보안 5

어플리케이션/서비스 개발에서의 보안

별 내용은 없고 메일 하나 보내다가 마지막에 쓴 말을 다시 한번 적어 봅니다. 웹서비스를 개발할 때 보안을 생각하지 않는 것은 사탕에 설탕대신 사카린을 퍼붇는 거랑 같습니다. 설탕가격 비싸죠. 사카린 넣으면 단가 낮출 수 있습니다. 보안 신경 쓰면 속도가 느려지거나 장비를 더 많이 사야 할수도 있습니다. 사카린 넣으면 먹는 사람은 더욱 단맛을 느낄 수 있고 행복해 할지도 모릅니다. 엄격한 보안정책 같은 것은 쓰레기통에 던져 버리고 사용자에게 많은 기능들을 제공해 주면 행복해 할지도 모릅니다. 사실 처음에는 사카린이 몸에 어떤 영향을 주는지 몰랐습니다. 보안홀(Security-hole)이라는 것이 원래 처음에는 잘 안보입니다. 라고.. 적고 있는데... http://en.wikipedia.org/wiki/..

지름신 주의보

보부상(BBS E-Market) 대량 변조 피해 주의 from 헐랭이와 IT보안 라는군요. 해킹 자체나 취약점이야 알아서들 대처하시고 제목이 "지름신 주의보"냐면, 그림의 사이트들 대충 보니 저도 아는 곳이 좀 있군요. 즉 소규모 쇼핑몰중에 위에 언급된 시스템을 사용했다면 다 털릴 가능성이 높습니다. 그나마 착한 곳에서 뚫은 경우 홈페이지 변조로 끝나겠지만 심하면 다 털리는거죠. 결국 소규모 사이트에서 물건 구입하는 것은 한주 정도 딜레이 하는 것을 권장하고 싶네요. PS. 덕분에 돈이 굳었;;;;

주민등록번호, 최대의 위기

고객정보보안 저 글을 쓸때 china.com에서 검색이 될줄 알았는데 중국어를 잘 못하는 관계로 검색창이 어디야~~ 하다가(이름하여 비직관적인 UI -ㅅ-) 결국 글을 찾았습니다. 중국에서 도용중인 주민번호 검색! 몇년전에 구글 형님이 발로짠 관리자 화면을 샅샅이 훑어 주시어 이름/주민등록번호/연락처등을 쉽게 얻을 수 있었고 정부와 여러 단체에서 난리를 쳐서 겨우 잠재운지 얼마되지 않아, 여러분의 형제 자매의 신상정보를 중국 게시판에서 얻을 수 있습니다. 국내 게임들 가입하는 법 설명한 페이지 아래에 누군가 가입정보가 필요하다고 하니 바로 몇십명의 정보를 턱 붙여주는군요. 일부러 관심끄고 살지만 (안껐다간 우울증 걸려버릴지도 ㄱ-) 실제로 보안사고 꽤 일어나는 것으로 알고 있습니다. 정보가 유출되어도 끝..

고객 정보 보안

http://swbae.egloos.com/1526448 : 대기업 43개사 고객 개인정보 863만건 유출(일본) 잘 읽어보시면 KT 이야기도 나와 있습니다. 서비스에 있어서 고객 관리는 중요합니다. 고객의 모든 정보를 통해 1원이라도 더 뜯어내는 것은 기업의 의무라고 까지 할 수 있겠습니다만 정작 그 정보의 보호는 별로 신경을 안쓰죠. 책임회피! 가끔 광고전화를 받게 되는데, 그거 다 정보 유출 했거나, 팔았거나, 용도외 사용입니다. 생뚱맞게 전화 온것들 다 추적해 보면 위법입니다. 단순히 몇분의 시간이 아니라 개인정보가 마구마구 떠다니는 겁니다. 보안이라는 것이, 잘 하기 위해서 뿐만이 아니라 처음부터 개념탑재조차도 보안 전문가가 개발 초기부터 참가하지 않으면 절대 안되는 겁니다. 헌데 프로그래머 구..

미국의 시청 IT직원이라고 별수는...

CentOS팀의 시청홈페이지 해킹사건 from 헐랭이와 IT보안 사건 전말 from Off the hook(English) 대충 사건의 전말은 웹호스팅 업체가 밀고 새로 깔면서 설정을 마저 하지 못해서 웹페이지 첫화면에 CentOS의 초기설정 화면이 떠버린 것을 본 미국의 시청 직원이 CentOS에게 왜 해킹했냐면서 당장 복구하지 않으면 FBI에게 신고하겠다고 난리를 친것. 무려 22년동안 시스템 관리를 하신 전문가 분이;;;; 뭐 여러가지 이야기 거리가 나오겠지만.. 그냥 즐기시라~