우키의 보안이야기

매년 개최되고 있는 ISEC2009 행사가  얼마 남지 않았습니다.
유료컨퍼런스라서 비용을 지불하고 행사에 참석해야 했는데  올해는 무료 등록을 받고있습니다.
작년엔 협력업체에서 등록 쿠폰을 보내주어서  무료로 참석을 했었답니다.

기업의 보안실무자 위주로 진행되기 때문에   무료등록 신청을 한  학생및 일반참관객은  
참관대상에서 제외될수있다고합니다.



행사명 : ISEC(Information Security Conference) 2009
동시개최 : 정보보호 정책 세미나
                Cyber Warfare ‘ISEC 2009 CTF’
                국제 정보보호 솔루션 EXPO
                CISSP 인포 세션
일시 : 2009년 9월 8일(화) ~ 9일(수) 09:00 ~ 17:30
장소 : 서울 삼성동 COEX 1층 그랜드볼룸

무료등록 신청 URL:
http://www.isecconference.org/kor/visit/isec_write.asp

ISEC2009 홈페이지 :  http://www.isecconference.org

▶ ISEC2009 행사의 개최 목적
1.  각 기관 및 기업의 보안실무자가 정말 필요로 하는 실질적인 보안 정보를 한자리에서 제공해줌으로써 효과적인 보안정책과  통합 보안 시스템을 성공적으로 구축할 수 있도록 한다.
2.  국내 모든 정보보호 관련 제품과 서비스를 한 눈에 볼 수 있음은 물론, 공급자와 사용자간의 정보교류의 장을 마련함으로써   유관기업들이 실질적인 마케팅 성과를 가져올 수 있도록 한다.
3. 국내 정보보호 솔루션 수요 창출을 통해 국내 정보보호 시장을 일으켜 세우고자 한다. 또한 해외바이어들을 적극 유치해 국내 보안업체의 해외시장 진출에 견인차 역할을 한다.
 4. 국제 컨퍼런스로서 국내의 뛰어난 정보보안 기술을 세계에 알리고 해외 시장을 개척할 수 있는 아시아 최고의 정보보호 컨퍼런스로 자리매김함으로써 국가 위상제고와 국내 보안산업 발전에 기여한다.
 5. 타 행사에서는 볼 수 없는 구축사례 중심의 강연들로 대부분 세션이 이루어진다.
 6. 국내 보안담당자들의 해킹 공격에 대한 방어능력 증진을 위한 일환으로 Cyber Warfare‘ ISEC 2009 CTF’도 동시에 개최된다.
 7. 이를 통해 ISEC 2009는 보안담당자들에게 해킹방어 및 예방법 등 실질적인 현장 노하우를 제공해 줄 것이다

psinfo.exe는  서버의 보안관리에 매우 유용한 툴입니다.
psinfo를 이용해서  원격서버의 보안패치 설치여부및 리부팅 여부를 확인하는 방법을 적어봅니다.

Psinfo 다운로드:  http://technet.microsoft.com/en-us/sysinternals/bb897550.aspx

아래와 같은 패치파일을 만듭니다.
===========================================================
Remote_Patch_Check.bat
===========================================================
echo 192.168.1.11 >>patch_check_090821.txt
Psinfo -h  \\192.168.1.11 | find “958644″ >>patch_check.txt    –> 따옴표안에 패치넘버 입력
Psinfo -d  \\192.168.1.11 | find “Uptime:” >>patch_check.txt   –> 부팅된 이후 시간 (리부팅여부확인)
===========================================================
위 파일의 결과화면


psinfo 의 용례
psinfo  -Option [ \\computer_name| @file] -u  user_id  -p user_password

-s     설치된 application 내역을 확인할 수있습니다.
-h     설치된 핫픽스 내역을 확인할 수 있습니다.
-d     볼률정보등을 확인할 수있습니다.
@file  파일에 리스트된 컴퓨터들에 대해 조회된 결과를 출력할 수있습니다.

  아래 글은 보안뉴스에 게재된 글의 일부를  소개한 것입니다.  기업에서 어떻게 해야 효과적인 정보보호 정책을 구현할 수있나를 고민하는 분들에게 좋은 내용인 것 같아서    일부를 발췌해서  소개합니다.   자세한  내용은  아래의 원문에서 확인해주시기 바랍니다. 원래는  보안정책에 대한 대담형식으로 되어 있는 글이랍니다.
=================================================================
찰스 우드  (前 뱅크오브어메리카 수석 네트워크 보안 컨설턴트)   <<홈페이지 가기>>
Secureworld Expo keynote 링크 
원문참조: http://www.boannews.com/media/view.asp?idx=17336&kind=18 

▶ 효과적인 정보보호 정책 구현을 위해 필수적인 것 ?

  조직들은 단순히 다른 조직의 정보보안 정책을 모방한 후 조직의 이름만 바꿔 결과 문서를 발표하고는 한다. 이는 보안 정책의 수립 및 공표 여부 확인만을 우선적인 목표를 두고 있는 일부 감사원들은 만족시킬 수는 있을 것이다. 그러나 장기적인 측면에서 이것은 결코 제 역할을 할 수가 없다. 이것은 결국 보안의 겉치레일 뿐, 실제가 아니기 때문이다. 이보다는 공식적인 위험 관리의 일환으로써 규칙적인 위험 사정을 수행해야 한다.
  위험 평가(risk assessment)은 조직이 직면하고 있는 고유의 위험들을 명확히 드러내준다. 이후 이러한 고유의 위험들을 문제의 조직에 효과적인 조건들로 맞춰진 정보보안 정책으로 해결해야만 할 것이다. 나는 지금 조직이 종속된 법률이나 규제 사항에 대한 단순한 반응 이상의 것을 말하고 있는 것이다. 즉, 정보보안에 어떤 일이 벌어지고 있는지에 관해 명백한 그림을 경영진에게 제공해주는 규칙적인(이상적으로는 연간) 프로세스에 관해 말하고 있는 것이다. 위험 평가 리포트에 나타나는 이 명백한 그림을 통해 경영진은 리소스들이 어디로 가야하는지, 어떤 문제에 좀 더 관심을 기울여야 하는지, 어떤 프로젝트가 수립되는지 등에 관해 가장 훌륭한 결정을 내릴 수 있게 될 것이다. 따라서 위험 평가야말로 최적화된 정보보안 정책 작성에 길잡이가 될 수 있다 할 것이다.

▶ 기업의 정보보호에 가장 심각한 위협이 되는 것은 ?

  우리가 직면하고 있는 가장 심각한 위협은 바로 정보보호에 대한 경영진의 인식 부족이다. 경영진과 결정권자로서의 그들의 위치는 종종 위험을 실제적으로 이해하지 못하게 하기 때문에 그들은 정보보호에 충분한 관심과 리소스를 쏟지 않는다. 결과적으로 심각한 문제들이 계속해서 발생하고 이러한 문제들은 현재 취해놓은 대응책들의 결함을 계속해서 강조하게 된다. 정책은 인식의 수준을 높이는 가장 중요한 방법 중 하나다. 정보보호 정책은 모든 직원들이 참여해야하는 인식 프로그램의 요건 사항을 정의할 뿐만 아니라 경영진이 선택한 위험 수준을 명백히 설명한다. 특히 이러한 명백함은 경영진이 처음부터 어느 정도의 위험을 수용하는 것에 대한 찬반양론을 이해하기 위해 시간을 가졌을 경우에만 필연적으로 확보할 수 있다.

▶ 기업 보안 정책과 관련해 경영진의 역할은 ?

  언스트앤영(Ernst & Young)의 연구 결과에 따르면 정책의 명료화와 기타 정보보호 컴플라이언스에 대한 투자는 100%에서 1,000%의 ROI(return on investment)를 가져오는 것으로 나타났다. 낭비할만한 자금의 여유가 없는 요즘, 기업의 정보보호 정책 구축은 정보보호 비용 감소 등 많은 이익을 가져온다.  그러나 최고 경영진은 너무 바쁘기 때문에 정보보안 정책을 작성하기 어렵다. 경영진의 역할은 적합하게 훈련되고 자격을 갖춘 사람들이 이러한 문제를 처리하고 있는지 확인하는 것이다. 이어 이들의 작업에 대한 지원 또한 최고 경영진들의 몫이다. 정보 자산을 포함한 자산을 보호하는 책임은 궁극적으로 최고 경영진의 몫이다. 그러나 수많은 기업들이 아직까지 정보보호와 관련해 최고 경영진이 무엇을 해야 하는지 파악하지 못하고 있다.

▶ 안전한 정책(Sound policy)의 기본은 ?

  좋은 시스템 설계의 가장 기본적인 측면들 중 하나는 요건 사항을 분명히 하는 것이다. 정보보호 정책과 관련해 오늘날 많은 업체들은 여전히 그들이 무엇을 하고 있어야만 하는지에 대해 뚜렷하게 알지 못하고 있다. 또한 무엇을 하고 있어야만 하는지 모르는 것과 마찬가지로 자신의 조직을 적절히 보호하지 못하는 시스템을 만든다. 이 외에도 감사와 컴플라이언스 체크 등과 같은 기본들도 잘 지켜지지 않고 있다. 또한 경영진이 강요하지 않는, 또는 관심을 기울이지 않는 정책은 오히려 역효과를 가져온다.

▶ 정보보호 정책이 실제 조직에 적용되는데 있어 가장 큰 어려움은?

  개인적인 생각도 그렇지만 여러 조사의 결과들에 따르면 필요한 것을 하기 위해 충분한 투자를 하는 것이 가장 어려운 점으로 드러났다. 특히 현재의 경제적 어려움이 이 분야를 더욱 악화시키고 있다. 경기 침체 상황이라고 해서 인터넷상의 맬웨어 프로그램이 감소한다거나 인터넷 기반 신용카드 사기에 관련된 범죄 조직의 활동 등이 감소하는 것은 아니다.

▶ 한국 기업 내에는 아직 기업의 정보보호 정책에 대한 제언

  무언가를 얻으려면 다른 것을 포기해야만 한다. 만일 세계 최대 금융 업체들 중 하나의 증권거래인이 되고 싶다면, 그것을 직업으로 삼고 싶다면 마지못해서라도 어느 정도의 감시를 수용하게 될 것이다. 이러한 감시는 온당한 것이다. 특권과 권한에는 대가가 있기 마련이며 감시와 어느 정도의 프라이버시 침해가 바로 그러한 대가인 것이다. 보안과 프라이버시는 때로는 상충되기도 하고 때로는 조화를 이루기도 한다. 이러한 점을 비롯해 여러 가지 충돌을 해결하고 적절한 균형을 잡아 특정한 조직의 요구(need)를 고유의 방법으로 반영하는 것이 바로 CISO(chief information security officer : 정보보안 담당이사)의 역할이다.

   보안이슈가 발생한 경우는  기업의 보안인식을 제고할 수있는 좋은 기회입니다.  전체 공지메일등을 통해서  필요한 지식을 제공하고  보안인식을 제고하는 것이 반드시 필요하죠.. 

   최근 adobe 긴급보안 업데이트가 발표되었었죠..  아래와 같이  공지메일을 작성하여 공지하면 좋을 것 같습니다.

  한국인터넷진흥원은 호스팅 서비스 기업, 웹에이전시 등 소규모 IT서비스 기업 정보보호 실무자를 대상으로 안전한 웹서비스 운영교육을 실시한다고 합니다.  최근 KISA가 통합된 후  홈페이지가 리뉴얼 되었더군요..  어제도 들어가보았었는데  공지게시판이 없었는데  생기면서   교육공지가 떴더군요.. 관심있으신 분들은 참여하시면 도움이 될듯합니다.

                           KISA 홈페이지: http://www.kisa.or.kr/

가. 교육 개요

• 교육명 : 안전한 웹서비스 운영 교육


• 대상 : 웹호스팅, 웹에이전시 등 소규모 IT서비스 기업 정보보호 실무자와 관심있는 일반인


• 일시 : 2009년 8월 12일(수), 09:30 ~ 17:30


• 장소 : 한국소프트웨어진흥원(8호선 가락시장역) 5층 강당
  건물내 주차가 불가하오니 가급적 대중교통을 이용하시기 바랍니다.
  부득이 할 경우, 건물 뒤 공용주차장 등을 이용해 주시기 바랍니다.


• 인원 : 100명


• 비용 : 무료(교재 제공)

나. 교육 신청

• 기간 : 2009년 8월 4일(화) ~ 2009년 8월 10일(월)

다. 교육 프로그램

   보호나라에 들어가 보았더니   보안교육에 유용한 전자책이 있더군요…  행정안전부에서 제작해서  게시해두었더군요..   

전자책 보기  http://www.boho.or.kr/etc/library/ebook001/viewer.html

쉽게 만들어져 있으며  만화까지 곁들여져 있어서 보안 교육자료로 쓰시기에 매우 유용할 듯합니다.
페이지 상단의  프린트 버튼을 누르시면  해당 페이지를 출력할수 있게 만들어져 있더군요..
부분적으로 사내에 게시판에  교육용으로 부착해두셔도 매우 좋을 것 같습니다.

Adobe Flash Player / Adobe Air에서 권한상승, 버퍼오버플로, 클릭재킹 등의 다수 취약점이 발견되어 보안 업데이트가 발표되었습니다.   이 취약점을 이용하여 공격자는 조작된 SWF 파일이 포함된 웹 페이지를 방문하는 피해자의 PC에서 악성 스크립트를 실행시키거나 악성코드 감염 등과 같은 악성행위를 할 수 있다고 합니다.

(참고자료) 보안뉴스: http://www.boannews.com/media/view.asp?idx=17346&skind=D

  ▶ Adobe Flash Player/Adobe Air 취약점 내역
    – 원격코드 실행으로 연계 가능한 메모리 손상 취약점[2] (CVE-2009-1862)
    – 취약한 ATL 헤더에 의해 발생하는 Adobe Flash Player의 원격코드실행 취약점[3,4,5]
       (CVE-2009-0901, CVE-2009-2395, CVE-2009-2493)      
    – 원격코드실행으로 연계 가능한 권한 상승 취약점[7] (CVE-2009-1863)
    – 원격코드실행으로 연계 가능한 힙오버플로 취약점[8] (CVE-2009-1864)
    – 원격코드실행으로 연계 가능한 널 포인터 취약점[9] (CVE-2009-1865)
    – 원격코드실행으로 연계 가능한 스택오버플로 취약점[10] (CVE-2009-1866)
    – 링크와 다이얼로그를 사용자가 모르게 클릭하도록 유도하는 클릭재킹 취약점[11] (CVE-2009-1867)
    – URL을 처리하는 과정에서 원격코드실행이 가능한 힙오버플로 취약점[12] (CVE-2009-1868)
    – 원격코드실행으로 연계 가능한 정수오버플로 취약점[13] (CVE-2009-1869)
    – Flash 파일(확장자:SWF)이 하드디스크에 저장될 때 정보가 노출되는 취약점[14] (CVE-2009-1870)

  ▶ 어떻게 adobe 보안업데이트를 설치할 것인가?
Adobe Flash Player 10.0.22.87 이하 버전의 사용자는 10.0.32.18 버전으로 업그레이드 해야합니다.  Adobe에 따르면  IE플러그인만 취약하므로  타 브라우저에서 이용하는 Flash Player 는 영향받지않는다고 합니다.  

  또 Adobe는   플래시 플레이어와 쇼크웨이브 플레이어의 전반적인 컨트롤과 관련해 심층방어의 수단으로써 IE의 공격 벡터를 완화해주는 마이크로소프트의 MS09-034 설치를 이용자들에게 권장했습니다. MS09-034는 7월말에 발표된 MS 비정규 패치에 포함되어 있습니다.
패치관련 정보 보기:   http://www.w-security.net/entry/patch-200707-urgent

  1) 현재 내가 사용하는 Flash Player의 버전을 확인하려면
       http://www.adobe.com/software/flash/about
       위 URL에 접속하시면 내 pc에서 사용하는 flash player의 현재 버전을 확인할 수 있습니다.
       바로 아래에는 업데이트되어야 하는 최근 버전을 표시해줍니다.
  2) Flash Player를 업데이트 하려면
       http://www.adobe.com/go/getflash   
       중간에 보이는 google toolbar 설치옵션을 해지하시구요..
       [동의 및 지금 설치하기]버튼을 클릭하시면 되겠습니다. 설치가 끝났으면 정상적으로  최신 버전의 Flash player가 잘 설치되었나 확인해보시면 되겠습니다.
       http://www.adobe.com/software/flash/about