우키의 보안이야기

MS Technet 링크입니다. 한글이므로 참고가 되겠죠?


1. Forefront TMG Server 2010 계획 및 설계 방법
http://technet.microsoft.com/ko-kr/library/cc441674.aspx

2. Forefront TMG Server 2010 배포
http://technet.microsoft.com/ko-kr/library/cc441445.aspx

  기존에 ISA Server를 이용해서 vpn을 사용하고 있는데요..   외부에 있는 pc나 노트북의 연결을 위해선 L2TP와 PPTP밖에 지원하지 않기때문에  실제로 연결되지않는 곳이 많아서 어려움이 있었습니다. ISA 서버의 업그레이드 버전인  TMG서버에선 SSTP VPN연결을 지원한다고 합니다. 인터넷을 뒤지다보니 관련 문서가 있어서 소개합니다.
  아래 문서에선 TMG beta3를 기준으로  설명이 되어있습니다.  http://www.isaserver.org 에 있던 영문문서입니다. 한글이면 좋겠지만요..  제가 직접 해보면 다시 이 글을 업데이트 하도록 하겠습니다.

<< part 1 >>
<< part 2 >>
<< part 3 >>

1. 패킷필터링 방식 방화벽 (1세대 )
   1) 특징:
         – 동작 계층: OSI 3,4 layer  ,   패킷 해더 검사 방식
   2) 장점:
         – 속도가 빠르고 성능이 우수하다.
         – 투명성을 제공하며 기존의 응용서비스, 새로운 서비스에 쉽게 연동가능
   3) 단점
         – Spoofing 공격에 취약하다. (IP주소변조 가능)
   4) 사례: 전통적인 방화벽

2. Application-Level Porxy 방식 방화벽 (2세대)
   1) 특징
      – 동작계층: OSI 5~7 layer , Payload Content (내용정보) 를 체크한다.
    2) 장점:
       – NAT제공 : 내부의 IP주소를 숨길 수 있다.
       – 강력한 로깅및 감사기능 제공 가능
    3) 단점:
       - 속도가 느리고 성능이 낮다.
    4) 사례: ISA Server, TMG Server -> 성능문제: 대형네트웍에서의 사용은 피할 것

3. Circuit-Level Porxy 방식 방화벽  (3세대)
   1) 특징
      – 동작계층: Session Laver ,  TCP/IP Header 체크
    2) 장점:
       – NAT제공 : 내부의 IP주소를 숨길 수 있다.
       – Application level에 비해 속도가 빠르다.
       – 수정된 클라이언트 프로그램이 설치된 사용자에게 투명한 서비스를 제공할 수 있다.
    3) 단점:
       - 방화벽 접속위해선 Circuit Gateway를 인식할 수 있는 수정된 클라이언트 프로그램이 필요

4. Hybrid 방식 방화벽 
    1) 특징
       - 패킷필터링방식과 application filtering방식을 혼합
    2) 장점:
       – 속도가 빠르고 보안정책 변경이 빠르다.
    3) 단점:
       - 관리가 복잡하고  보안에 비례해서 복잡성이 증가한다

  행안부에서 주민등록법,시행규칙 개정안을 입법예고했습니다.  아래 글은 행안부 홈페이지에서 공지된 내역을  그대로 기록한 것입니다.   << 행안부 공지문 보기>> 


  행정안전부는 국민생활의 편의를 도모하고 개인정보보호를 강화하기 위해 주민등록법 및 동법 시행규칙 개정안을 마련하고 3월 26일부터 입법예고한다고 밝혔다.

주민등록법 개정안의 주요내용

< 해외이주자 주민등록 말소제도 개선 >

  해외이주자와 외국 영주권자는 주민등록이 말소되고 주민등록번호를 사용할 수 없어 국민의 자격을 상실하였다는 불쾌감과 국내 활동시 많은 생활불편을 겪어 왔다. 이에 따라 해외이주자의 주민등록사항을 최종 주민등록지 읍·면·동 사무소 등에 별도 등록 관리하여 재외동포의 실질적 권익증진을 도모할 계획이다.

< 주민등록증 수록사항 정비 >

  최근 서명 사용이 보편화됨에 따라 서명을 본인 확인의 보조수단으로 활용할 수 있도록 주민등록증에 서명을 추가하고, 주민등록증에 발행번호와 유효기간을 추가하여 주민등록번호의 오·남용과 주민등록증의 위·변조를 사전에 예방할 수 있도록 하였다.

< 다른 사람의 주민등록표 등·초본 교부신청 범위 정비 >

  그동안 세대주의 가족만 위임장 없이 세대주와 세대원의 주민등록표 등·초본 교부신청이 가능하였으나, 세대를 달리하는 세대원의 가족도 위임장 없이 해당 세대원의 주민등록표 초본에 한정하여 교부신청할 수 있도록 하여 세대원 가족의 편의를 도모했다.  또한, 소송 수행상 필요에 의해 다른 사람의 주민등록표를 교부신청할 경우 초본에 한정하여 교부하고 별도 증명할 경우에만 등본을 교부하도록 하여 주민등록표상 다른 세대원의 개인정보보호를 강화할 계획이다.

주민등록법 시행규칙 개정안의 주요내용

< 결혼이주자를 배우자의 주민등록표 등본에 기재 >

  결혼이주 여성은 국적을 취득할 때까지 한국인 배우자의 주민등록표 등본에 기재되지 않아 자녀들이 편부모 가정으로 오해를 받는 등 다문화가정의 생활불편이 있었다. 이에 따라 주민등록하지 못한 결혼이주 여성은 신청에 의해 배우자의 주민등록표 등본에 기재할 수 있도록 하여 다문화가정의 사회적응을 지원하고, 더불어 사는 사회분위기를 조성할 계획이다.

< 주민등록표 등·초본 교부신청 방법 개선 >

  그동안은 본인이나 세대원이 주민등록표 등·초본을 교부신청하는 경우에도 개인정보보호와 신청 근거자료로 반드시 신청서를 작성하도록 하였지만,  앞으로는 교부신청서를 작성하지 않는 경우에는 새로 도입하는「전자이미지서명입력기(일명 전자패드)」에 서명하여 주민등록표 등·초본을 신청하도록 절차를 간소화할 예정이다.  이외에도 주민등록표 등본에 신청자외 다른 세대원의 성명 일부를 표시하지 않을 수 있도록 하여 다른 세대원의 개인정보가 과다 노출되지 않도록 하는 등 현행 제도의 미비점을 일부 개선하였다.

  행정안전부는 이번 입법예고로 각계각층의 다양한 의견을 수렴하여 이를 개정안에 적극 반영한다는 계획이며, 앞으로도 국민의 소리에 귀를 기울여 주민등록 관련 민원처리에 불편이 없도록 하는 등 국민생활 편의위주의 제도개선을 위해 최선을 다할 방침이다.
 

5037444933.hwp

   한국인터넷진흥원(KISA)에서는 대한민국내에서의 정보통신보안에 관해서 대부분 관여하고있지요..
KISA에서 진행하는 사업과 연관된 법령현황을 모아둔 페이지를 소개합니다. 
정보자산을 보호하는 것도 중요하지만  그것이 법령에 의거한 것이 아니라면  노력을 해놓고도
법적으로 인정이 되지않아 보호받지못하는 결과를 낳을 수있습니다.  실제로 이런경우가 많이 일어나고있습니다.
경영자들에게도 이런 법령에 의거해서 보호계획을 기안하여 보고해야 효과를 거둘 수 있습니다.
투자를 하고도 인정받지 못하면..정보보호 담당자로서 어려움을 겪게되죠..

  한국인터넷진흥원에서 소개하고 있는 관련법령 소개페이지를 보시고 꼭 참고하시기 바랍니다.

http://www.kisa.or.kr/jsp/public/laws/laws1.jsp

법제분석팀 이정현 ☎ 02-405-6551 hyunlee@kisa.or.kr

원문참조: 행안부 정책뉴스  << 행안부, 민간업체 개인정보관리 특별점검 실시 >>

행정안전부는 최근 개인정보 대량 유출사고와 관련하여, 3월 25일부터 한 달간 대규모 개인정보관리업체 및 민원제기업체 등 100개 업체에 대하여 개인정보 관리실태 특별 현장점검을 실시한다고 밝혔습니다.  이번 특별 실태점검은 행정안전부, 한국인터넷진흥원(KISA) 및 지자체 개인정보보호 업무 담당자 등을 투입하여 개인정보 관리실태 점검반을 구성하고 대대적으로 실시할 예정이라고 합니다.

  100개 업체에 대한 현장점검뿐 아니라 10,000여개 사업자에 대한 서면 점검을  실시할 계획인데  서면 점검 결과에 따라 개인정보보호 취약업체에 대하여는 추후 현장점검을 실시한다고 합니다. 한편, 행정안전부는 개인정보보호 교육을 통해 개인정보 중요성을 인식하고 고객의 개인정보를 안전하게 관리할 수 있도록 민간업체 개인정보 업무담당자를 대상으로 수도권 및 충청권 등에서 특별 순회교육을 실시(4.14 ~ 4.16)할 예정이라고 합니다. 또한 지난 ‘08.11월 국회에 제출된 ’개인정보보호법‘ 제정을 적극 추진하여 법 적용 사각지대를 해소하고 사회 전반의 개인정보보호 수준을 한층 강화해 나갈 예정입니다.

▶ 주요 점검 내용
1. 최근 개인정보 대량유출 사고원인으로 지목되는 개인정보의 암호화 여부
2. 백신 프로그램 설치 여부
3. 개인정보 수집시 동의획득 여부
4. 개인정보 취급방침의 공개 여부
 
▶ 주요 일정
1. 현장점검:  2010.3.25부터 한달간
2. 서면점검:  2010.3.25~6.24
3. 특별 순회교육 실시: 2010.4.14~16

▶ 행안부 관계자의 제안
업체: 개인정보의 암호화 여부, DB에 대한 접근 권한 등 보안 조치를 전면 재점검하여 미비점을 보완할 것
국민: 소중한 개인정보가 오남용 되지 않도록 인터넷 이용시 과다한 정보제공을 삼가할 것

행안부 담당 : 개인정보보호과 정민선 / 02-2100-1733

아래 글은 보안뉴스에 개제된 것을  소개한 것입니다.
원문참조: http://www.boannews.com/media/view.asp?idx=20077&kind=0

  글로벌 보안업체 카스퍼스키 보안 뉴스 블로그(http://threatpost.com/)에 따르면, 24일(현지시간)부터 캐나다 밴쿠버에서 개최하는 ‘CanSecWest’ 보안컨퍼런스 행사 중 하나의 이벤트로 열린 스마트폰 해킹 대회 Pwn2Own’콘테스트에서 애플의 스마트폰 아이폰이 해킹된 것으로 알려졌다.

   유럽의 두 연구원이 아이폰(iPhone) SMS 문자 데이터 정보를 빼내는데 성공한 것. 게다가 이들은 아이폰의 지워진 메시지까지도 절취한 것으로 알려졌다. 룩셈브루크 대학의 와인만(Ralf Philipp Weinman)과 자이나믹스(Zynamics)의 연구원인 이오조(Vincenzo Iozzo)는 서로 협조해 취약점을 찾아내고 익스플로잇(exploit)을 만들었다. 취약점을 연구하는데 2주정도의 시간이 걸린 것으로 전해지고 있다.

  이 두 연구원은 이 익스플로잇을 이용해 특정사이트를 만들고 아이폰으로 이 사이트에 접속하면 SMS가 유출되도록 해, 20초 만에 SMS 정보를 유출했다. 물론 이 과정에서 브라우저의 세션 충돌 문제가 발생하기도 했지만, 몇 가지 기술을 이용해 공격을 성공적으로 마쳤다. 이 같은 방식을 이용하면, 아이폰의 샌드박스를 공격해 조작된 사이트에 접속하기만 해도 SMS 데이터를 유출 할 수 있다.  와인만은 SMS 정보를 빼낸 것뿐만 아니라 전화 연결 목록, 사진, 음악 파일 등을 유출하는데 성공해, 결국 우승을 차지했다. 이들은 아이폰 샌드박스(Sandbox)에서 루트가 아닌 모바일 유저라고 불리는 권한에서 이 익스플로잇을 이용하여 모든 권한을 얻을 수 있었다. 웨인만은 취약점에 대한 공개적인 이야기는 거부했으며 단지, 취약점을 가지는 부분을 찾는 기술을 개발하고 있다고 전했다.

  한편, 올해 4회를 맞는 Pwn2Own 2010은 CanSecWest 보안 컨퍼런스의 행사 중 하나로 대회 시작 전부터 주목을 끌었다. 24일(현지시간) 시작된 이 대회는 10만 달러의 상금을 걸고 웹 브라우저와 스마트폰의 보안 결함을 찾는 것으로 진행됐다.  아이폰 해킹으로 와인만과 아이조는 15,000달러의 상금을 손에 쥐게 됐다. 티핑 포인트 ZDI는 이 대회를 통해 이번 취약점에 대한 소유권을 독점했으며, 이 취약점을 애플에  보고하고 내용에 대해서는 애플이 패치를 출시하기 전까지 공개하지는 않겠다고 밝혔다

한국생산성 본부에서  Security Day 세미나및  CISSP설명회를 한다고 합니다.

주제: 2009년 정보보안위혐결산및 2010년 정보보안 Forecasting
주최: 한국생산성 본부
일시: 2010. 2.27 (토)  14:00-15:00
장소: 한국생산성본부 4층 404호 강의실

CPE도 제공된다고 하니.. 관심있으신 분은 참여하시면 될 것 같습니다.
한시간이라 좀 작죠?
이메일로만 해당내역이 공지가 되어서  웹링크를 하지는 못하고 스크린샷으로 대신합니다.
아래 내역을 확인하시고 이메일로  신청하시면 된다고 합니다.

담당자 메일주소: jehpark@kpc.or.kr

▶ 외부의 공공장소에서 급하게 메일을 확인해야 한다면….
  이따금 외부의 공공장소에서   급하게 회사메일이나 개인메일을 열어보아야할 때가 있습니다. 공공장소에 설치된 PC에서  패스워드를 입력한다는 것은 매우 위험천만한 일인듯 싶습니다.   뭐가 깔려있을지 모르거든요.. 키보드 입력값을 후킹하는 키로거들이 숨어 있을수 있습니다. 요즘은 더욱 지능화되어서  발견이 더욱 힘들어 지고 있는 상황이죠..

  얼마전에 중소기업청에서 주관하는 교육때문에 외부에 나간 적이 있는데  회사메일을 확인해야 하는데.. 정말이지 불안하더군요.. 확인은 해야하는데 제 노트북은 가지고 오지도 않아서  교육장에 있는 PC를 사용해야만 했습니다. 어떻게 해야 안전해질 까 고민하다가 문득 생각난 것이 화상키보드 프로그램이었습니다.  안심하고 회사메일을 열어 볼 방법을 찾았다고 생각했는데  화상키보드 프로그램도   역시나 가상키보드 프로그램이었기 때문에  동일한 키보드가 눌리는 이벤트를 발생시키는 바,   키로거를 피할수없더군여..  초코님이 알려주셨답니다. ㅠㅠ  이 자리를 빌어서 감사..    그렇다고 실망할 제가 아니기에 키로거를 따돌릴 방법을 찾기 시작했습니다. 

▶ 키로거를 무력화 시키려면…
   키로거를 무력화 시키려면…  어떻게 해야 할지 조건을 생각해보았습니다.
    1) 키보드를 누르는 이벤트를  발생시키지 않아야 한다.
    2) 암호문자를 생성할때 암호화된 상태로 생성해야 한다.
    3) 입력받은 암호화문자열을 브라우저의 입력창까지 안전한 방법으로 이동시켜야 한다.
 
  이것을 만족시키는 프로그램을 드디어 찾았답니다. ㅋㅋ    다른 가상키보드 프로그램들은 보기도 좋고 사용하기도 쉬운 것에 비해서  Neo’s Safekeys 는 모양도 별로고 입력방법도 불편하기만 합니다. 그래도 비교적 안전한 듯합니다. 

▶ SafeKeys 의 장점
  1) 무료입니다.
  2) 달랑 실행파일 하나입니다.   (포터블로 사용이 가능하다는 이야기입니다)
      USB메모리등에 담고 다니면 되겠죠?
  3) 암호키를 생성할때부터  패스워드창에 입력할때가지 안전하게 지켜줍니다.
     (키로거가 끼어들 틈이 없음)
  3) Safekeys를 띄울때마다 입력기창의 위치및  크기가  바뀝니다.
     (커졌다, 작아졌다, 늘어났다, 줄어들었다..  왼쪽에 떴다  오른쪽에 떴다)
    처음에 프로그램 에러인줄 알았다는…  ^^   마우스 위치추적까지 피하기위한 배려랍니다.
     근데 입력기창이 너무 모양이 안예쁘다는 단점이 있습니다.

▶ SafeKeys 의 사용법
  1) 접속하기 원하는 웹사이트의 로그인 화면으로 이동한다.
  2) safekeys 실행파일을 실행시킨다.
  3) 상단의 키보드아이콘을 이용해서 원하는 암호를 입력한다.
  4) 아래쪽 창에 ***** 로 보이는 암호값이 생성된다.
  5) 마우스로 이 암호값을 선택해준다.
  6) 아래쪽 창에 선택된 암호문자열을 마우스를 이용하여 패스워드입력창으로 드래그 앤 드롭한다.
  7) 암호값이 ******로   패스워드 입력창에  정상적으로 옮겨진 것을 볼수있다.
  이제 로그인 버튼만 클릭하면  끝…  ^^


제작자 홈페이지: http://www.aplin.com.au/neos-safekeys-2008/neos-safekeys-2008-download
다운로드 페이지: << 다운로드 (portable version) (install version) >>
  
 

이 기사는  보안뉴스에 게재된 것을 가져온 것임을 밝혀드립니다.
원문참조: http://www.boannews.com/media/view.asp?idx=19898&kind=0 

     국내 인터넷전화(VoIP)의 심각한 보안 취약점이 계속 방치돼 있는 상태…
     이 때문에  쉽게 인터넷전화가 도용되거나  인터넷전화 불능 대란이 발생할 가능성도 있음

   국내 주요 인터넷전화의 경우, 이메일 하나만 보내 사용자가 단지 읽기만 해도 인터넷 전화의 관리자 계정을 탈취할 수 있는 것으로 파악됐다. 이를 이용하면, 관리자 계정 비밀번호를 변경하지 않은 특정 통신사의 인터넷 전화를 모두 패스워드를 바꿔 마비시킬 수 있을 뿐 아니라, 사용자 몰래 인터넷 전화를 도용하는 것도 쉽게 가능한 것으로 나타났다. 이는 국내 주요 통신사의 인터넷전화의 특정포트가 외부에서 접속할 수 있도록 열려있어, 기본으로 설정된 ID와 패스워드 만 알면 관리자 계정에 쉽게 접근할 수 있었기 때문. 그러나 국내 인터넷 전화들의 기본 ID와 패스워드는 간단한 인터넷 검색으로도 쉽게 알아낼 수 있는 상황. 게다가 관리자 계정에는 인터넷 전화를 이용하는데 필요한 SIP 계정과 패스워드를 쉽게 추출할 수 있게 돼 있어, 인터넷 전화를 이용하는 IP주소만 알고 있다면 그 인터넷 전화를 쉽게 도용할 수 있다.
 
   보안업계의 전문가들은 특정 사용자의 IP를 알아내는 것은 간단한 메일 한통으로도 충분하다고 이야기한다. 메일에 그림파일이 첨부돼 있으면 사용자가 메일확인시 그림을 보는 동시에 그림이 저장돼 있는 서버에 IP주소가 남게 되기 때문. 따라서 전문가들은, 현재 상황으로는 누군가의 인터넷전화를 도용하거나 쓸 수 없도록 하는 것은 매우 쉽다고 이야기한다.

  현재 이런 취약점으로 이용될 수 있는 인터넷 전화는 국내에만 해도 엄청난 수가 될 것으로 파악되고 있다. 보안뉴스에서 포트 스캔을 의뢰해 확인한 계정 접근이 가능한 인터넷전화 IP만해도 수백 건이 넘기 때문. 해당 통신사 측은 이런 취약점이 문제가 되긴 하지만 아직까지 발생한 사건이 없어 크게 걱정할 필요 없다는 입장이다. 그러나 전문가들은 이 취약점을 이용해 인터넷전화를 해킹하는 방법은 이미 인터넷 상에서도 쉽게 찾을 수 있어 범죄로 악용될 수 있다고 우려를 나타나고 있다. 보안 전문가들은 이런 보안 취약점은 인터넷전화 업체들이 보안 관리에 소홀히 하고 사용자 보안에 대한 관심이 부족해서 나타나는 문제라고 설명한다.

  한 전문가는 “일단 외부에서 접속할 수 있도록 포트가 열려있는 것만 해도 보안관리가 제대로 되고 있지 않다는 것을 보여주지만, 더 큰 문제는 통신사들이 인터넷전화를 가입자만 늘리려고 하지 이런 보안 문제에 대해 제대로 설명하지 않고 있다는 것”이라며 “사용자들이 인터넷전화를 이용할 경우 계정 비밀번호를 필수적으로 바로 바꾸도록 해야 하지만 사용자 스스로 바꾸라고 권유할 뿐 적절한 조치를 취하지 않는다”라고 지적했다.

  대다수의 일반 사용자들은 스스로 설정할 수 있을 만큼 IT에 대한 지식이 풍부하지 않기 때문에 대다수 사용자들은 기본 설정된 비밀번호를 계속 이용하고 있다. 따라서 통신사들이 적극적으로 사용자 비밀번호를 바꾸도록 해야하는 상황. 그러나 인터넷전화 가입자에만 열을 올리고 있는 통신사들은 오히려 이런 문제를 쉬쉬하고 있는 것으로 전해졌다. 업계의 한 관계자는 “일단 사용자들은 뭔가 복잡하게 설정해야한다고 하면 차라리 인터넷전화를 이용하지 않는 게 좋다는 생각을 가지고 있어 적극적으로 패스워드 교체를 권유할 수 없는 상황”이라고 말한다.  보안업계의 전문가는 “이런 문제 이미 여러 차례 이슈가 된 적 있지만 계속 방치되면 피해자가 속출하고 심하면 지난 7.7 DDoS 대란 때보다 더욱 심각한 인터넷전화 대란이 나타날 수 있다”면서 “업계와 정부는 서둘러 관련 문제 해결을 위한 방안을 마련해야 할 것”이라고 주장했다.