저의 첫 책이 세상에 나옵니다.


- 보안에 미쳐라 : 유쾌 상쾌 통쾌한 보안 이야기

http://www.yes24.com/24/goods/29333992?scode=032&OzSrank=1




보안에 관심 가진 사람들 대상(취업 준비생...)이라 기술적인 내용은 별로 없습니다.

그래서 재미있게 쓰려다보니 저자 소개에 덕밍아웃을 했는데...

살짝 부끄럽네요 ㅋ






많이 팔렸으면 좋겠네요 ㅋㅋ



Posted by mstoned7

댓글을 달아 주세요

  1. 2016.07.08 02:09  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  2. 애뽀 2016.07.25 16:22  댓글주소  수정/삭제  댓글쓰기

    저 책은 꼭사봐야겠네요!

  3. 컴도사 2016.08.10 13:15  댓글주소  수정/삭제  댓글쓰기

    우와
    존경합니다!~^^

  4. 애뽀 2017.11.11 21:07  댓글주소  수정/삭제  댓글쓰기

    나오자마자 사서 읽었습니다 어느덧 1년이 지났네요... 책이 너무 재밌습니다! 1년이 지나서야 댓글을 달아보네요.. ㅠㅠ

파이어아이가 2016년 침해사고 대응 서비스를 실시한다고 합니다.




- 파이어아이, 내년 국내 침해사고대응서비스 진출 (ZDNet, 2015년 12월 18일자)

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151218114315


그동안 국내에는 침해사고 조사 시장이 거의 없었는데 파이어아이의 진출이 어떤 결과를 가져올지 자뭇 궁금합니다.

국내 업체들이 몇년간 시장을 만들기 위해 노력했지만 사실상 실패했는데 외국 업체를 통해 시장이 형성될까요 ?


만약 외국계 업체에서도 제 값을 받지는 못하고 국내 보안업체에도 기본적으로 원하는 사안이 된다면 국내 업체들에게는 부담이 될 수도 있을 듯 합니다.


침해사고 대응 서비스 진출 소식을 사람들(업계)에 전하니 "사람 뽑는데요 ?"하는 얘기를 하더군요 ㅋ


과연 인력은 어떻게 확보할 것인가하는 의문이 들었는데...

크게 두가지로 논의되었습니다.


1. 국내 채용

2. 미국 본사 지원


중... 모두 틀리고 일본 지사 직원 5명이 지원하는 걸로 기사에는 떴습니다.


- 글로벌 보안 기업 사세 확장 왜? (전자신문, 2015년 12월 21일자)

http://www.etnews.com/20151221000206


개인적으로는 국내에서 채용하지 않고 본사에서 지원하는 형태가 되지 않을까 싶었습니다.

일단 국내에는 제대로된 시장이 없는 상황에서 무작정 분석 인력을 채용하는건 문제가 있겠죠.


국내에 진출한 외국 업체들이 연구인력을 한국에 두지 않거나 최소 인력을 두는건 매출이 그만큼 나오지 않기 때문이겠죠.


하지만, 본사 지원을 생각했던 사람들도 문화적, 언어적 측면에서 미국 본사에서 지원하는건 한계가 있지 않을까하는 생각을 많이 한듯 합니다. 

다행히(?) 지리적, 문화적으로 가까운 일본 지사 사람들이고 그중 2명은 한국인이라고 합니다.


내년 파이어아이의 국내 침해사고 대응 서비스가 어떤 결과를 가져올지 지켜봐야겠습니다.




Posted by mstoned7

댓글을 달아 주세요


2015년 8월 17일 SERICEO 홈페이지 [경영에 보안을 입히다] 시리즈 중 '악성코드, 당신의 컴퓨터를 노린다'가 올라갔습니다.





동영상이 올라간 후 회사 여러분이 동영상 잘 봤다고 말씀하시더군요.

모 상무님은 직접 동영상을 틀어주셨는데 민망해서 제대로 못봤습니다. (동영상으로 자신의 모습을 보는건 참 부끄러운 일입니다.)





시작은 2015년 5월 정도로 기억하는데 SERICEO에 보안과 관련된 동영상을 올리기로 결정되고 몇 번의 회의로 업체별로 주제가 선정되고 글을 쓰고 교정을 거쳤습니다.


저의 글은 경영자가 알아야 할 악성코드에 대한 일반적 사항과 대처법입니다.


그렇게 준비해서 2015년 7월 촬영을 했습니다.

파란색 배경에서 2시간 정도 고생해서 동영상 촬영을 마무리했죠.

제가 쓴 글을 제가 읽는데 막 버벅 거렸습니다.

- 너무 쉽게 생각했다고나 할까요...


모든걸 잊고 지내던 8월 담당 PD님으로 부터 문자가 옵니다.


손을 너무 떨어 재촬영 해야겠다고 하네요 (털썩...)

외부 발표도 많이하고 TV 인터뷰도 종종해서 긴장을 많이 안할 줄 알았는데 

결혼식 축가 부를 때만큼 손을 엄청 떨었나 봅니다.


결국 재촬영했고 초반에 약간 떨다가 손을 자유롭게 하면서 무사히 촬영 완료해서 1시간 정도 만에 촬영 끝 !


교훈이라면..

역시 방송은 아무나 하는게 아니라는 점 입니다.




Posted by mstoned7

댓글을 달아 주세요

  1. 2015.11.28 15:16  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다


모 교수님 페이스북으로 수상한 메일이 접수되었다는 글이 올라왔습니다.




해당 문서가 표적공격이 아닐까 싶어 워드 문서 받아서 한번 봤습니다.

매크로(Macro)도 없고 딱히 취약점에 눈에 띄지는 않더군요.


하지만, 내용을 보고 바로 피싱이 아닐까 싶었습니다.


일단 오타도 보이네요. 

(금융사긴집단, 잇는지, 개설되셧는지)



그외 제목에 한자가 있고 만든이는 use, 회사는 PRC .... 웬지 중국쪽에서 작업한 느낌이 드네요.





'02-1544-8136' 으로 연락하라고 되어 있어 검색해보니 네이버에서는 피싱이라는 글이 6월 19일에 올라왔습니다.

(http://cafe.naver.com/weathermasterlab/121002)


  

좀 더 검토해봐야겠지만 피싱 메일일 가능성이 높습니다.

피싱이 점점 진화해 문자에 이어 이제 첨부 파일로도 오네요.

(외국에서는 흔한 수법이긴 합니다.)



Posted by mstoned7

댓글을 달아 주세요

  1. 2015.06.20 14:45  댓글주소  수정/삭제  댓글쓰기

    저도 와서보니 ㅋ 같은 분이 있네요

  2. zz 2015.06.22 13:05  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다~ㅋ

  3. 효효 2015.06.23 10:55  댓글주소  수정/삭제  댓글쓰기

    저는문자로왓네요ㅋㅋ

  4. 증증습 2015.06.23 12:16  댓글주소  수정/삭제  댓글쓰기

    저도 받았습니다.
    전 첨부파일은 아니고 그냥 내용이 텍스트로 적혀 있는데 내용이 비슷하네요.
    거기다가 결정적으로 법무부장관 권재진 이라고 왔는데 이분 현 법무부 장관도 아닌데...

  5. ㅠㅠ 2015.06.23 12:37  댓글주소  수정/삭제  댓글쓰기

    저도 똑같이 메일 받았습니다.. 몇일전에 온건데 오늘 이메일 확인해보니 이게 뭔가싶어서 검색해보니..
    보이스피싱 이메일이었군요.. 방금 막 검찰청 찾아보고 그러는 중이었어요 ㅋㅋ 누군가 제껄 도용했나 싶기도하고.. 확인 잘 하고갑니다 !

  6. Ec0nomist 2015.06.23 23:38 신고  댓글주소  수정/삭제  댓글쓰기

    기존의 대검찰청 피싱 사이트에 나오던 것과 다수 유사한 점을 고려하면 일부 문장를 조금 수정해서 유포하는 것 같습니다. 이런 방식으로 유포하는건 오늘 알았습니다..ㅎㅎ


2015년 6월 12일 금요일

메르스로 어린이 집이 쉬어서 집에서 애 보고 있는데

메르스 정보로 가장한 악성코드를 주의하자는 기사가 계속 떴습니다.




어제부터 북한 IP로 접속하는 메르스 관련 내용으로 가장한 악성코드가 있었다는 얘기는 들었지만 본적이 없어 궁금했었습니다.


처음 북한 IP 접속 얘기를 들었을 때 '북한 IP ? 우리나라에서 접속이나 될까 ?' 였습니다.

확인해보니 최초 샘플은 6월 초에 접수되었지만 이미 V3에서는 2012년 엔진에서 진단되고 있었습니다.

더욱 이상한 생각이 들었습니다.


아니 북한에서 만든거면 접속도 잘 안될 듯한 주소에 국내에서 가장 많이 사용되는 백신 중 하나인 V3에서 이미 진단되는걸 배포해 ?!

미친걸까 ... 실수한 걸까.. 아니면 누군가 북한한테 뒤집어 씌우려고 한건가... 등등 여러 생각이 나더군요.


악성코드 분석을 어느 정도 마무리한 밤 10시 쯤 KBS에서 단독 기사를 냈습니다. 


- [단독] ‘메르스 악성코드 이메일’ 북한 연계 포착 (2015년 6월 12일, KBS)

http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A


하지만, 단독이라고 얘기하지만 이미 보안뉴스에 6시 5분에 비슷한 내용이 기사로 올라갔습니다.

(공중파에서 단독 기사 중에 이미 전문지에서 공개된 내용도 간혹 있습니다.)




- 메르스 사칭한 악성파일 유포 확산...북한 IP와의 통신 정황 포착 (2015년 6월 12일, 보안뉴스)

http://www.boannews.com/media/view.asp?idx=46600&kind=1


물론 실제 보도는 KBS가 빨랐지만 홈페이지에 늦게 올라갔을 수도 있습니다.


이런 기사가 블로그나 전문지로 나가는 것과 공중파 다뤄지는건 파장이 다를 수 밖에 없습니다

이거 뭔가 준비해야하는거 아닌가하는 생각이 들었죠. 


회사에 정보 공유한 후 밤 10시 23분에 연합뉴스가 2보로 올라가면서 황당한(?) 결론이 나왔습니다.



- '메르스 공포' 노린 스미싱·악성코드 등장 (2015년 6월 12일, 연합뉴스)

http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML?input=1195m



종합 2보에는 아래 내용이 추가되었습니다.



'한편 유포 경로가 불분명한 문서 위장 악성코드 중에는 접속 시 북한 IP로 연결되는 경우가 있어 일각에서는 북한의 소행이라는 의혹이 제기됐다.


그러나 KISA 확인 결과 이 악성코드는 한 보안업체에서 교육용으로 만들어 교육생들에게 배포한 것으로 확인됐다. 


이후 알 수 없는 경로로 전 세계 보안 전문가들이 항상 주시하는 유명 웹사이트에 해당 악성코드가 올라오면서 오해가 빚어진 것으로 KISA는 파악하고 있다. 교육생 중 한 명이 올렸을 가능성이 큰 상황이다.'



어떤 보안업체에서 교육용으로 만들어 교육생들에게 배포했었다고 합니다. 들리는바로는 악성코드 생성 프로그램(Generator, Constructor)으로 만들었다고 합니다. 그래서 안랩 V3 에서는 2012년 엔진에서 진단되고 있는게 아닐까 하는 생각도 드네요. 교육생 중 한명이 해당 샘플을 바이러스토털(Virustotal)에 올렸고 해당 샘플이 보안 업체에 공유되면서 한바탕 소동이 있었나 봅니다.


대한민국 정보보안에서 북한 이슈는 언젠가 부터 매우 크게 되었습니다. 그러다보니 북한 IP가 들어간 악성코드가 크게 주목 받은게 아닐까 합니다. 


그리고 몇몇 보안업체 교육 때 수강생들에게 실제 악성코드 샘플로 교육하는게 맞는가 하는 고민도 필요해 보입니다. 윤리적인 측면에서 교육을 위해 새로운 악성코드를 만드는건 더욱 고민해 봐야 할 듯 합니다. 참고로 저는 실제 악성코드를 보여주기도 하지만 수강생들에게 주지는 않습니다. 분석 교육의 경우 악성코드 기법 중 일부만 담았거나 실제 악성코드 기능은 살짝 피한 (다운로드를 시도하지만 실제로 없는 주소라거나 자동실행되도록 하지만 파일 이름이 다르거나 등) 별도 프로그램을 만들어 제공합니다.



---


추가)


보안뉴스에서 교육용으로 만든거 최종 확인해 줬네요. 


- 교육용으로 제작된 메르스 악성파일 사태 일파만파 (보안뉴스, 2015년 6월 13일)

http://www.boannews.com/media/view.asp?idx=46606



















Posted by mstoned7

댓글을 달아 주세요


치후360 (Qihoo360)은 6월 중국을 목표로한 오션로터스(OceanLotus) 분석 보고서를 냈습니다

이어 보안 뉴스에 '중국도 몇 년씩 해킹을 당해왔다고, 진실 맞아?'란 기사가 뜹니다.



이는 Chinese ISP: China Is Victim Of Foreign State-Backed APT Group 의 번역 기사로 보입니다.

http://www.darkreading.com/vulnerabilities---threats/chinese-isp-china-is-victim-of-foreign-state-backed-apt-group/d/d-id/1320716


서방 언론의 러시아와 중국에 대한 신뢰가 바닥임을 여실히 보여주는 기사가 아닐까 합니다.


제 상식에서는 현재 세계 각국은 사이버첩보를 직접 혹은 지원 하는 것으로 추정되며 중국도 가해자임과 동시에 피해자일거라는 추정을 할 수 있습니다. 하지만, 기사를 보면 언론과 보안업체 직원들은 중국 보안 업체의 분석보고서도 반신반의 하는 것으로 보입니다. 이점에서는 중국에 대한 그들의 신뢰가 낮음을 알 수 있습니다.


비단 중국 뿐 아닙니다 예전에도 러시아 카스퍼스키랩 (Kasperskylab)의 설립자 유진 카스퍼스키(Eugene Kaspersky)가 러시아 정보부 사람들과 관련있는게 아닌가 하는 기사도 나왔습니다.


The Company Securing Your Internet Has Close Ties to Russian Spies 

http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-russian-spies


2012년에도 Eugene Kaspersky를 세상에서 가장 위험한 사람으로 기사화 했습니다.

http://www.wired.com/2012/12/most-dangerous-people


물론 이런 점에는 중국 보안업체의 인증에서 부정 행위로 한몫 했습니다.

https://grahamcluley.com/2015/04/anti-virus-cheat


사이버공격이 정부 주도로 이뤄진다는 믿음 속에 국가에 속한 보안 업체들끼리도 의심을 받는 시대가 왔네요.

과연 대한민국은 ? 그리고 대한민국의 안랩은 어떻게 비춰질까요 ?

(관심없다 이러는가 아닐지...ㅋ)



Posted by mstoned7

댓글을 달아 주세요


'프랑스 국영 TV 해킹 악성코드, 실체를 밝힌다'

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23629&dir_group_dist=0


월간 안 2015년 5월호 [Threat Analysis] 제목입니다.

언제나 처럼 제목은 월간 안 편집 흥미롭게(?) 지었습니다.


2015년 4월 8일 떼베생몽드(TV5 Monde) 침해 사고 관련해서는 처음에 악성코드 부터 먼저 접했습니다.

관련 악성코드를 보다가 2013년 3월 20일 국내 방송국 시스템에 문제가 생긴 것 처럼 떼베생몽드 내부 시스템 장애가 발생했고 방송 송출도 중단되었다는걸 알게 되었습니다.


직접 연관성을 확인하긴 어렵지만 Njrat, Njworm 으로 불리는 트로이목마도 발견되었습니다. 악성코드 분석가 입장에서 한번쯤 들어봤지만 익숙하지 않은 녀석입니다. 


여기에는 악성코드의 지역화 특징이 있습니다. 아무래도 국내 고객 샘플 위주로 샘플을 분석하다보니 아랍어권에서 유행하는 악성코드는 아무래도 볼 기회가 없거나 적었던 거지요.


그래서 결국 월간 안에 실을 글을 작성하게되었습니다.


VB 스크립트 트로이목마에 끌린 연구원에게 같이 쓰자고 하면서요.

- 유럽 여행을 목전에 두고 있는 상황이었는데 분석 보고서라니 조금 다급했겠죠 ?! 살짝 미안한 마음도 드네요.


사건 경위는 제가 작성하고 VB 스크립트는 신규 연구원이 작성했습니다.


Posted by mstoned7

댓글을 달아 주세요



매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.

2015년에는 갑자기 급격히 증가하게 되었습니다.

- 하루에 100개 가까지 접수 된 적도 잇습니다.

그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다.


원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다.


내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다.


사회공학 기법 사용하는 매크로 악성코드 주의

(http://asec.ahnlab.com/1027)


[Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환?


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=23501


월간 안 2015년 4월 호는 아래에서 다운로드 가능합니다.

http://download.ahnlab.com/kr/site/magazineAhn/ahn_201504.pdf

Posted by mstoned7

댓글을 달아 주세요


Embedded Linux 악성코드 동향 




인터넷 공유기 악성코드 동향입니다.

앞으로 NAS 등으로도 넓히고 최종적으로는 IoT 악성코드에 대해서도 추가할 예정입니다.


공개용이라 안랩 내부 발표 때 보다 삭제된 내용이 많습니다.


http://www.slideshare.net/JackyMinseokCha/embedded-linux-20150323-v10


 Embedded Linux 악성코드 동향_20150323_v1.0 공개판.pdf


개인적으로는 제목 정하기가 참 어려웠습니다
처음 인터넷 공유기 악성코드 였는데... 외국에서는 홈 라우터(Home Router) 등으로 부르더군요.
그래서 Home Router 라고 했다가 이게 대부분 임베디드 리눅스와 연관되더군요.
그래서 임베디드 리눅스 악성코드라고 했다가 사실 임베디드 리눅스가 또 IoT 와 연관되고
인터넷 공유기도 IoT 라고 하는 사람들이 많다보니 IoT 까지 가버렸습니다 TT






Posted by mstoned7

댓글을 달아 주세요


외장하드를 알아보다 '바이러스 원천차단'과 같은 광고 문구가 있더군요.


바이러스 원천차단 ?

그런 기술이 어떻게 가능하지 ?

OS에서 지금 쓰려고 하는 자료가 악성코드(바이러스)인지 아닌지 어떨게 알지 ?!


이런 생각이 드네요.



읽어보니 '공인인증서 완벽 보안 관리 - 감염된 PC에 연결해도 바이러스 원천 차단'이라고 되어 있네요.

(이외에 바이러스 원천 차단에 대한 내용은 못 찾았습니다.)


아마도 외장하드에 저장된 공인인증서를 완벽 보호 한다는 의미 같습니다.

이건 공인인증서 보호이지 악성코드 원천 차단이라고 보기는 어렵다고 생각됩니다.


개인적으로는 악성코드에 감염된 상태에서 공인인증서를 보호하기는 어려울 것 같지만 제가 모르는 새로운 기술이 있을 수 있겠죠.

(암호화는 악성코드 예방에는 큰 도움이 안됩니다.)


제가 못 찾은 기능이나 기술이 있다면 댓글 부탁드립니다.




Posted by mstoned7

댓글을 달아 주세요