[태그:] 보안

코레일의 초삽질 서비스 ‘안심로그인’

코레일 홈페이지에 ‘안심 로그인’이라는 서비스가 있더라. 지난 9월에 나온 모양인데, 모르고 있다가 구글 플레이에서 다른 분이 거론해주셔서 알게 되었다. 

쉽게 말해 코레일 안심 로그인 서비스는, 로그인을 시도한 컴퓨터 위치와 그 회원의 핸드폰 위치를 비교해서 그 위치가 다르면 해킹으로 간주하고 경고 문자를 보내는 지능적인 보안 기능이다. 기능과 아이디어 자체는 좋은 기능이다.

그런데 문제는, 다른 분들의 지적처럼, 코레일 홈페이지 자체에 있다. 

코레일의 홈페이지는 회원 아이디가 아니라 코레일 멤버쉽 번호라고 해서 10자리 숫자를 사용하며, 비밀번호는 4자리 숫자이다. 즉, 아이디와 비밀번호의 보안성이 극히 취약하다. 모든 사람들의 비밀번호가 1만개의 조합중 하나라는 것이다. 아마 1234나 1111이나 7777같은건 수만명이 쓰고 있을듯.

그런 기본적인 보안 문제도 해결하지 않으면서, ‘안심 로그인’ 서비스를 월당 1천원에 팔아먹고 있다. 이거야말로 삽질이요 대동강물 팔아먹는 장사가 아닌가!

http://www.korail.com/hc/hc14100/w_hc14130.jspkorail

리눅스용 nProtect, 그 어이없는 모순.

리눅스용 nProtect 가 나왔다고 한다. 리눅스를 안 써보신 분들은 아 뭐 그렇구나, 하시겠지만, 이건 정말 어이가 없다.

리눅스 유저들은 대부분 관리자(root) 권한없이 일반 사용자 아이디로 사용한다. 일반 사용자 아이디는 프로그램을 설치하거나 시스템을 변경할 수 없다. 프로그램을 설치하기 위해서는 잠시동안 관리자 권한을 취득하거나, 관리자에게 문의해야 한다. 다소 불편하지만, 이렇게 하면 바이러스등 보안에 문제 있는 프로그램이 관리자 권한이 없어 실행되지 못한다. (윈도우도 사실 이렇게 사용하는 것을 권장하는데, 우리나라 사람들은 Active-X설치등의 편의성때문에 관리자 아이디를 그냥 사용한다)

그런데, nProtect라는 결제나 인증서처리 등을 할때 사용하는 보안 프로그램이 리눅스용으로 나왔다고 한다. 저걸 설치하려면 관리자 권한이 필요하다.

즉, 요약하자면

관리자 권한 없음 -> 바이러스, nProtect 둘 다 설치 불가능.
관리자 권한 사용 -> 바이러스, nProtect 둘 다 설치 가능. 바이러스는 nProtect가 막아줄 것으로 기대?

이게 뭔 뻘짓인가?

 

윈도우7 IE8 누적 보안 업데이트(KB980182) 후 시스템 문제 발생

사용자 삽입 이미지회사에서 사용하는 MS 윈도우7 프로페셔널 K 64bit 버전에서 위의 업데이트를 설치 후, 윈도우 시스템이 갑자기 불안정해졌습니다. CPU사용량은 거의 0%인데도 프로그램의 실행이 1분여동안 멈춰있거나, 창전환이 안되거나, 마우스가 안움직이거나, 심하면 그래픽카드의 반응이 없다면서 화면이 꺼져버리곤 했습니다. (마치 10여년 전의 PC에서 카드를 잘못끼우면 IRQ충돌해서 컴퓨터가 맛이 가버리던 ..그런 느낌?)

겨우겨우 업데이트를 지우고 나니 정상으로 돌아오더군요.

이게 다른 컴퓨터들도 그런건지, 제 컴퓨터만 그런건지는 모르겠습니다. (집의 데스크탑이나 제 랩탑은 거의 우분투 리눅스만 쓰기 때문에;; 회사의 i5 데탑에서만의 경험입니다.)

아이러브스쿨 망해버렷

사용자 삽입 이미지
나 참나…망한줄 알고 탈퇴 안했더니, 안망해서 도둑질이나 당하고, 어이가 없군요.

설마 유출된게 아니라 팔아먹은건 아니겠지.

어째튼 제대로 관리 안한 놈들, 이 기회에 망해버렷.

ps.
주민번호야 널린거고, 비밀번호야 사이트마다 다 다르니 상관없겠지…라며 자기 위안 중.

ps.
아는 사람은 아는 이야기지만, 거의…2004년? 그 이전의 웹사이트중에 주민번호등 개인정보를 암호화 한 사이트는 거의 없을겁니다. 주민번호 가지고 몇명 회원 가졌다고 하는게 그 사이트의 경쟁력으로 취급하던 시대였고, 그런 개인정보를 팔아서 먹고 사는 회사들도 꽤 많았던게 현실.

트위터 피싱 주의

트위터의 아이디와 비밀번호는 트위터에서만 쓰는 것이 아니라, 트위터의 API를 사용하는 다른 웹사이트나 트위터 클라이언트에도 입력하게 되어 있다. 그러다보니 사람들이 익숙해져서 트위터와 관련되어 있다는 이유로 무심코 비밀번호를 입력해버리는 경우가 있다.

결과는…

사용자 삽입 이미지
나에게 영어로 광고 메시지를 보내는 사람들..;; 물론 자신들도 이런 상태인 줄 모른다;;

조심 또 조심해야 한다.

자세한 것은 여기 참고. http://bloggershome.net/bary/entry/HowToTwitter08

Draco 보안 강화 계획

내가 인터넷을 쓰기 시작한 것이 1995년부터니까 15년이 되어간다.

그러다보니 내가 가입되어 있거나 관리중인 사이트, 메일, 메신저, IRC, 각종 계정등이 수백개에 달하게 되었다. 여기에는 각각 아이디와 비밀번호가 있는데, 아이디도 사이트마다 다른 경우가 많고, 비밀번호도 사이트 사정이나 보안을 위해 다른걸 사용하다보니 십여가지를 사용중이다.

그러다보니 자주 안가는 사이트는 아이디나 비밀번호를 잊어서 매번 다시 찾는게 예사이다. 만약 비밀번호가 악의적인 사람에게 노출된다면 같은 아이디와 비밀번호를 쓰는 사이트들은 죄다 위험에 처하게 된다.

그래서 작년부터 계획했던 것이 그 이름도 거창한

Draco 보안 강화 계획

-_-
세부 계획은

  1. 주 사용 OS를 리눅스로 바꾸고, 주 사용 웹브라우저를 파이어폭스로 바꾼다. 사용하는 프로그램을 최대한 오픈소스로 바꾼다.
  2. 인터넷을 사용한 이래로 가입한 모든 사이트를 최대한 파악한다.
  3. 2번에서 찾은 사이트들 중 자주 사용하지 않는 것은 탈퇴 처리한다.
  4. 개인적으로 사용하는 모든 사이트, 메일, 메신저, IRC, 각종 계정등에 사용하는 아이디와 비밀번호를 KeePassX와 같은 비밀번호 관리 프로그램에서 관리하며, 비밀번호는 난수화시킨다. 집중관리 비밀번호를 선정해 주기적으로 비밀번호를 바꾼다
  5. 일을 위해 사용하는 모든 비밀번호도 난수화시켜 따로 보안성이 있는 문서나 프로그램으로 관리한다.

현재 4번을 진행중에 있다. (2,3번이 가장 손이 많이 가고 귀찮은 짓이었다. 수십수백개의 사이트를 알아보고 로그인한뒤  탈퇴라는건 정말 어렵다…)

사용자 삽입 이미지
KeePassX로 비밀번호를 관리하는 것은 무척 체계적이 되지만, 모든 비밀번호가 KeePassX 하나에 의존하게 되므로, 마스터 비밀번호를 잊어먹지 않도록 주의해야 한다.

또한 비밀번호가 i~E]=%+>;Z\vp(6!p,a5CamQ@ 이런식으로 외우거나 쉽게 치지 못하게 만들어 쓰다보면, 귀찮아서 클립보드를 이용한 Copy&Paste를 하게 되는데, 최근의 키로거 바이러스는 클립보드도 모니터링하기 때문에, 바이러스에 안전한 환경에서만 사용해야 한다.

DDoS 공격의 근본적인 해결 방법

DDoS 공격때문에 청와대를 비롯해 많은 사이트들이 멈추었고, 수사한다고 온 정부기관이 난리고, 국정원은 얼씨구나 기회다라며 친북세력들이 한거라고 오바질중이고…난장판이다. 트위터에서는 “정부가 이번 기회에 인터넷 규제를 더 강화하는거 아니냐”라는 왠지 그럴듯한 걱정도 앞서고 있다.

뭐…사건이야 언젠가는 해결될테고, 이런 문제가 반복되는것을 막을 근본적인 해결방법은 무엇일까? 가장 중요한건 국내에 좀비PC가 몇일만에 몇만대가 되는것을 막아야 한다.

이를 막기 위해서는

  1. 국내 웹사이트에서 ActiveX 사용을 멈추어야 한다.
  2. IE6등 구형웹브라우저를 퇴출시키도록 캠페인하고, 파이어폭스등 기반이 다른 웹브라우저도 어느정도 점유율을 확보해야 한다
  3. 사람들에게 보안업데이트와 백신의 사용을 적극 홍보하고 권해야 한다

우리나라 사람들은 뭔가 노란 경고창이 뜨면 조건 ‘설치’를 누른다. ActiveX의 설치를 허가하지 않으면 웹사이트 이용 자체가 불가능한것이 학습화 되었기 때문에, 세밀한 내용을 확인도 하지 않고 확인해주는 것이다. 보안 경고 시스템이 국민들의 버릇에 의해 무력화 된것이다.

우리나라 사람들은 IE의 점유율이 98%이고, 그중 50%이상이 오래되고 보안이 취약한 IE6이다. 한가지 플랫폼에 단일화 되어 있으면 한가지 침입방법에 모든 국민이 당한다. 다양성은 보안에 매우 효과적인 요소이다. 따라서 파이어폭스등의 제2,3브라우저가 외국처럼 어느정도 점유율을 차지해야 극적인 감염이 확산을 막을 수 있다.

우리나라 사람들은 윈도가 문제생기거나 느려진다면서 보안업데이트도 안한다. 서비스팩도 안깐다. 백신도 거의 안깐다. 은행사이트에 들어갔다 나와서 보안 플러그인을 실행시킨다든지 하는 말도 안되는 보안상식이 팽배해 있다.

덕분에 각종 커뮤니티에 ‘해킹’이라고 검색해봐라 정말 하루에도 게임이나 웹서비스 계정을 해킹당했다는
사람들 수두룩하다. 대부분 자신의 비밀번호 관리를 잘못했거나, PC에 보안이 뚫려서 비밀번호가 노출된것이다.

이런 문제가 빨리 해결되지 않으면, 우리나라는 좀비 PC가 1,2만은 우습게 발생하는 나라가 될것이다. 해킹 사고만 터지면 해외 서비스들이 중국과 함께 IP차단해버리는 나라가 되고 싶지 않다면, 서둘러야 한다.

관련뉴스 : 미국, 공격 경유지 한국 지목, 트래픽 차단 조치

파이어폭스 3.0.8 보안 업데이트


파이어폭스 3.0.8 업데이트가 공개되었습니다.

파이어폭스3에는 지난 27일, XUL <tree> 요소등을 이용해 임의코드를 실행시킬 수 있는 치명적인 보안 버그가 발견된바 있는데, 그에 대한 대응책으로 보입니다. 대응은 바로 다음날 이루어졌고, 배포까지 2일이 걸렸으니 왠만큼 빠른 대응이군요.

심각한 문제인듯, 우분투 업데이트 서버에도 무척 신속히 갱신이 이루어졌습니다.

게이머님들, 은행 보안프로그램을 믿지 마세요.

어쩌다 알게 된 온라인 게임 머저리 어린 놈친구A가 갑자기 쪽지를 보내왔습니다.

A : “드라코님, 저 계정 해킹당했어요. + (‘팬티만 입은 캐릭터로 징징거림’으로 요약가능한 약 2KB의 메시지)

Draco : “저런, 안되셨네요. 넥X은 복구 안해주던데”

A : “그러게요. 어떻게 해킹당했는지 모르겠어요. 정말 많이 조심했는데”

Draco : “PC방에서 바이러스 걸린 컴퓨터를 쓴거 아니에요?”

A : “그건 아니에요. 게임 들어가기 전에 XX은행 사이트에 먼저 접속해본다구요”

Draco : “……”

정말 할말을 잃었습니다.

은행의 보안용 프로그램은, 은행 사이트에 접속했을때만, 은행 웹페이지만 보호해줍니다. 운영체제에 게임을 타겟으로 하는 바이러스가 걸려 있는지는 그 보안 프로그램의 관심사항이 아닙니다.

누가 게임 계정의 안전을 위해 은행사이트에 들어가보라는 말도 안되는 팁을 처음 퍼트린겁니까? 잘난척 하려고 퍼트린 추측성 팁이 얼마나 많은 사람들에게 피해를 줬을까요.

게임은 믿을수 있는 백신이 설치된 컴퓨터에서만 하고, 그렇지 않을때는 OTP등 확실한 인증 시스템과 스크린 키보드등을 사용하세요.

온라인 게임, 해킹 예방 십계명

온라인 게임은 키로그 방식으로 해킹되어 피해가 자주 발생한다. 기본적인 예방법을 정리해보았다.

  1. 항상 윈도 보안 업데이트 – 이것만 제대로 해도 95%이상 예방가능. 복제판 윈도의 경우 따로 조작을 하지 않으면 자동 업데이트가 중지되었으니 확인하시길. 구형 윈도우는 보안이 약해 비추이다.
  2. 백신 사용 – 백신은 보안에 필수이다. 그러나 개인적으로 V3는 여러가지로 실망스러운 일을 겪어 비추. 카스퍼스키등 해외유명백신 추천. 백신은 항상 시스템 감시 기능을 켜놓을것.
  3. 구형 웹브라우저 사용 금지
    IE같은 구형 웹브라우저는 보안의 최대 구멍이다. 크롬이나 파이어폭스를 사용해라. 그리고 항상 최신버전으로 업데이트 한다. 액티브X등의 설치 프로그램은 믿을 수 있는 사이트에서만 최소한으로 사용하고, 사용한 뒤 지운다.
  4. 모바일 인증, OTP 사용 – 요즘은 게임마다 모바일 인증등의 비밀번호 이상의 고급 인증 시스템을 두고 있다. 이것만으로도 거의 상당한 신뢰성으로 예방이 가능하다. 하지만 핸드폰과 게임계정의 주민등록번호가 일치해야 한다. 사용법을 잘 읽고 맞는것 사용할것.
  5. PC방이나 공용PC 이용 자제 – 여러 사람이 사용하는 PC는 그야말로 지뢰밭이다.
    스파이웨어 검색과 프로세스 검색을 해야 하지만 그러느니 나같으면 귀찮아서 게임 안한다;; PC방 사용 후 꼭 바로 집에 가서
    비밀번호를 바꾸도록. 공용 컴퓨터에서는 비밀번호 입력은 키보드를 직접 사용하기 보다 ‘스크린 키보드’를 이용하는 것이 좋다.
  6. 계정은 혼자만 사용 – 누군가에게 아이디와 비밀번호를 알려주는 것, 사실 이게 바이러스보다 더 큰 구멍이다. 전체 계정도용중 지인인 경우가 절반이 넘는다고 한다.
  7. 비밀번호 변경 – 비밀번호를 최대한 자주 바꿔주는것이 좋다. PC보안이 철저하면 빠져나갈 구멍은 아는 사람이나 게임회사이다. 일반적인 사이트 이용이라면 비밀번호 변경이 큰 도움이 안될 수도 있지만 게임처럼 많이 노려지는 계정은 유용할 수 있다.
  8. 유니크한 비밀번호 – 비밀번호는 다른 사이트나 다른 게임, 핸드폰, 은행 비밀번호등과 다른 비밀번호를 쓰는게 좋다. 많은 해킹이 어설픈 웹서비스에서 비밀을 알아내서 게임계정에 아이디와 비번을 그대로 넣어보는 방법으로 이루어진다.
  9. 계정 거래 자제 – 이 경우에 일어나는 경우도 꽤 많다고 들었다. 본주가 비번 바꾼다거나, 기타등등
  10. P2P나 크랙툴 사용에 주의를 – P2P를 통해 파일을 다운로드 받았을 경우 백신으로 꼭 검사하고, 프로그램 크랙툴등 사용은 자제한다. 주요한 바이러스나 게임 해킹툴의 감염 경로이다.

해킹은 얍삽한 ‘비밀번호’ 알아내기 과정을 통해 이루어진다. 아무것도 모르는데 키보드 빨리 두들겨 통과해버릴 수 있는 영화 속
천재 해커는 없다. 자신이 똑똑하게 방어를 한다면 해킹은 예방할 수 있다. 평소에 보안정보나 이슈에 관심을 가지고 여러가지로
주의를 하자.