CONTENTS 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

Size: px
Start display at page:

Download "CONTENTS 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드"

Transcription

1 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

2 CONTENTS 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

3 1 소개 6 제 1 절개요 6 제 2 절구성및활용방안 10 2 기술및서비스이해 13 제1절기본개념 14 제 2 절주요서비스 18 제 3 절전자정부활용사례 26 제4절주요기술 33 3 보안위협및침해사고동향 43 제 1 절웹보안현황및침해사고동향 44 제 2 절웹보안침해사고사례 47 4 보안취약점및대응대책 53 제 1 절 Web 1.0 보안취약점및대책 54 제 2 절 Web 2.0 보안취약점및대책 71 제 3 절개인정보보호관련쟁점및대책 98 참고문헌 109 용어설명 110 부록 Web 2.0 관련보안가이드및지침 115

4 CONTENTS [ 표목차 ] 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드 ( 표 1-1) Web 2.0 보안실무안내서구성 10 ( 표 1-2) Web 2.0 보안실무안내서활용방안 10 ( 표 1-3) 법률및규정간연관성 11 ( 표 2-1) Web 의발전과정 16 ( 표 2-2) Web 2.0과정부업무범위간의연관관계 26 ( 표 2-3) 전통적인방식과 AJAX 방식의비교 33 ( 표 2-4) HTML과 XML의비교 35 ( 표 2-5) RSS 사용의장점 36 ( 표 4-1) OWASP 보안취약점 (2007) 67 ( 표 4-2) OWASP 보안취약점 (2010) 68 ( 표 4-3) 국가정보원의보안취약점 69 ( 표 4-4) KISA 의보안취약점 70 [ 그림목차 ] ( 그림 2-1) 네이버블로그서비스예 19 ( 그림 2-2) 유튜브 : UCC 포털사례 21

5 ( 그림 2-3) 위키피디아 에서의정보제공예 ( 한국어판 ) 23 ( 그림 2-4) SNS 포털사례 : 싸이월드 25 ( 그림 2-5) SNS 포털사례 : 페이스북 25 ( 그림 2-6) 전자정부활용사례 : Peer-to-Patent 27 ( 그림 2-7) 전자정부활용사례 : E-Petitions 30 ( 그림 2-8) 전자정부활용사례 : PatientOpinion 31 ( 그림 2-9) 전자정부활용사례 : FixMyStreet.com 32 ( 그림 2-10) AJAX 를도입한네이버의검색창 34 ( 그림 2-11) RSS 를통한정보유통구조 36 ( 그림 2-12) RSS 리더예 37 ( 그림 2-13) 매시업의다양한서비스결합방법 38 ( 그림 2-14) 매시업으로구현된다음의지도서비스 39 ( 그림 2-15) 대표 SNS 사이트의하나인플릭커 40 ( 그림 2-16) 구글지도 API 예 41 ( 그림 4-1) RSS 피드인젝션공격 75 ( 그림 4-2) OTP 적용 83 ( 그림 4-3) 웹페이지변조탐지시스템 86 ( 그림 4-4) UCC 를이용한공격개요 95

6 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

7 소개 제 1 장 제 1 절개요 제 2 절구성및활용방안

8 제 1 장 소개 제 1 절 개요 1. 배경 현황 최근 Web 2.0 기반인터넷서비스가주목을받으면서, 이를도입한국가 공공분야신규서비스가증가하고있으나정보보호에대한고려는상대적으로미흡함 이에신뢰성이검증되지않은기술의도입및보안성을보증할수없는환경에서의중요정보공유등에따른정보유출및사이버침해사고발생의위협이급격히증가하는추세에있음 대다수의침해사고는알려진취약점에대한간단한사전조치만으로도예방이가능하다는것을인식한다면선제적인보호조치강화가무엇보다중요함 문제점 Web 2.0 도입시선제적인보안조치강화는서비스활성화의전제조건임에도불구하고인식부족등으로체계적인관리및대응체계미흡 특히, Web 2.0 환경에대한인식부족및관련보안지침의부재로선제적인보안대책수립 반영이미흡한경우가일반적임 해결방안 담당실무자를위한보안취약점및대응책을제시함으로써정보화사업추진과정에서의체계적인보안활동지원등일관성강화 기존의산재된관련보안지침을정리하여의무사항및핵심사항중심으로간결하게제공함으로이해도및활용도를제고 요컨대, Web 2.0 관련보안취약점및대응지침보급을통한사전보호조치강화로안전성및신뢰성향상제고등이용활성화에기여 8 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

9 제 1 장. 소개 제 1 장 2. 목적과범위 목적 최근 Web 2.0 기반인터넷서비스가주목을받으면서, 이를도입한국가 공공분야신규서비스가증가하고있으나정보보호에대한고려는상대적으로미흡함 대상 행정기관의정보화사업담당실무자 범위 행정기관에서자체발주하는 Web 2.0 기반정보화사업 내용 Web 2.0 기술개요및서비스환경에대한이해, 정보보호의중요성인식을위한소개자료제공 정보화사업담당자관점에서의 Web 2.0 보안성강화를위한정보보호및개인정보보호관련고려사항과대응지침제공 효과 보안인식제고및선제적인보호조치강화를통한 Web 2.0 기반정보화사업의신뢰성및안전성제고 Web 2.0 기반정보시스템및서비스이용확산을통한대국민행정서비스효율제고및국민편익향상 9

10 제 2 절 구성및활용방안 1. 구성 ( 표 1-1) Web 2.0 보안실무안내서구성 구분내용 2 장 관련기술및서비스동향소개 3 장 관련보안위협및침해사고동향소개 4 장 관련보안취약점및이에대응한보안지침제공 부록 관련보안가이드및지침목록 2. 활용방안 ( 표 1-2) Web 2.0 보안실무안내서활용방안 구분활용방안 담당자 발주기관의사업담당자로서정보화사업관련정보보호기획 관리 검수업무에참조 사업자 정보시스템구축과정에서의필수정보보호요구사항파악및보안취약점에대한대응조치등보안통제구현에참조 기 타 민간등에서 Web 2.0 관련최소한의정보보호요구사항파악및개발 구축과정에서활용할수있는참고자료로활용 10 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

11 제 1 장. 소개 제 1 장 3. 관련법령 규정간연관성 Web 2.0 기반정보화사업추진시관련법률및규정에명시된정보보호의무조항은사업수행과정에반드시반영되어야함 ( 표 1-3) 은대표적인정보보호관련법령및규정을나타낸것으로, 담당자는해당사항을반드시확인및반영하여야함 ( 표 1-3) 법률및규정간연관성 법령 구분 전자정부법 ( 행정안전부 ) 주요내용및연관성 행정기관의전자정부서비스제공과관련하여정보통신망및전자적대민서비스보안대책수립 시행 행정전자서명인증및전자문서의전자서명적용 민원인의신원확인에관한사항등 법령 공공기관의개인정보보호에관한법률 ( 행정안전부 ) 공공기관의개인정보처리시스템, CCTV 등과관련하여개인정보보호에관한사항 법령 전자서명법 ( 행정안전부 ) 전자문서의안전성, 신뢰성확보를위한전자서명및관련인프라 ( 공인인증기관등 ) 에관한사항 법령 정보통신망이용촉진및정보보호등에관한법률 ( 방송통신위원회 ) 정보통신서비스이용자의개인정보보호와정보통신망안전성확보에관한사항 훈령 행정기관정보시스템접근권한관리규정 ( 국무총리훈령제526 호 ) 행정기관정보이용자의본인확인을위한행정전자서명인증서적용및접근권한관리절차등 훈령 정보통신보안업무규정 ( 행정안전부훈령 115 호 ) 행정기관정보이용자의본인확인을위한행정전자서명인증서적용및접근권한관리절차등 고시 국가정보보안기본지침 ( 국가정보원 ) 중앙행정기관, 지자체, 공공기관등에서수행해야할기본보안활동을규정 정보보안담당관지정, 정보및정보통신망보안활동, 국가용보안시스템운용관리, 보안적합성검증절차등 관련법률및규정의세부내용은법제처국가법령정보센터홈페이지 ( 를통해확인할수있음 11

12 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

13 기술및서비스이해 제 2 장 제1절기본개념제2절주요서비스제3절전자정부활용사례제4절주요기술

14 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 2 장 기술및서비스이해 제 1 절 기본개념 Web 2.0의근간에는각종 IT 기술들이내재되어있지만, 기술적인관점보다는사상의측면및활용의측면에서이해하는것이무엇보다중요함 본절에서는 Web 2.0의기본특성을중심으로개념을소개하고자함 기본개념 개방 공유 참여의장으로서의 Web 2.0 Web 2.0은 개방 공유 참여 로불리는시대정신이만들어낸서비스이자그근간이되는기술을의미함 또한, 하나의플랫폼으로인터넷이사용가능한어느곳에서도데이터를생성, 공유, 저장, 출판및비즈니스가가능한환경을의미함 Web 2.0을간단하게정의하자면, 데이터의소유자나독점자없이누구나손쉽게데이터를생산하고인터넷에서공유할수있도록한사용자중심의인터넷환경이라고할수있음 즉, 인터넷상에서정보를모아보여주기만하는기존의 Web 1.0에비해사용자가직접데이터를다룰수있는플랫폼을제공하기때문에사용자들이정보를좀더쉽게공유하고서비스받을수있도록구성됨 대표적인예로써블로그, 위키피디아등이있음 등장배경 사회 문화적인요인 개인의개성이중요시되고, 사회참여가증가함에따라자신을적극적으로노출시키는것을꺼리지않는문화가젊은계층을중심으로확산됨 14 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

15 제 2 장. 기술및서비스이해 즉, 1인미디어로불리는블로그를비롯하여미니홈피등이개인의생각을표현 공유하는창구역할을수행 시장적인요인 공급자중심의정보콘텐츠제공방식이개인의세분화된욕구를충족시키기에양적으로나질적으로한계를보임 즉, 이러한한계에대응한 1인미디어가새로운틈새공급자로등장함 제 2 장 기술적인요인 휴대폰, 디지털카메라, 캠코더등미디어기기의대중화및광대역통신망 (Broadband Network) 등확장된네트워크가등장함으로써개인이쉽게정보를제작및유통할수있는환경의조성 대표사례 국내외대표사이트 Web 2.0의사상이나기술을구현한대표적인해외서비스업체로는구글, 플리커, 유튜브, 딕닷컴등이있음 국내에서는네이버지식iN, 올블로그, 위자드닷컴등이있음 모두가함께만드는백과사전, 위키피디아 위키피디아 (Wikipedia) 는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례임 2001년 5월에지미웨일즈 (Jimmy Wales) 가처음만들었으며, 위키미디어 라는비영리재단이운영을맡고있음 15

16 정부 공공서비스의변화 사용자관점의정부포털서비스제공 Web 2.0 기반참여및공유의활성화로국민중심의서비스로대전환에따른시민참여의확대가예상됨 공공기관간또는공공기관및민간기관간협업확대 공공기관및민간기관에서제공하는다양한서비스를융합한새로운서비스제공 즉, 부처간행정정보공유및국민참여촉진을비롯하여민 관간협업에의한공공정보의 가치창출형조합서비스 에대한수요가증가함 향후발전방향 Web 3.0의등장 센서와무선네트워크를통한서비스중심의유비쿼터스환경에기반 Web 의지능화를통한개인별맞춤정보서비스가가능한상황인식시대가도래함에따른과잉공급된정보를선별및가공하는서비스제공 ( 표 2-1) Web 의발전과정 1995 년 2005 년 2005 년 ~2010 년이후 2015 년 2020 년 구분 World Wide Web (Web 1.0) Web 2.0 Real-World Web ( 웹 3.0) 액세스참여상황인식 (Context) 특징 일방적정보제공으로이용자는정보소비자 ( 접속해서정보이용 ) 이용자는정보소비자 / 생산자 / 유통자 ( 이용자가정보등록 / 수정 ) 이용자가원하는정보검색제공기능 ( 개인별맞춤정보 / 서비스제공 ) 기반기술브라우저브로드밴드 시멘틱기술센서네트워크 16 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

17 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 제 2 장. 기술및서비스이해 시멘틱웹 Web 2.0 과함께혼용되어사용하는용어로 Web 의창시자인팀버너스리 (Timothy John Berners-Lee) 가 1998 년제안한것 컴퓨터가웹정보자원의의미를이해하고, 정보의검색, 추출, 해석, 가공등제반처리를사용자를대신하여지능형에이전트 (intelligent agent) 가수행하는컴퓨터중심의기술 제 2 장 17

18 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 2 절 주요서비스 Web 2.0 의철학을실현한다양한서비스가제공되고있으며, 본절에서는블로그, UCC 등으로대표되는서비스를중심으로관련사항을살펴봄 1. 블로그 블로그는웹 (Web) 과로그 (Log) 의합성어인웹로그 (Weblog) 를줄인말이며, 말그대로사이버공간에올려놓은개인의기록이란의미임 블로그에는개방, 공유, 참여의정신이들어있고, RSS 및트랙백, XML 등 Web 2.0 관련각종신기술이내포되어있음 즉, 오늘날의블로그확산은 Web 2.0 을탄생시킨일등공신으로볼수있음 서비스개요 1인미디어로서의블로그 블로그는개인이쉽게인터넷에올릴콘텐츠를만들수있도록도와주는도구로서누구나손쉽게자신만의블로그를만들어운영할수있음 블로그는흔히 1인미디어라고도하며, 이는개인이운영하는뉴스제작소라는의미임 참여의도구로서의블로그 참여의도구로서블로그를이용하는개인이늘어나면서, 이들을수용하는개방형서비스들이생겨나기시작함 이같은움직임의확산이결국, Web 2.0 이라는변화를이끌어냄 18 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

19 제 2 장. 기술및서비스이해 소통과대화의공간으로서의블로그 블로그는홈페이지나카페, 싸이월드미니홈피가제공하지못하는독특한기능을가지는데, 바로 RSS 와 트랙백 이그것임 RSS(Really Simple Syndication) 는텍스트나이미지등을주고받는매우쉽고간단한전송방법으로, 가정집에서신문을구독하는것과유사함 RSS가등장하기전에는필요한정보를수집하기위해사이트를집적방문하거나검색하여야했으나, RSS 관련프로그램을이용하여자동수집이가능해져사이트방문및검색없이필요한정보들을한자리에서볼수있음 예를들어, 누군가 A블로그의 RSS 구독신청을했다면, 신청이후부터는 A블로그를방문하지않고도새로올라온글을편리하게받아볼수있음 먼글, 엮인글, 먼댓글 등으로불리는트랙백 (Trackback) 은내가쓴글을다른사람이쓴글에손쉽게연결시켜주는기능임 제 2 장 대표사이트 네이버의블로그서비스 네이버외에도대부분의포털에서블로그서비스를제공하고있음 ( 그림 2-1) 네이버블로그서비스예 19

20 2. UCC UCC(User Created Contents) 는 사용자가생산한콘텐츠 라는의미이며, Web 2.0 에서는사용자들이자유롭게참여해스스로제작한콘텐츠를생산및재창조하고공유함 서비스개요 개요 UCC 는동영상, 블로그등을포함한큰개념이지만, 표현방식이글이나사진과비교해서더친근하다는이유등으로 UCC= 동영상 이라는이미지가굳어짐 사용자는인터넷이라는미디어를매개체로자신을표현하는개인이므로미디어콘텐츠제공자및법인등은 UCC의주제라고볼수없음 이미지합성이나패러디도제작으로봐야하는지등제작에대한용어정의에는다양한의견이존재하며, 일반적으로는개인의창의성이개입되었는지여부를기준으로 UCC를정의하기도함 포털사이트를중심으로각종콘텐츠제작도구가제공됨으로써사용자들은보다손쉽게 UCC를생산할수있는환경이조성됨 UCC 의특징 최근생산되는 UCC 는주로엔터테인먼트속성을기반으로함 흥미와관심이동인이되어자발적으로생산됨 대표사이트 해외의대표적인동영상 UCC 사이트로는유튜브, 소프박스가있음 국내업체로는판도라 TV, 엠군, 다음 TV 팟, 아프리카, 태그스토리등이있음 20 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

21 제 2 장. 기술및서비스이해 UCC 의장점 사용자들의참여를이끌어낼수있는환경의제공 UCC의활성화는이미지정보에서동영상정보로의진화를이끌어낼수있어사용자측면에서좀더편하게정보를획득및이해할수있음 활용서비스 제 2 장 유튜브 (You-Tube) 대표적인 UCC 공유사이트 ( 그림 2-2) 유튜브 : UCC 포털사례 21

22 3. 위키피디아 위키피디아 (Wikipedia) 는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례 서비스개요 모두가함께만드는백과사전, 위키피디아 위키피디아는 인터넷이용자들이스스로만들고채워가는백과사전 으로써집단지성의대표적인사례임 하와이말로 빨리 란뜻의 위키 (Wiki) 와 백과사전 (Encyclopedia) 이라는영어단어가합쳐서생성된말임 2001년 5월에지미웨일즈 (Jimmy Wales) 가처음만들었으며, 위키미디어 라는비영리재단이운영을맡고있음 운영방식 하나의주제를가지고다양한사람들이내용을작성및공유하는체계 서비스예 해외및국내에서도관련서비스제공 22 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

23 제 2 장. 기술및서비스이해 제 2 장 ( 그림 2-3) 위키피디아 에서의정보제공예 ( 한국어판 ) 4. SNS SNS(Social Network Service) 는취미나특정행위를공유하는사람들의온라인커뮤니티로정의됨 즉, 사이버공간에서인적네트워크를구성하게하는인터넷서비스로서국내에서는인맥구축서비스라는의미로사용됨 서비스개요 배경및동향 컴퓨터를매개로하는커뮤니티형식의소셜네트워크 (Social Network) 는새로운것이아님 연대 (trust-base) 와친분 (friendship-base) 이라는서로다른형식의소셜네트워킹이시도되고, 이것을서비스로잘묶어낸마이스페이스나페이스북등 SNS 사이트의등장으로주목받는서비스가됨 23

24 최근에는이미구축된인적네트워크를기반으로한새로운서비스가개발되기도하는데, 가상주식거래서비스, 구직서비스, 제품판매등이있음 특히, 최근에는이동통신서비스와의결합으로서비스의범위가넓혀지고있음 주요특징 사용자의프로필을스스로생성하고관계성을찾아친구맺기가이루어짐 프로필을열람하여연결할수있는권리를선택적으로관리하도록하기도함 A와 B가친구이며, B와 C가친구라면, A와 C는친구관계가되어인맥의범위가넓어짐으로써공통의관심사등으로그룹을만들수있음 승인절차가필요한경우도있음 장 단점 온라인을통해쉽게인맥을관리하고생성할수있다는점에서인맥을중시하는국내현실과맞아떨어짐 네트워크에포함된사람들의근황이나일상사를공유하여인간관계를풍성하게할수있음 반면, 개인사생활침해가발생할가능성이상존함 24 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

25 제 2 장. 기술및서비스이해 대표사례 싸이월드 국내의대표적인 SNS 사이트 제 2 장 ( 그림 2-4) SNS 포털사례 : 싸이월드 페이스북 국외의대표적인 SNS 사이트 ( 그림 2-5) SNS 포털사례 : 페이스북 25

26 제 3 절 전자정부활용사례 정부 공공기관의 Web 2.0 기술의도입이확대됨으로인해기관과국민또는각기관간의정보흐름이가속화되어보다효율적인의사소통이가능해짐 본절에서는국외의전자정부의사례를중심으로활용가능성을살펴봄 개요 Web 2.0 기반서비스와정부업무와의관계 EC(European Commission) 산하의 JRC(Joint Research Centre) 의연구결과, Web 2.0은다음과같은연관관계를보이고있음 ( 표 2-2) Web 2.0 과정부업무범위간의연관관계 Back office Front office 규제프로세스의개선기관간의협업지식관리 정치적참여와투명성서비스제공법의집행 향후전망 국민의자발적인참여및집단지성을통한의견개진을통해참여민주주의가활성화될것으로기대 정부부처간은물론, 공공및민간간협업을통한신규서비스가확산될것으로기대 26 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

27 제 2 장. 기술및서비스이해 규제프로세스의개선 배경 OECD 보고서 (2005) 에따르면, 정부의역할이직접적인서비스제공보다개인적이고영리적인서비스로전환되고있으며, 사회 경제적분야에대한규제자로서의역할이강조되고있음 이러한역할을수행하기위해서는다양한전문지식이필요하며, 이를습득하기위해서는집단지성을활용하는것이보다효율적임 제 2 장 Peer-to-Patent 사이트사례 뉴욕로스쿨에서특허검토절차를개선하기위해만든 Web 2.0 사이트로미특허청 (US Patent Office) 에서승인을얻음 특허신청이급증함에따라특허로써의기준을충족하는지등의여부를판단하기어려워짐에따라 1차검토기법으로활용 지원자들에위해특허를검토하여정부차원의비용이절감되는한편, 검토결과에대해전문가로써등급부여를통해지원자들의의욕을고취함 ( 그림 2-6) 전자정부활용사례 : Peer-to-Patent 27

28 기관간의협업 배경 조직간내부분화등에의해흔히이야기되는사일로효과 (Silo Effect) 가발생하여정부전체의효율성이저하되는경우가많이발생함 美 9 11 테러, 카트리나등위급상황발생시정부부처간협력문제등대두 따라서, 기관간의협력강화, 즉 Join-Up Government 가정부조직의새로운키워드로제시되게됨 인텔리피디아사례 인텔리피디아 (Intellipedia) 는위키기반의플랫폼으로계층화되지않은전문가간의비공식정보공유의장으로미국국가정보국장실에서운영하는사이트임 내부보고에따르면, 인텔리피디아가만들어진 16개월후, 2/3의분석전문가들이사용했으며매일수많은신규게시물및파일첨부가이루어진다고함 이로인한민감정보의유출가능성이있으나, 중요한것은위험을피하는것이아닌위험을관리하는것으로인식하고있음 지식관리 배경 지식관리는정부의효율성과효과성을개선하기위한중요요소임 민간기업의경우, Web 2.0은다음과같은용도로활용되고있으며, 이러한질문은정부에서도동일하게이루어질수있음 오늘아침상사가가장관심을가질기사는무엇인가? 친한동료들이사용할만한뉴스피드 (Newsfeed) 는무엇인가? 프로젝트팀에서가장뜨겁게논의될주제은무엇인가? 특정주제에대해전문가인사람은누구인가? 28 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

29 제 2 장. 기술및서비스이해 Allen and Overy 사례 Allen and Overy 는 1930년창립된 19개국 4,500여직원을가진국제법무법인으로사내정보흐름을개선하기위해 Web 2.0을도입함 즉, 무형의정보공유를통해누가무엇을하고있는지이해하며, 신규입사자에대한교육프로세스로활용함 그룹블로그, 그룹태그, 소셜북마킹, 그룹뉴스피드를제공하고, 사용자개개인이블로그운영과자발적으로북마크및콘텐츠를태깅함 제 2 장 정치적참여와투명성 배경 공공분야에서의시민참여의감소는현대정부들의주요도전으로인식되고있으며, Web 2.0은이에대응한전략적인도구로고려되고있음 E-Petitions 사이트사례 E-Petitions는영국국무부에서운영하고있는 Web 2.0 사이트로국민들이수상에게직접진정을제출하고다른사람들이서명에동참할수있는구조를제공함 수상과국민간의보다강한관계를구축하고자함 사용자는진정을올릴수있으며, 타인이올린진정에대해사인하거나반대하는경우엔이유를작성할수있음 6개월간 210만명이방문, 하나의진정이 180만서명을받기도함 사용자편의를위해약한인증을실시 (blog-style) 29

30 ( 그림 2-7) 전자정부활용사례 : E-Petitions 서비스제공 배경 국민기대의증대와함께줄어드는예산에대응한고품질의편리한제공하는것은현대정부에게중대한도전이되고있으며, 지난몇년간정보통신기술이중요하게인식된것도이러한측면에기인함 각국의 E-Government 전략에있어서온라인서비스의제공은주요목적중하나였으나사용편의성이나검색편의성측면에서는국민을만족시키지못했음 (Ramboll, 2004) PatientOpinion 서비스사례 영국의국가건강서비스를개선하기위한비영리사이트로서공공건강의품질향상및사용자요구사항을이해하기위해운영 30 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

31 제 2 장. 기술및서비스이해 건강서비스에대한피드백을공유함 9 개월간 3,000 개의코멘트가등록되었으며, 38 개의료기관이피드백결과를수신하고있음 제 2 장 ( 그림 2-8) 전자정부활용사례 : PatientOpinion 법의집행 배경 Web 2.0의도입은법을집행하는데있어자발적인시민의참여유도등여러가지이익을얻을수있음 주요사례 Caughtya 는주차위반한사진과글을시민이작성하여법집행을도와줌 FixMyStreet 은거주지역의문제점을게시함으로써현안을토론하고개선될수있도록함 Chicagocrime 은시카고의지역범죄에대한정보를구글지도와통합하여제공함 31

32 ( 그림 2-9) 전자정부활용사례 : FixMyStreet 32 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

33 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e ???????? 제 2 장. 기술및서비스이해 제 4 절 주요기술 Web 2.0 은개방 공유 참여의장을제공하는플랫폼을의미하며, 특정기술에국한되지않는특성이있음 본절에서는이러한 Web 2.0 환경의구현을위해현재까지가장많이활용되고있는기술을중심으로주요특성을소개함 제 2 장 1. AJAX AJAX(Asynchronous Javascript And XML) 는 Web 어플리케이션과의대화식 (interactive) 환경을제공하기위해사용자단말측에서사용되는기술의집합체임 XML, CSS, DOM, XSLT, Javascript 등이사용됨 기술개요 개념및특성 AJAX는하나의기술이아닌, 사용자입력을실시간으로서버와송 수신하여, 사용자요구에대화식으로대응하도록도와주는기술들의총합임 대표적으로네이버등포털사이트검색창에서의연관검색등에적용되어있음 ( 표 2-3) 전통적인방식과 AJAX 방식의비교 전통적인방식구분 AJAX 방식 사용자인터페이스를통한사용자요청웹서버로의 HTTP Request 생성서버는데이터검색, 수처리, 여러레거시시스템들과의통신등의내부프로세스를수행클라이언트에게 HTML 페이지를반환 동작순서 사용자인터페이스를통한사용자요청웹서버로의 HTTP Request 생성서버는 AJAX 코드를사용자에게전송 ( 전통적인웹어플리케이션과동일 ) 이후사용자요청과그결과만을백그라운드에서 XML 통신 사용자요청내용에관계없이요청시마다해당페이지를모두다운로드받음으로써최근이미지데이터가다수인환경에서처리속도가극도로저하 대화식어플리케이션으로활용하기에는사용자요구충족불가능 장 단점 페이지이동없이고속으로화면을전환 서버처리를기다리지않는비동기요청가능 서버에서의연산처리를 PC 에분산가능 수신하는데이터의양을줄일수있음 실시간인터렉티브성능이올라감 33

34 활용서비스 대화식검색서비스등에활용 사용자가입력한검색어와관련된연관검색어제시등동적인처리지원 ( 그림 2-10) AJAX 를도입한네이버의검색창 2. XML 및 XHTML XML(eXtensible Markup Language) 은 HTML 을개선하여정보를공유할수있도록만든차세대언어임 XHTML 은새로운인터넷표현방식인 XML 에맞추어 HTML 을업그레이드한일종의퓨전언어라고할수있음 기술개요 XML 34 HTML이데이터베이스처럼구조화된데이터를관리하기힘든반면, XML은사용자가정보화된데이터를조작하여이용할수있는장점을제공 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

35 제 2 장. 기술및서비스이해 XHTML XHTML(eXtensible HTML) 은 HTML과동등한표현능력을지닌마크업언어로, HTML보다엄격한문법을가짐 웹콘텐츠가다양한장치 ( 이동기기등 ) 에서이용되기시작하면서, 부정확한 HTML을지원하는데필요한자원이부족한환경때문에생겨남 ( 표 2-4) HTML과 XML의비교 HTML 항목 XML 불가능, 제한적 사용자정의태그사용 가능 불가능 문서의재사용 가능 단순한구조의문서및소량의홈페이지 응용분야 방대한내용과구조를요하는기술적인문서 제 2 장 간단하고용이함논리구조작성의어려움 효과적검색어려움 문서작성 문서검색 전용에디터에의한작성논리구조작성용이함정확한검색이가능문서구조에대한검색이가능 활용서비스 다양한콘텐츠제공기능지원 이러한기술의활용은사용자를위한콘텐츠제공을보다풍요롭게도와줌 3. RSS 및트랙백 RSS 는 Really Simple Syndication 의약자로콘텐츠배급및수집에관한표준포맷을의미함 즉, 블로그를통해작성한글을주고받을때에글을어떻게받고보낼것인가를정의한데이터표준규약임 트랙백은블로그환경에서제공하는독특한댓글기능으로서역방향링크를자동생성해주는역할을담당함 즉, 링크와댓글이합쳐진개념으로댓글을상대방글에다붙이는것이아니라내블로그에붙이는것임 35

36 기술개요 RSS 개요 RSS는실시간으로갱신된정보를보내주는기술이라고할수있음 내블로그를방문한사람이계속내블로그의정보를보고싶다면, 내블로그의 RSS 주소를복사해서자신의 RSS 리더기에등록하면됨 이후부터는내가새로운글을올릴때마다내 RSS 주소를자신의 RSS 리더기에등록한사람들에게실시간으로전송됨 ( 그림 2-11) RSS 를통한정보유통구조 ( 표 2-5) RSS 사용의장점 구분내용 선택적구독빠른구독히스토리관리콘텐츠의자동화된연동콘텐츠재사용성커뮤니케이션방식의변화 사용자가원하는토픽과정확히일치하는채널선택동시에다양한채널소스접근다양한채널의과거기록들의보관이가능 syndication/aggregation 구조화된 XML 데이타로손쉬운변환및처리가가능 1:1 에서 1:N 으로동시접속 원격댓글 로의트랙백 댓글로쓰고싶은내용을내블로그에쓴후에상대방글의트랙백주소를내글에갖다붙이면됨 이렇게하면상대방의글아래에내가쓴글의제목이댓글처럼달리며, 이를 트랙백을걸었다 라고표현함 이른바 원격댓글 로서블로거들만의독특한커뮤니케이션방식임 36 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

37 제 2 장. 기술및서비스이해 거대한네트워크를형성하는블로그 비슷한주제의글을쓰는블로거들은트랙백을통해서로얽혀서자신도모르게거대한네트워크를형성하게됨 단순하게보면블로그는 1 인미디어지만, 블로그의파워가거대한것은이같은네트워크때문임 트랙백의부작용 제 2 장 트랙백의부작용으로는광고성내용이담긴스팸트랙백이대표적임 대다수블로그툴이스팸트랙백을막는기능을제공하지만, 트랙백방지기능이이를완전히근절시킬수는없음참고자료 RSS는브라우저로유명한넷스케이프사의 NetCenter에서출발한개념으로유명신문사의기사를손쉽게제공하기위해처음으로고안됨 활용서비스 관심사이트에서자주업데이트되는정보의자동확인 RSS 리더의등록만으로가능 ( 그림 2-12) RSS 리더예 37

38 4. 매시업및오픈 API 매시업 (Mash-up) 은인터넷에서제공되고있는서로다른다양한서비스를합쳐서새로운서비스를만드는것을의미함 즉, 서로다른웹사이트에서제공하는콘텐츠의기능을합치고, 응용함으로써새로운콘텐츠를창출함 기술개요 개요 웹에서제공하는다양한정보와서비스를융합하여새로운소프트웨어및서비스, 데이터베이스등을만드는것을의미 구글지도에부동산정보를조합한하우징맵스 (HousingMaps) 서비스가붐을일으키면서시작됨 매시업의유형 외부데이터와자체데이터를결합하여새로운형태의서비스를제공 외부데이터들을결합하여새로운형태의서비스를제공 자체데이터에서사용자참여를활용함으로써다양한정보를사용자에게보여줄수있는플랫폼환경을제공 ( 그림 2-13) 매시업의다양한서비스결합방법 38 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

39 제 2 장. 기술및서비스이해 매시업의사례 ( 비디오 사진 ) 플릭커가공개한사진공유관련 API 를이용하여구글지도와결합된서비스가등장 ( 검색 쇼핑 ) 이베이, 아마존등자사의콘텐츠에프로그래밍방식으로접근할수있는 API 를개발하여제공 활용서비스 제 2 장 다음의지도서비스 명소, 가게, 시설물등의위치를확인함과동시에관련된블로거들의메시지를함께제공하여정말자신이원하는곳인지함께확인할수있도록함 ( 그림 2-14) 매시업으로구현된다음의지도서비스 플릭커의사진공유 이미지와관련된메타데이터를통해이들이미지를다른정보와통합하여제공 39

40 ( 그림 2-15) 대표 SNS 사이트의하나인플릭커 5. REST REST(Representational State Transfer) 는월드와이드웹과같은분산하이퍼미디어시스템을위한소프트웨어아키텍처의한형식임 단순화된주소만으로특정사이트에신속하게접근하는것을지원함 기술개요 개요 넓은의미의 REST는 네트워크아키텍처원리의모음 이나 Web 2.0에서는 도메인지향데이터를 HTTP 위에서 SOAP이나쿠키를통한세션트랙킹같은부가적인전송레이어없이전송하기위한간단한인터페이스 라는협의의의미로주로사용함 2005년 6월, 구글지도의 API 공개이후로주목을받음 REST 의장점 URI 텍스트를브라우저 URL에입력하면홈페이지로바로접근이가능 REST에준거하여설계된홈페이지는리소스와그상태로단순화되어웹시스템의장점인빠르고저렴함을실현할수있음 40 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

41 제 2 장. 기술및서비스이해 REST 아키텍처에적용된 6 가지제한조건 클라이언트 / 서버구조 : 기존웹구성을활용, 사용자인터페이스와데이터의저장장소를분리하여서버를단순화 무상태 (Stateless) : 서버가세션상태를관리하지않고처리에필요한모든정보를사용자측이가지도록하여데이터교환을단순화 캐시허가 : 클라이언트가응답을캐시함으로써트래픽을감소 Uniform Interface : 클라이언트 / 서버간인터페이스 (GET/POST) 를통일 제 2 장 계층화시스템 : 시스템을복수의계층으로분할하여인접하는층이외에는의존관계를가지지않도록함 Code-On-Demand : 클라이언트측에서코드를다운로드하여실행하는구조 활용서비스 구글지도 API REST 와웹서비스 (SOAP/WSDL) 의연계한서비스제공 구글지도 API 를사용하면자바스크립트를통해구글지도를사용자고유의웹페이지에삽입가능함 Amazon E-Commerce Service 4.0(2004) 아마존에서판매되는상품정보에대한액세스를제공하는서비스 간단한 REST API 제공을통해상품접근중 80% 이상이이를경유함 ( 그림 2-16) 구글지도 API 예 41

42 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

43 보안위협및침해사고동향 제 3 장 제 1 절웹보안현황및침해사고동향 제 2 절웹보안침해사고사례

44 제 3 장 보안위협및침해사고동향 제 1 절 웹보안현황및침해사고동향 2009 년 OECD 의발표에따르면우리나라가 OECD 회원국중세번째로해킹위험이높은나라이지만, 이러한사이버보안사고를막아주는보안수준은세계 14 위에불과한것으로조사되어웹보안에대한침해사고대응이시급함 또한 WHID(Web Hacking Incedents Database) 의 2009 년상반기웹침해사고분석에따르면, 금년에는 Web 2.0 사이트들이해커들의주요목표가되고있음. 하지만, 대부분의웹사이트는이러한웹공격에대응한로그분석조차어려워할정도로보안대책을강구하지못하고있음 특히, 최근의공격은서버에대한공격이아닌사용자단에서공격이이루어지고있으며, 공격의방법이나침투수단이보다다각화되고있는특징이있어문제가심각해지고있음 국내의웹보안현황 우리나라, OECD 회원국중해킹위험 3위 2009년 8월 12 일 OECD가발표한 2009 커뮤니케이션아웃룩보고서 에서 2008년 4분기에해킹등의트래픽공격이가장많이발생한나라로 OECD 회원국중 1위미국 (22.8%), 2위스웨덴 (10.7%), 3위한국 (2.5%) 로발표됨 청와대등 35 개웹사이트를마비시킨분산서비스거부 (DDoS) 공격같은사이버테러에악용될수있는악성바이러스 ( 봇 ) 에감염된 PC 는미국은 68만대, 우리나라는 9만대로매우심각한수준임 우리나라, 보안수준은 14 위로매우심각한상태 한국이사이버테러의위험이높음에도불구하고보안서버보유대수의순위는 14 위에불과함 44 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

45 제 3 장. 보안현황및침해사고동향 OECD는영국보안업체넷크래프트의조사결과를인용, 한국기업등이보유한보안서버는 4,992대로미국 (34만 3164대 ), 일본 (5만5660대), 영국 (5만1386대) 에비해크케부족한것으로조사됨 웹보안침해사고동향 WHID에서분석한자료에의하면 Web 2.0 대상공격이급증하고있음 전체보안사고의 19% 가웹2.0 사이트를대상으로한공격일정도로 Web 2.0 사이트를대상으로한공격이급격하게증가하고있음 대부분의웹사이트들은웹어플리케이션로그를분석할수있는충분한능력을갖추지못하고있으며, 공격에대해적절히대응할수있는관리체계도갖추지못하고있음 제 3 장 공격의형태가웹사이트인증을뚫고들어가는형태보다는웹2.0의주요한특징인사용자가게시하는콘텐츠를이용하는것이대부분임 웹사이트관리자를속이는수단으로단순히웹사이트를변조하는공격형태에서악성코드를배포하는형태로다각화되고있음 웹해킹의주요목적은웹사이트변조및악성코드배포가가장높음 웹해킹의주요목적은웹사이트변조와악성코드배포가 1위 (28%) 를차지하고있으며, 그다음이기밀 / 개인정보유출 (26%) 이차지함 즉, 컴퓨터에보안이강구되지않은인터넷이용자가침해당안웹사이트를방문하는동안에웹사이트로부터악성코드에감염되어, 해커의장난감격인봇으로전락하는예가대표적임 그밖의웹해킹의목적으로는관심분산을위해속이기 (19%), 금전적인목적 (11%), 스팸배포 (4%), 서비스중단 (4%), 피싱 (2%) 등으로나타남 45

46 웹해킹의주요공격경로는 SQL Injection이 1위이며, 공격의유형도변화하고있음 웹해킹의주요공격경로로는 SQL Injection 공격이 1위 (19%) 이었으며, 그밖의공격경로로는부적절한접근통제 (11%), 콘텐츠위장 (10%), Cross Site Script(8%), 구성 / 관리자설정오류 (8%), Cross Site Request Forgeries(5%) 등으로나타남 최근의공격의특징은다음과같이 4가지로요약할수있음 사용자인증이반드시필요한웹사이트가아니라로그인을하지않고도사용가능한 Web 2.0 환경의웹사이트에대한공격이증가함 자동화된공격도구를사용하여보안이취약한사이트를무차별적으로공격함 CSRF(Cross Site Request Forgeries) 공격이트위터와같은 SNS 네트워크를통해웜을배포하는수단으로활용되고있음 공격경로를알수없는공격의비율이증가하고있는데, 이는각기관의웹트래픽로그분석기술의미보유, 해킹사실의숨김등에기인함 주요공격대상은 Web 2.0 사이트를운영하는 SNS 사이트가 1위 주요공격대상은 Web 2.0 사이트를운영하는 SNS 사이트가 19% 로 1위로나타난것이가장큰특징임 그밖의공격대상으로는미디어 (16%), 쇼핑몰 (12%), 연구소 (12%), 인터넷사이트 (12%), 공공기관 (12%), 게임등오락 (7%), 금융기관 (5%), 교육기관 (5%) 등으로나타남 공격의형태가웹사이트인증을뚫고들어가는형태보다는웹2.0의주요한특징인사용자가게시하는콘텐츠를이용하는것이대부분임 웹사이트관리자를속이는수단으로웹사이트변조와같은일반적인공격형태에서악성코드를배포하는형태로다각화되고있음 46 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

47 제 3 장. 보안현황및침해사고동향 제 2 절 웹보안침해사고사례 대규모 SQL Injection 공격 중국발대규모 SQL Injection 공격으로 21 만개홈페이지감염 2009년 8월말대규모 SQL Injection 공격이발생하여 21만개홈페이지가감염되었으며, 공격을주도한 IP는중국발로확인됨 기존공격형태에서는전세계에걸쳐다양한 IP 주소들로부터공격이진행되었으나, 이번공격의경우는 IP가중국으로국한된점이특이한사항임 공격방식은다음의두단계로진행되었으며, 이를통해 125만번의악성코드다운로드가이루어짐 - 자동화된공격도구를이용하여 SQL Injection 공격을수행함으로써취약점이있는웹서버에 iframe 형태의코드를자동삽입함 - 인터넷이용자가감염된홈페이지를방문하면, 악성코드가이용자컴퓨터에서실행되어감염됨 자동화된공격도구를이용함으로써 1,000개이상의봇넷이새롭게구축될수있는것을보여준중요한사례임 제 3 장 피싱공격및프로그램오류를통한웹메일해킹및피해사고 핫메일, 구글, 야후등웹메일해킹 2009년 10월 1만명의윈도우라이브핫메일 (Windows Live Hotmail) 아이디및비밀번호가인터넷에유출되는사고가발생함 같은기간구글의지메일과야후메일이용자의계정정보도피싱공격을통해유출되는사고가발생함 이사고는피싱공격으로발생하였으며, 이로인해제 3의웹사이트에핫메일이용자의계정정보가공개됨 47

48 해킹된핫메일계정, 온라인쇼핑사기에이용됨 웹에유출된핫메일계정정보가가짜중국전자제품쇼핑몰의사기행각에사용됨 이계정을이용해스팸메일이발송되었으며, 메시지는중국의가짜전자제품쇼핑사이트로연결되는데, 이사이트의도메인은합법적인것으로보이지만, 실제 1,200달러 ~1,500달러인맥북프로를 700달러에제공하는등가짜쇼핑사이트임 피해자들은도용된이메일계정을통해친구로부터이메일을수신함으로써쇼핑몰에신뢰를가지고이용하였으며, 사이트이용시추가적으로신용카드번호, 집주소등물품구매를위한추가적인개인정보를제공하여그피해가증가함 국내최대웹메일서비스의대규모개인정보유출사고발생 2008년 7월국내최대웹메일사이트업그레이드과정에서 43만여명의이메일제목등이노출되는사고가발생함 이사례는웹메일로그인시다른사람의메일내용이무작위로노출되었으며, 피해확산을위해사고발생시작한시간후에긴급하게서비스를정지하여한시간후서비스오류를복구함 그러나이메일제목과내용, 첨부파일다운로드노출등수백건의피해사례가접수되는등개인정보유출사태가심각한상황에이름 이사고는해킹에의한것이아니라프로그램버그로인한것이지만, 웹사이트개발및수정시오류로정보유출이발생한대표적인사례임 DDoS 공격 국내주요웹사이트해킹으로 DDoS 공격 년 7월 4일미국주요사이트에대한 DDoS 공격을시작으로우리나라는 7월 7일네이버메일서비스를시작으로국내주요사이트에대한 DDoS 공격이발생함 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

49 제 3 장. 보안현황및침해사고동향 이 DDoS 공격은해커가보안취약점이존재하는다수의웹사이트를해킹하여악성코드를삽입함으로써이웹사이트를방문한이용자 PC 가악성코드에감염되어수행됨 이사례를기존 DDoS 공격과비교할때, 다음과같은차이가있음 - 기존의 DDoS 공격은악성코드에감염된 PC 들이명령제어서버로부터공격목표를전달받아공격을수행하였으나, 이사례에서는감염시생성되는공격목표설정파일을기반으로자동으로공격이수행됨 - 다양한형태의변종악성코드가출현하여웹사이트로부터지속적으로악성코드감염이이루어졌으며, 그종류로는악성코드배포를위한스팸메일자동발송기능, 감염된 PC 의로컬하드디스크를파괴하는기능등다양한기능이포함됨 트위터등소셜네트워크사이트해킹공격 제 3 장 트위터, 지속적인해킹공격으로인한침해사고발생 2009년 1월오바마미국대통령, 팝스타브리트니스피어스, CNN 앵커릭산체스, 폭스TV 뉴스진행자빌오라일리등유명인사 33명의트위터계정해킹피해발생 2009년 5월이메일사용자신상정보를이용해비밀번호를추측해이메일에접속하는매우간단한방법으로트위터의공동창업자인에번윌리엄스의부인이해킹공격을당함 2009년 6월트위터직원의개인이메일해킹으로직원온라인문서시스템인 구글앱스 계정유출사고발생 - 사고의원인은트위터의보안수준이다른인터넷사이트보다취약한것으로클라우드컴퓨팅환경의보안문제로이슈화되고있음 - 클라우드컴퓨팅은 IT 관련기능을서비스형태로제공하는인터넷기반컴퓨팅으로소프트웨어를내부에설치하지않고, 원격지에서인터넷을통해이용하고저장할수있게하는것이나, 이때원격지접속을위한계정정보유출에서보안취약점문제가대두되고있음 2009년 8월 6일 DDoS 공격으로웹사이트가완전차단되어 5시간동안서비스중단사고발생 2009년 8월 11 일두차례의 DDoS 공격으로약 30분동안서비스중단 49

50 트위터등소셜네트워크사이트가악성코드유포에활용됨 트위터는수차례웜공격을받았으며, 마이스페이스나페이스북등의다른소셜네트워크사이트등도악성프로그램을유포하는데악용되고있음 2007년미국라스베이거스에서열린세계최대의해커행사 데프콘 (Defcon) 에서마이스페이스의보안취약점을이용하여각개인의홈페이지에악성코드를삽입하고, 홈페이지의모든내용및방문자의개인정보를획득하는해킹사례발표 악성프로그램의유포는대부분의경우, 감염된친구의포스트클릭또는해커가명의를도용하여의도적으로올린포스트를클릭함으로써발생함 감염된친구의포스트클릭을통한사례는감염된컴퓨터를가진사용자가소셜네트워크사이트에서악성코드가있는위치로링크를연결 ( 포스팅 ) 하면, 사용자들은친구의컴퓨터가감염되었다는사실을못하는상태에서친구의포스트를클릭함으로써발생함 해커에의한유포는해커가여러개의트위터아이디를해킹하여악성코드를몰래설치하는글을띄우면, 이를자신의친구가올린글이라고생각한트위터이용자들이해당글을아무의심없이클릭하여악성코드에감염되며, 악성코드에감염된 PC 는해커가추가로올린글을자동으로수신하면서인터넷뱅킹암호를빼내는또다른악성코드를실행시킬수있음 트위터가봇넷의컨트롤서버역할사례발견 2009년 9월트위터가악성코드에감염된 PC 의네트워크인봇넷의컨트롤서버역할을하는사례가발견됨 이사례는트위터 RSS 기능을봇넷컨트롤에사용하는사례로해커는명령어를 BASE64 코드형태로인코딩하여자신이생성한트위터계정에올려두고, 악성코드에감염된시스템들은해당트위터계정에 RSS 형태로접근해명령어를전달받음 기존에는봇넷컨트롤서버를구축하기위해다른서버를해킹하는사례가많았으나이번에합법적인트위터계정을이용해봇넷을컨트롤했다는점이특징임 RSS는뉴스나블로그에서새게시물정보를확인할수있도록하는기능으로, 손쉽게메시지를 50 전달받을수있는방식을제공하는소셜네트워크사이트, 블로그사이트등에서널리이용되므로이사이트들이봇넷컨트롤에이용될수있는위험이발견된사례임 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

51 제 3 장. 보안현황및침해사고동향 국내최대온라인오픈마켓사이트개인정보유출 이용자 1,081만명의개인정보유출 2009년 2월국내최대온라인오픈마켓사이트해킹으로 1,081만명의개인정보가유출됨 유출된개인정보는이름, 전화번호, 주소, ID, 주민등록번호등이며, 그중 100만명은계좌번호까지유출되어단일웹사이트에서발생한국내최대의보안사고임 CSRF 보안취약점을이용한공격으로정보유출발생 이사고는크로스사이트요청변조 (CSRF) 취약점을이용하여중국해커가공격하여발생한대표적인사례임 중국해커는직접서버를공격하지않고, 사이트운영진들을대상으로악성코드를첨부한메일을대량으로유포하였으며, 운영자중한명이메일을확인하는순간계정정보를획득하고, 이를이용하여서버에로그인하였음 제 3 장 블로그및미니홈피에의한침해사고 메타블로그해킹을통한악성코드유포 2007년 10월국내유명메타블로그의메인화면이해커의공격으로변조되어보안취약점이존재하는불특정다수의접속자들에게신종악성코드를유포하도록하는코드가삽입된사고가발생함 유포된악성코드는특정온라인게임사용자들의개인정보를유출시키도록하는기능을가진게임계정도용목적의트로이목마로확인됨 메타블로그는블로그종류가도구에상관없이 RSS를이용해수많은블로그의글들을모아주는블로그허브사이트로, 메타블로그에등록된사용자는직접접속을하지않아도다양한링크등을통해쉽게글을볼수있으므로수많은이용자가동시에접속을하고있으므로악성코드전파의위험이매우높으므로각별한주의가필요하다는것을확인시켜준사례임 51

52 스플로그 (Splog) 로인한침해사고 최근블로그가 1인미디어로자리를잡게되자이를광고나스파이웨어배포수단으로악용하는스플로그가등장함 인터넷이용자의자율성을악용하여블로그를이용해스파이웨어를확산시킨대표적인사례임 블로그, 미니홈피해킹을통한침해사고증가 최근유명인의블로그, 미니홈피해킹을통해프라이버시를침해하는사고가급증하고있는데, 이는비밀번호유추등로그인접속시도공격을통해발생 또한국내유명사이트의미니홈피는불법방문자추적기설치증가로인한많은침해사고가발생하고있음 불법방문자추적기는자신의미니홈피를방문한타인의접속정보를획득하는것으로이는크로스사이트스크립트 (XSS) 취약점을이용해텍스트나이미지링크에악성코드를심는방식임 - 특히불법방문자추적기설치시불법프로그램제공자에게본인의 ID와패스워드등웹사이트계정정보를전달하여이를통한금전적피해사례가발생함 블로그가악성코드의숙주서버로악용되는사례발생 야후재팬의개인블로그사이트가악성코드숙주서버로이용된사례가발견됨 또한구글홈페이지서비스가중국발트로이목마은닉사이트로악용된사례가발견됨 - 구글페이지계정이악성코드를숨겨놓는숙주서버로악용되는사례가지속적으로발견됨 - 특히그중한가지사례는악성코드가국내온라인게임계정을훔쳐가는트로이목마로국내게임사이트해킹을통해유포된것임 국내대형포털사이트와사진인화사이트의개인블로그도동일한악성코드숙주서버로악용되는피해사례가발생함 52 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

53 보안취약점및대응대책 제 4 장 제 1 절 Web 1.0 보안취약점및대책 제 2 절 Web 2.0 보안취약점및대책 제 3 절개인정보보호관련쟁점및대책

54 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장 보안취약점및대응대책 제 1 절 Web 1.0 보안취약점및대책 1. 크로스사이트스크립트 (XSS) 취약점 웹서버는홈페이지이용자가홈페이지에게시한악성스크립트에의해서다른홈페이지이용자 PC 가감염되지않도록구축되어야함 홈페이지웹서버는홈페이지이용자가입력한데이터를동적으로생성된홈페이지에포함되어사용자에게재전송할때, 필터링을해야함 홈페이지는홈페이지이용자가게시한스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 2007,OWASPTop10 (OWASP) 의 크로스사이트스크립팅 (XSS) 항목에명시됨 2010,OWASPTop10RC1 (OWASP) 의 크로스사이트스크립팅 (XSS) 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 크로스사이트스크립트 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 악의적인명령실행 (XSS) 항목에명시됨 보호대책 스크립트필터링모듈적용 홈페이지이용자가입력한데이터를필터링하여, 스크립트명령어에관련된특수문자를실행되지않는문자열형태로변환하여등록함 54 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

55 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 담당자체크사항 크로스사이트스크립팅기능확인 홈페이지게시판의글쓰기메뉴에서글쓰기에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 스크립트필터링모듈적용 웹서버에입력되는데이터중스크립트명령어입력시스크립트에포함된특수문자를실행되지않는문자열형태로자동변환하도록하는스크립트필터링모듈을적용함 2. 인젝션취약점 웹서버는 ID/PW 를모르는이용자가비정상적인방법으로홈페이지에로그인하는경우가발생하지않도록구축되어야함 웹서버는홈페이지이용자가입력한데이터에포함된명령어나질의문이인터프리터로그대로전달되어실행되지않도록하여야함 제 4 장 2007,OWASPTop10 (OWASP) 의 인젝션취약점 항목에명시됨 2010,OWASPTop10RC1 (OWASP) 의 인젝션취약점 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 SQL 인젝션 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 악의적인명령어주입공격 (SQL Injection) 항목에명시됨 55

56 보호대책 인젝션공격가능성점검 데이터베이스등웹서버에연동되어있는백엔드시스템의제어를위한명령어들을점검하여홈페이지이용자의입력에의해인젝션공격이발생할수있는위치확인 명령어필터링모듈설치 홈페이지이용자가웹서버에데이터입력시명령어에포함되는특수문자가포함되어있는지를검사하여허용되지않는문자열이나문자가포함된경우는에러로처리함 필터링에따른에러처리시에러메시지를홈페이지이용자에게보여주지않도록유의함 데이터베이스등백엔드시스템권한제어 데이터베이스등웹서버에연동되어있는백엔드시스템의접근권한을분리하여인젝션공격을통해서시스템전체에대한제어권을획득하지못하도록설정함 담당자체크사항 웹서버및데이터베이스등백엔드시스템운영구조정비 홈페이지이용자입력을통해인젝션이발생할수있는백엔드시스템확인 데이터베이스등웹서버에연동되어있는백엔드시스템은각기능별로분리하여반드시필요한최소한의이용자만이접근할수있도록권한제어수정 명령어필터링을적용하여웹서버정비 웹서버에발생할수있는인젝션명령어를오류로처리하는기능이동작하되오류메시지는홈페이지이용자에게제공하지않도록웹서버를정비함 56 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

57 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 3. 부적절한파라메터허용취약점 홈페이지가제공하는모든서비스영역은정상적인접속에의해서만접근할수있도록해야함 홈페이지웹서버는홈페이지이용자가홈페이지 URL 의파라메터를변조하여시도하는모든비정상적인접속시도를차단해야함 2007, OWASP Top 10 (OWASP) 의 불안전한직접객체참조 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 불안전한직접객체참조 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 부적절한파라메터 항목에명시됨 보호대책 입력값검증모듈설치 웹서버에입력되는파라메터를검증하여허용된파라메터만을받아들이도록입력값을검증하는컴포넌트나라이브러리설치 제 4 장 웹침입차단시스템구축 웹침입차단시스템 (Firewall) 은입력값검증기능을제공하고있으며, 해당홈페이지에적합한파라메터허용규칙을설정하여구축 담당자체크사항 입력값검증기준마련 입력값검증기준은상세코드분석을통해 HTTP 요청에서정보를받아들이는모든함수에대한조사를기반으로작성 57

58 입력값검증기준의활용 입력값검증기준을바탕으로다음에관한파라메터검증기준을작성한후, 입력값검증컴포넌트나라이브러리를웹서버에설치 - 데이터유형 ( 문자열, 정수형, 실수형등 ) - 허용하는문자집합 - 문자의최대 / 최소길이 - Null 값의허용여부 - 반드시필요한파라메터 - 중복허용여부 - 숫자의범위 - 타당한데이터목록 - 타당한패턴 웹침입차단시스템구축 앞의입력값검증기준을활용하여해당홈페이지에적합한파라메터허용규칙을설정하여웹침입차단시스템구축 4. 부적절한계정및세션관리취약점 웹서버는홈페이지이용자의계정정보가유출되어불법적으로사용되지않도록구축되어야함 홈페이지는로그인후, 홈페이지이용자가로그아웃하기전까지홈페이지이용자정보를유지하도록하는기능및해당정보가악용되어불법적으로사용되지않도록구축되어야함 58 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

59 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 2007, OWASP Top 10 (OWASP) 의 취약한인증과세션관리 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 취약한인증과세션관리 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 취약한세션관리 항목에명시됨 보호대책 쿠키정보암호화 SSL 와같은기술을이용하여쿠키정보를암호화 세션정보의사용 브라우저에저장되는쿠키정보가아닌웹서버에일부저장하여상호대조하는방식인세션방식을웹서버에적용하여운영함 담당자체크사항 쿠키암호화여부점검 로그인후브라우저주소창에 javascript:document.cookie; 을입력하여접속시도시나타나는내용이암호화되어있는지점검 제 4 장 보안서버구축 로그인접속정보전체를암호화하기위해홈페이지에보안서버구축 세션정보를활용하도록웹서버재구축 쿠키대신세션정보를이용하도록웹서버재구축 세션정보는비활성화후일정시간경과시자동로그아웃되도록타임아웃을설정해야함 59

60 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 5. 디렉토리리스팅취약점 웹서버는홈페이지이용자가홈페이지에대한비정상적인이용을통해서웹서버에저장된디렉토리및파일에접근하지못하도록구축되어야함 웹서버는권한을갖는이용자만이접근하도록허용하고자하는디렉토리및파일에대해서어떤한경우라도인증을거치지않으면, 접근하지못하도록구축되어야함 2010, OWASP Top 10 RC1 (OWASP) 의 보안설정상의오류 항목에명시됨 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 디렉토리리스팅 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 부적절한환경설정 항목에명시됨. 보호대책 환경설정변경 디렉토리리스팅기능이동작되지않도록웹서버의환경설정을변경함 담당자체크사항 디렉토리리스팅취약점진단 홈페이지주소에포함된모든디렉토리이름을대상으로브라우저주소창에서디렉토리까지포함된해당홈페이지주소및맨뒤에 / 를붙여서접속을시도함 접속결과페이지가존재하지않는경우는디렉토리리스팅취약점이존재하지않음 환경설정변경 디렉토리리스팅취약점을발견하면웹서버의환경설정을변경함 60 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

61 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 디렉토리리스팅취약점의제거방법은운영체계에따라다르며, Windows OS 서버는 인터넷서비스관리자 ( 혹은인터넷정보서비스 ) 의속성에서 디렉토리검색 의체크박스를해지한후저장함 Linux 또는 Unix OS의웹서버에서디렉토리리스팅취약점을제거하기위해서는서버에저장된 httpd.conf 파일을열어서 Options 뒤에단어 Indexes 를삭제한후파일을저장하여데몬을다시띄움 6. 접근통제취약점 홈페이지에서특정이용자들에게만접근할수있도록허가해야하는웹콘텐츠나기능등의영역에대해서는접근통제가필요함 특히관리자페이지는웹서비스사용자나데이터, 콘텐츠를손쉽게관리하기위한목적으로다양한기능과권한을갖고있고, 이는홈페이지운영에매우중요한역할을하고있으므로일반사용자가인증을통과하지못하도록해야할뿐아니라, 관리자로그인페이지자체를볼수없도록해야함 2007, OWASP Top 10 (OWASP) 의 URL 접근통제실패 항목에명시됨 2010, OWASP Top 10 RC1 (OWASP) 의 URL 접근통제실패 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 접근통제 항목에명시됨 제 4 장 보호대책 관리자로그인페이지주소정비 관리자로그인페이지주소는일반사용자가유추하기어려운이름으로변경 관리자아이디 / 패스워드변경및관리 관리자로그인페이지에서로그인을위한아이디 / 패스워드는일반사용자가유추하기어려운형태로변경 61

62 아이디 / 패스워드는모두문자와숫자의조합으로구성하며, 특정단어가포함되지않도록구성 특히관리자로그인을위한패스워드는수시로변경하여관리 관리자페이지의접근제한설정 관리자페이지에접근할수있는 IP 를지정하여 IP 레벨의접근권한설정 관리자페이지보안운용 관리자페이지에대한접근은 SSL 등암호화를적용하여보안서버로구성 외부에서의관리자페이지접근이필요한경우에는 VPN 운용 담당자체크사항 유추에의한관리자로그인페이지접근가능성점검 관리자로그인페이지주소가홈페이지주소를바탕으로유추가능한지점검 특히, 관리자로그인페이지주소에 admin, administration, manager, system 등유추가쉬운일반적인단어가포함되었는지점검 점검후유추가능한주소인경우, 유추가어려운주소로관리자로그인페이지주소변경 관리자아이디및패스워드확인 관리자아이디와패스워드가문자와숫자의조합으로구성되었고, 특정단어가포함되어있지않은지확인 위의사항확인후관리자아이디와패스워드가특정단어가포함되지않은문자와숫자의조합으로구성되도록관리 62 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

63 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 관리자페이지접근제한확인 검색엔진을이용하여검색시검색결과중관리자페이지포함여부확인 외부의 PC 에서관리자페이지에대한접근시도수행 관리자페이지에대한접근시도는고정 IP 및유동 IP 를사용하는네트워크환경각각에대해서수시로수행 관리자페이지보안운용강구 관리자페이지를포함한홈페이지에대한보안서버구축 외부에서관리자페이지접근이필요한경우가상사설망 (VPN) 구축 TIP 공공기관홈페이지의보안서버구축확대 보급을위해행정기관과교육기관을대상으로 SSL 인증서를무료발급하고있으며, 행정기관은지역정보개발원, 교육기관은한국교육학술정보원에서발급하고있음 7. 파일다운로드취약점 제 4 장 웹서버는웹서버내의중요파일이인증우회를통해다운로드되지않도록구축되어야함 웹서버는이용자가홈페이지주소를바탕으로유추하여인증절차없이웹서버에저장된중요한파일을다운로드받을수없도록안전하게구축되어야함 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 파일다운로드 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 다운로드 항목에명시됨 63

64 보호대책 웹서버의다운로드기능수정 다운로드가능한디렉토리를지정하고, 그외에는파일다운로드가불가능하도록웹서버수정 파일다운로드필터링모듈설치 홈페이지이용자의파일다운로드시도시, 불법적인다운로드시도로판단되는홈페이지주소를 필터링하는모듈을웹서버에설치함 담당자체크사항 파일다운로드취약점진단 홈페이지가파일다운로드기능이존재하는지를파악하고, 파일다운로드기능이존재하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일다운로드기능이있는경우, 다운로드를위한홈페이지주소가다운로드스크립트를사용하는지를확인하고, 다운로드스크립트를사용하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일다운로드기능을가지고있고, 다운로드를위한홈페이지주소가다운로드스크립트를사용하면, 스크립트에사용된파라메터를다양하게변경하면서다운로드를시도함 파일다운로드필터링모듈설치 홈페이지이용자의파일다운로드시도시, 홈페이지이용자가입력한데이터가불법적인다운로드시도로판단되는홈페이지주소규칙을체크하여다운로드를차단하는필터링하는모듈을웹서버에설치함 64 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

65 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 8. 파일업로드취약점 웹서버는불법적인이용자에의해인증절차없이제어권한이상실되지않도록구축되어야함 웹서버는홈페이지이용자가원격으로실행시킨악성파일에의해서웹서버의권한이제어되지않도록구축되어야함 홈페이지보안관리매뉴얼 ( 국가사이버안전센터 ) 의 파일업로드 항목에명시됨 홈페이지개발보안가이드 (KISA) 의 업로드 항목에명시됨 보호대책 웹서버의업로드기능수정 파일업로드를통한스크립트업로드및실행금지 업로드파일을위한전용디렉토리를별도로생성한후, 이디렉토리의실행설정제거 업로드되는첨부파일확장자필터링 제 4 장 담당자체크사항 파일업로드취약점진단 홈페이지가파일업로드기능이존재하는지를파악하고, 파일업로드기능이존재하지않으면, 취약점이존재하지않음을인지함 홈페이지가파일업로드기능을가지고있는게시판에서 php, php3, asp, jsp, cgi, inc, pl 등의확장자를갖는샘플파일업로드를시도 위의샘플파일중하나라도파일업로드가성공하면파일업로드취약점이존재함 65

66 파일업로드필터링모듈설치 파일업로드취약점이존재하는경우, 파일업로드게시판의파일업로드시 php, php3, asp, jsp, cgi, inc, pl 등의확장자는갖는파일은업로드를제한하는필터링모듈설치 웹서버의권한변경 웹서버구동은관리자권한이아닌일반이용자권한으로구동하도록하여외부이용자가첨부파일을이용하여권한을획득하여도최소한의권한만을허용하도록변경 66 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

67 제 4 장. 보안취약점및대응대책 < 참고 > 보안취약점안내 (OWASP, 국가정보원, KISA) ( 표 4-1) OWASP 보안취약점 ( OWASP Top 10, 2007) 항목 내용 1. 크로스사이트스크립트 (XSS) 악의적인공격자가타인의브라우저내에서스크립트를실행하도록허용함으로써타인의세션을가로채거나웹사이트를손상하거나웜을삽입하는등을가능하게하는취약점 2. 인젝션취약점 이용자가입력한데이터가명령어나질의문의일부분으로웹서버의데이터베이스나백엔드시스템의인터프리터에연결되어명령어실행및데이터변경이실행되는취약점 3. 악성파일실행 원격으로파일이실행되도록하여악의적인공격자가악성코드나데이터를삽입하도록허용하는취약점 4. 불안전한직접객체참조 파일, 디렉토리, 데이터베이스기록, 키등의내부구현객체에대한참조정보를 URL 또는폼파라메터로노출시켜서악의적인공격자가이를조작하여인증절차없이다른객체에접속할수있도록하는취약점 5. 크로스사이트변조요청 (CSRF) 6. 정보유출및부적절한오류처리 로그온을한이용자의브라우저가사전에승인된요청을웹서버에보내도록함으로써악의적인공격자가의도하는공격을수행하도록하는취약점웹서버가의도하지않게내부의구성정보, 내부의작업정보, 개인정보등을노출함으로써이를이용하여중요한정보를악의적인공격자가가져가거나보다심각한공격을할수있도록하는취약점 제 4 장 7. 취약한인증및세션관리 계정에대한증명과세션토큰이적절히보호되지못함으로인해패스워드나키, 세션쿠키, 다른토큰등을악용하여인증메커니즘을무력화시키거나다른사용자의아이디를추측할수있는취약점 8. 불안전한암호화저장 악의적인공격자라보호되지않은데이터를이용하여명의도용이나신용카드사기등의범죄를저지를수있도록하는취약점 9. 불안전한통신 통신상의오류로중요한정보가암호화되지않아서악의적으로데이터가이용될수있는취약점 10. URL 접속제한실패 URL 에대한직접적인접속으로인증절차없이중요한동작을하도록하는취약점 67

68 ( 표 4-2) OWASP 보안취약점 ( OWASP Top 10(RC1), 2010) 항목 내용 1. 인젝션취약점 이용자가입력한데이터가명령어나질의문의일부분으로웹서버의데이터베이스나백엔드시스템의인터프리터에연결되어명령어실행및데이터변경이실행되는취약점 2. 크로스사이트스크립트 (XSS) 악의적인공격자가타인의브라우저내에서스크립트를실행하도록허용함으로써타인의세션을가로채거나웹사이트를손상하거나웜을삽입하는등을가능하게하는취약점 3. 취약한인증및세션관리 계정에대한증명과세션토큰이적절히보호되지못함으로인해패스워드나키, 세션쿠키, 다른토큰등을악용하여인증메커니즘을무력화시키거나다른사용자의아이디를추측할수있는취약점 4. 불안전한직접객체참조 파일, 디렉토리, 데이터베이스기록, 키등의내부구현객체에대한참조정보를 URL 또는폼파라메터로노출시켜서악의적인공격자가이를조작하여인증절차없이다른객체에접속할수있도록하는취약점 5. 크로스사이트변조요청 (CSRF) 로그온을한이용자의브라우저가사전에승인된요청을웹서버에보내도록함으로써악의적인공격자가의도하는공격을수행하도록하는취약점 6. 보안설정상의오류 어플리케이션, 프레임워크, 웹서버, 어플리케이션서버, 플랫폼에대해서적절한보안설정을유지하지않아발생되는취약점 7. URL 접속제한실패 URL 에대한직접적인접속으로인증절차없이중요한동작을하도록하는취약점 8. 검증되지않은 Redirect와 Forward 웹어플리케이션들은사용자를다른페이지와웹사이트들로빈번하게 Redirect, Forward 하는데올바르게검증하지않아피싱사이트나맬웨어사이트로 Redirect, Forward가발생되는취약점 9. 불안전한암호화저장 악의적인공격자라보호되지않은데이터를이용하여명의도용이나신용카드사기등의범죄를저지를수있도록하는취약점 10. 불안전한통신 통신상의오류로중요한정보가암호화되지않아서악의적으로데이터가이용될수있는취약점 68 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

69 제 4 장. 보안취약점및대응대책 ( 표 4-3) 국가정보원의보안취약점 ( 홈페이지보안관리매뉴얼, 2005) 항목 내용 1. 디렉토리리스팅 인터넷이용자에게웹서버내모든디렉토리및파일목록을보여주고, 파일의열람및저장도가능하게하는취약점 2. 파일다운로드 게시판등에저장된자료에대해위치지정에대한제한을부여하지않음으로써웹서버내의비공개자료를다운로드받을수있도록하는취약점 3. 크로스사이트스크립트 (XSS) 게시판에서글쓰기를하는경우, 입력내용중실행코드인스크립트의태그에대한필터링을하지않아서악의적인스크립트등록을통해일반이용자 PC로부터개인정보인쿠키등을유출할수있게하는취약점 4. 파일업로드 게시판에서첨부파일을업로드하는경우, 악성실행프로그램을업로드한후에홈페이지접속방식으로웹서버를원격제어할수있게하는취약점 5. WebDAV 6. 테크노트 WebDAV 도구를이용하여원격으로홈페이지디렉토리에임의의파일을삽입하여화면을변조할수있게하는취약점 ( 윈도우서버에해당 ) 국내에서개발되어무료배포중인게시판제작프로그램 테크노트 의일부 CGI 프로그램취약점을이용하여홈페이지접속방식으로웹서버변조및불법명령실행을할수있게하는취약점 ( 리눅스 / 유닉스, Perl지원윈도우서버 ) 제 4 장 7. 제로보드 국내에서개발되어무료배포중인게시판제작프로그램 제로보드 의일부 PHP 프로그램취약점을이용하여홈페이지접속방식으로웹서버변조및불법명령실행을할수있게하는취약점 ( 리눅스 / 유닉스, PHP지원윈도우서버 ) 8. SQL Injection 웹브라우저주소창, 이용자 ID 및패스워드입력화면등에서데이터베이스 SQL 문에이용되는문자기호입력을필터링하지않아서 SQL 조작에의한입력으로데이터베이스에인증절차없이접근하여자료를무단유출하거나변조할수있게하는취약점 69

70 ( 표 4-4) KISA 의보안취약점 ( 홈페이지개발보안가이드, 2007) 항목 내용 1. 접근통제권한이없는이용자가특정경로를통해권한밖의홈페이지에접근할수있게하는취약점 2. 부적절한파라미터 HTTP 요청시인수를변조하여웹서버를불법적으로제어하는취약점 3. 취약한세션관리쿠키변조에의해불법적인인증을수행하여웹서버에접근하는취약점 4. 악의적인명령실행 (XSS) 게시판에서글쓰기를하는경우, 입력내용중실행코드인스크립트의태그에대한필터링을하지않아서악의적인스크립트등록을통해일반이용자 PC 로부터개인정보인쿠키등을유출할수있게하는취약점 5. 버퍼오버플로우 지정된버퍼의크기보다큰데이터를저장함으로써실행오류를발생시키고이를이용하여웹어플리케이션에조작한입력값을보내어웹서버에접근하는취약점 6. 악의적인명령어주입공격 (SQL Injection) 웹브라우저주소창, 이용자 ID 및패스워드입력화면등에서데이터베이스 SQL 문에이용되는문자기호입력을필터링하지않아서 SQL 조작에의한입력으로데이터베이스에인증절차없이접근하여자료를무단유출하거나변조할수있게하는취약점 7. 업로드 게시판에서첨부파일을업로드하는경우, 악성실행프로그램을업로드한후에홈페이지접속방식으로웹서버를원격제어할수있게하는취약점 8. 다운로드 게시판등에저장된자료에대해위치지정에대한제한을부여하지않음으로써웹서버내의비공개자료를다운로드받을수있도록하는취약점 9. 개발보안관리 개발단계에서시스템운용에관한보안가이드라인을수립하고이에따라개발을진행하지않아발생하는취약점 10. 부적절한환경설정 디렉토리리스팅과같이서버의설정을잘못하여외부자가중요한파일정보에접근할수있도록하는취약점 70 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

71 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 제 2 절 Web 2.0 보안취약점및대책 1. Web 2.0 크로스사이트스크립트 (XSS) 취약점 웹서버는홈페이지이용자가홈페이지에게시한악성스크립트에의해서다른홈페이지이용자 PC 가감염되지않도록구축되어야함 홈페이지웹서버는홈페이지이용자가입력한데이터를동적으로생성된홈페이지에포함하여사용자에게재전송할때, AJAX 등스크립트형데이터를필터링해야함 홈페이지는홈페이지이용자가게시한 AJAX 등의스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 취약점설명 일반적으로 XSS 는특정웹사이트의악성스크립트가피해자의브라우저에실행되어정보를유출시킬수있는취약점을가리킴. Web 2.0 환경에서는 AJAX 를사용하면서웹사이트에서다양한스크립트를이용하고있으며, 이에따라 XSS 취약점이발생할가능성이증가함. 특히최근에는 AJAX 로구성된웹사이트에서 XSS 취약점을이용하여 Yamanner, Samy 등의웜공격이발생한사례발생 제 4 장 AJAX 등의 Web 2.0 기술은자동툴을통해 XSS 탐지하는것을훨씬더힘들게함 보호대책 스크립트필터링모듈적용 홈페이지이용자가입력한데이터를필터링하여, AJAX 등스크립트명령어와관련된특수문자를실행되지않는문자열형태로변환하여등록함 71

72 담당자체크사항 크로스사이트스크립트 (XSS) 취약점진단 홈페이지게시판의글쓰기메뉴에서글쓰기영역에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 스크립트필터링모듈적용 웹서버에입력되는데이터중스크립트명령어입력시 AJAX 등스크립트에포함된특수문자를 실행되지않는문자열형태로자동변환하도록하는스크립트필터링모듈을적용함 웹서버의안전성체크 웹서버가크로스사이트스트립트취약점에대해안전한지모의해킹을통해검증 게시판의글쓰기메뉴에서스크립트입력후등록시팝업창이나타나지않는지확인 홈페이지내에관리자가의도하지않은불필요한스크립트가포함되었는지를상시점검하고, 불필요한스크립트는삭제 2. Web 2.0 인젝션취약점 웹서버는홈페이지이용자가입력한데이터에포함된명령어나질의문이인터프리터로그대로전달되어실행되지않도록하여야함 Web 2.0 은 XML injection 공격, XPath injection 공격, JSON injection 공격, RSS 피드인젝션공격등다양한형태의새로운공격에많은취약점에노출되어있음 72 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

73 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 취약점설명 웹서비스와 AJAX 등 XML 을이용하는기술은 Web 2.0 어플리케이션의핵심적인기술요소임. Web 2.0 에서의대표적인인젝션공격가운데하나로 RSS 피드인젝션공격을들수있음. RSS(Really Simple Syndication) 은각사이트에서제공하는매우간단한배급 (RSS) 주소를 RSS 리더에등록만해두면사용자가직접방문하지않아도자동으로정보가전달되어서손쉽게정보를확인할수있는기술로, 뉴스, 날씨, 쇼핑, 블로그등업데이트가자주일어나는사이트에서흔히이용됨. RSS 피드인젝션공격은 RSS 피드를제공하는게시판등에스크립트를삽입하여해당페이지를구독하는사용자를대상으로악성코드를유포하는공격임 보호대책 인젝션공격가능성점검 데이터베이스등웹서버에연동되어있는백엔드시스템의제어를위한명령어들을점검하여홈페이지이용자의입력에의해인젝션공격이발생할수있는위치확인 제 4 장 명령어필터링모듈설치 홈페이지이용자가웹서버에데이터입력시명령어에포함되는특수문자가포함되어있는지를검사하여허용되지않는문자열이나문자가포함된경우는에러로처리함 필터링에따른에러처리시에러메시지를홈페이지이용자에게보여주지않도록유의함 데이터베이스등백엔드시스템권한제어 데이터베이스등웹서버에연동되어있는백엔드시스템의접근권한을분리하여인젝션공격을통해서시스템전체에대한제어권을획득하지못하도록설정함 73

74 클라이언트사이드콤포넌트에대한취약점점검 페이지를브라우저에서로드한뒤에사용된스크립트의취약점을점검 (Web 2.0 클라이언트사이 드콤포넌트취약점스캐너도구이용 ) 스크립트필터링이가능한웹침입차단시스템설치 SQL 인젝션등전통적인인젝션공격에대한방어가가능한웹침입차단시스템설치 담당자체크사항 웹서버및데이터베이스등백엔드시스템운영구조정비 홈페이지이용자입력을통해인젝션이발생할수있는백엔드시스템확인 데이터베이스등웹서버에연동되어있는백엔드시스템은각기능별로분리하여반드시필요한최소한의이용자만이접근할수있도록권한제어수정 명령어필터링을적용하여웹서버정비 웹서버에발생할수있는인젝션명령어를오류로처리하는기능이동작하되오류메시지는 홈페이지이용자에게제공하지않도록웹서버를정비함 로그인폼등폼페이지점검 아이디입력란에 문자열을입력해서오류페이지가발생하는지점검 아이디검사를우회할수있는문자열을입력해서우회가능한지점검 패스워드에대해서위와동일한방법으로점검 74 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

75 제 4 장. 보안취약점및대응대책 보안솔루션도입확인 침입차단시스템등의보안솔루션이도입되어있는지확인 도입된솔루션에최신업데이트혹은보안패치가반영되었는지확인 도입된솔루션이네트워크환경, 최근보고된취약점등을반영하여적절하게설정되었는지확인 < 참고 > 인젝션 (Injection) 공격의예 <RSS 피드인젝션공격방법 > 공격자는제작한악성코드를유포할홈페이지에악성코드를업로드함 RSS 피드를제공하는게시판에인젝션을위한새로운글을작성하고, 스크립트를인젝션할지점을선택함 RSS 리더로업데이트된 RSS 피드를받게되면사용자는악의적으로구축된홈페이지에자동접속하게됨악의적인웹페이지에서사용자 PC 로악성코드가설치되어공격자는다양한공격을시도할수있음 ( 그림 4-1) RSS 피드인젝션공격 3. 인증관리취약점 Web 2.0 어플리케이션에서다루는콘텐츠들은많은사용자들에의해서만들어지고관리되기때문에관리자에의해서콘텐츠생성및관리가이루어지는기존환경에비해콘텐츠의신뢰성이떨어진다고할수있음 제 4 장 즉, 사용자들에의해서이루어지는콘텐츠의변경이전체시스템의신뢰성을떨어뜨리는결과를낳고있음 따라서 Web 2.0 서비스에있어서사용자인증의중요성은 Web 1.0 의경우보다더욱강조되어야하나, Web 2.0 서비스의특성상인증이중요성을간과하는경우가매우많음 75

76 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 패스워드취약점 취약점설명 Web 2.0 사이트에서는여러사용자들이콘텐츠를함께만들어가게되므로사이트에대한기여가많은사람들에게글, 파일등을업로드할수있도록전체사이트의관리권한을주는경우가빈번하게발생됨. 이경우사용자들이추측이매우쉬운패스워드를사용하거나웹사이트에서간단한패스워드힌트메커니즘을사용하는경우가빈번하게발생함. 특히패스워드힌트메커니즘은검색을통해온라인에서찾아낼수있는질문을이용하는경우가많으므로사용자가콘텐츠작성에기여가많은유명인일경우에는패스워드와관련된정보를더더욱쉽게찾아낼수있음 무차별대입공격 (brute force attack) Web 2.0 사이트에설치된로그인메커니즘이무차별대입공격에취약하다면공격자는이용자나관리자가사용하는패스워드에대한추측이쉬워짐. 이용자가가입후최초로패스워드를설정할때, 3~4 자의짧은패스워드허용하거나숫자로만이루어진패스워드를허용할경우제 3 자에의하여패스워드추측이용이해짐 평문패스워드 AJAX, 위젯, Mash-up 등을사용할때개발자의부주의에의해패스워드가평문그대로전송혹은웹사이트에서관리하지않는다른장소에저장될가능성이존재함. 이경우엔공격자가통신경로에서패스워드도청이용이해짐 Single-Sign-On Web 2.0 의개인화홈페이지, 데스크탑위젯환경등의모든위젯이나어플리케이션에각각로그인하는일은사용자에게불편함을초래. 이런불편함을줄이기위해데스크탑이나네트워크에사용자패스워드 ( 또는인증서등신원을증명할수있는수단 ) 를저장해놓고한위젯이나어플리케이션에로그인하면다른곳에서는별도로로그인할필요가없도록하는 Single-Sign-On 기술이보편적으로사용되고있음이러한기술을통해이용의편리함을증가할수있지만, 패스워드가유출이되면이용자가이용하는모든어플리케이션에접근이가능해지므로패스워드를저장하는방식에따라서노출위험이더욱커지게됨 76 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

77 제 4 장. 보안취약점및대응대책 보호대책 관리자권한제한 별도의관리자계정을유지해야하며, 일반사용자에게관리자권한부여를제한 패스워드관리 패스워드에대한길이제한, 영문, 숫자, 특수기호혼합사용등가능한추측이어려운패스워드사용을유도 패스워드저장기능제공제한 패스워드의평문전송을제한하며, 가능하면 SSL/TLS 등의웹보안프로토콜을이용 인증메커니즘 공인인증서기반의인증메커니즘을도입 담당자체크사항 관리자 ID 및패스워드확인 제 4 장 관리자 ID로 admin, administrator 등추측이쉬운단어를사용하고있지않은지확인 관리자패스워드가문자, 숫자, 특수기호등을조합해서사용하고있는지확인 관리자패스워드가 8자이상인지확인 관리자패스워드가사전에나오는단어를포함하고있지않은지확인 관리자패스워드는일정주기내에변경되고있는지확인 관리자권한확인 관리자이외의사용자가웹사이트관리권한을가지고있지않은지확인 77

78 패스워드보호 SSL/TLS 을이용해서통신경로를보호하고있는지확인 < 참고 > 윈도우에서설정가능한패스워드정책예 패스워드의복잡성 : 패스워드를변경하거나새롭게만들때적용되는패스워드에대한요구사항 - 사용자의계정이름이나연속되는문자 2개를초과하는사용자전체이름의일부를포함하지않음 - 길이가최소한 6자이상이어야함 - 다음네가지범주중세가지의문자를포함해야함 영문대문자 (A - Z) 영문소문자 (a - z) 기본 10개숫자 (0-9) 알파벳이외의문자 ( 예 :!, $, #, %) 최근패스워드기억 : 패스워드변경시최근에사용한패스워드를다시사용하려는시도가있으면패스워드변경불가 최대사용기간 : 시스템에서사용자에게패스워드변경을요청할때까지패스워드를사용할수있는기간 ( 일 ) 을결정 최소패스워드길이 : 패스워드의길이를제한 최소패스워드사용기간 : 사용자가패스워드를변경할수있을때까지패스워드를사용해야하는기간 ( 일 ) 을결정 4. Web 2.0 크로스사이트요청변조 (CSRF) 취약점 웹서버는로그인한홈페이지이용자가의도한사항과다른요청을제 3 자가임의로할수없도록안전하게구축되어야함 웹서버는홈페이지이용자가요청한사항이적합한지를검증한후, 요청에대한응답을처리해야함 홈페이지는홈페이지이용자가게시한 AJAX 등스크립트명령어가게시물열람시브라우저에서실행되지않도록구축되어야함 78 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

79 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 취약점설명 웹어플리케이션은웹사이트이용자가인증후웹사이트를이용할때, 매번인증을요청하도록하지않고, 세션이나쿠키등의인증정보를활용함. CSRF 취약점은이를이용하여이용자가신뢰할수있는서비스에로그인한후, 악성코드를가지고있는다른웹사이트를방문할때, 악성코드에의해중요데이터가유출되는취약점임. Web 2.0 에서는 AJAX 등을통해다양한스크립트가웹사이트에활용되고있으므로이에따라 CSRF 보안취약점에대한위험도증가함 보호대책 임의의토큰적용 각각의트랜잭션에추정하기가어려운토큰을포함 담당자체크사항 크로스사이트스크립팅취약점진단 홈페이지게시판의글쓰기메뉴에서글쓰기영역에테스트용스크립트를입력하여실행한후, 열람시팝업창이나타나는지확인 팝업창이나타나면크로스사이트스크립트취약점이존재하는것임 제 4 장 임의의토큰의적용 임의의토큰은특별함수를이용하여각이용자별로방문하는페이지에대해추정하기어려운값이되도록추가적용 79

80 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 웹서버의위험요소제거 홈페이지이용자의중요한데이터는 GET 방식이아닌 POST 방식처리로변경 웹서버의안전성체크 웹서버가크로스사이트요청변조 (CSRF) 취약점에대해안전한지모의해킹을통해검증 홈페이지이용자의중요한데이터가 POST 방식으로처리되고있는지확인 5. 정보유출취약점 최근의 Web 2.0 을비롯한인터넷문화의발전은사생활과업무의경계를모호하게만들고있음 이에따라사용자의의도와다르게개인정보를비롯한중요정보가유출될위험이커지고있는실정임 특히사용자가정보유출에주의를기울여중요정보의유출이사용자본인에게서발생하지않는다하더라도소량의 중요하지않은정보 가모여져중요정보의유출로이어지는경우도발생할수있음 취약점설명 블로그, 정보공유사이트등과같은소셜네트워크의형태의사이트에서불특정다수의사용자가업로드한정보를통해다양한개인정보와업무관련정보가노출될수있음회사에서운영하는블로그에소개된직원들의프로파일정보를통해서회사의인적구성및업무능력을추측한다거나, 개인이운영하는블로그를통해서개인이속한회사에서최근추진하고있는프로젝트를알아내는등의정보유출이발생할수있음 80 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

81 제 4 장. 보안취약점및대응대책 보호대책 개인정보필터링 블로그, 게시판, 위키등에사용자가업로드한정보가운데개인의프라이버시를침해할수있는정보가포함되어있지않은지필터링수행 인트라넷보호 가상사설망 (VPN) 등을통해인트라넷과웹서버를분리함으로서내부정보의외부유출방지 정보보호교육실시 이메일, 회사정보등개인정보및주요정보를블로그등을통해서공개하지않도록정기적 / 비정기적인정보보호교육실시 기관 PC 를이용한개인블로그운영등업무외적인이용금지교육 담당자체크사항 개인정보필터링 제 4 장 개인정보필터링도구를이용하거나도구이용이불가능한환경에서는정기적 / 비정기적수작업을통해서개인정보의노출여부점검 개인정보취급방침고시 개인정보취급방침고시등을통해서개인정보유출에대한사용자경각심고취 네트워크구성점검 네트워크구성을확인하여내부네트워크가직접인터넷에연결되어있지는않은지확인 SSL/TLS 설치를통한통신경로보안성강화 81

82 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 6. 피싱 (Phishing) 피싱공격에서피해자는민감한정보의입력을요구하는이메일을받거나위장된사이트로접속되며, 피해자가입력한정보는공격자에게전달되게됨 피해자를위장사이트로유도하는데있어서정상사이트와거의동일하게작성함으로써사용자를속이는사회공학적인공격임 Web 2.0 의경우에매시업, 위젯등을이용하는서비스가활성화되고있음에따라위장사이트와정상사이트를구분해내는것이더욱어려움 취약점설명 피싱은사회공학적인공격으로예방교육을통해피싱에대한대처가개선될수있음. 즉, 도메인네임이나 SSL 인증서, 사고사례등을포함한예방교육시킴으로써피싱의피해를줄일수있음. 그러나 Web 2.0 에서는공격자가웹서비스를이용해서위장사이트를다른사이트에끼워넣는다거나, 위젯형태로제공할경우에는도메인네임이나 SSL 인증서와같이정상사이트를확인할수있는방법을감추는것으로위장할수있음 또한사용자의참여가많이이뤄지는 Web 2.0 서비스에서는 XSS 를이용한피싱공격이비교적용이함. 즉, 공격자가생성한콘텐츠가신뢰할수있는사이트로부터업로드된것처럼조작이가능함 보호대책 인증방식강화 패스워드를이용한인증뿐만아니라일회용패스워드 (OTP: One-Time Password), 인증서등추가적인강력한인증방식적용 82 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

83 제 4 장. 보안취약점및대응대책 ( 그림 4-2) OTP 적용 SSL/TLS 사용 특히주요한사이트라면 SSL 이나 TLS 를사용하도록함 위젯등의 Web 2.0 어플리케이션에인증메커니즘적용 특히사용자 PC 로부터정보를수집하는위젯의경우, 위젯사용자를인증하는메커니즘을적용 제 4 장 담당자체크사항 SSL/TLS 확인 HTTPS로점검사이트에접근하여 SSL/TLS가정상적으로동작하는지확인함 유효기간만료등서버인증서의상태를확인함 위젯인증확인 제공하는위젯과의통신에서위젯인증이적용되고있는지확인함 83

84 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 7. WSDL 스캐닝 자동으로생성되고공개되는 WSDL 파일에의해의도하지않은웹서비스에대한정보가유출되지않도록점검해야함 취약점설명 WSDL(Web Services Definition Language) 은특정비즈니스가제공하는서비스를설명하고, 개인이나다른회사들이그러한서비스에전자적으로접근할수있는방법을제공하기위해사용되는 XML 기반의언어임웹서비스는 UDDI(universal description, discovery, and integration) 를통해서공개되나 UDDI 가아닌직접적으로웹서비스인터페이스를검색하면원치않은웹서비스정보들이유출될수있음 WSDL 파일은개발툴에의해자동으로생성되기때문에개발자는웹서비스에대한정보가유출될수있다는사실을알지못하는경우가않음 보호대책 WSDL 파일보호 WSDL 파일에대한접근제어 WSDL 파일에의해서공개되는인터페이스점검 담당자체크사항 WSDL 파일점검 WSDL 파일에의해서의도하지않은함수나 API 가공개되고있지않은지점검 84 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

85 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 8. 정보의신뢰성에관한취약점 Web 2.0 환경에서는매우많은다양한사용자가정보를공개하기때문에그정보들의신뢰성과무결성을확보하기가매우힘든편임 즉, 악의적인사용자는고의로잘못된정보를공개함으로써혼란을일으킬수있음 취약점설명 대표적인 Web 2.0 서비스형태가운데하나인위키피디아의경우, 글의작성및수정에대한자격이별도로존재하지않고누구나작성할수있음. 따라서전문적인내용부터상식에이르기까지방대한정보가쉽게모일수있는것이장점임. 반면, 부정확한정보가위키피디아를통해서쉽게퍼질수도있음미국의오바마대통령취임식기간동안 2명의상원의원이사망했다는잘못된뉴스가위키피디아를통해서전파된사례가있음 보호대책 글쓰기권한설정 제 4 장 글쓰기를위해서는로그인등의절차를따르도록함 웹사이트가입을위해서는찌그러진글자나숫자를가입폼에적어야하는캡챠 (Captcha) 를사용해서로봇으로가짜계정을만드는악성행위를방지 페이지변조탐지 페이지의변조를수동으로탐지하는데는한계가있음으로자동으로탐지가가능한시스템도입을고려 1 탐지시스템에서관리하는전체페이지에대해접속요청및수집 2 이전에수집하여저장하고있는페이지와비교하여위조또는변조여부를확인 3 페이지가위조또는변조된것으로판단될경우에는관리자 ( 모니터링센터 ) 에공지 85

86 ( 그림 4-3) 웹페이지변조탐지시스템 담당자체크사항 게시판등에서사용자데이터확인 스팸데이터등이업로드되지않았는지수시로확인 전체적으로홈페이지수집후무결성점검 ( 위변조여부확인 ) 홈페이지무결성점검도구 ( 무결성탐지시스템 ) 사용 탐지시스템적용비용을고려하여수동점검을고려 홈페이지내용변경여부를수동으로점검 탐지시스템에의하여서비스제공품질이저하되고있지않은지점검 탐지시스템적용후홈페이지접속속도등성능점검 86 비정기적으로홈페이지접속속도등성능을점검하여사용자증가등특별한이유없이성능저하가발생하는지체크 정보신기술도입시보안성강화를위한 Web 2.0 정보보호실 / 무 / 가 / 이 / 드

87 e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h? g g g g g g??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e???????? 제 4 장. 보안취약점및대응대책 9. 자동화취약점 Web 2.0 어플리케이션에의해서극대화된자동화된인터페이스제공은공격자에게도여러가지이점을제공 예를들어패스워드를알아내기위한무차별대입공격이나 CSRF 취약점을이용한공격, 대량의정보수집계정개시등이이에해당 취약점설명 대량의정보를자동으로배포하는것은 Web 2.0 자동화를이용한대표적인악성행위이며최근들어이러한악성행위를이메일스팸과비교하여웹스팸이라고부름검색엔진에서는웹사이트의인기도조사를위해서해당웹사이트를가리키고있는링크의개수를이용하는데, 무차별적으로링크를업로드하여웹사이트의인기도를높일수있음사용자의계정을자동으로생성함으로써공격자는 Web 2.0의주문형기능 (functionality-on-demand) 을남용할수있으며, 웹사이트에서특정작업을자동화함으로써공격자가이득을취할수도있음 보호대책 제 4 장 회원가입시인증절차강화 글쓰기, 구매등을위해서는로그인등의절차를따르도록함 웹사이트가입을위해서는찌그러진글자나숫자를가입폼에적어야하는캡챠 (Captcha) 를사용해서로봇으로가짜계정을만드는악성행위를방지함 담당자체크사항 회원가입절차확인 회원가입시자동으로정보입력이어렵게되어있는지확인하기위하여시스템에캡챠등의메커니즘이적용되어있는지또는공인인증서를이용하도록되어있는지등을확인함 87

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

*2008년1월호진짜

*2008년1월호진짜 3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

untitled

untitled 웹쉘의현황및분석 2007. 2. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요 일반적으로웹서비스에는게시판이나자료실과같은파일을첨부하는기능을포함한다. 이때 txt, jpg, doc와같은데이터파일종류이외에악의적으로제작된스크립트파일인웹쉘을업로드하여해킹하는사고가빈번히발생하고있다. 이와같이서버명령을실행할수있는

More information

untitled

untitled 디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher( 실행할페이지.jsp); 다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information

로거 자료실

로거 자료실 redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10

More information

untitled

untitled 보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.

More information

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - chap01-C언어개요.pptx #include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

Windows Live Hotmail Custom Domains Korea

Windows Live Hotmail Custom Domains Korea 매쉬업코리아2008 컨퍼런스 Microsoft Windows Live Service Open API 한국 마이크로소프트 개발자 플랫폼 사업 본부 / 차세대 웹 팀 김대우 (http://www.uxkorea.net 준서아빠 블로그) Agenda Microsoft의 매쉬업코리아2008 특전 Windows Live Service 소개 Windows Live Service

More information

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름 EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection

More information

Studuino소프트웨어 설치

Studuino소프트웨어 설치 Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

슬라이드 1

슬라이드 1 웹 2.0 분석보고서 Year 2006. Month 05. Day 20 Contents 1 Chapter 웹 2.0 이란무엇인가? 웹 2.0 의시작 / 웹 1.0 에서웹 2.0 으로 / 웹 2.0 의속성 / 웹 2.0 의영향 Chapter Chapter 2 3 웹 2.0 을가능케하는요소 AJAX / Tagging, Folksonomy / RSS / Ontology,

More information

Microsoft Word - ijungbo1_13_02

Microsoft Word - ijungbo1_13_02 [ 인터넷정보관리사필기 ] 기출문제 (11) 1 1. 지금부터인터넷정보관리사필기기출문제 (11) 를풀어보겠습니다. 2. 홈페이지제작할때유의할점으로가장거리가먼것은무엇일까요? 3. 정답은 ( 라 ) 입니다. 홈페이지제작시유의할점으로는로딩속도를고려하며, 사용자중심의인터페이스로제작하고, 이미지의크기는적당하게조절하여야한다. [ 인터넷정보관리사필기 ] 기출문제 (11)

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

AhnLab_template

AhnLab_template 해킹과침해대응 웹해킹과대응 2013. 10. 17 ( 목 ) 안랩 ASEC 대응팀문영조 Contents 01 웹해킹과취약점 02 웹해킹기법에대한이해 03 웹해킹과침해대응 04 결론 01 웹해킹과취약점 개요 01. 웹해킹과취약점 < 출처 - IBM X-Force 2012 Annual Trend & Risk Report> 4 개요 01. 웹해킹과취약점 웹해킹 (Web

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,

More information

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아 LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml

More information

TTA Journal No.157_서체변경.indd

TTA Journal No.157_서체변경.indd 표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA Spotlight on Oracle V10.x DELL SOFTWARE KOREA 2016-11-15 Spotlight on Oracle 목차 1. 시스템요구사항... 2 1.1 지원하는데이터베이스...2 1.2 사용자설치홖경...2 2. 프로그램설치... 3 2.1 설치프로그램실행...3 2.2 라이선스사용관련내용확인및사용동의...3 2.3 프로그램설치경로지정...4

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074> SIMATIC S7 Siemens AG 2004. All rights reserved. Date: 22.03.2006 File: PRO1_17E.1 차례... 2 심벌리스트... 3 Ch3 Ex2: 프로젝트생성...... 4 Ch3 Ex3: S7 프로그램삽입... 5 Ch3 Ex4: 표준라이브러리에서블록복사... 6 Ch4 Ex1: 실제구성을 PG 로업로드하고이름변경......

More information

Microsoft Outlook G Suite 가이드

Microsoft Outlook G Suite 가이드 UNICONVERSE Microsoft Outlook G Suite 가이드 G Suite 사용자가이드 - 국민대학교 유니컨버스 2017-01-01 2 Microsoft Outlook G Suite 가이드 내용 Microsoft Outlook 2016 에서 IMAP 설정... 3 Microsoft Outlook 2016 에서 POP 설정... 6 Google

More information

wtu05_ÃÖÁ¾

wtu05_ÃÖÁ¾ 한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의

More information

슬라이드 1

슬라이드 1 4. Mobile Service Technology Mobile Computing Lecture 2012. 10. 5 안병익 (biahn99@gmail.com) 강의블로그 : Mobilecom.tistory.com 2 Mobile Service in Korea 3 Mobile Service Mobility 4 Mobile Service in Korea 5 Mobile

More information

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고

More information

Observational Determinism for Concurrent Program Security

Observational Determinism for  Concurrent Program Security 웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구

More information

슬라이드 1

슬라이드 1 모바일소프트웨어프로젝트 지도 API 1 조 20070216 김성수 20070383 김혜준 20070965 이윤상 20071335 최진 1 매시업? 공개 API? 2 매시업 웹으로제공하고있는정보와서비스를융합하여새로운소프트웨어나서비스, 데이터베이스등을만드는것 < 최초의매시업 > 3 공개 API 누구나사용할수있도록공개된 API 지도, 검색등다양한서비스들에서제공 대표적인예

More information

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770> 악성코드유포지 경유지의공격코드와보안취약점 1. 개요 본고에서는인터넷침해사고대응지원센터에서자체개발 적용하고있는악성코드은닉사이트탐지프로그램에서 2006년 1월부터 3월까지탐지한사이트중 50개를대상으로공격코드및관련소프트웨어취약점을분석한다. 먼저 ( 그림 1) 에서악성코드유포와경유지를구분하고, 2005년이후게재되었던 인터넷침해사고동향및분석월보 관련기사를해당부분에적어보았다.

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1

More information

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W Research & Technique Apache Tomcat RCE 취약점 (CVE-2019-0232) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE-2019-0232 취약점은 Windows 시스템의 Apache Tomcat 서버에서 enablecmdlinearguments

More information

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기 소규모 비즈니스를 위한 YouTube 플레이북 YouTube에서 호소력 있는 동영상으로 고객과 소통하기 소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

More information

BEA_WebLogic.hwp

BEA_WebLogic.hwp BEA WebLogic Server SSL 설정방법 - Ver 1.0-2008. 6 개정이력 버전개정일개정내용 Ver 1.0 2008 년 6 월 BEA WebLogic Server SSL 설명서최초작성 본문서는정보통신부 한국정보보호진흥원의 보안서버구축가이드 를참고하여작성되었습니다. 본문서내용의무단도용및사용을금합니다. < 목차 > 1. 개인키및 CSR 생성방법

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Autodesk Software 개인용 ( 학생, 교사 ) 다운로드가이드 진동환 (donghwan.jin@autodesk.com) Manager Autodesk Education Program - Korea Autodesk Education Expert 프로그램 www.autodesk.com/educationexperts 교육전문가프로그램 글로벌한네트워크 /

More information

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응 MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,

More information

2009방송통신산업동향.hwp

2009방송통신산업동향.hwp 제 1 절인터넷포털 53) 목차 1. 163. 163. 166 2. 168 176 1. 시장동향 가. 시장규모. 2008 2009. PWC 2008 / 15.6% 599. 2009 1.9% 587. *, (02) 570-4112, byjung@kisdi.re.kr 163 제 3 장 인터넷콘텐츠 < 표 3-1> 세계온라인광고시장규모추이 ( :, %) 2007

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 사용자계정관리 운영체제실습 목차 Ⅲ. 사용자계정관리 4.1 사용자계정관리 4.2 그룹관리 4.3 사용자계정관련파일 4.4 패스워드관리 4.5 사용자신분확인 4.1 사용자계정관리 사용자생성관련명령어 사용자생성 : useradd / adduser 사용자삭제 : userdel 사용자정보변경 : usermod 패스워드설정및변경 : passwd 그룹생성관련명령어 group

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Chapter 08. 도메인과호스팅서비스 1. 도메인등록하기 2. 호스팅서비스로서버구축하기 3. 홈페이지구축하기 DNS의구조와동작원리를이해한다. 자신만의도메인을등록할수있다. 등록한도메인으로무료호스팅서버를구축할수있다. FTP 프로그램인파일질라를활용할수있다. 웹에디터인콤포저로간단한웹페이지를제작할수있다. 도메인을구매하고서버를구축한뒤간단한 HTML 프로그램을작성하여홈페이지를만들수있다

More information

SIGIL 완벽입문

SIGIL 완벽입문 누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS

More information

메뉴얼41페이지-2

메뉴얼41페이지-2 데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여

More information

View Licenses and Services (customer)

View Licenses and Services (customer) 빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차

More information

Slide 1

Slide 1 Java 기반의오픈소스 GIS(GeoServer, udig) 를지원하는국내공간 DBMS 드라이버의개발 2013. 08. 28. 김기웅 (socoooooool@gmail.com) 임영현 (yhlim0129@gmail.com) 이민파 (mapplus@gmail.com) PAGE 1 1 기술개발의목표및내용 2 기술개발현황 3 커뮤니티운영계획 4 활용방법및시연 PAGE

More information

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770> 기술문서 08. 10. 25. 작성 PHP 기반웹쉘의동작원리와공개웹쉘의기능분석및대응방안 작성자 : 동명대학교 THINK 정정홍 (zeratul621@naver.com) 1. 시작하면서 p. 2 2. 웹쉘의동작원리 p. 3 3. r57shell p. 5 4. kcwebtelnet p. 9 5. phpremoteview p. 10 6. 웹쉘대응방안 p. 12 동명대학교정보보호동아리

More information

PDF_Compass_32호-v3.pdf

PDF_Compass_32호-v3.pdf Design Compass는 특허청의 디자인맵 웹사이트에서 제공하는 디자인, 브랜드, 기술, 지식재산권에 관한 다양한 콘텐츠를 디자이너들의 입맛에 맞게 엮은 격월간 디자인 지식재산권 웹진입니다. * Design Compass는 저작이용이 허락된 서울서체(서울시)와 나눔글꼴(NHN)을 사용하여 제작되었습니다. 2 4 5 6 7 9 10 11 편집 / 디자인맵

More information

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

server name>/arcgis/rest/services  server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지 ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,

More information

Microsoft Word - CrossSiteScripting[XSS].docx

Microsoft Word - CrossSiteScripting[XSS].docx 1 Education Giehong.E goodbyestar@nate.com abstract - 영리를목적으로한곳에서의불법적인배포는금지합니다. - 문서의내용은임의의가상테스트를대상으로한 OWASP10 의기본적인내용들이며교육을위해만들어진문서입니다. - 비인가받은악의적인행동은불법이며법적책임또한당사자에게있습니다 Copyright@2008 All Rights Reserved

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인

표준프레임워크로 구성된 컨텐츠를 솔루션에 적용하는 것에 문제가 없는지 확인 표준프레임워크로구성된컨텐츠를솔루션에적용하는것에문제가없는지확인 ( S next -> generate example -> finish). 2. 표준프레임워크개발환경에솔루션프로젝트추가. ( File -> Import -> Existring Projects into

More information

Windows 10 General Announcement v1.0-KO

Windows 10 General Announcement v1.0-KO Windows 10 Fuji Xerox 장비와의호환성 v1.0 7 July, 2015 머리말 Microsoft 는 Windows 10 이 Windows 자동업데이트기능을통해예약되어질수있다고 6 월 1 일발표했다. 고객들은 윈도우 10 공지알림을받기 를표시하는새로운아이콘을알아차릴수있습니다. Fuji Xerox 는 Microsoft 에서가장최신운영시스템인 Windows

More information

Web Scraper in 30 Minutes 강철

Web Scraper in 30 Minutes 강철 Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464> Jeju Community Welfare Center Annual Report 2015 성명 남 여 영문명 *해외아동을 도우실 분은 영문명을 작성해 주세요. 생년월일 E-mail 전화번호(집) 휴대폰 주소 원하시는 후원 영역에 체크해 주세요 국내아동지원 국외아동지원 원하시는 후원기간 및 금액에 체크해 주세요 정기후원 월 2만원 월 3만원 월 5만원 )원 기타(

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

서현수

서현수 Introduction to TIZEN SDK UI Builder S-Core 서현수 2015.10.28 CONTENTS TIZEN APP 이란? TIZEN SDK UI Builder 소개 TIZEN APP 개발방법 UI Builder 기능 UI Builder 사용방법 실전, TIZEN APP 개발시작하기 마침 TIZEN APP? TIZEN APP 이란? Mobile,

More information

지상파(디지털) 방송의 재전송이 큰 목적 중 하나이므로 전세계적으로 IPTV의 보급이 더욱 촉진될 가능성이 높음 단말기 측면 전망 향후에는 거치형 TV만이 아니고 휴대전화, 휴대게임기 등에 대해서도 각종 콘 텐트 전송이 더욱 확대될 것이고 더 나아가 휴대전화 TV 휴대게임기 등 단말기 상호간의 콘텐트 전송이 더욱 증가될 것임 서비스 측면 전망 유저가 편한 시간대에

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 How to produce ChemML and MathML 조윤상 ( 과편협기획운영위원 ) 1 Applications of XML Applications of XML RDF (Resource Description Framework) : 자원의정보를표현하기위한규격, 구문및구조에대한공통적인규칙을지원. RSS (Rich Site Summary) : 뉴스나블로그사이트에서주로사용하는콘텐츠표현방식.

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction 해킹및침해대응 Lecture2 침해사고동향 보안위협의증대 APT 를기반으로하는기업 / 기관을대상으로하는공격이지속적으로발생 : ADD, MND, 한수원등 DDoS 공격의지속적인발생, 공격목적의변화 서비스거부해제를위한금품요구 사회혼란, 정치적목적 공공기관사칭피싱사이트증가 금융, 게임, 포털 검찰청, 경찰청, 금감원 추가적으로모바일형태의피싱사이트증가 주요인기키워드및사회이슈를활용한악성코드배포

More information

슬라이드 1

슬라이드 1 Rich Internet Application 포털서비스와 1 인미디어서비스의 RIA 도입방안 2007. 05. 31 SK 커뮤니케이션즈 / 싸이월드사업본부 강정민과장 http://www.cyworld.com/bartkang bartkang@cyworld.com 포털서비스의변화 Page 2 포털서비스의변화 What is Portal? Portal ; 1. A

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 현대닷컴법인전용서비스이용방법 Contents I. 개요 II. III. 계정관리자등록방법 계정관리자변경방법 ) 계정관리자추가 2) 계정관리자등록동의 3) 계정관리자삭제 IV. 홈페이지법인전용서비스안내 ) 법인페이지 MAP 2) 법인계정정보확인 3) 법인계정등록해지 4) 법인카드관리 5) 법인포인트관리 I. 개요 계정관리자란? 현대자동차홈페이지법인계정등록을완료한회원을말합니다.

More information

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E > 6. ASP.NET ASP.NET 소개 ASP.NET 페이지및응용프로그램구조 Server Controls 데이터베이스와연동 8 장. 데이터베이스응용개발 (Page 20) 6.1 ASP.NET 소개 ASP.NET 동적웹응용프로그램을개발하기위한 MS 의웹기술 현재 ASP.NET 4.5까지출시.Net Framework 4.5 에포함 Visual Studio 2012

More information

마켓온_제품소개서_20131111.key

마켓온_제품소개서_20131111.key 제품소개서 Your Expert Business Partner. CMS. Mobile. Enterprise System. 패스트스퀘어 시스템 마켓온 SNS 2013. 11. 11 Contents 1. 솔루션 개요 2. 솔루션 특징 3. 솔루션 주요기능 4. 솔루션 구성 마켓온 - 솔루션 개요 솔루션 개요 기업을 위한 유연하고 편리한 커뮤니케이션 솔루션 마켓온은

More information

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 OTP 등록가이드 Security Division OTP 발급보안정책 1 OTP 란? 일회용패스워드로써사용자를인증하는하나의방식입니다. 패스워드를생성하는기기를소지한사람만이패스워드를알고있게되므로보안성을향상을위해도입하였습니다. VPN 로그인시사내에서사용하는 ID / PW 외에추가로본인의기기에서생성된 OTP를입력해야만 VPN 접속이가능합니다. 때문에사용자는 OTP

More information

ii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (

More information

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE-2013-3897) 을통해유포되는악성코드가 DDoS, 원격제어, 게임계정유출기능을하고국내감염 PC 가 2만 8천여대에이르러 KISA 는신속대응한바있다.

More information

MF3010 MF Driver Installation Guide

MF3010 MF Driver Installation Guide 한국어 MF 드라이버설치설명서 사용자소프트웨어 CD-ROM................................................ 1.................................................................... 1..............................................................................

More information

untitled

untitled 웹2.0의 사회 경제적 영향력 2007. 3. 21 < 목 차 > Ⅰ. 웹2.0의 의의 및 현황 1 Ⅱ. 웹2.0은 무엇이 다른가? 4 Ⅲ. 웹2.0의 비즈니스 모델 9 Ⅳ. 사회 경제적 영향 11 산은경제연구소 산업분석 2팀 Ⅰ. 웹2.0의 의의 및 현황 1. 의의 웹2.0이란 무엇인가? 정보의 개방을 통해 인터넷 사용자들간의 정보공유와 참여를 이끌어내고,

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information