'첨부파일'에 해당되는 글 4건

  1. 2016.02.03 오피스 문서 매크로 바이러스 주의
  2. 2011.04.29 개인정보 예방 정보보호 안전수칙 10계명
  3. 2009.12.08 안전한 PHP 프로그래밍 (첨부파일 다운 & include 함수)
2016.02.03 20:32

오피스 문서 매크로 바이러스 주의

□ 개요
 o 최근 이메일을 통해 첨부된 MS워드 파일의 매크로 기능을 이용한 악성코드가 발견되고 있어 이용자의 주의를 당부함
 
□ 해킹메일 유포 사례
 o 15년 말 우크라이나 정전사태와 관련 있다고 알려진 악성코드가 최근 전력기관 대상 해킹 메일에 포함되어 감염을 시도
    ① 전화요금 청구서를 사칭한 메일로 첨부파일을 열도록 유도

    ② 첨부파일은 내용을 알아볼 수 없는 상태로 열리며 내용 확인을 위해 매크로 기능을 실행토록 유도

    ③ 매크로 옵션을 켤 경우 매크로가 실행되면서 특정 사이트로부터 악성코드를 다운로드하여 실행


□ 유의 및 조치사항
 o (보안담당자) 첨부 파일이 포함된 메일에 대한 검사 강화 및 특정 발신인 명의 메일은 차단
 o (이용자) 출처가 불분명한 메일은 삭제 또는 스팸처리, 118사이버민원센터로 신고하고 한글, MS워드의 매크로 기능은 사용 제한
  - (아래아한글) ①한글 실행 → ②도구 → ③매크로 → ④보안설정에서 매우 높음 선택(한글2010 기준)

  - (MS워드) ①워드 실행 → ②메뉴에서 파일 선택 → ③옵션 → ④보안센터 → ⑤매크로설정에서 매크로 제외 선택(Office2013 기준)


□ 기타 문의사항
 o 한국인터넷진흥원 분석2팀 윤지노 주임(☎ 02-405-5694)



Trackback 0 Comment 0
2011.04.29 09:17

개인정보 예방 정보보호 안전수칙 10계명

최근 돈벌이를 노린 범죄 집단이 온라인 게임 / 뱅킹 / 쇼핑몰 등을 해킹해 사용자의 개인정보 DB를 빼내거나 사용자 몰래 PC에 설치돼 개인정보를 빼내가는 악성코드나 스파이웨어를 유포하는 사례, 피싱(Phishing) 사이트나 보이스 피싱을 이용해 정보를 유출하는 일이 급증하고 있습니다. 안전한 인터넷 거래를 위해 각 업체들의 보안 강화는 물론 개인 사용자들도 보안 수칙을 준수하는 등 각별한 주의가 필요한 시점입니다. 

따라서 여러분들에게 안철수연구소는 개인, 기업, 정부 등 각 주요 부문에 대한 정보보호 안전수칙 10계명을 발표해 보안을 생활화하는 습관을 길러, 제 2의 피해가 없도록 해야겠습니다. 

<개인정보보호 수칙 10계명>----------------------------------------  

[개인]    

1. 자신이 가입한 사이트의 패스워드를 변경한다. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 개인정보나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.    

2. 만약 본인이 주민등록번호가 유출됐다면, 신용정보 사이트를 통해 명의 도용 차단 서비스를 활용하는 것이 좋다. 또한 현재 가입된 이동통신사에 '가입제한' 등록 신청을 한다.    

3. 계좌정보까지 유출됐다면 전화 금융사기로 일컬어지는 ‘보이스 피싱’에 각별히 주의해야 한다. 보이스 피싱은 공공기관이나 은행 등을 사칭해 돈을 빼앗아가는 신종 사기 수법이다. 특히 요즘에는 상당히 지능적인 방법으로 돈을 갈취하기 때문에 자신의 개인 정보나 계좌 정보 등을 거론하며 걸려오는 전화는 일단 의심해보고 전화를 끊는 것이 좋다. ▲한국말이 어눌하거나 ▲경찰, 금융권, 공공기관 관계자라거나 ▲전화로 개인정보를 요구한다면 유의한다.  

4. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제하고, 지난 1개월 동안 한 번도 들어가지 않은 사이트가 있다면 탈퇴하는 것이 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다. 

5. 해킹 피해자 모임에 가입할 때에는 믿을 수 있는 모임인지 확인한다. 피해자 모임에 가입하라는 이메일이나 전화를 받았을 경우, 자신의 정보를 유출하지 말고 해당 사이트에 직접 가입하여 확인한다.

6. PC방 등 누구에게나 개방된 컴퓨터에서는 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. 불가피하게 사용할 경우 신뢰성 있는 백신 및 PC방화벽 등이 설치 실행되는 곳에서만 이용한다. 

7. 윈도 운영체계는 최신 보안 패치를 모두 적용하며, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합백신 보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.  

8. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.  

9. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.  

10. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.  

[기업]    

1. 기업 및 기관에서는 사용자 안전과 개인 정보보호가 필수적인 최우선 과제라는 보안의식을 갖고 신뢰할 수 있는 웹사이트 및 홈페이지 구축과 함께 항상 최상의 보안상태를 유지하도록 관리해야 한다. 정기적인 서버 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검한다.  

2. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 보안 대응 지침 실천을 위한 교육을 수시로 실시한다.  

3. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.  

4. 네트워크 안전을 위한 네트워크 통합 위협관리장비나 방화벽의 설정을 통해 불필요한 포트를 차단한다.  

5. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.  

6. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.  

7. 개인 사용자의 아이디와 패스워드를 주기적으로 점검한다.  

8. 운영체제(OS)의 최신 보안 패치를 적용한다.  

9. 사내 PC의 보안 솔루션이 최신 버전인지, 작동이 정상적으로 되고 있는지 상황을 수시로 점검하고 감염이 자주 되는 PC를 특별 관리한다.  

10. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.   

[국가]  

1. 개인정보보호법 등 사용자 안전을 위한 법 제도를 신속히 제정해 국민들의 인터넷 사용 안전 대책을 마련한다. 개인정보가 유출될 경우 이를 개인정보 주체에게 알리도록 의무화하거나, 기업이나 기관이 개인정보와 고객정보 보호를 위한 웹사이트나 홈페이지 할 수 있는 법을 마련해야 한다.    

2. 포털, 게임 등 개인 정보보호에 필수적인 웹사이트 안전에 대한 '정보보호 안전진단' 제도의 실효성을 강화한다. 인터넷 보안취약성 점검이나 모의해킹 등을 통해 실제 해킹 여부를 확인하고, 안전진단을 실시하는 업체들의 관리 감독을 엄격히 실시한다.   

3. 해킹 예방과 사이버 범죄 수사를 위해 다른 나라들과의 공조체계를 마련한다.  

4. 정보보호 전문가를 육성할 전문적 교육체계를 마련하고 중요 국가시설에는 보안전문가들이 상시 관리 감독하도록 한다. 국가적 차원에서 실질적으로 사이버 안전체계를 강화하기 위해서는 전문보안업체의 인력 양성 및 수급이 중요하며, 기업 및 기관 등에도 보안 전문가 육성이 필요하다.    

5. 국가 중요 시설의 경우 정보보호계획 수립을 의무화해 체계적으로 관리한다.  

6. 국가적인 사이버 재난 및 사이버 전쟁에 대비한 국가 사이버 안전 대책을 일원화하여 일관성 있게 계획하고 추진할 수 있는 국가 CSO(Chief Security Officer 최고 보안책임자) 직책을 마련한다.

7. 주민등록번호 등 과도한 개인정보를 입력하도록 하는 국내 웹사이트 회원 등록에 대해 대안 마련과 개선을 한다.  

8. 포털 등 웹사이트 회원 가입 시 1인당 아이디(ID)를 여러 개 가입할 수 있는 관행은 인터넷 역기능과 사이버 범죄 악용 가능성을 감안해 폐지할 수 있도록 한다.  

9. 보안은 안전한 인터넷 생활의 인프라라는 관점에서 개인정보보호 등 보안에 대한 투자를 선진국 수준인 10% 이상으로 확대한다. 국가 시설이나 공공 기관의 경우 반드시 일정 수준의 정보보호시스템을 갖추도록 의무화한다.  

10. 국민들에 대한 보안의식 제고를 위한 범국가적인 지속적인 계도 및 캠페인을 실시하고 학교 교육부터 보안교육을 의무화한다. 


출처 : 안철수연구소 


Trackback 0 Comment 0
2009.12.08 16:42

안전한 PHP 프로그래밍 (첨부파일 다운 & include 함수)

1. 게시판 첨부파일 다운로드 개발시 주의점

국내 대형 IDC 운영사 사이트의 한 게시판에서 첨부파일 다운로드할 때, 내부 파일까지 다운로드할 수 있는 취약점이 있었다.
즉, /etc/ 이하의 파일이나 웹서버 설정 파일, 로그 등을 원하면 쉽게 받아볼 수 있는 취약점이었다.

이를테면 이런식이다. URL/download.html?path=/etc&file=resolv.conf&savename=resolv.txt
(물론 위처럼 직접적으로 URL을 표시하지 않았지만, 눈치만 있으면 쉽게 알 수 있음)
/etc/resolv.conf 를 받아서 PC에 resolv.txt 이름으로 저장하라는 예이다.
'어서오세요. 저희는 개방적인 마인드로 서버의 모든 것을 네티즌에게 원하는대로 다 드립니다.'라고 얘기하는 꼴이다.

이런 취약점을 통해

1) 시스템 사양 파악
  - 퍼미션에 둔감한 SE들이 상당히 많다.
  - 설정 파일 등 OS가 제공하는 기본 퍼미션을 그대로 사용하는 경우가 많다. 그러나 일반 user가 읽지 않아도 되는 파일이 상당히 많고, 실행하지 할 필요가 없는 파일도 매우 많다. 서비스 전에 미리 이런 파일들의 퍼미션을 강화하는게 좋다.
2) 내부 정보의 유출 (서버에 내부 정보 파일이 있다면)
3) 서버의 사양과 설정 파악으로, 시스템의 또다른 취약점까지 발견할 수 있는 위험도 있다.

첨부파일 다운로드시 다음과 같이 프로그래밍을 한다. (개인적으로 정리한 것)

1) 다운로드시 서버내 다운로드 경로를 URL로 지정하는 부분은 없앤다. 다운로드 로드 경로는 웹프로그램 내부 설정을 통해 처리해야.
2) /, \ 이나 .. 등 의 디렉토리 이동과 관련된 것은 사용하지 못하도록 한다. (필터링)
3) 파일명을 지정하지 않도록 하거나, (no=1 이면 게시물 1번의 파일 정보를 DB에서 읽어 다운로드시켜주면 된다.)
4) 암호화 처리하여 지정하게 한다.


2. php프로그래밍에서 include 취약

php에서 include() 함수를 사용할 때 주의하지 않아서, 내부 파일(local inclusion)이나 원격지 파일(remote file inclusion)을 include할 수 있는 취약한 사이트들이 있다.

의도적으로 URL을 통해 값을 넘겨받아 처럼) include하도록 개발하는 경우도 있다.
이를테면 왼쪽 메뉴는 고정인데, 오른쪽 내용만 바뀌는 페이지의 경우 include(page/$inc); 처럼 아주 단순하게 만들어 놓고, URL에는 사이트주소?inc=page1과 같이 처리하는 곳도 있다는 것이다. 유저를 너무나 신뢰하는, 믿음이 강한 개발자다.

1) include되면 원하는 서버 설정 파일을 볼 수 있는 것은 기본이다.

2) local include가 될 때 command를 실행할 수 있는 방법도 있다.
(원격지 파일을 include할 수 없더라도 command를 실행할 수 있음)

웹서버의 웹로그를 이용하는 방법이다. 특정한 방식으로 웹요청을 하여 웹로그에 <? ?> 등의 php tag가 저장되도록 하고, 이 웹로그 파일을 include되도록 하면 된다.
URL에 <? phpinfo(); ?> 를 요청하면 이게 %NN 처럼 인코딩되어 로그에 남기 때문에, 효과가 없다. 따라서 User Agent, Referer, 아파치 인증부분을 통해서 요청한다.

-
XAS(Cross Agent Scripting), XRS 취약점에 대해 (2009.3, 글 좋은진호)

위 XAS, XRS 취약점을 이용하듯이 웹요청을 하면, 웹로그에 <? phpinfo(); ?> 를 남길 수 있다. 위 글대로 요청할 때 웹로그에는 다음과 같이 남는다. 이해되는가? 이제 include에 이 로그파일만 지정해주면 php 명령을 실행할 수 있다. 물론 log파일을 읽을 수 있도록 퍼미션이 된 경우.
코드:

# 공개가 불필요한 부분은 ???로 변경해서 표시했다.

???.???.???.??? - - [??/???/2009:11:47:01 +0900] "GET / HTTP/1.1" 200 3901 "<script>alert('hello')</script>" "Mozilla/5.0 (X11; U; Linux i686; ko; rv:1.9.0.4) Gecko/200??????? Firefox/3.?.?"

-
Local File Inclusion - Tricks of the Trade (글 xeraph)

위의 글은 apache의 인증 부분을 필드에 <? .. ?> 와 같은 명령을 남기는 트릭입니다. 대단한 트릭이다. 어떻게 저런 생각을...

include 취약점을 없애기 위해 다음과 같이 프로그래밍을 한다. (개인적으로 정리한 것)

1) allow_url_include = off. php 5.2.x에서는 allow_url_include가 off로 되어 있다. 그 이전 버전 사용할 때, allow_url_fopen 로 설정하는데, 원격지 파일을 include나 fopen하는 경우가 없다면 off로 한다.
2) include() 함수에 사용되는 변수는 유저가 직접적으로(URL로) 설정할 수 없도록 한다.
3) include() 함수에 사용되는 변수값은 http :// , ftp :// 나 /, \, .. 등 을 필터링 처리한다.
4) 가능하면 register_globals = off


3. 안전한 php 프로그래밍에 관한 글들

-
PHP Security (Error reporting, SQL injections, XSS, file inclusion, XSRF 등)
-
PHP Security: Fortifying Your Website- Power Tips, Tools & How to’s
  ( Register_Globals, Error Reporting, XSS, File Inclusion, PHP Security Tools(PhpSecInfo, PHP Security Scanner, Spike PHP Security Audit Tool) 등)
-
PHP Security (PHP_SELF, Email Header Injection, Including Files, Error Reporting 등)
-
Remote File Inclusion


※ 참여자 : RedBaron, 범냉이, 티니, 좋은진호
※ 11.2(월)에 했던 커피닉스 이야기 중 비중 있는 부분을 별도로 정리했다.

출처 : http://coffeenix.net

Trackback 0 Comment 0