분류 전체보기 469

웹의 보안

표(!)로 정리되었으면 좀더 보기 좋았을 듯한 웹 보안쪽 컨설팅에 대한 짧고 좋은 글입니다. 웹 애플리케이션 취약점 진단 방법 비교 - "헐랭이와IT보안" 이번 글은 위의 글을 좀더 퍼트리고자 하는 목적과 더불어 일반적으로 웹의 보안에 대한 인식에 대해 저의 견해를 적어 보고자 함입니다. 많은 회사들이 자사의 데이터 보호에만 신경을 쓰고 있지만 고객의 자산을 보호하려는 것에 대해서 "보안 요구 사항" 자체가 생각해 내기 어려운 면도 있지만 미필적고의에 의해 간과해 버리는 것이 일반적인 상황일 것입니다. ID-Password 시스템의 한계 보안이라는 것이 편의성과 반하는 경우가 일반적이라 할 수 있습니다. 가령 패스워드의 강도를 요구사항으로 넣게 되는 경우 안그래도 세상에 외울것도 많은데 전혀 이해할 수 ..

문서쓰기

간만에 만난 친구가 일전에 개발회사에서 쓸데없는(!) 문서 쓰는 것에 대한 하소연을 들었다. 팀장으로서 오늘도 잡다한 문서를 작성하고 있는 본인에게 그런 불평을!!!! 다른 직종들의 경우 문서를 쓰는 것에 대해 당연하게 여기는 분야도 많으나 유독 프로그래머나 개발 관련 사람들의 경우 문서를 쓰는 것에 대해 불만이 많고 그 작업을 귀찮다고 여긴다. 그런 상황에서 생성되는 문서는 당연히 내용이 충분하지 못하고 별 도움이 안되며 그런 문서만 쓰고 보다보니 다시 그것을 만드는 작업에 대해 불필요하다고 느낀다. 덕분에 때로는 통신 포맷을 정리해 놓은 문서조차 제대로 기술이 되어 있지 않아서(있다 하더라도 예외나 확장등에 대해 정확히 기술되지 않아 정말 쓰레기정도의 문서만 존재하기도 한다) 전임자에게 욕을 한바가지..

이것이 그대와 나의 마지막 인연일지라도..

블로그든 뭐든 공공적으로 잘 나가려면 이런 주제는 매우 피해야 하지만 내가 가진 여러 미디어 중에 가장 안전하게 오늘의 감정을 보관할 수 있는 방법이 아닌가에 정보를 찾아 들어오신 접속자분들에게 약간의 미안함을 가지고는.. 정보성이라곤 눈꼽만큼도 찾아 볼 수 없고 전혀 인생에 도움이 되지 않을(이 부분은 나에게도 그럴지도 모르겠다.) 글을 써 볼까 합니다. 최근에 후배에게서 들은 말중에 인간이 왜 악마와 계약을 하지 못하는가에 대한 것이 있었습니다. 악마가 인간의 영혼을 댓가로 소원을 들어주는 시스템이 인간의 끝없는 욕망 때문에 불가능해 져 버렸다고.. 인간에게 가장 소중하다고 할 수 있는 영혼을 담보로 비는 소원이 타락해 버려.. 소원을 100가지 소원을 들어주는 거라고 해버린답니다. 그리고 처음에 비..

쿼드 디스플레이를 꿈꾸며

펜티엄 D가 국내 시장에 뿌려지기 시작한것으로 보인다. 정확히 따불의 가격인듯. 물론 AMD에서는 구라 듀얼코어라고 주장하고 있긴 하지만 듀얼은 듀얼이다. 다이 사진을 보니 정말 두개긴 하더라. (앗.. 그 사진을 어디서 봤는지 기억이 ;;) 아무튼 오늘 관련 제품을 검색하다 찾은 것이 ASUS P5WD2. 인텔의 i995x 칩셋 사용으로 PCI-E 16x가 두개가 있어서 SLI는 물론이고 그냥 두개의 그래픽 카드를 통해 Quad Display가 가능한 것이다. 현재 Dual Monitor를 (개인비용으로!) 사용하곤 있지만 이래저래 작업하다 보면 비좁다는 생각이 들곤 했다. 그래서 Quadro NVS280 같은 놈을 살까 고민도 했고 Apple의 변태 LCD(--;)도 고려를 하고 있었으나.... 이제..

Lineage2 클라이언트의 보안 변천사

이전에 암호를 다르게 넣어도 인증되는 오류(암호화 알고리즘은 함부로 생각해 내지 말자라는 교훈을 주고 있음)와 이번에 Plain Text로 로그에 저장하는 문제때문에 시껍한 문제의 프로그램... 본인이 지켜본 리니지2 클라이언트의 변화를 적어 보고자 한다. 일전에 NCSoft에 면접 보러 갔다가 거기의 아는 선배가 던진 질문이 생각난다. 서버의 부하때문에 일부 연산은 클라이언트로 옮기는 것이 좋을거 같은데 괜찮을까? 역시 대답을 예상하고 던진 질문이겠지만 "NO"이다. 다른 게임의 Speed Hack(게임에서 설정한 정상적인 이동 속도보다 더 빠르게 움직일 수 있게 하는 프로그램)이 이런 이유에서 나올 수 있는 것이다. 리니지를 보고 있노라면 적어도 이런 부분은 잘 지키고 있다. 클라이언트는 말 그대로 ..

어플리케이션에서의 보안

우선 권장하는 책은 Writing Secure Code 2/E : 안전한 코드 작성 기술 정도가 있다. 이 분야에 대해 그나마 뭔가 주제를 가지고 쓴 책. 내용도 상당히 훌륭한 편. 언젠가 웹페이지나 프로그램에서 암호 부분에 '*'로 표시 된 것을 읽어 내는 프로그램이 유행한 적이 있다. 대부분의 개발자나 사용자는 화면에 보이지 않으면 암호가 안전할 것이라 생각하였는데 그런 부분에 대한 일침이었다. 하지만 아직도 많은 곳에서 이 방법을 사용중에 있다. 이것을 고치려는 노력은 별로 보이지 않는다. 정말 일부분의 프로그램만이 해당 위치에 가비지값을(혹은 암호화된 내용. 원래 패스워드를 구지 거기에 적을 필요는 없지 않은가) 넣어 둔다. 보안이라는 것은 자신의 자산을 지키는 것도 중요하지만 이제는 타인 특히 ..

사랑이 무엇이냐고 묻는다면

지식인에 검색해 보세요라고 하고 싶다. --; 사람의 감정이라고 하는 것은 삶의 활력소가 될 수도 있지만 반대로 힘빠지게 만들 수 있는 양면성을 가지고 있을 것이다. 특히 사랑, 애정 이런 등등의 감정은 그 정도가 매우 심할 것이다. 언제부턴가 무엇인가 하고싶은것, 가지고 싶은것 등에 많은 미련을 두지 않는 버릇이 생겼다. 회사일이든 개인적인 일이든 되면 되고 말면 마는 거지란 마음가짐으로 산달까. 그것을 반드시 해 내고 싶어라는 생각이 들라치면 그것을 실패했을 때의 모습이 상상되면서 그럴바엔 기대치를 낮추는 방향으로 생각을 전환하곤 한다. 물론 그 일에 최선을 다하지 않는 것은 아니다. 어떤 일이 불가능해 보여도 상황의 다각적인 분석으로 최적의 대안을 찾아 내어야 한다는 것이 지론이지만(뭐 끊임없는 피..

패스워드 유출 보안 사고시 대응법

일전에 일부 사이트에서 카드 정보 유출이 파악되는 순간 모 카드사는 해당 카드를 모두 정지시키고 일괄 재발급을 했다는데요.. 아무튼. 이번처럼 대대적으로 아이디/패스워드 유출사고가 일어나는 경우 해당 시스템의 변경보다 더 중요한 것은 다른 사이트의 계정 정보입니다. 뱅킹에 사용하는 패스워드까지 동일하셨던 분들은 반성좀 하시구... 아무튼 동일한 아이디와 비번을 쓰는 모든 서비스의 패스워드를 변경해야 합니다. 특히 개인정보 침해의 경우 친구나 애인사이에도 빈번히 일어나기 때문에 PC방에 간적이 없다라고 해도 개인이 사용하는 장비가 아닌 다른 곳에서 쓴 적이 있거나 개인장비를 타인도 쓸 수 있다고 한다면 유출 가능성이 매우 높다고 봐야 합니다. 친구사이에 그것도 못믿나가 아니라 자신의 정보는 자신이 지켜야 ..