工學碩士學位請求論文 웹애플리케이션취약점의사회공학적위협에 따른대응방안제고 Counterplan for Social Engineering Threats Caused by Based on Web Application Vulnerabilities 2008 년 2 월 仁荷大學校
|
|
- 다솜 오
- 6 years ago
- Views:
Transcription
1 工學碩士學位請求論文 웹애플리케이션취약점의사회공학적위협에 따른대응방안제고 Counterplan for Social Engineering Threats Caused by Based on Web Application Vulnerabilities 2008 년 2 월 仁荷大學校工學大學院 컴퓨터 情報工學科 金智淑
2 工學碩士學位請求論文 웹애플리케이션취약점의사회공학적위협에 따른대응방안제고 Counterplan for Social Engineering Threats Caused by Based on Web Application Vulnerabilities 2008 년 2 월 仁荷大學校工學大學院 컴퓨터 情報工學科 金智淑 指導敎授李楨賢 이論文을工學碩士學位論文으로提出함
3 이論文을金智淑의工學碩士學位論文으로認定함 年 2 月日 主審 印 副審 印 委員 印
4 요 약 기업들은경쟁적으로최신의 IT기술이적용된블로그, 홈페이지등을통해소비자참여를유도한다. 개인은인터넷으로다양한정보를취득하고기업경영에관여하거나음악을다운받고동영상을올리고미니홈페이지나블로그를통해남모르는이웃과교류한다. 이렇듯정보시스템없이기업활동을한다거나개인적인생활을한다는것은상상할수없는시대에더다양하고정교해진하드웨어, 소프트웨어보안장비의도입으로기술적침입기회는점점줄어들고있다. 반면웹애플리케이션개발시취약점을토대로정보보안사슬에서가장취약한사람을이용한기밀정보유출, 피싱등의사회공학적위협은증가하고있다. 따라서이논문은웹애플리케이션개발상취약점을이용한사회공학적정보보호위협사례를알아보고, 보안인식조사를통하여개인정보보호인식, 기업내정보보호정책정도보안교육정도조사한다. 이를통하여취약한소프트웨어로인한위협노출정도를분석해보고, 개발상근본적취약점을극복할최소방안을제안하고자한다. - i -
5 Abstract Companies are competing to encourage consumer participation through blog and homepage that utilize the newest IT technology. Individuals gain a variety of information on the internet, participate in corporate management, download music, upload videos, and interact with strangers through mini-homepage and blog. In this day and age where it is impossible for companies to do business or for individuals to live their private lives without information systems, the application of newest hardware and software security devices have slimmed the opportunity for technological intrusions. On the other hand it's increasing classified information drain and phishing attack uses the weakest person which from information security chain based on web application development vulnerability. Thus, this paper will investigate cases of social engineering information security threats that use vulnerability inherent in web application development, survey the level of awareness for information security, and evaluate the policies and information security education systems within companies. Based on this research, I will analyze the level of threats exposed by vulnerable software, and propose a solution for overcoming the fundamental vulnerability that exists in the development process. - ii -
6 목 차 요 약 i Abstract ii 제 1 장서론 1 제 2 장관련연구의이론적고찰 웹애플리케이션 사회공학 9 제 3 장웹애플리케이션취약점에따른사회공학적위협사례 금융피해사례 개인정보유출사례 기밀정보유출사례 23 제 4 장정보보호인식조사 정보보호인식조사설문실시계획 정보보호인식조사현황 정보보호인식조사결과 42 제 5 장대응방안 44 제 6 장결론 46 참고문헌 48 별첨 : 설문지 49 - iii -
7 제 1 장서론 본논문에서는웹애플리케이션의근본적인설계, 잘못된응용프로그램구현취약점을조사해보고이를통해발생하고있는사회공학적위협에대한원인을파악해보고자한다. 사회공학은시스템을공격하기보다는인간심성본연의취약점을이용하여공격하는방법으로피싱, 악성코드등최근정보보호위협의화두가되고있다. 사회공학적위협에서가장중요한요소는인적요소로서지속적인보안인식교육을통하여사회공학범죄의위협으로부터보다안전할수있다. 이에개인또는신뢰성있는프로그램을제공해야하는기업또는개인의보안인식에대한전반적인수준을분석하고대응방안을제안하고자한다. 첫째, 본논문에서는웹애플리케이션보안에대해거의또는전혀고려하지않는소프트웨어개발프로세스의근본적보안취약점을조사하였다. 둘째, 웹애플리케이션개발상취약점을기반으로사회공학적정보보호위협사례를조사하였다. 셋째, 보안인식설문조사를통해개인정보보호인식, 기업내정보보호정책, 보안교육실시현황을조사ㆍ분석하였다. 넷째, 이를토대로개발상의근본적취약점을극복할대응방안을제안하였다
8 제 2 장관련연구의이론적고찰 2.1 웹애플리케이션 90년대후반인터넷이본격적으로활성화되고전세계는하나의거대한네트워크로연결되고기업들은 C/S환경에비해 S/W유지보수가용이하고개발이쉽고용이한웹페이지에서부터시작하여사내업무환경은많은조직원들이애플리케이션을작성하고사용하고있다. 현재다양한사용자인터페이스를제공하고사용자중심의능동적인참여로인터넷에서새로운트렌드로각광받고있는웹2.0 이용이크게증가하고있다. 많은기업들이웹2.0을기반으로 Social Networking Site, Wikis, 블로그, Podcasts 형태의다양한서비스를제공하고있으며웹2.0 기술이영업활동에잠재적큰영향을줄것으로기대하고있다 [5]. [ 표 1] 웹2.0 사용서비스활용계획 [4] 사회적커뮤니케이션도구의유용성 1) 온라인비디오 (63% 의기업들이사용중 ) 2) Blogs(55% 의기업들이사용중 ) 3) RSS나웹 feed(51% 의기업들이사용중 ) 4) Podcats (43% 의기업들이사용중 ) 5) 소셜네트워크 (41% 의기업들이사용중 ) 이제웹애플리케이션보안은각기업이웹을통한콘텐츠및서비스를경쟁적으로제공하기시작하면서중요한주제가되었다. 그럼에도불구하고애플리케이션의취약점은보다심각한문제로동일한취약점이지속적으로발생하고있다. 개발자들로인해발생하는전형적인취약점들을통한사회공학적위협은계속적으로증가하고있으며사회공학이향후 10년동안단일위협중가장큰보안위협이될것 [6] 으로전망되고있다
9 2.1.1 웹애플리케이션보안대두배경 현재 IT환경은소프트웨어의규모는점차커지고복잡해지고요구되는개발기간은짧아지고있는상황으로변하고있으며정보보호의현실은공격기술이정보보호기술보다앞서있는상황이다 [14]. 손쉽게구할있는해킹툴과다양한정보수집경로와법적근거미비를근간으로전문적이고상업화된사이버범죄는계속증가하고있다 [ 그림 1]. 실제웹사이트를모방한피싱웹사이트를개설할수있도록도와주는여러스크립트를제공하는피싱툴킷과 Mpack( 분산맬웨어공격키트 ) 이거래되고있다. 보안문제및위협상황은위협은조직화 (Systematization), 은닉화 (Stealth), 분산화 (Distributed), 에이젠트화 (Agent), 자동화 (Automation) 되고있어정보보호기술의진전만으로는해결하기어려운상황에이르렀다. [ 그림 1] 툴킷을이용한공격의전문화및상업화추이변화 [1] 웹클라이언트에서이용가능한 VB Script 과같은프로그래밍언 어및자바애플릿과 ActiveX 컨트롤등의개념이지속적으로생겨나고있 다. 공격자는이를통해다양한방법으로웹애플리케이션을통한악성코 - 3 -
10 드유포, 기밀정보취득등을시도하고있고웹애플리케이션환경은이에 좋은환경을제공하고있다. 첫째, 보안에대해거의혹은전혀고려하지않는소프트웨어개발프로세스이다. 대부분의시스템과웹애플리케이션소프트웨어는보안원칙이나소프트웨어공학, 상식따위는도외시하고개발되고있다 [2]. 둘째, 보안문제는전문가의영역으로생각한다. 개발자는일반적인취약점에주의를기울이지않고프로그램을구현한다. 소프트웨어개발사나프로그래머, 일반사용자의보안가이드라인없이구현을마친후혹은다른비즈니스요구사항을구현한후에수행하는것으로여겨지기도한다 [2]. 셋째, 웹애플리케이션의보안문제를피하는법에대한교육은대부분이간과되고있다. 웹개발자는고객데이터가인터넷의잠재적인위험으로부터어느정도보호를받아야하는지에대해적절한수준을알필요가있다 [2]. 의료분야의경우고객프라이버시를보호하기위해안전한웹애플리케이션을제공해야할매우중요한책무를지녔음에도불구하고코드상의결함으로환자에대한개인병력기록이인터넷에노출된다면그결과는어떠할지짐작할수있을것이다. 넷째, 기본컨트롤은물론, 메신저, 동영상및음악플레이어, 온라인게임설치프로그램, 공인인증서, 보안프로그램등에서사용되는 ActiveX 컨트롤등의써드파티소프트웨어에존재하는취약점이다. 2007년웹브라우저의플러그인취약점을통한악성소프트웨어감염경로로사용되었고 2007년상반기동안, 브라우저플러그인에관련된 237개의취약점이발견되었으며 2006년에비해 129개가증가하였고 2006년하반기에 58% 비해 31% 증가한 89% 의브라우저플러그인의취약점의 ActiveX에관련되었다 [1]. 다섯째, 다양한정보수집경로를통해 HTML등스크립트언어로누구나쉽게프로그래밍할수있게되었다. 그만큼웹개발자가되는것은어렵지않는상황이다. 웹애플리케이션이나오기이전, 컴퓨터프로그램을하는것은상당히많은노력과기술을필요로했다. 서버개발자는사용자가필 - 4 -
11 요로하는전체로직을구현한코드 (C/C++) 를작성, 컴파일하여실행파일을만들어냈다 [3]. 반면웹애플리케이션개발에사용되는스크립트언어는편집기사용할수있다면누구나간단한작성만으로웹페이지를생성할수있고그만큼해커가공격할수있는논리적인오류를포함할가능성이증가한다. 웹애플리케이션해킹은주로시스템이아닌애플리케이션의논리적오류를공격하는것이기때문에공격이어렵지않다. 더욱이웹애플리케이션해킹에필요한도구는웹브라우저와로컬프록시툴정도에불과하기때문에인터넷을사용할수있고웹브라우저를띄울수있는곳에서누구나마음만먹으면해킹이가능하다 웹애플리케이션보안취약점 [3] 인터넷이실제로비즈니스를운영하는데있어서매우편리하면서도위험한매체이다. 웹애플리케이션의피싱과인증, 승인등의취약한권한확인으로인한개인정보보호위협, 신원도용, 시스템훼손, 데이터변조파괴이에따른금융손실과손실로인한법적소승에따른신뢰성, 평판하락, 기업의존립위기까지갈수있다. 실제로취약점을이용한악의적인수법은어렵지않게실행할수있다. (1) 크로스사이트스크립팅 (XSS) XSS 취약점은콘텐츠를암호화나검증하는절차없이사용자가제공하는데이터를어플리케이션에서받아들이거나, 웹브라우저로보낼때마다발생한다. XSS는게시판이나웹메일등에악의적인스크립트를삽입하여스크립트를실행할수있게허용함으로써사용자의세션을가로채거나, 웹사이트변조, 악의적인콘텐츠삽입, 피싱공격행위를할수있다. 악의적인스크립팅으로사용자의사용을방해하거나쿠키및기타개인정보를특정사이트로전송한다. 사이트주소창에정확한주소를입력하여도 - 5 -
12 사용자자신도모르게해커의서버로접속되는방식으로호스트파일을변조하는방법으로금융기관인것처럼위장된웹사이트를통해이용자들의개인정보를탈취하는수법으로피싱공격자들이블로그, 미니홈피의소셜네트워크사이트를통한공격대상은더욱증가하고있다. (2) 인젝션취약점 SQL, LDAP, Xpath, XSLT, HTML, XML, OS 명령어인젝션중웹애플리케이션에서는일반적으로 SQL 인젝션취약점을이용한공격이많다. 웹애플리케이션에의도적으로 SQL문을삽입하여로그인인증과정을우회하거나공격자의악의적인쿼리문을 DB에보내거나검사루틴을우회할수있다. 인젝션취약점은해커가애플리케이션에이용가능한임의의데이터를생성하고, 읽고, 갱신, 삭제를허용한다. 만약데이터베이스의구조를알고중요테이블을삭제한다면애플리케이션은사용할수없고시스템은다운되고만다. ID/PASSWORD 우회 Select userdata From User Where Userid='' or TRUE SQL 삽입공격 Select userdata From User Where Userid='' ; Insert into User (Userid, UserPWD) value ('kjs','1234') -- 'and password='' Drop Table Select userdata From User Where Userid='' ; drop table User -- 'and password='' (3) 악성파일실행 사용자가올린각종파일에대한신뢰성을검증하지않아파일이 - 6 -
13 름이나파일을받는모든웹애플리케이션은악의적인파일실행에취약할수밖에없다. 웹애플리케이션은미디어파일의제작, 배포가용이한환경으로 UCC를통한악성코드또는스파이웨어을배포하는또하나의채널이되고있다. 포탈사이트의유명블로그에악의적인코드를담고있는파일을서버에올리고이를클릭한이용자는해당게시물을보거나실행시키는것으로각종위협에노출되게된다. (4) 불안전한직접객체참조 웹애플리케이션이사용자의파라미터값을검증하지않을경우이를악용웹서버로전달되는매개변수 (Parameter) 값조작에의해애플리케이션이비정상적으로동작하게한다. 예를들어, 코드가특정파일이름이나경로를사용자가입력하도록되어있다면, 공격자는애플리케이션의다른디렉터리정보를이동하여다른리소스에접근할수있다. 또한매개변수를추측하거나다른유효한키를찾아서공격할수있다. 매개변수의키값이연속적인경우가많기때문에애플리케이션의권한없이도간단히매개변수를원하는값으로변경할수있다. URL 의매개변수변조전 patientid= URL의매개변수변조후 patientid=* patientid 의 의매개변수에 * 으로값을변조함으로등록된모든개인의정보가나오는결과를초래했다. (5) 크로스사이트요청변조 - 7 -
14 기존 HTTP 요청 GET, POST방식으로인해정보노출로공격에노출된다. 예로은행자금이체요청이페이지상에노출됨으로서이체금액, 계좌번호가위, 변조될수있다. 쿠키에포함된사용자정보를조작하여인증을위회한공격한다. 만약이공격이실제은행이체작업시변조된다면크나큰혼란을초래할것은당연할것이다. <img src=" frmacct&toacct=434573&toswfiftid=433343&amt= > (6) 정보유출및부적절한오류처리 애플리케이션은다양한문제들을통해의도하지않게구성, 내부작업에대한정보를유출하거나개인정보를침해할수있다. 데이터베이스예외처리오류로인한데이터베이스질의문을노출함으로데이터베이스관련구조가노출되는등상세한에러메시지나디버그관련에러메시지들을통해서내부상태에대한정보를유출한다. (7) 취약한인증및세션관리 취약한인증및세션관리는사용자나관리자계정을가로챌수있어개인정보침해를유발한다. 웹상에서의사용자인증은전형적으로사용자아이디와패스워드를사용한다. 상당수의계정및세션관리취약점들은사용자계정혹은시스템관리자계정의침해로이어질수있다. 모든인증자격증명 (credential) 과세션구분자가 SSL(Secure Sockets layer) 을이용하여지속적으로보호되고, 크로스사이트스크립팅등다양한취약점에노출되지않도록보호되지않으면, 공격자가손쉽게다른사용자의세션을가로챌수있으며, 다른사용자를가장하여접속할수있다
15 (8) 불안전한암호화저장 대부분의웹애플리케이션은데이터베이스나파일시스템상에패스워드, 신용카드정보, 계좌정보, 혹은자체적인정보의민감한정보를저장할필요가있다. 많은경우이런민감한정보를저장하기위해암호화가사용된다. 현재암호화를사용하고구현하기가상대적으로쉬워졌으나, 개발자들은여전히웹애플리케이션에암호화기술을통합할때많은실수를저지르고있다. 개발자들은암호화기술을사용함으로써사이트의보안수준을과대평가할수있으며, 이로인해사이트의다른측면을보안하는일에는충분한주의를기울이지않을수있다. 2.2 사회공학 일반적으로사회공학은사람들의심리적, 사회적관계를이용해사기를치는아주오래된수법으로서사회공학이란용어가새롭고어렵게느껴질뿐결코새로운것이아니며우리곁에서는빈번히일어나고있는현상이다. 컴퓨터공학에서의사회공학 (Social Engineering) 이란 기계적인조작보다사람에의한조작이기업이나소비자들의보안시스템을성공적으로파괴시키는행위 로기술을이용한인위적인사기행각을사용자가인식하지못한상태에서링크를눌러보게하거나첨부를열어보게하는방식으로범죄에말려들도록현혹시키는수법이다. 사회공학은해킹보다더욱심각한문제로원래사람이란예측불가능한데다조작이나설득에걸려들기쉬운점을악용한다. 보안침해피해를당했으며지속적으로당할가능성이있는대다수경우는기술적인해킹이나크래킹때문이아니라사회공학에기인한것하고있다 [6]. 최근에피싱 (Phishing), 파밍 (Pharming), 문자메시지를이용한스미싱 (SMiShing), 불특정다수에게전화를걸어개인 - 9 -
16 정보를빼내는비싱 (Vishing) 등사회공학적위협이증가하면서사회공학에대한관심도높아지고있다. 현재다양하고정교해진보안장비로기술적침입이어려워지고있어해커들이특별한기술이나지식없이도쉽게사용할수있는사회공학이보안에있어향후그어떤것보다심각한문제가될것이다 사회공학기법의공격흐름 [7] [ 그림 3] 사회공학기법의공격흐름 (1) 정보수집 (Information Gathering) 공격자는제일먼저공격대상과관련된가족관계, 직장생활그리고사회모임등의개인적이거나사회활동등관련한다양한정보수집을시도한다. 직접적인관찰을통하여기업내수행업무, 전화통화내역등을어깨너머로훔쳐보면서 (Shoulder surfing) 관련정보를수집하거나공격대상이가정또는직장에서무심코버리는메모지, 영수증등을휴지통에서수거 (Dumpster Diving) 한다. 설문조사 (mail-outs) 를통해개인적인취미, 흥미, 가족사항등사회활동과관련된다양한정보를수집한다. 사용컴퓨터에직접또는간접적인접근을통해해당컴퓨터에있는다양한문서, 웹사이트방문기록등온라인상에서의활동과관련된다양한정보를수집
17 (forensic analysis) 하거나, 인터넷 (Internet) 의다양한검색엔진을통해공격 대상에관한개인정보및사회활동정보를수집한다. (2) 관계형성 (Developing Relationship) 공격자는정보수집단계에서수집된정보를바탕으로공격대상에서자신의본모습을숨기고다른누군가로위장 (Masquerade) 하여접근하여공격대상이가질수있는경계심을없애고신뢰감을형성한다. 다음직장상사나정부기관의고위공무원등중요한인물 (Important User) 로가장하여그가요청하는사항을쉽게거부또는거절하지못하게하거나도움이필요한인물 (Helpless User) 로위장한다. 공격대상의도움이절대적으로필요한인물로위장하여반드시도와줘야한다고생각하게만든다. 기업내, 외부의컴퓨터시스템또는관공서등의지원부서인물로위장하여공격자는공격대상에게현재심각한문제가있음을알리고이를해결하는데자신이도움을줄수있는인물지원인물 (Support Personal) 로가장한다. 공격자가공격대상모르게미리특정한문제를유발시킨후공격대상이자발적으로공격자에게도움을요청하도록만드는기법으로공격자는특정문제를해결함으로써공격자를신뢰할수있는좋은사람으로쉽게판단할수있게만든다. (3) 공격 (Exploitation) 수집한다양한정보들을바탕으로공격대상과충분한신뢰감을형성하였다고판단할경우진행된다. 신뢰감형성후공격자는자신의특수한목적을이룰수있는사항을공격이라는단계에서공격대상에게사소한요청에서큰요청을하게된다. 감정에호소하여요청사항을거부하지못하도록하고공격자는공격대상에게자신의특수한목적을수행할요청사항을이야기할때의견대립등다른문제가발생할경우신속하게공
18 격대상과타협하거나양보하여의견대립을회피한다. (4) 실행 (Execution) 공격자는확보한유형또는무형의자산을이용한실질적목적을 수행하여실질적인피해가발행된다 사회공학해커가사용하는주요공격경로 해커가손쉽게이용하는주요공격경로는전자메일, 인스턴스메시지, 유선, 무선전화, 쓰레기통, 폐기된미디어장비, 친분, 지위를가장한개인적인접근, 공격대상모르게미리특정한문제를유발시킨후공격대상이자발적으로공격자에게도움을요청하도록만드는기법 ( 역사회공학 ) 을통한다 온라인위협 연결성이점차증대되는비즈니스세계에서직원은회사내부및외부에서전자적으로들어오는요청및정보를사용하고이에대응하고해커는이러한연결성을통해인터넷의상대적익명성을사용하여직원에게접근할수있다. (1) 전자메일위협 전자메일을사회공학도구로사용하는방법은최근 10년동안특별한기술로이용되어왔다. 피싱은전자메일을사용하여사용자로부터개인 ID 또는제한된정보를얻는것을말한다. 해커는은행또는파트너회사등유효한조직으로부터전송된것처럼보이는전자메일을보낸다
19 [ 표 2] 온라인전자메일공격및손실 공격목표설명손실 회사정보도용재정관련정보도용맬웨어다운로드해커소프트웨어다운로드 해커가내부사용자로위장하여회사 정보를획득한다. 기밀정보 해커가피싱기술을사용하여계정자금 비즈니스신뢰성 세부정보와같은회사기밀정보를기밀정보 요청한다. 해커가사용자를속여첨부파일을 비즈니스신뢰성 열거나하이퍼링크를클릭하게함으비즈니스신뢰성 로써회사네트워크를감염시킨다. 해커가사용자를속여첨부파일을 열거나하이퍼링크를클릭하게함으리소스 로써회사네트워크리소스를사용하비즈니스신뢰성 는해커프로그램을다운로드하게한자금 다. (2) 팝업응용프로그램및대화상 사용자가대화상자내부에있는버튼을클릭하도록유도하는방법에는실제와같은운영체제오류메시지또는응용프로그램오류메시지를표시하는등문제를경고하는방법과사용자의컴퓨터속도를향상시키는무료다운로드프로그램등의방법을사용한다. [ 표 3] 온라인팝업및대화상자공격과손실 공격목표설명손실 개인정보도용 해커가조직구성원의개인정보를기밀정보요청한다. 자금 ( 직원구성원 )
20 자금맬웨어다운로드해커가사용자를속여하이퍼링크를비즈니스가용성클릭하거나첨부파일을열게한다. 비즈니스신뢰성리소스해커소프트웨어해커가사용자를속여하이퍼링크를비즈니스신뢰성다운로드클릭하거나첨부파일을열게한다. 자금 (3) 인스턴트메시징 (Instance Messaging) 메신저의활발한사용으로비즈니스에서꼭필요한도구로널리사용되고있다. 사용자가 IM을전화처럼생각하고컴퓨터소프트웨어위협이존재하고있다는사실을인식하지못하기때문에 IM은특유의즉시성과친숙함으로인해사회공학공격을위한최대의사냥터가되고있다. 주요공격으로는 IM 메시지내맬웨어링크전달과실제파일전달은물론, IM을단순히정보를요청하기위한수단으로사용하기도한다. 사회공학의측면에서볼때 IM의비공식적특성으로의심스러운이름이나거짓이름을지정할수있다는사실을비롯하여현재의대화상대자가자신이알고있는해당당사자임을 100% 확신할수없다. 이로인해다른누군가를가장할 (spoofing) 가능성이커지게된다. [ 표 4] 인스턴트메시징공격및손실공격목표설명손실회사기밀정보해커가 IM spoofing을통해동료로기밀정보요청위장하여비즈니스정보요청비즈니스신뢰성해커가사용자를속여첨부파일을맬웨어다운로드비즈니스가용성열거나하이퍼링크를클릭하게하여비즈니스신뢰성회사네트워크를감염
21 해커가사용자를속여첨부파일을열거나하이퍼링크를클릭하게하여리소스해커소프트웨어메일엔진과같이회사네트워크리비즈니스신뢰성다운로드소스를사용하는해커프로그램을자금다운로드하게한다 전화기반위협 전화는사회공학해커에게고유한공격경로를제공한다. 대부분의컴퓨터시스템을위한통신옵션은 PBX(Private Branch Exchange) 나공중전화박스에서신용카드나전화카드의 PIN( 개인식별번호 ) 을도용하는방법이있다. 이공격의대상은대부분개인이지만회사신용카드도유용한대상이되기도한다. 대부분의사람들은 ATM을사용하는경우엿보는사람이없는지잘살피지만, 공중전화박스에서비밀번호를사용하는경우에는이러한위험에덜조심한다. VoIP (Voice over Internet Protocol) 를도입하는회사의수가갈수록늘고있으므로지금의전자메일이나 IM spoofing처럼 VoIP spoofing도널리확산될가능성이높다. (1) PBX(Private Branch Exchange) PBX공격의주된목표는대체로합법적인사용자로위장하여전화시스템자체에액세스하거나컴퓨터시스템에대한원격액세스권한을얻기위해정보를요청하거나무료전화사용에대한액세스권한을얻는다. 마지막으로통신네트워크에대한접근권한을얻고자한다. [ 표 5] PBX 공격및손실 공격목표설명손실
22 회사정보요청전화정보요청 PBX를통해컴퓨터시스템에액세스 해커가합법적인사용자로위장하여기밀정보를취득한다. 해커가전화엔지니어로위장외부로전화를걸기위해 PBX에대한액세스권한을획득해커가 PBX를통해컴퓨터시스템을침투하여정보를도용또는조작하거나맬웨어로감염시키거나리소스를사용 기밀정보비즈니스신뢰성리소스자금 (2) 서비스데스크 서비스데스크또는지원센터는해커에대응하는주된방어선중 하나지만, 역으로사회공학해커의목표가되기도한다. [ 표 6] 서비스데스크전화통신공격및손실 공격목표설명손실 정보요청 액세스요청 해커가합법적인사용자로위장하여비즈니스정보를취득해커가합법적인사용자로위장하여비즈니스시스템에대한보안액세스권한을취득한다. 기밀정보기밀정보, 비즈니스신뢰성, 가용성, 리소스, 자금 폐기물관리위협 휴지통뒤지기 (Dumpster Diving) 는공격대상이가정또는직장에 서무심코버리는메모지, 영수증등을수거하여정보를수집한다. 비즈니 스관련폐기문서는삭제된계정번호및사용자 ID 와같은해커에게즉각적
23 인도움을제공하는정보가포함되어있거나전화번호목록및조직차트와같은배경정보를제공하게된다. 공격을개시할때해커를신뢰할수있는사람으로보이게해야하므로사회공학해커에게는매우중요하다. 예를들어, 대부분의직원은회사에대한많은정보를알고있는사람을합법적인직원으로생각하기때문에해커가회사부서의직원에대한충분한지식을가지고있는것처럼보인다면접근하기가보다수월할것이다. [ 표 7] 폐기물관리공격및손실 공격목표 설 명 손 실 외부쓰레기통에해커가외부쓰레기통에버려진종이기밀정보 들어있는폐지 에서필요한회사정보를취득 비즈니스신뢰성 해커가외부폐기관리에관한모든내부쓰레기통에기밀정보관리지침을통과하고내부사무실들어있는폐지비즈니스신뢰성쓰레기통에버려진종이를수집 폐기된전자 미디어 해커가버려진전자미디어에서정보기밀정보및응용프로그램을확보. 해커가미리소스디어자체도훔쳐간다. 비즈니스신뢰성 개인적접근방법 해커에게있어가장간단하고쉽게정보를얻을수있는방법은직접물어보는것으로가장많이사용되고있다. 권위자로가장하여대상에게요청을따르도록강요 ( 협박 ) 하거나칭찬과유명인의이름을언급 (name dropping) 하여설득한다. 하급직원또는동료직원과신뢰관계를쌓아환심을산다음해당대상으로부터정보를빼내기도하고해커가대상에게도움을제공 ( 지원 ) 함으로대상은도움을받음으로써해커가대상의 ID를도용할수있도록개인정보를누설하게한다. 이접근방법은다소
24 미숙하고노골적으로보일수도있지만지금까지발생한신용사기의기초 가되고있다. (1) 물리적접근방법 해커에게있어흔하지는않지만효과적인방법은대상과직접개인적으로접촉하는것이다. 모바일기술의사용률이높아지면서사용자는이동할때나집에있을때에도회사컴퓨터에자유롭게연결할수있게되었으며, 이는회사 IT리소스에또하나의커다란위협이되고있다. 이경우해커가열차에서모바일컴퓨터사용자의어깨너머 (Shoulder surfing) 로주시하며사용자ID 및암호를알아내는가장단순한관찰공격에서부터카드판독기또는라우터업그레이드를배달및설치하러온서비스엔지니어가사용자ID와암호를묻거나커피한잔을부탁하는방식으로비즈니스네트워크에대한액세스정보를습득하는복잡한공격에이르기까지다양하다. 이러한공격유형중에는다른사람이회사에서비용을지불하는대역폭을사용하여보호되지않은무선 LAN을통해인터넷에액세스하기도한다. [ 표 8] 물리적액세스공격및손실 공격목표설명손실 해커가합법적인사용자가컴퓨터 모바일 ID 도용 사용자 에로그온또는기타세부정보를입력하는것을관찰한다. 물리적컴퓨터장비의도난보다이러한 기밀정보 도용이먼저발생할수있다. 재택근무 자 ID 도용 사용 해커가 IT 지원작업자또는유지 관리파트너로위장한후업그레 이드가제대로이루어졌는지테스 기밀정보
25 재택근무사용자 ID도용, 재택근무자네트워크를통해네트워크에직접연결재택근무자네 트워크에지속적으로액세스회사사무실에무단출입개인회사사무실에액세스 트하기위해사용자 ID 및암호를요청하여재택근무자네트워크에대한액세스권한을얻는다. 해커가지원엔지니어로위장하여재택근무자네트워크를통해회사네트워크에액세스또는회사리소스에자유롭게액세스한다. 해커또는로컬사용자가보안되지않은홈네트워크를통해광대역인터넷에액세스한다. 해커가정식직원을뒤따라회사사무실로들어가기를시도한다. 해커가파일캐비닛과같은서류자료나컴퓨터장비를사용할수있는개인사무실에액세스한다. 비즈니스가용성리소스자금리소스기밀정보, 비즈니스신뢰성, 가용성, 자금, 리소스기밀정보리소스자금
26 제 3 장웹애플리케이션취약점에따른 사회공학위협사례 아래의사례는사회공학적위협요소로인해 H/W 또는 S/W로완벽한보안을구현했다할지라도보안침해사고는사회공학적기법을이용하여다양하게일어나고있음을나타낸다. 외부자에의한기술적인해킹, 물리적침입, 내부자에의한유출등다양한경로로발생할수있고보안상의문제는기업또는개인의기밀정보유출, 시스템파괴, 법적분쟁, 신뢰도하락등의다양하고직접적인피해가발생된다. 3.1 금융피해사례 전문적인기술력으로직업적해커등이등장하여돈을목적으로 한범죄가계속적으로증가되고있다 사례 1[8] 스웨덴의은행인 Nordea는 700~800만스웨덴크로나 ( 한화약 10 억 4,4천만원 ) 를고객의인터넷뱅킹정보를빼낸범죄조직이이체해갔다. Nordea은행은지난 15개월동안 250명의고객들이맞춤형트로이목마가숨어있는이메일공격을받았다고밝혔다. 이공격은 Nordea은행이름으로일부고객들에게보내진맞춤형트로이목마로시작됐다. 발신자는고객들에게 스팸퇴치 프로그램을다운로드하도록권했다. 첨부파일을다운로드한사용자들이트로이목마에감염됐고사용자가 Nordea 온라인은행사이트로로그인하려고하면작동이된다. 은행은사용자들이가짜홈페이지로들어가중요한로그인정보를입력했다고전했다. 사용자들이정보를입력한뒤사이트에기술적인문제가발생했다는오류메시지가나타난
27 다. 그다음범죄자들은몰래알아낸고객상세정보를사용해실제 Nordea 웹사이트에서고객계좌에서돈을인출한것이다. 피해를입은대부분의사용자들은안티바이러스프로그램을사용하지않았다고한다. 이은행의피해사례는보안절차의결함이아닌은행강도가성공적으로사용한사회공학기술이다 사례 2[9] 2007년초에국내유명은행의인터넷뱅킹사이트를모방한가짜홈페이지에접속한이용자 5천여명이개인정보와보안카드비밀번호를의심없이입력하였으며이들의공인인증서가고스란히해킹당했다. 이들피싱사이트는중국에주소를둔서버임이밝혀졌다. 또국내의한외국계은행사이트에서도온라인신용카드결제대행시스템해킹을막지못해이용자정보가유출되었다. 이중 20여명의계좌에서약 5천만원이무단결제되었다. 3.2 개인정보유출사례 은행의전자시스템, 공공기업의전자민원서비스등과관련된개인정보의수집ㆍ사용이증대되고있다. 다양한형태로수집된개인정보로프라이버시의침해가능성또한높아지고있는가운데기업의낮은보안의식과기술적인결함등으로인해개인프라이버시가침해당하고정신적, 물리적손해가발생하는심각한사회문제가되고있다. 안전할것같다고믿는정부기관과대기업또한치명적인보안결함에노출되어있다. 웹개발자의보안이배제된웹애플리케이션을사용함으로서비즈니스애플리케이션을사용하는고객데이터가인터넷의잠재적인위험에무방비한상태에놓이게됐다. 보안을고려치않은코드는사이버상에서직접적인피해로연결된다
28 3.2.1 사례 1[10] 2006년 8월구직자들의해외취업을돕기위해나선공공기관이홈페이지에구직회원약 2천명의신상정보가인터넷에노출됐다. 서울시산하서울산업통상진흥원은 2006년 8월해외취업정보영문홈페이지를개설하고채용을원하는외국회사들이회원 2010명이등록한이력서를쉽게검색할수있도록했다. 문제는외국회사들뿐만아니라로그인하지않은일반인들도구직자들의이력서를검색할수있게하면서구직자들의이름과전화번호, 주소, 그리고학력과자기소개서등과같은누군지충분히식별할수있는민감한부분까지노출되었다. 개발자의사소한실수는결국간단한검색만으로도개인정보의수집을가능하게했다. 특히개인이등록시자신의정보를 비공개 로설정했더라도검색결과에는똑같이노출되었다. 정보통신부로부터사실통보가있기전까지이에대해서울산업통상진흥원은구직자개인정보노출사실을전혀몰랐다고한다 사례 2[11] 롯데그룹계열편의점업체인세븐일레븐이허술한보안시스템으로인턴지원자들의개인정보를약한달간세븐일레븐인턴지원자 1281명의이름과이메일, 주소, 연락처, 주민등록번호, 학력등지원서류에적힌내용들이검색사이트구글에고스란히검색됐다. 개인정보노출사고는구글의검색로봇이세븐일레븐의인덱스페이지까지접근한것을세븐일레븐이차단하지못한데서비롯됐다. 세븐일레븐은한달동안이같은사실을인지조차하지못한채정보통신부로부터사실을통보받아수습에나섰다. 세븐일레븐은사고가발생하기전부터보안문제가지적되어홈페이지개편작업을진행해오는과정에서보안설정을잠시해제함으로써보안상의허점이개인정보유출로이어졌다. 이번사고에앞서 2006년 9월에는 LG전자와포스코, KTF, 동부그룹등대기업들의입사지원자정보가무더기로빠져
29 나가는등개인정보관리허점이계속드러나고있다. LG 전자의경우 168 명의입사지원자들이자기소개서유출과관련해 LG 전자를상대로약 33 억 6 천만원의집단손해배상청구소송을내기도했다. 3.3 기밀정보유출 내부인력또는영향력있는관계자에따라내부기밀정보가빠져 나갈수있음을제시한다 사례 1[12] 2006년 11월, 암호로보호된 PeopleSoft 와 J.D 에드워즈고객전용의고객지원사이트에서 SAP 지사와 SAP 산하의투머로우나우에의해고객정보가유출됐다. 오라클이문제의고객지원사이트를조사한결과, 지원및보수계약이종료되었거나곧종료될고객리스트를 1만건이상부정한방법으로다운로드한것이확인되었다고한다. SAP가 2005년에인수한투머로우나우는 PeopleSoft와 J.D 에드워즈유저들에게고객지원및보수서비스를제공하고있다. 오라클이 2005년에 PeopleSoft와 J.D 에드워즈를인수한후부터 SAP는투머로우나우와고객을끌어들이기위한거대캠페인을시작했다. 오라클에의하면 SAP의직원이가짜이메일주소, 유저이름, 전화번호를사용한다수의 PeopleSoft와 J.D 에드워즈의고객 ID를사용해고객지원시스템에부정한방법으로접속했다. 오라클은불법적으로사용된계정들이고객들에게주어진권한을넘어서소프트웨어나지원자료에접근하는데이용되었다. 1999년, SAP는라이벌 Siebel Systems를상대로소송을진행했다. 이소송은 Siebel이 SAP의주요직원 27명을스카우트해냈을때, SAP는기업비밀이 지적으로 유출되었다고주장했다. 조사그룹의사무실로부터나온쓰레기를환경미화원으로부터구입하려고했었다고한다
30 3.3.2 사례 2[13] 행자부의 ' 행정정보공동이용시스템 ' 은국정원등다른국가기관이 ID만있으면외부접근이가능하고, ' 지적정보센터시스템 ' 은주전산기가대전통합전자센터에있기때문에, 지적담당자의승인없이접근이어렵다. 그런데, 국정원의경우에는지적팀담당자가국정원시스템에서대상자료를수령하여자료추출작업후, 그결과자료를국정원시스템에수록해줌으로써국정원직원에게지적정보시스템의 ID와비밀번호를부여할필요가없게된다. 국정원직원에게 ID나비번을제공하지않아도대상인원에대해서무슨사유로자료를요구했는지확인조차하지않고서자료를 ' 통째 ' 로넘겨주기때문에, 굳이국정원에 ID나비밀번호를부여할필요가없다. 국가기밀정보를수집관리하는국정원이어떤자료, 누구를추출하려고하는지행자부지적담당공무원은전혀모르는상태에서유출되고있는것이다. 국정원이독자적으로또는부처협조를받아서 14개기관 17개항목에걸친개인정보를전산망을통해입수할수있는사실이확인되었다. 국정원은각분야에영향을미칠수있는인적 물적정보등의내용이수록된자료나통신정보전기통신수단에의하여발신되는통신을수신 분석하여산출하는정보등그야말로국가내에모든자료에대해서수집해서관리될수있도록하는초헌법적인규정이다른기관협조없이도국정원단독으로모든자료의접근이가능하다
31 제 4 장정보보호인식조사 애플리케이션의보안과관련된주제는전혀새로운것이아니다. 개발자, 보안전문가등을포함많은관련자들은수십년간에걸쳐이문제를알고있지만다양한이유로인해주요소프트웨어개발프로젝트는여전히동일한실수를반복하고있다. 이는고객의보안뿐만아니라인터넷전체를위태롭게하고있다. 이에설계상으로부터애플리케이션의해당취약점으로인한사회 공학적위협에인터넷사용자들의노출정도와위협, 정보보호인식정도를 설문조사를통해알아본다. 4.1 정보보호인식조사설문실시계획 설문조사대상 본논문에서기업또는개인의보안인식에대한자료를수집하기 위하여월 1 회이상인터넷사용자를대상으로하였다 조사내용 정보보호인식정도 기업내정보보호정책정도 보안에대한교육정도
32 4.1.3 설문조사표본크기및기간 설문지는 2007 년 11 월 5 일 ~ 9 일까지총 5 일간 100 부를인천에거 주하는 20 세이상 50 세이하의개인용 PC 를통해인터넷을이용하는사용 자로서이메일또는면담조사를실시하였다. 4.2 정보보호인식조사현황 정보보호인식조사결과를개인정보중요성, 웹애플리케이션정 보보호의중요성, 정보보호제품이용, 개인정보요청, 정보보호정책수립 정도로분류하여분석한결과를나타낸다 개인정보중요성 응답자중모두가정도의차이는조금씩있지만개인정보가민감하고중요하다는것을인지하고있었고웹사이트이용시개인정보누출이우려된다는응답자가 65% 를차지했다. 이중웹사이트의명의를도용당한적이있어불안하다고답했다. 또한웹사이트의개인정보관리정책에대한우려가응답자중 59% 나되었다. (1) 개인정보중요성인지도 거의대부분의 (98%) 의응답자가인터넷이용시개인정보보호의중요성 을인식하고있었다. 응답자별응답자의회사규모가클수록정보보호가 매 우중요하다 하다라고응답하였다
33 매우중요 54% 보통 13% 중요 33% [ 그림 4] 개인정보중요성인지도 (2) 웹사이트이용시개인정보가능유출불안 매우불안 10% 불안 13% 보통이다 42% 전혀그렇지않다 11% 그렇지않다 24% [ 그림 5] 개인정보가능유출불안 (3) 웹사이트의개인정보관리만족여부 응답자중이름있는웹사이트이용시정보보안정책에대한만족도와 개인정보관리에대한만족도가높았다
34 매우그렇다 6% 그렇다 9% 전혀그렇지않다 4% 그렇지않다 28% 보통이다 53% [ 그림 6] 웹사이트의개인정보관리만족여부 (4) 개인의정보보안인식정도 응답자스스로판단한개인의정보보안인식은정보보안의식이높다 29% 로보안교육을최소 1 회이상받은응답자가대체로정보보안에대해 알고있다고답하였다. 매우그렇다 9% 그렇지않다 19% 그렇다 20% 보통이다 52% [ 그림 7] 개인적인정보보안의인식정도 웹애플리케이션정보보호의중요성인식 거의대부분 (98.2%) 의응답자가인터넷이용시정보보호의중요 성에공감하고있으며, 정보보호가매우중요하다고하였고응답별특성별
35 로회사규모가작을수록정보보호를중요성을인식하는비율이낮은경향 을보였다. (1) 웹사이트사용시정보보호만족정도 설문자중과반수이상의응답자가웹사이트이용시정보보호에만족하지않고있었고그중응답자중명의도용등의개인정보피해를본적이있다고답하였다. 신용도용으로연결될수있는각종정보의유출은 46% 가도난, 손실로인한데이터유출사고가발생했으며해킹은 16% 에불과하다는통계 [1] 에서알수있듯이웹애플리케이션의정보보호는중요하다. 또한웹애플리케이션사용자들에대한정보보호정책, 방법등을알리고사용자가웹사이트이용시안전하다는확신을얻을수있어야한다. 매우그렇다 6% 그렇다 9% 전혀그렇지않다 4% 그렇지않다 28% 보통이다 53% [ 그림 8] 웹애플리케이션이용시정보보호만족정도 (2) 웹애플리케이션대한정보보호필요성 응답자중정보보호필요성이 69% 가중요하다고생각하고있었다. 신용카드, 신원정보, 온라인결제서비스, 은행계좌, 이메일암호가사이버 상에거래되고있는점을감안할때개인정보의유출은개인또는기업에
36 게막대한손실을입을수있다. 사용자역시이런내용을미리인지하고 안전한웹사이트를이용하는것이바람직하고웹애플리케이션이용시정 보보호가제대로적용되고있는지의관찰도매우중요하다. 매우중요하다 5% 전혀중요치않다 4% 중요치않다 27% 중요하다 64% [ 그림 9] 웹애플리케이션에대한정보보호의필요성 (3) 평판높은웹사이트이용시개인정보안전인식정도 유명포탈사이트이용시정보보안에인식정도는 66% 이상이안전할것이라고믿는것으로나타났다. 2007년상반기보고된사이버공격중 4% 가포춘 100대기업의 IP주소에서발생한것으로볼때아무리유명사이트라도보안을보장할수없음을의미하고사용자보안신뢰도가높다는데서나오는방심을악용하는만큼오히려더위험할수도있음을시사한다. 2007년상반기전세계보안위협동향을분석한결과, 봇ㆍ피싱ㆍ스팸좀비ㆍ웹해킹등사이버악성활동중 4% 가포춘 100대기업의 IP 주소에서발생했으며이러한웹사이트가감염되면해커들이악성프로그램을배포하는진원지로활용해 PC를감염시킬수있다고했다. 특히이방법은해커들이공격타깃을굳이찾아나서지않고도웹사이트접속을통해스스로공격에걸려들게할수있어더욱심각하다고한다 [1]
37 매우안전 13% 좀더안전할것이다. 13% 전혀그렇지않다 9% 그렇지않다 25% 안전하다 40% [ 그림 10] 평판높은웹사이트이용시개인정보안전인식정도 정보보호제품이용현황 (1) 정보보호제품이용현황 인터넷사용자들이주로이용하는정보보호제품은바이러스백신으로 55명의설문응답자중 52(96%) 명이사용하는것으로나타났다. 포탈사이트의메일이용시스팸메일차단기능이제공되고있어스팸메일차단이용률이 78% 로나타났다. 대체로개인방화벽사용은웹프로그램개발자등프로그램개발자의이용률이높았다
38 백신이용 개인방화벽사용 악성코드차단 스팸메일차단이용하지않음 이용자수 백분율 96% 41% 43% 78% 4% [ 그림 11] 인터넷사용자의정보보호제품이용현황 ( 복수응답 ) (2) 백신프로그램업데이트 백신프로그램이용은응답자중 94% 가백신을이용중이고이중자동설치가 31% 이고수동설치가 63% 이다. 백신업데이트를하지않는 6% 와수동설치 63% 의이용자는메신저사용, 메일, 각종사이트방문시바이러스에노출될가능성이그만큼높아질수있다. 또한수동인사용자는자동인사용자에비해백신프로그램을이용한바이러스검사를안할확률이높다
39 거의안함 6% 자동업데이트설정 31% 필요할때마다 63% [ 그림 12] 백신업데이트방법 (3) 보안패치적용여부 인터넷사용자중대부분 (87%) 이보안패치를설치하고있으며자동업데이트설정 (56%) 이절반을넘었다. 이중보안패치를하지않는경우 (13%) 와수동으로설치하는비율을 31% 로나타났다. 웹브라우저의플러그인취약점등마이크로소프트, 오라클등벤더에의해패치되지않은취약점이악성소프트웨어감염경로가되어보안패치를적용하는것은내정보를보호하는최소한의방법이다. 자동업데이트설정 56% 거의안한다 13% 필요할때마다 31% [ 그림 13] 보안패치업데이트방법
40 4.2.4 개인정보요청현황 응답자중 91% 가스팸메일을받아봤으며그중 67% 가이메일을열 어봤다. 의심되는메일을보게되는이유로호기심 (71%) 이가장많았고습 관적 (6%) 으로클릭한다는조사결과가나왔다. (1) 스팸메일수신 포탈메일시스템사용시기본스팸메일을필터링하지만필터링 시스템을교묘히빗겨가는방법으로여전히스팸메일을받을경우가높다. 응답자의 91% 가스팸메일을받아봤고그중 67% 가스팸메일을열어봄으 로써각종위협에노출될가능성이존재하였다. 없다 9% 스팸파일을받아본적이있다 91% 열어보지않음 33% 열어봄 67% [ 그림 14] 스팸메일수신여부 (2) 열어본이유 사회공학자들은고도의방법을사용하여메일을열어보게한다. 많은응답자들이호기심 (71%) 으로메일을클릭하였다. 스팸메일클릭시스팸광고 (44%) 가가장높았고임의의프로그램이설치 (25%) 되거나다른사이트로이동 (10%) 하는것으로나타났다. 호기심에무심코메일을클릭했을때첨부파일로인해악성코드에감염되거나컴퓨터의속도가현저히늦
41 어지는등의심각한문제가발생될수있다 호기심업무파일착각제목이궁금중유발습관적 [ 그림 15] 스팸메일열어본이유 (3) 개인정보요청 응답자중상사또는동료로부터개인정보요청을경험하였고 기타개인과관련없는사람들로부터인터넷, 전화, 기타적인방법으로 개인정보요청을받았다고한다. 아니오 61% 예 39% [ 그림 16] 개인정보요청
42 (4) 개인정보요청경로 개인정보요청경로는모르는사람일경우가다른경우에비해높게조사되었다. 익명성을기반으로한개인정보요청은이메일, 핸드폰문자메시지를통해다양한경로로요청된다. 주변사람은사용자와의친분을이용해개인정보를요청하기도하고개인정보도용, 위장, 납치를가장한제3자에의한경로로많은개인정보가유출되고있다. 사회공학의공격흐름중정보수집단계에서개인정보요청경로를차단하게된다면차후는범죄에노출되는위협을줄일수있게된다. 또한각종개인정보유출사례, 수법등에대한지속적인보안교육이매우필요하다하겠다 상사친인천동료기타 [ 그림 17] 개인정보유형 (5) 개인정보요청방법 익명성을요하는유선, 무선전화나인터넷을통한요청이많이사용되고사용자들또한메일또는전화의진짜출처를의심하지않고개인정보를제공한다. 현재메신저의사용이증가되면서 IM를통하여친구또는동료를가장한개인정보요청이늘고있다
43 방문 전화 인터넷 기타 (6) 메신저사용여부 [ 그림 18] 개인정보방법 응답자중 85% 의응답자가메신저를사용하여있다고조사되었다. 개인신상정보를빼내는스핌을이용한피싱 (Phishing) 사기에걸려들가능성이높음을의미한다. 최근공공기관이나백화점, ARS 등을사칭하는보이스피싱, 은행이나카드사에서보낸듯한메일을통한이메일피싱에이어, 인스턴트메신저의피싱을노리는스핌 (SPIM=SPAM & Instant Messenger: 인스턴트메신저를통한원하지않는광고성메시지 ) 이퍼지고있다. 메신저피싱은재미있는동영상이나뉴스를가장한 URL을통해전달된다. 메신저사용자가아무런의심없이해당 URL을클릭하게되면, 메신저의 ID와패스워드를입력하라는메시지가나타나고사용자가자신의 ID와패스워드를입력하게되면, 개인신상정보가유출되고만다 [15]
44 안한다. 15% 사용한다 85% [ 그림 19] 메신저사용여부 정보보호정책수립현황 설문응답자가다니고있는회사로컴퓨터가 1대이상인사업체보안정책이수립되었다는사업체는 38% 이고, 구축단계에있거나또는구축예정인사업체는 14% 이다. 그외사업체는기업규모, 비용, 인력등을이유로구축의사가없는것으로나타났다. (1) 정보보호정책수립현황 응답자가근무하는회사에보안관리자가있는경우 48% 였다. 중소기업에서보안관리자의업무는타업무와병행수행하는것이일반적이었다. 정책수립에서대부분온라인보안, 물리적보안정책을가장많이수립하였고사고대응모델, 폐기물관리, 전화보안, 서비스데스크보안정책수립은규모가작은기업일수록거의구축되지않은것으로나타났다
45 보안관리자여부 보안인식캠폐인 46% 50% 사고대응모델서비스데스크보안정책폐기물관리정책전화보안정책 30% 30% 30% 30% 물리적보안정책 온라인보안정책 46% 44% 0% 10% 20% 30% 40% 50% 60% [ 그림 20] 정보보호정책수립현황 (2) 정보보호정책구축단계또는구축예정현황 구축단계에있거나구축예정인기업체에서폐기물관리정책 (11%), 전화보안정책 (11%) 은많이고려되지않은것으로나타났다. 사회공학적위협경로중서비스데스크를통한전화또는개인유무선전화를통한피싱, 스미싱은꾸준히증가하고있다
46 보안관리자여부 보안인식캠폐인 15% 17% 사고대응모델 28% 서비스데스크보안정책 13% 폐기물관리정책 9% 전화보안정책 11% 물리적보안정책 7% 온라인보안정책 17% 0% 5% 10% 15% 20% 25% 30% [ 그림 21] 정보보호정책구축단계또는구축예정현황 (3) 정보보호정책미비원인 회사규모가작을수록보안관리인식이낮아 (31%) 정보보호의필 요성을느끼지못하고 (23%), 비용 (13%), 인력부족 (2%) 을이유로정보보호 정책을도입하지않는것으로나타났다
47 인력부족 2% 필요성느끼지못함 23% 중요문서나파일이외부에노출되지않음 2% 보안관리마인드부재 31% 비용 13% 0% 5% 10% 15% 20% 25% 30% 35% [ 그림 22] 정보보호정책미비원인 (4) 정보보호교육실시현황 정보교육을받은응답자는 38% 로자체교육또는사내교육의수시교육 (69%) 이고정기교육을하는업체는 31% 로나타났다. 정보교육실시 (38%) 의비중은대기업에종사하는응답자로기업의규모가작을수록정보보호교육의필요성을느끼지않는것으로나타났다. 아니오 62% 예 38% 수시 69% 정기 31% [ 그림 23] 정보보호교육현황
48 (5) 정보보호교육업무도움정도 정보교육을받은응답자 (38%) 중정보보호교육의업무도움정도는도움이된다는 37%, 그렇지않다 (10%), 교육받기전과별차이가없다 (53%) 로나타났다. 63% 의응답자가정보보호교육이업무에도움이되지않는다고응답한것을볼때조직원에대한정보보호대한필요성을알리고지속적인보안유지가왜중요한지에대한이해가먼저수반되어야함을알수있다. 매우그렇다 16% 전혀그렇지않다 5% 그렇지않다 5% 그렇다 21% 보통이다 53% [ 그림 24] 정보보호교육업무도움정도 4.3 정보보호인식조사결과 정보보호에대한인식은모든조직과주체가당연히기업활동의중요요소로체계적인보안통제가이뤄져야하나많은기업들이보안필요성을인식하지못하고안일하게대응하고있었다. 특히나비용, 인력부족등의이유로보안정책을구축할의지가낮았음을알수있었다. 규모가큰기업일수록정보보호정책을수립하는보안통제가이뤄지고있는반면규모가작을수록정보보호필요성을인식하지않고있었다. 사용자들의인식또한큰기업에근무할수록, 애플리케이션을사용하는업무가많을수록정보보호인식이높았고기업규모가작을수록정보보호인식은떨어졌다. 사
49 업주체인경영진의의지가보안에대한인식이강할수록기업의보안정책 또는보안인식에대한중요성이대두되었다. 이는사업체에속한근무자들 의보안인식정립의중요변수가되고있었다. 사용자관점에서위협에대응하는데필요한개인의능력에대해자체인식과실제의차이가상당부분존재하고있었다. 많은조사대상이인터넷위협에적절히대응하는것으로생각하지만, 정보보호제품이용현황 [ 참조 pp.31] 에서알수있었듯이사용자입장에서보안에관련한조치들이미비함을알수있다. 백신, 보안패치는사용자가취할수있는최선의자기방어임에도불구하고설치가되지않거나업데이트가자동으로이뤄지지않고있었다. 이는웹애플리케이션의취약점을공격하는공격에노출로이어지고취약점을이용한보안위협이증가하는원인이되고있다. 대다수의응답자는규모가크고유명웹사이트이용시이름만으로정보보안에대한안전을의심하지않고있었다. 또한응답자들이본인과관련된보안위협은없다고생각하는경향이강했다. 이는스스로의보안인식수준을높게평가하는원인이되었다. 많은응답자들은금융권, 인맥사이트, 블로그나미니홈피를사용하고프로그램을다운받고동영상을실행시키고노래를듣는사이정보가유출될가능성을알지못했다
50 제 5 장대응방안 일반적으로많은기업들은방화벽을설치하거나서버의보안설정을강화하고바이러스탐지툴을설치하는등기술적인해킹에대비하여다양한정책과도구를이용한보안을구축하고있다. 하지만애플리케이션구현상의취약점을이용한다양한위협은고객의보안뿐만아니라인터넷전체를위태롭게하며여전히문제는해결되지않고웹2.0의형태에서더기술적이고다양화된공격으로상업화되었다. 이에대한대응방안으로첫째, 경영진의정보보안에대한확고한의지와강한추진력이가장중요하다. 보안업무는유형의결과물을생산하는업무가아니다보니그필요성을인식하기가어렵다. 필요성을인식하는경우라도기업의정보자산을보호하기위하여계속적인보안활동을위한인력투입, 예산할당을위해서는경영자가정보보안에대한필요성을인식및추진하는의지가반드시필요하다. 둘째, 사회공학위협은기술적이기보다는사회적, 심리적이기때문에기업의특성에맞는정보인식프로세스를구축하고적절한업무에맞는, 강압적이지않고, 지속적인, 최신의정보보안이슈교육이수행되어야겠다. 그전에조직원에대한정보보안의필요성인식시키는것이중요하다. (5) 정보보호교육업무도움정도 [ 참조 pp.42] 에서알수있듯이보안교육을받았다할지라도업무에도움이되지않는것은또다른불필요한업무정도로생각될수있기때문이다. 아무리좋은보안정책과시스템이라고하더라도조직원또는개인들을인식시키지않으면전혀실효성이없기때문이다. 셋째, 취약점들이존재하지않는웹애플리케이션을개발할수있도록각기관들이취약한애플리케이션개발을유발하는개발문화를바꿔야한다. 개발프로세스를개선하기위한개발자교육, 애플리케이션보안정책수립,
51 보안메커니즘의설계및구현, 모의해킹, 소스보안성분석으로이루어진애플리케이션보안활동을지원하기위해시간과예산을할당하여야한다. 또한설계, 구현, 테스트, 유지보수 SDLC(Software Development Life Cycle) 의전단계걸쳐해당취약점이발생하지않도록지속적인모니터링이필요하다. 사용자관점에서인터넷을안전하게이용하기위해첫째, 범국가적인정보보호의중요성을알리는등의분위기를조성하고사용자들의인식전환개선활동을펼쳐야한다. 전세계는하나의거대한네트워크로연결로되어있어어느한사람의위협은기업에서국가적차원을비롯한인터넷자체에대한위험이될수있다. 둘째, 사용하고있는웹애플리케이션중개인정보취급방침, 스팸정책, 이메일추출방지정책등의정보보호정책이구현된안전한사이트를이용해야한다. 셋째, 정보보호제품이용을활성화해야한다. 현재정보통신부와한국정보보보진흥원에서보호나라홈페이지 ( 를통해인터넷이용자보호를위한다양한보안동향과정보보호교육, 무료백신보급, 진단등을적극활용해야한다
52 제 6 장결론 본논문에서는웹애플리케이션설계상의보안취약점노출로인해발생되는사회공학적위협으로인한개인프라이버시침해, 기업의이미지손실, 경제적손실, 법적분쟁사례를알아보았다. 이를근거로개인또는신뢰성있는프로그램을제공해야하는기업또는개인의정보보호인식정도를설문조사방식을통해조사ㆍ분석해보았다. 설문조사결과많은기업들이정보보안보안필요성을인식하지못하고그중규모가작은기업일수록비용, 인력등을이유로보안정책을구축할의지가적었다. 사업주체인경영진의의지가보안에대한인식이강할수록기업의보안정책또는보안인식에대한중요성이대두되었다. 이는사업체에속한근무자들의보안인식정립의중요변수가되고있었다. 사용자관점에서위협에대응하는데필요한개인의능력에대해자체인식과실제의차이가상당부분존재하고있었다. 많은조사대상이인터넷위협에적절히대응하는것으로생각하지만백신, 보안패치는사용자가취할수있는최선의자기방어임에도불구하고설치가되지않거나업데이트가자동으로수행되지않고있었다. 이에대한대응방안으로기업관점에서첫째, 정보보안에대한경영진의확고한의지와강한추진력이가장중요하다. 기업의정보자산을보호하기위하여지속적인보안활동을위한인력투입, 예산할당을위해서는경영자가정보보안에대한필요성을인식및추진하는의지가반드시필요하다. 둘째, 기업의특성에맞는정보인식프로세스를구축하고적절한업무에맞는, 강압적이지않고, 지속적인, 최신의정보보안이슈에대한교육이수행되어야겠다
53 셋째, 취약점들이존재하지않는웹애플리케이션을개발할수있도록취 약한애플리케이션을유발하는개발문화를바꿔야한다. 사용자관점에서인터넷을안전하게이용하기위해첫째, 범국가적인정보보호의중요성을알리는등의분위기를조성하고사용자들의인식전환개선활동이필요하다. 둘째, 사용하고있는웹애플리케이션중개인정보취급방침, 스팸정책, 이메일추출방지정책등의정보보호정책이구현된안전한사이트를이용해야한다. 셋째, 정보보호제품의이용을활성화해야한다. 본논문이보안프로세서를지키지않는주먹구구식웹애플리케이션구현은시스템의품질을저하시키고그로인해많은보안위협에직면하고보안위협에따른위험비용은직ㆍ간접적으로막대한비용을수반하게됨을알수있었다. 향후본논문이웹애플리케이션을관리또는적용하고기업과개인에게도움이되기를바란다
54 참고문헌 [1] 시멘텍, 인터넷보안위협보고서, 제12호, [2] [3] 마이크앤드류스, 웹애플리케이션해킹대작전, 에어콘출판, pp.50-90, [4]KISTI, 웹2.0은기업에무엇을가져다주고있는가, net/yeskisti/briefing/trends/view.jsp?ct=trend&clcd=&clk=&lp=si&n =GTB [5]KISTI, 웹2.0시대의위협과대응, fing/trends/view.jsp?ct=trend&clcd=&clk=&lp=si&cn=gtb [6]ZDNetKorea, 10년내최악의보안위협사회공학, /news/internet/0, , ,00.htm [7]Microsoft TechNet, 사회공학위협으로부터내부자를보호하는방법, ww.microsoft.com/korea/technet/security/midsizebusiness/topics/complianc eandpolicies/socialengineeringthreats.mspx?pf=true [8]ZDNetKorea, [9]ZDNetKorea, [10] 동아일보, 해외취업희망자신상노출, /output? n= [11] 머니투데이, 세븐일레븐입사지원자정보유출, co.kr/view/mtview.php?type=1&no= [12]NetKorea뉴스, [13] 연합뉴스, 국가정보원의개인정보열람문제정치사찰, er.com/main/read.nhn?mode=lpod&mid=etc&oid=098&aid= [14] 임채호, 효과적인정보보호인식제고방안, 정보보호학회지제 16권제 2 호, pp.31, [15]NetKorea뉴스, nger/
55 별첨 : 설문지웹애플리케이션 ( 웹사이트 ) 사용에관한 보안인식조사 전자상거래, 인터넷뱅킹또는웹사이트, 블로그사용시정보에대한불법적인침해, 불건전정보의유통, 개인정보또는기업의기밀유출로인한금전적, 정신적손실을입는것이사회이슈화되고있습니다. 이에개인의인터넷사용시보안에대한인식과현황을파악하고 자본설문조사를실시하게되었습니다. 바쁘신가운데응답해주시면감사하겠습니다. 이설문은연구목적이외에는쓰이지않습니다 년 11 월 연구자 : 인하대학교공학대학원컴퓨터정보공학과 석사과정 : 김지숙
56 I. 다음항목은귀하의관한일반적인질문입니다. 귀하의의견과 일치하는항목을표시하여주십시오. 1. 귀하의연령대를선택해주십시오 대 2. 30대 3. 40대 4.50대 5. 기타 ( ) 2. 귀하의성별을선택하여주십시오. 1. 남 2. 여 3. 회사의기업형태를선택하십시오. 1. 대기업 2. 중소기업 3. 개인사업 4. 공기업 5. 기타 ( ) 4. 귀하의직종을선택하십시오. 1. 보안담당자 2. 개발자 3. 일반사무 4. 연구 5. 기타 ( ) II. 보안담당자또는기술운영및서비스관리자에대한질문 1. 온라인보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 2. 물리적보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 3. 전화보안정책. 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 4. 폐기물관리보안정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 5. 서비스데스크보안관리정책 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 6. 사고대응모델 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 7. 보안인식캠페인여부 1. 없다 2. 구축예정 3. 구축단계 4. 있다
57 8. 보안관리자존재 1. 없다 2. 구축예정 3. 구축단계 4. 있다. 9. 만약보안정책이없는경우기업내보안정책이없는이유는? III. 정보보호인식에대한질문 11. 귀하가맞고있는업무의업무자동화정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 12. 개인정보에대한교육을받은적있다. 1. 예 (12-1번으로) 2. 아니오 (13번으로) 교육을받은적이있다면? 교육기관 : 횟수 : 교육이업무에도움정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 13. 지금하는업무또는웹애플리케이션사용시정보에대한보호가충분이되고있다고느끼는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 14. 메신저사용하는가? 1. 예 2. 아니오 15. 스팸메일을받아본적이있다. 1. 예 (15-1번으로) 2. 아니오 (16번으로) 스팸메일을열어보거나첨부된파일을클릭하였는가? 1. 예 2. 아니오 왜첨부파일을열어보게되었는지구체적인이유는? 스팸메일클릭시나타나는현상은? 1. 프로그램설치 2. 타사이트이동 3. 스팸광고 4. 기타 16. 사내기밀정보또는개인정보는사회적으로악용될소지는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 17. 개인적으로개인정보에대한요청을받은적이있다. 1. 예 (17-1번으로) 2. 아니오 (18번으로)
58 17-1. 요청한사람은? 1. 상사 2. 친인척 3. 동료 4. 기타 ( ) 요청방법은? 1. 방문 2. 전화 3. 인터넷 4. 기타 ( ) Ⅳ. 개인정보인식측면 19. 개인정보는민감한사항인가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 20. 웹애플리케이션사용시개인정보관리에만족하십니까? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 21. 웹애플리케이션사용시개인정보유출에관련하여불안한적이있는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 22. 이름있는회사웹사이트이용시내정보가안전할것이라고생각하는가? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 23. 귀하의정보보안에대한숙지정도는? 1. 전혀그렇지않다 2. 그렇지않다 3. 보통이다 4. 그렇다 5. 매우그렇다 24. 백신프로그램을사용하는가? 1. 예 (24-1번으로) 2. 아니오 (25번으로) 백신프로그램의주기적으로업데이트하는가? 1. 전혀안한다. 2. 거의하지않는다. 3. 필요할때마다한다. 4. 자동업데이트설정 정보보호를위해사용하는정보보안프로그램을고르시오. 1. 백신 2. 개인방화벽 3. 악성코드차단프로그램 4. 스팸메일차단설정 25. 프로그램제공자가제공하는보안패치를주기적으로적용하는가? 1. 전혀안한다. 2. 거의하지않는다. 3. 필요할때마다한다. 4. 자동업데이트설정
개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More informationWindows 8에서 BioStar 1 설치하기
/ 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10
(https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)
More information내지(교사용) 4-6부
Chapter5 140 141 142 143 144 145 146 147 148 01 02 03 04 05 06 07 08 149 활 / 동 / 지 2 01 즐겨 찾는 사이트와 찾는 이유는? 사이트: 이유: 02 아래는 어느 외국계 사이트의 회원가입 화면이다. 국내의 일반적인 회원가입보다 절차가 간소하거나 기입하지 않아도 되는 개인정보 항목이 있다면 무엇인지
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>
스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고
More information*2008년1월호진짜
3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가
More informationPowerPoint Template
설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet
More information메뉴얼41페이지-2
데이터 기반 맞춤형 성장관리 솔루션 스마트빌 플러스 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여 등록합니다. 금융정보 자동수집을 위하여 인증서이름, 아이디, 비밀번호를 등록합니다. 통합 자동 수집 금융정보 통합 자동수집을 실행합니다 은행계좌등록 은행계좌를 조회하여 등록합니다. 신용카드등록 신용카드를 조회하여
More information(2002).hwp
工學碩士學位論文 광대역육각형평판모노폴안테나 A Wideband Hexagonal Plate Monopole Antenna 忠北大學校大學院 電波工學科電波通信工學專攻 李相吉 2006 年 2 月 工學碩士學位論文 광대역육각형평판모노폴안테나 A Wideband Hexagonal Plate Monopole Antenna 指導敎授 安炳哲 電波工學科電波通信工學專攻 李相吉
More information인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷
인터넷비즈니스의안심코드, AhnLab Online Security 2.0 멀티브라우저지원! 블루투스키보드지원! 메모리해킹방어! 웹페이지변조및스크린캡처차단! 정보유출걱정없이비즈니스가완성됩니다 보안전용브라우저 AOS Secure Browser 키보드보안서비스 AOS anti-keylogger 온라인 PC 방화벽 AOS firewall 온라인통합방역서비스 AOS
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More informationMicrosoft Word - ntasFrameBuilderInstallGuide2.5.doc
NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>
Jeju Community Welfare Center Annual Report 2015 성명 남 여 영문명 *해외아동을 도우실 분은 영문명을 작성해 주세요. 생년월일 E-mail 전화번호(집) 휴대폰 주소 원하시는 후원 영역에 체크해 주세요 국내아동지원 국외아동지원 원하시는 후원기간 및 금액에 체크해 주세요 정기후원 월 2만원 월 3만원 월 5만원 )원 기타(
More informationuntitled
Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임
More information저작자표시 - 비영리 - 동일조건변경허락 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비
저작자표시 - 비영리 - 동일조건변경허락 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 이차적저작물을작성할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 동일조건변경허락. 귀하가이저작물을개작, 변형또는가공했을경우에는,
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More informationSSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com
SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com Content 1. SSL Strip - SSL? - SSL MITM - SSL Strip 2. SSL Strip 공격 3. 대응방법 Copyright@2012 All Rights Reserved by SemiDntmd 2 1. SSL Strip 1-1
More informationvRealize Automation용 VMware Remote Console - VMware
vrealize Automation 용 VMware Remote Console VMware Remote Console 9.0 이문서는새버전으로교체되기전까지나열된각제품버전및모든이후버전을지원합니다. 이문서에대한최신버전을확인하려면 http://www.vmware.com/kr/support/pubs 를참조하십시오. KO-002230-00 vrealize Automation
More informationXSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks
XSS s XSS, s, May 25, 2010 XSS s 1 2 s 3 XSS s MySpace 사건. Samy (JS.Spacehero) 프로필 페이지에 자바스크립트 삽입. 스크립트 동작방식 방문자를 친구로 추가. 방문자의 프로필에 자바스크립트를 복사. 1시간 만에 백만 명이 친구등록. s XSS s 위험도가 낮은 xss 취약점을 다른 취약점과 연계하여
More information#WI DNS DDoS 공격악성코드분석
#WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해및안전한관리 - 개인 PC 및스마트폰개인정보보호 - 2012. 12. 12 최윤형 ( 한국정보화진흥원 ) 1 안전한개인 PC 관리방법 목 차 2 안전한스마트폰관리방법 1. 안전한개인 PC 관리방법 정보통신기기의보안위협요인 웜, 바이러스, 악성코드, DDos 공격침입, 네트워크공격 휴대성, 이동성오픈플랫폼 3G, WiFi, Wibro 등 웜,
More information2011-67 차례 - iii - 표차례 - vii - 그림차례 - xi - 요약 - i - - ii - - iii - 제 1 장서론 대구 경북지역인력수급불일치현상진단과해소방안에대한연구 1) ( ) 574 208 366 263 103 75.6 77.9 74.3 73.0 77.7 19.3 19.2 19.4 20.5 16.5 3.0 1.0 4.1
More information<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707
최근정보보호위협과 침해사고동향 김홍석보안프로그램매니저고객지원부한국마이크로소프트 해킹으로부터안전하고 바이러스걱정도안하고 보안취약점염려도없이 컴퓨터를가장안전하게사용하는 방법은? 컴퓨터를네트워크에연결하지않고 CD, 디스켓, USB 메모리를사용하지않는다 한국정보보호진흥원 (KISA) 2006. 12. * 정보통신부 Dynamic u-korea 정보보호강화사업결과물
More information<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>
여 48.6% 남 51.4% 40대 10.7% 50대 이 상 6.0% 10대 0.9% 20대 34.5% 30대 47.9% 초등졸 이하 대학원생 이 0.6% 중졸 이하 상 0.7% 2.7% 고졸 이하 34.2% 대졸 이하 61.9% 직장 1.9% e-mail 주소 2.8% 핸드폰 번호 8.2% 전화번호 4.5% 학교 0.9% 주소 2.0% 기타 0.4% 이름
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상
Android 용 Brother Image Viewer 설명서 버전 0 KOR 아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상표입니다. Android는
More informationMicrosoft Word - windows server 2003 수동설치_non pro support_.doc
Windows Server 2003 수동 설치 가이드 INDEX 운영체제 설치 준비과정 1 드라이버를 위한 플로피 디스크 작성 2 드라이버를 위한 USB 메모리 작성 7 운영체제 설치 과정 14 Boot Sequence 변경 14 컨트롤러 드라이버 수동 설치 15 운영체제 설치 17 운영체제 설치 준비 과정 Windows Server 2003 에는 기본적으로
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More informationPowerPoint Template
JavaScript 회원정보 입력양식만들기 HTML & JavaScript Contents 1. Form 객체 2. 일반적인입력양식 3. 선택입력양식 4. 회원정보입력양식만들기 2 Form 객체 Form 객체 입력양식의틀이되는 태그에접근할수있도록지원 Document 객체의하위에위치 속성들은모두 태그의속성들의정보에관련된것
More informationMicrosoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc
분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.
More information<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>
11-8140242-000001-08 2013-927 2013 182 2013 182 Contents 02 16 08 10 12 18 53 25 32 63 Summer 2 0 1 3 68 40 51 57 65 72 81 90 97 103 109 94 116 123 130 140 144 148 118 154 158 163 1 2 3 4 5 8 SUMMER
More informationPowerPoint 프레젠테이션
Autodesk Software 개인용 ( 학생, 교사 ) 다운로드가이드 진동환 (donghwan.jin@autodesk.com) Manager Autodesk Education Program - Korea Autodesk Education Expert 프로그램 www.autodesk.com/educationexperts 교육전문가프로그램 글로벌한네트워크 /
More informationSQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자
SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전
More informationWindows Live Hotmail Custom Domains Korea
매쉬업코리아2008 컨퍼런스 Microsoft Windows Live Service Open API 한국 마이크로소프트 개발자 플랫폼 사업 본부 / 차세대 웹 팀 김대우 (http://www.uxkorea.net 준서아빠 블로그) Agenda Microsoft의 매쉬업코리아2008 특전 Windows Live Service 소개 Windows Live Service
More information- i - - ii - - iii - - iv - - v - - 1 - 정책 비전차원 조직관리차원 측정 감시차원 정보보호 윤리적 차원 인식차원 - 2 - - 3 - - 4 - < 표 1> 정보보호산업과다른 IT 산업의성장률 (2001~2007) 비교 자료출처 : ETRI 2002 정보통신기술산업전망 (2002년~2006년) < 표 2> 세계정보보호시장전망
More informationMicrosoft Word - ijungbo1_13_02
[ 인터넷정보관리사필기 ] 기출문제 (11) 1 1. 지금부터인터넷정보관리사필기기출문제 (11) 를풀어보겠습니다. 2. 홈페이지제작할때유의할점으로가장거리가먼것은무엇일까요? 3. 정답은 ( 라 ) 입니다. 홈페이지제작시유의할점으로는로딩속도를고려하며, 사용자중심의인터페이스로제작하고, 이미지의크기는적당하게조절하여야한다. [ 인터넷정보관리사필기 ] 기출문제 (11)
More information제목 레이아웃
웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya
More information다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");
다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp"); dispatcher.forward(request, response); - 위의예에서와같이 RequestDispatcher
More information<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>
웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.
More information목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응
MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석 목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 - 1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이,
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More information소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기
소규모 비즈니스를 위한 YouTube 플레이북 YouTube에서 호소력 있는 동영상으로 고객과 소통하기 소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기
More information조사구번호 가구번호 - 한국종합사회조사 성균관대학교서베이리서치센터 종로구성균관로 전화
조사구번호 가구번호 - 한국종합사회조사 성균관대학교서베이리서치센터 종로구성균관로 전화 srckgss@skku.edu http://src.skku.edu http://kgss.skku.edu 인사말씀 안녕하십니까 저희성균관대학교서베이리서치센터 에서는지난 년이래해마다한국종합사회조사 를시행하고있습니다 이조사는한국사회를종합적으로파악하고세계의주요국가들과비교연구하는데필요한자료를만들어내는목적이있습니다
More information목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.
소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information행자부 G4C
인증서발급관리모듈 Ver 1.0 개정이력 버전변경일변경사유변경내용작성자승인 1.0 2012-12-22 제정이경희 Copyright 2006. All rights reserved DreamSecurity. 2 목차 1. 인증시스템 ACTIVEX 설치절차... 4 1.1 설치... 4 2. 인증시스템 ACTIVEX 사용... 7 2.1 인증서발급... 7 2.2
More information064 01 사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호
개인정보 유출 사고란 무엇일까요? 사고는 어떻게 발생할까요? 사고는 왜 주의해야 할까요? 어떻게 대처해야 할까요? 여기로 연락하세요. 064 01 사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는
More information목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향
조사보회고서 온라인 P2P 대출서비스실태조사 2016. 6. 시장조사국거래조사팀 목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향 12 Ⅲ.
More information** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름
EDB 분석보고서 (016.01) 016.01.01~016.01.31 Exploit-DB(http://exploit-db.com) 에공개된취약점별로분류한정보입니다. 분석내용정리 ( 작성 : 펜타시큐리티시스템보안성평가팀 ) 016 년 1 월에공개된 Exploit-DB 의분석결과, SQL Injection 공격에대한취약점보고개수가가장많았습니다. 분석된 SQL Injection
More information메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for
메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)
More information..1,2,3,4-........
2011 Spring Vol.09 Contents 2011 Spring Vol.09 Issue 04 06 09 12 15 16 Story Cafe 18 Special Theme Theme 01 Theme 02 Theme 03 24 26 28 32 36 38 40 41 42 44 48 49 50 Issue 04 05 2011 SPRING NEWS Issue
More informationWeb Scraper in 30 Minutes 강철
Web Scraper in 30 Minutes 강철 발표자 소개 KAIST 전산학과 2015년부터 G사에서 일합니다. 에서 대한민국 정치의 모든 것을 개발하고 있습니다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 목표 웹 스크래퍼를 프레임웍 없이 처음부터 작성해 본다. 스크래퍼/크롤러의 작동 원리를 이해한다. 목표
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More information취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환
취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple
More informationuntitled
디렉토리리스팅취약점을이용한게임 DB 서버해킹사고 2006. 8. 3 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 를명시하여주시기바랍니다. 1. 개요중국발해킹의표적이온라인게임서버에까지이어지고있다. 특히중국에는현재수많은게임작업장이있으며, 이곳에서는많은중국인들이단순히게임을즐기는것이아니라아이템매매로인한금전적인이득을목적으로한범죄행위를하고있다.
More information취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환
취약점분석보고서 [Photodex ProShow Producer v5.0.3256] 2012-07-24 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Photodex ProShow Producer Buffer Overflow 취약점분석... 2 2.1. Photodex ProShow Producer Buffer
More information한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -
한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 - [1 단계 ] 운영체제별시스템설정방법 Windows XP 시스템설정방법 : XP 운영체제는설정할사항이없음 Windows 7 시스템설정방법 1) [ 시작 ]-[ 제어판 ]-[ 관리센터 ] 를클릭한다. - 2 - 2) 사용자계정컨트롤설정변경 을클릭한다. 3) 알리지않음 ( 사용자계정컨트롤끄기
More informationPowerPoint 프레젠테이션
B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10
More information1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대
Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이
More informationuntitled
보안서버구축가이드 8 Ⅲ. SSL 방식보안서버구축하기 1. 소개및보안서버구축절차 가. 개요 SSL은 Secure Sockets Layer의머리글이며, 1994년 Netscape에의해전세계적인표준보안기술이개발되었습니다. SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로전세계적으로수백만개의웹사이트에서사용하고있습니다.
More information로거 자료실
redirection 매뉴얼 ( 개발자용 ) V1.5 Copyright 2002-2014 BizSpring Inc. All Rights Reserved. 본문서에대한저작권은 비즈스프링 에있습니다. - 1 - 목차 01 HTTP 표준 redirect 사용... 3 1.1 HTTP 표준 redirect 예시... 3 1.2 redirect 현상이여러번일어날경우예시...
More informationWebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신 WebRTC 기술은 기존 레가시 자바 클라이언트를 대체합니다. 새로운 클라이언트는 윈도우/리눅스/Mac 에서 사용가능하며 Chrome, Firefox 및 오페라 브라우저에서는 바로 사용이
WebRTC 기능이 채택된 ICEWARP VERSION 11.1 IceWarp 11.1 은 이메일 산업 부문에 있어 세계 최초로 WebRTC 음성 및 비디오 통화 기능을 탑재하였으며 이메일 산업에 있어 최선두의 제품입니다. 기업의 필요한 모든 것, 웹 브라우저 하나로 가능합니다. WebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신
More informationserver name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지
ArcGIS for Server (Windows) 설치가이드 ArcGIS 10.2 for Server 설치변경사항 1 설치 간편해진설치 -.Net Framework나 Java Runtime 요구하지않음 - 웹서버 (IIS, WebSphere ) 와별도로분리되어순수하게웹서비스기반의 GIS 서버역할 - ArcGIS Server 계정을이용한서비스운영. 더이상 SOM,
More informationActFax 4.31 Local Privilege Escalation Exploit
NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고
More informationOperating Instructions
작동지침 Mopria 설명서 안전하고올바른사용을위해기기를사용하기전에 " 안전정보 " 를읽으십시오. 목차 소개...2 기호의의미... 2 고지사항...2 준비...3 같은네트워크에서기기와 Android 기기연결하기...3 기기설정확인하기... 3 1. Mopria 인쇄사용하기 Mopria 인쇄서비스소개...5 Android 기기설정하기... 6 인쇄...7
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information커버콘텐츠
e Magazine Contents Gallery 52 Info Desk Illustrator Expert 2 Web Technique 17 25 Column 57 Cover Story Calendar 4 61 New Product A to Z Web Center 7 32 Motion Center Q & A 40 66 Photoshop Expert Acrobat
More information산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회
산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 2015. 12 한국직업자격학회 o o o o o 1) SC 내에서 Sub-SC 가존재하는것이아니라 NOS, 자격개발등의개발및운영단위가 Sub-sector 로구분되어있음을의미함. o o o o o o o o o Ⅰ. 서론 1 1. 연구필요성 o o 산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구
More information[ 목차 ]
빅데이터개인정보보호가이드라인 해설서 ( 14.12.23. 제정, 15.1.1. 시행 ) [ 목차 ] < 주요내용 ( 요약 ) > 1. 목적 ( 가이드라인제 1 조 ) 2. 정의 ( 가이드라인제 2 조 ) - 1 - - 2 - - 3 - 3. 개인정보의보호 ( 가이드라인제 3 조 ) 비식별화조치 ( 제 1 항 ) - 4 - - 5 - - 6 - - 7 - 개인정보보호조치
More informationJkafm093.hwp
가정의학회지 2004;25:721-739 비만은 심혈관 질환, 고혈압 및 당뇨병에 각각 위험요인이고 다양한 내과적, 심리적 장애와 연관이 있는 질병이다. 체중감소는 비만한 사람들에 있어 이런 위험을 감소시키고 이들 병발 질환을 호전시킨다고 알려져 있고 일반적으로 많은 사람들에게 건강을 호전시킬 것이라는 믿음이 있어 왔다. 그러나 이런 믿음을 지지하는 연구들은
More information1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아
LG U+ SMS/MMS 통합클라이언트 LG U+ SMS/MMS Client Simple Install Manual LG U+ SMS/MMS 통합클라이언트 - 1 - 간단설치매뉴얼 1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml
More informationView Licenses and Services (customer)
빠른 빠른 시작: 시작: 라이선스, 라이선스, 서비스 서비스 및 주문 주문 이력 이력 보기 보기 고객 가이드 Microsoft 비즈니스 센터의 라이선스, 서비스 및 혜택 섹션을 통해 라이선스, 온라인 서비스, 구매 기록 (주문 기록)을 볼 수 있습니다. 시작하려면, 비즈니스 센터에 로그인하여 상단 메뉴에서 재고를 선택한 후 내 재고 관리를 선택하십시오. 목차
More informationRHEV 2.2 인증서 만료 확인 및 갱신
2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_
More informationStuduino소프트웨어 설치
Studuino 프로그래밍환경 Studuino 소프트웨어설치 본자료는 Studuino 프로그래밍환경설치안내서입니다. Studuino 프로그래밍 환경의갱신에따라추가 / 수정될수있습니다. 목차 1. 소개... 1 2. Windows... 2 2.1. 프로그래밍환경설치... 2 2.1.1. 웹설치버전설치방법... 2 2.2. Studuino 프로그래밍환경실행...
More informationwtu05_ÃÖÁ¾
한 눈에 보는 이달의 주요 글로벌 IT 트렌드 IDG World Tech Update May C o n t e n t s Cover Story 아이패드, 태블릿 컴퓨팅 시대를 열다 Monthly News Brief 이달의 주요 글로벌 IT 뉴스 IDG Insight 개발자 관점에서 본 윈도우 폰 7 vs. 아이폰 클라우드 컴퓨팅, 불만 검증 단계 돌입 기업의
More informationSystem Recovery 사용자 매뉴얼
Samsung OS Recovery Solution 을이용하여간편하게 MagicInfo 의네트워크를설정하고시스템을백업및복원할수있습니다. 시스템시작시리모컨의 - 버튼이나키보드의 F3 키를연속해서누르면복구모드로진입한후 Samsung OS Recovery Solution 이실행됩니다. Samsung OS Recovery Solution 은키보드와리모컨을사용하여조작할수있습니다.
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More informationOffice 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack
FastTrack 1 Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack 5 11 2 FASTTRACK 소개 디지털 혁신은 여기서 시작합니다. Microsoft FastTrack은 Microsoft 클라우드를 사용하여 고객이 신속하게 비즈니스 가치를 실현하도록 돕는 고객 성공 서비스입니다.
More information<B3EDB9AEC0DBBCBAB9FD2E687770>
(1) 주제 의식의 원칙 논문은 주제 의식이 잘 드러나야 한다. 주제 의식은 논문을 쓰는 사람의 의도나 글의 목적 과 밀접한 관련이 있다. (2) 협력의 원칙 독자는 필자를 이해하려고 마음먹은 사람이다. 따라서 필자는 독자가 이해할 수 있는 말이 나 표현을 사용하여 독자의 노력에 협력해야 한다는 것이다. (3) 논리적 엄격성의 원칙 감정이나 독단적인 선언이
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More informationMicrosoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx
To be an Android Expert 문양세강원대학교 IT 대학컴퓨터학부 Eclipse (IDE) JDK Android SDK with ADT IDE: Integrated Development Environment JDK: Java Development Kit (Java SDK) ADT: Android Development Tools 2 JDK 설치 Eclipse
More information목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요
2015 년 4 월 2 일공보 2015-4 2 호 이자료는 4 월 3 일조간부터취급하여 주십시오. 단, 통신 / 방송 / 인터넷매체는 4 월 2 일 12:00 이후부터취급가능 제목 : 금융기관대출행태서베이결과 ( 2015 년 1/4 분기동향및 2015 년 2/4 분기전망 ) 문의처 : 금융안정국금융시스템분석부은행분석팀과장조성민, 조사역권수한 Tel : (02)
More information특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가
www.kdnetwork.com 특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가능할 삭제할 건전지 사용자를 위한 개별 비밀번호 및 RF카드
More information년도경상북도지방공무원제 1 회공개경쟁임용시험 - 필기시험합격자및면접시험시행계획공고 ( ) 필기시험합격자 : 491 명 ( 명단붙임 ) 2 필기시험합격자등록및유의사항. : ( ) ~ 7. 6( ) 3 등
- 2012 년도경상북도지방공무원제 1 회공개경쟁임용시험 - 필기시험합격자및면접시험시행계획공고 2012. 5. 12( ) 2012 1. 1 필기시험합격자 : 491 명 ( 명단붙임 ) 2 필기시험합격자등록및유의사항. : 2012. 7. 4( ) ~ 7. 6( ) 3 등록시간 : 09:00 ~ 18:00. : 2 ( 1 ). 1 3 (A4 1매, 워드작성 붙임서식
More information2002report220-10.hwp
2002 연구보고서 220-10 대학평생교육원의 운영 방안 한국여성개발원 발 간 사 연구요약 Ⅰ. 연구목적 Ⅱ. 대학평생교육원의 변화 및 외국의 성인지적 접근 Ⅲ. 대학평생교육원의 성 분석틀 Ⅳ. 국내 대학평생교육원 현황 및 프로그램 분석 Ⅴ. 조사결과 Ⅵ. 결론 및 정책 제언 1. 결론 2. 대학평생교육원의 성인지적 운영을 위한 정책 및 전략 목
More informationWindows Server 2012
Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB
More informationThinkVantage Fingerprint Software
ThinkVantage 지문 인식 소프트웨어 First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS RESTRICTED RIGHTS:
More information제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호
제이쿼리 () 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호 CSS와마찬가지로, 문서에존재하는여러엘리먼트를접근할수있다. 엘리먼트접근방법 $( 엘리먼트 ) : 일반적인접근방법
More informationObservational Determinism for Concurrent Program Security
웹응용프로그램보안취약성 분석기구현 소프트웨어무결점센터 Workshop 2010. 8. 25 한국항공대학교, 안준선 1 소개 관련연구 Outline Input Validation Vulnerability 연구내용 Abstract Domain for Input Validation Implementation of Vulnerability Analyzer 기존연구
More information비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리
ArcGIS for Desktop 10.4 Single Use 설치가이드 Software: ArcGIS for Desktop 10.4 Platforms: Windows 10, 8.1, 7, Server 2012, Server 2008 ArcGIS for Desktop 10.4 시스템 요구사항 1. 지원 플랫폼 운영체제 최소 OS 버전 최대 OS 버전 Windows
More information설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래
네이버플래시애플리케이션 XSS 취약점분석보고서 작성일 2013/04/24 작성자 카이스트시스템보안연구실 홍현욱 (karmatia@kaist.ac.kr) 최현우 (zemisolsol@kaist.ac.kr) 김용대 (yongdaek@kaist.ac.kr) 요약 플래시애플리케이션은보고서작성일을기준으로전체웹사이트의 19.5% 가사용하고있으며 [5] 이러한플래시애플리케이션을작동시켜주는플래시플레이어는웹브라우저에기본적으로설치되어있거나웹브라우저에서웹사이트를이용하는사용자들에게자동으로설치하도록유도한다.
More information