보안지식
국내 인터넷 금융 관련 정보를 유출하는 악성코드의 감염 여부를 검사/치료할 수 있는 전용 백신입니다. << 안랩에서 다운로드 >> << 잉카에서 다운로드 >> ▶ 검사/치료 대상 악성코드 명: Trojan/Banker.Np ▶ 악성코드 위험도 – 시스템: 높음 – 네트워크: 높음 – 확산: 낮음 ▶ 감염시 증상 – 인터넷 뱅킹을 위한 인증서 창의 화면을 캡쳐하고, 가짜 [...]
스마트폰은 정말 편리하지만 많은 보안위협을 가지고 있지요.. 아직까지는 그렇게 큰 위험상황이 발생하지는 않았지만 시간문제라는 생각이 듭니다. 특히 염려되는것은 안드로이드계열의 스마트폰입니다. 보안가이드도 제대로 제시되지않고 정식 앱스토어에 올라온 앱들조차 제대로 검사되지않으니 염려가 많이 될 수 밖에 없네요.. 구글에서 제대로 된 개발 보안가이드를 제공하고 사이트에 업로드될때도 기본적인 앱 검사가 이루어지도록 해야 합니다. 최소한 앱들의 권한과 앱의 기능을 [...]
Gartner의 CIO를 위한 Compliance 지침은 아래와 같습니다. – 기본적으로 IT Compliance 는 IT부서만으로는 달성할 수 없는 과제 – 법무, 재무부서 및 외부 감시자와의 긴밀한 협조가 필요 – 전사적 차원에서 합리적인 통제 절차와 기구가 필요, (적절한 솔루션 도입 권고) IT Compliance란? 기업의 위험관리와 투명성 강화를 위해 정부 또는 유관 기관들이 강제사항으로 규정하는 각종 [...]
보안위협 분석 및 우선순위를 지정할 때 사용하는 구분법으로 DREAD를 사용하곤 합니다. Microsoft의 Security Essential에서 소개된 부분인데… 각 항목은 아래와 같습니다. 각 항목의 경중을 따라서 1~3점까지의 점수를 부여하고 5가지 항목의 총합을 위험의 level로 간주합니다. 리스트된 모든 보안위험의 총점을 높은 순으로 배열하면 위험순위별로 Rating 됩니다. DREAD 1. Damage (손상) 2. Reproducibility (재발가능성) 3. Exploitability (악용가능성) 4. [...]
Microsoft가 분류하는 위협의 종류와 각 항목에 대한 대응책에 대해서 정리해봅니다. Threat Countermeasures Spoofing user identity (거짓된 ID사용하여 접근권한 획득) Use strong authentication. Do not store secrets (for example, passwords) in plaintext. Do not pass credentials in plaintext over the wire. Protect authentication cookies with Secure Sockets Layer (SSL) Tampering with data (인가받지않은 데이타 변조) [...]
