본문 바로가기

정보보호119

지식정보보안 컨설팅전문업체 11개 추가 지정 정보보호 컨설팅 서비스 수준 향상 기대http://www.boannews.com/media/view.asp?idx=40377&kind=0 기존 지정업체 롯데정보통신, 안랩, SK인포섹, STG시큐리티, A3시큐리티, 시큐아이, 싸이버원 등 7개 기업과 이번에 추가 지정업체 비트러스트, 소만사, 시에이에스, 에스에스알(SSR), 에스피에이스(SPAce), LGCNS, 윈스, 이글루시큐리티, KCC시큐리티, 한영회계법인, 한전KDN 등 11개를 합쳐 지식정보보안컨설팅 전문업체로 지정된 기업은 총 18개사 2014. 3. 30.
GRC, 거버넌스·리스크매니지먼트·컴플라이언스 보안에 목숨 달린 기업, GRC 간과했다간 ‘파리목숨’http://www.boannews.com/media/view.asp?idx=40329&kind=0 GRC, 거버넌스·리스크매니지먼트·컴플라이언스 의미 기업보안 성패, GRC가 좌지우지 ▲ 중앙대 김정덕 교수가 제시한 GRC 가치 생태계 “카드 정보유출사고와 KT홈페이지 해킹 등을 통해 내부통제, 거버넌스 이슈가 발생하고 있고, 사람과 프로세스가 중요해지면서 GRC가 기업운영에 있어 크게 부각되고 있다”며 “기업은 GRC를 왜 해야 하고, 어떻게 활용해야 하는지 연구해야 한다”고 강조 ‘정보보호 거버넌스 프레임워크’를 주제로 GRC의 중요성을 강조 ▲ 2006년 남아공 B. Solms 교수가 발표한 ‘정보보안 패러다임 흐름도’ “이제는 GRC가 각각 .. 2014. 3. 27.
[Threat Analysis] 'GongDa'의 무차별 웹 공격이 시작됐다 최근 국내 사이트를 통해 악성코드에 감염되는 사례들 가운데 중국에서 제작된 것으로 추정되는 웹 익스플로잇 툴킷(일명 공다팩, Gongda Pack)의 흔적들이 발견되고 있다. 해당 툴킷의 가장 큰 특징은 ‘Dadong’이라는 독특한 스크립트 난독화 방식을 사용한다는 점이다. 특히, 이 툴킷에는 가장 최신의 MS 제품 관련 취약점뿐만 아니라 상대적으로 보안 업데이트에 소홀할 수 있는 서드파티 애플리케이션 취약점에 대한 공격 코드가 포함되어 있어 그 피해 규모가 더욱 클 것으로 예상된다. 따라서, 사용자 및 보안 담당자들의 각별한 주의가 필요하다. 공다팩(GongDa Pack) 일반적으로 웹 익스플로잇 툴킷들은 내부적으로 사용되는 특징적인 도메인이나 변수들의 이름을 따서 명명된다. 공다팩(gongda pac.. 2014. 3. 20.
SW 보안 약점 진단 47개 진단항목 소스코드 취약점 진단컨설팅은 전자정부 SW개발단계부터 소스코드 보안약점 진단·제거 의무화에 따른 어플리케이션 개발 시 개발자에게 SW 보안 코딩 설계방안 제시 및 대응 할 수 있도록 하는데 목적이 있습니다.평가대상’12.12월 사업비 40억원이상 → ’14.1월 20억이상 → ’15.1월 5억이상 범위 : 소스코드(신규개발 전체 및 유지보수로 변경된 부분), 단, 상용SW 제외평가절차 진단항목7개 유형 47개 진단항목(입력 데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러처리, 코드오류, 캡슐화, API 오용) 유형주요내용개수 (47)입력 데이터 검증 및 표현프로그램 입력 값에 대한 부적젃한 검증 등으로 인해 발생할 수 있는 보안약점 1. SQL 삽입 2. 경로 조작 및 자원 삽입 3. 크로스사이트.. 2014. 3. 15.
긴급 홈페이지 보안 점검 요청 개요최근 국내 의사협회 홈페이지 해킹 등 개인정보 탈취 사례가 지속적으로 발생하고 있습니다.홈페이지를 운영하는 중소기업은 해킹 공격에 대비하여 긴급 보안점검을 하시기 바랍니다. 홈페이지 자체 보안 점검 요청대상 : 홈페이지를 운영하는 중소기업목적 : 홈페이지 자체 보안점검을 통하여 해킹 피해 방지내용 : 홈페이지 해킹도구(웹셸) 확인 및 취약점 자체 보안 점검 요청 한국인터넷진흥원 안내 사항웹셸 탐지도구 ‘휘슬’ 사용 신청 안내 - 중소기업에서 홈페이지 해킹도구(웹셸)삽입 확인이 어려울 경우, 한국인터넷진흥원에서 제공하는 웹셸 탐지 도구인 ‘휘슬’을 이용하시기 바랍니다. ※ 웹셸(Web Shell) : 보안이 취약한 사이트 게시판 등에 악성코드가 포함된 파일을 업로드하여 시스템 관리자 권한 획득 후 개인.. 2014. 3. 3.

티스토리툴바