 시스템 및 코드 공유 사이트 사용자를 위해 코드 리뷰 제한을 추가하고 모바일 알림을 개선했다.  회사에 따르면 코드 리뷰 제한의 목적은 ‘드라이브-바이’ 풀 리퀘스트 승인과 스팸성 변경 요청 문제를 해결하는 것이다. 메인테이너는 이제 풀 리퀘스트에 대해 변경을 승인하고 요청할 수 있는 사용자를 제한할 수 있다.  즉, 리포지토리 수준에서 읽기 이상의 액세스 권한을 명시적으로 부여받은 사용자로 승인 및 변경 요청을 제한할 수 있다. 사용자 또는 조직 계정과 연결된 모든 리포지토리에서 코드 리뷰 제한을 활성화할 수도 있다.  리포지토리 코드 리뷰 제한을 활성화하려면 해당 리포지토리의 설정 페이지로 이동하여 왼쪽 메뉴에서 조정 설정(Moderation Settings)을 선택한다. 그다음 ‘코드 리뷰 제한(Code review limits)’을 누른 후 ‘읽기 이상의 권한이 명시적으로 부여된 사용자로 제한(Limit to users explicitly granted read or higher access)’ 상자를 체크한다.    또한 깃허브 모바일 앱에서 스팸성 이슈와 풀 리퀘스트를 처리하기 어렵다는 문제를 해결하기 위해 모바일 알림이 개선됐다. 이제 모바일 알림에 스팸 이슈 또는 풀 리퀘스트 팝업이 표시되면 쉽게 해당 이슈를 닫고, 개발자의 스마트폰에서 바로 조직의 사용자를 블록할 수 있다.    이 2가지 기능은 깃허브가 올해부터 제공하기 시작한, 오픈소스 커뮤니티의 ‘삶의 질 향상’에 초점을 맞춘 기능 중 하나다. 이를 지원하는 다른 기능은 아래와 같다.  • 문제 양식(Issue forms): 필수 필드를 포함한 양식 필드로 문제 템플릿을 생성해 문제...

2021.11.04

SW 변경 주체, 대상, 시점을 추적한다··· ‘버전 관리’ 솔루션 가이드

‘버전 관리’의 반대말은 어쩌면 ‘혼란’이다. 개발팀이 다양한 작업 버전을 관리하지 않으면 걷잡을 수 없는 상황이 이내 펼쳐질지 모른다. 소프트웨어 구성 관리 솔루션의 한 요소인 버전 관리 소프트웨어는, 조직이 문서, 프로그램, 웹사이트, 기타 개발 계획의 변경사항을 관리하는데 도움을 준다. 오늘날 개발 프로젝트의 경우 동시에 같은 파일을 작업하는 팀들에 다수 존재하곤 하며, 만약 버전 관리가 제대로 이뤄지지 않는다면 심각한 문제가 발생할 수 있다.   버전 관리의 정의 소프트웨어를 개선하기 위해서는 개발자가 문제가 있는 버전을 파악할 수 있도록 다양한 버전의 소프트웨어를 검색하고 실행할 수 있는 능력이 필요하다. 또 버전 관리는 변경 관리로도 볼 수 있다. ‘버전 관리’란 조직이 소스 코드의 변경사항을 관리하고 이런 변경사항의 이력을 관리하는 방법이라고 가트너의 토마스 머피 컨설턴트가 말했다. 여기에는 2가지 접근 방식이 있다. 하나는 1명이 문서를 작성할 때 다른 사람이 동시에 변경하지 못하도록 하는 것이다. 다른 방법은 여러 사용자가 동시에 변경할 수 있도록 허용하는 것이다.  머피는 "구글 독스에서 2명의 작성자가 같은 문서를 작성하는 것으로 생각하면 된다"라고 설명하며, 오늘날의 버전 관리 소프트웨어는 대개 변경사항과 순서를 추적해 두 사례를 모두 지원할 수 있다고 전했다. 또한 버전 관리 소프트웨어를 이용할 경우 개발자는 변경사항이 효과가 없을 때 기존 코드를 잃을 수 있다는 두려움 없이 코드를 변경하고 시험할 수 있다고 포레스터 리서치의 수석 분석가 제프리 해먼드가 말했다. 그는 "워드 문서나 파워포인트 프레젠테이션이 있고 여러 사용자의 편집을 해결하거나 일부 내용을 삭제해야 하지만 영구적으로 삭제될까 두려웠던 적이 있다면 버전 관리의 필요성을 이해할 것이다"라고 말했다.  한편 소프트웨어 개발이 증가하면서...

협업 데브옵스 기트허브 기트랩 로우 코드 노 코드 버전 관리 변경 추적 비트버킷

2019.04.29

‘버전 관리’의 반대말은 어쩌면 ‘혼란’이다. 개발팀이 다양한 작업 버전을 관리하지 않으면 걷잡을 수 없는 상황이 이내 펼쳐질지 모른다. 소프트웨어 구성 관리 솔루션의 한 요소인 버전 관리 소프트웨어는, 조직이 문서, 프로그램, 웹사이트, 기타 개발 계획의 변경사항을 관리하는데 도움을 준다. 오늘날 개발 프로젝트의 경우 동시에 같은 파일을 작업하는 팀들에 다수 존재하곤 하며, 만약 버전 관리가 제대로 이뤄지지 않는다면 심각한 문제가 발생할 수 있다.   버전 관리의 정의 소프트웨어를 개선하기 위해서는 개발자가 문제가 있는 버전을 파악할 수 있도록 다양한 버전의 소프트웨어를 검색하고 실행할 수 있는 능력이 필요하다. 또 버전 관리는 변경 관리로도 볼 수 있다. ‘버전 관리’란 조직이 소스 코드의 변경사항을 관리하고 이런 변경사항의 이력을 관리하는 방법이라고 가트너의 토마스 머피 컨설턴트가 말했다. 여기에는 2가지 접근 방식이 있다. 하나는 1명이 문서를 작성할 때 다른 사람이 동시에 변경하지 못하도록 하는 것이다. 다른 방법은 여러 사용자가 동시에 변경할 수 있도록 허용하는 것이다.  머피는 "구글 독스에서 2명의 작성자가 같은 문서를 작성하는 것으로 생각하면 된다"라고 설명하며, 오늘날의 버전 관리 소프트웨어는 대개 변경사항과 순서를 추적해 두 사례를 모두 지원할 수 있다고 전했다. 또한 버전 관리 소프트웨어를 이용할 경우 개발자는 변경사항이 효과가 없을 때 기존 코드를 잃을 수 있다는 두려움 없이 코드를 변경하고 시험할 수 있다고 포레스터 리서치의 수석 분석가 제프리 해먼드가 말했다. 그는 "워드 문서나 파워포인트 프레젠테이션이 있고 여러 사용자의 편집을 해결하거나 일부 내용을 삭제해야 하지만 영구적으로 삭제될까 두려웠던 적이 있다면 버전 관리의 필요성을 이해할 것이다"라고 말했다.  한편 소프트웨어 개발이 증가하면서...

2019.04.29

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9