IT Note/Security (13) 썸네일형 리스트형 ChatGPT의 시대, 당신이 주의해야 할 점 안녕하세요, 에디터 푸린입니다. 사실 지금은 한물간 주제일 수 있으나, 올해 화제의 키워드를 하나 뽑으라면 단연 ChatGPT가 상위권을 차지하지 않을까 싶습니다. 내노라하는 국내 대기업들이 OpenAI를 따라 GPT모델을 사용한 서비스를 출시하거나 출시를 앞두고 있습니다. 네이버에서도 한국어 특성을 강점으로 놓은 하이퍼클로바X를 출시하기 위해 고군분투 중이고, 기존에 일반 사용자 대상의 Public ChatGPT형이 아닌 기업들을 대상으로 한 Private ChatGPT도 우후죽순 쏟아지고 있습니다. 이번 아티클은 ChatGPT처럼 GPT모델을 기본으로 하여 채팅을 하는 서비스에 대해서만 다루고자 하며, 이런 서비스를 과연 그냥 쏟아지는 대로 아무 의심없이 사용해도 될지, 어떠한 기본적인 주의사항이 필.. 내가 스마트폰을 지배하는가, 스마트폰이 나를 지배하는가 | 영화 <스마트폰을 떨어뜨렸을 뿐인데> 후기 안녕하세요, 에디터 푸린입니다! 여러분은 스몸비(smombie)라는 단어를 아시나요? 2020년 전후에 등장한 신조어로 스마트폰(smartphone)과 좀비(zombie)의 합성어입니다. 스마트폰에 집중하느라 걸을때든 서있을 때든 스마트폰만 예의주시하며 느리게 행동하는 사람들/위험을 의식하지 못하는 사람들을 일컫는 말이었죠. 스마트폰이 대중화되면서 다들 스마트폰만 뚫어져라 쳐다보며 전혀 고개를 돌리지 않는 모습에 대한 풍자임과 동시에 우려를 표하는 뜻이기도 했습니다. 이제는 효도폰마저 스마트폰이 나오는 시대로, 스마트폰이 없는 세상은 상상하기가 어렵습니다. 스마트폰 없이 어떻게 생활할까 또는 이전에는 어떻게 살았을까 싶을 정도로 우리의 생활을 지배하는 이 작은 기계에 대한 경종을 울리는 영화가 있습니다... 제로 트러스트 맛보기 안녕하세요, 에디터 푸린입니다. 2022년 보안 쪽에서 가장 핫한 키워드 중 하나는 바로 “제로 트러스트” 였습니다. 지난 11월에 진행된 저희의 작은 세미나에서 선보였던 부분을 정리하여 아티클로 준비해보았습니다. 크게 일반 기업 IT담당자와 개발자를 주요 관객으로 설정하고 준비했다는 점 참고 부탁드립니다. 이번 아티클에서는 좀 더 일반적인 내용으로 제로 트러스트의 개념 등에 대해 소개를 드리고자 합니다. WHAT IS ZERO TRUST? 가장 먼저, 제로 트러스트란 무엇일까요? 일단 용어 자체가 매우 직관적이고 쉬운편으로 바로 아실 수 있는 것처럼, “누구도 믿지 말라”라는 컨셉입니다. 제로 트러스트는 어떠한 어키텍처나 정해진 플랫폼, 솔루션 등이 아닌 개념이자 모델로 특정 영역에만 국한되는 것이 아.. 보안 용어 정리! (IAM,PAM,Federated SSO) 원문 : 호롤리한하루/보안 용어 정리! (IAM,PAM,Federated SSO) IAM (Identity and Access Management) 디지털 ID를 소유한 유저 혹은 application에게 리소스에 접근할 수 있는 적절한 권한을 제공하는 방식 암호/MFA/지문 등의 인증 절차를 거치면 리소스권한을 부여 IAM솔루션마다 조금씩 기능은 다르지만 대부분 아래 기능을 제공 MFA : 사용자 id/pwd외에도 SMS,통화,이메일 등의 방법으로 추가 인증 SSO : 한번의 시스템 인증을 통해 다른 서비스에 재인증 절차없이 접근할 수 있게 함 Federated SSO : 신뢰관계인 다른 IdP에 인증 RBAC : 조직내 역할과 업무에 따라 리소스에 대한 액세스를 제한 PAM (Privileged Ac.. [SecuritIST] KISA_2021 사이버 위협 전망_3. 코로나-19 사이버 공격 팬데믹 안녕하세요, 에디터 푸린입니다. 이번 아티클에서는 KISA의 2021 사이버 위협 전망 중 3번째 아이템인 에 대해서 다뤄볼 예정입니다. 2번호주(Australia) 의 AusCERT팀에서 발표한 호다닥 공부해보는 SSO와 친구들 (SAML, OAuth, OIDC) 원문 : 호롤리/호다닥 공부해보는 SSO와 친구들 (SAML, OAuth, OIDC) Overview 우리는 여러 사이트를 돌아다니면서 내가 "나"임을 증명하기 위해 계정을 만들고 로그인을 하게 됩니다. 예전에는 여러 사이트마다 각자 계정을 만드는 일이 잦았는데 최근엔 대형 회사들(eg. Google, Naver, Facebook 등)의 계정으로 로그인을 대신 할 수 있게 되었습니다. 자연스럽게 사용하는 기능이지만 자세히는 몰랐던 내용들, SSO와 SSO를 구현하기 위한 몇가지 인증 방법에 대해서 알아보도록 하겠습니다. SSO(Single Sign On)? 이름 그대로 단일 로그인, 즉 한번의 로그인으로 여러개의 애플리케이션들을 이용할 수 있게해주는 서비스 입니다. SSO가 없다면 사용하고자 하는 서비스.. [SecuritIST] KISA_2021 사이버 위협 전망_2. 고도화된 표적형 악성 이메일 안녕하세요, 에디터 푸린입니다. 이번 아티클에서는 KISA의 2021 사이버 위협 전망 중 2번째 아이템인 에 대해서 다뤄볼 예정입니다. 개요 아티클에서 설명드렸다시피, 발표된 2021 사이버 위협 전망이 한국뿐만 아니라 다른 나라와의 합작이기에 공통 아이템이었던 1. 랜섬웨어의 확산 이후로는 각 나라에서 선정한 전망 발표가 이어집니다. 2번부터는 나라명 알파벳 순으로 전망이 제시되며, 따라서 첫번째 타자는 호주(Australia) 의 AusCERT팀에서 발표한 전망이 소개됩니다. KISA 발표 전망 우선 KISA에서 발표한 자료 내용 먼저 보고 넘어갈까요? 1-2 고도화된 표적형 악성 이메일 (호주, AusCERT) ▶ 맞춤형 악성 이메일과 대량 피싱이 결합한 매스피어링 등장 ▶ Emotet 악성코드를.. 호다닥 공부해보는 x509와 친구들(2) - Let's Encrypt 원문: 호롤리/호다닥 공부해보는 x509와 친구들(2) - Let's Encrypt Overview 지난 포스팅에서 x509란 무엇인지, PKI와 CA 그리고 인증서에 대해서 알아보았습니다. 지난포스팅 -> 호다닥 공부해보는 x509와 친구들 이번 포스팅에서는 실제로 인증서를 발급해보고, 웹서버에 적용시켜 신뢰할 수 있는 사이트를 만들어보도록 하겠습니다. Let's Encrypt? 신뢰할 수 있는 인증서를 발급해줄 수 있는 CA는 여러군데 있지만 무료로 인증서를 발급해주는 CA는 흔치 않습니다. Let's Encrypt는 인증서 수동생성, 유효성 확인, 디지털 서명, 설치 및 갱신의 복잡한 프로세스를 자동화시켜, 무료로 SSL인증서를 발급해주는 CA(Certificate Author.. 호다닥 공부해보는 x509와 친구들 원문 : 호롤리/호다닥 공부해보는 x509와 친구들 Overview 종종 Web App을 개발할때나 Docker혹은 Kubernetes에 접속할 때 다음과 같은 에러를 만날때가 있습니다. x509 certificate signed by unknown authority그리고 인터넷 서핑을 하다보면 위 사진과 같이 "Your connection is not Private"라는 문구가 뜨며 하단의 Advanced를 눌러야만 사이트에 들어갈 수 있는 경우를 심심찮게 발견할 수 있습니다. 또 들어가게되더라도 아래 사진과 같이 "Your Connection to this site is not secure"이라는 경고문을 확인할 수 있을겁니다. 사이트는 정상적으로 돌아다닐 수 있겠지만 어딘가 찝찝한 기분과 함께 돌아.. [SecuritIST] KISA_2021 사이버 위협 전망_1. 랜섬웨어의 확산 안녕하세요, 에디터 푸린입니다. 지난번에 간단하게 소개드렸던 "KISA(한국인터넷진흥원)의 2021 사이버 위협 전망"의 각 항목들에 대한 오버뷰를 정리하기 위해 다시 돌아왔습니다. 그 중에서 한국, 호주, 인도, 스리랑카의 침해사고 대응팀과 함께 뽑은 첫번째 글로벌 전망은 바로 "표적형 공격 랜섬웨어의 확산과 피해규모 증가" 입니다. 특히나 모든 국가에서 공통으로 소개한 위협전망인 만큼 첫번째로, 그리고 중요한 순위로 다뤄지고 있습니다. 아래는 실제 KISA에서 발표한 “2021, 우리를 위협하는 시그널에 주목하라!”의 내용 중 일부입니다. ▶ 정부 및 기업 등 특정 대상을 표적한 공격 ▶ 서비스 및 제조, 의료 등 다양한 산업 분야로 랜섬웨어 공격 확대 ▶ 내부 정보 유출부터 파일 암호화까지, 협박수.. Think Like a Hacker! : Injection이란? 원문 : 호롤리한하루/Think Like a Hacker! : Injection이란? Overview 이번 포스팅에서는 Injection공격에 대해서 설명해보도록 하겠습니다. Injection? OWASP top10에서 2013, 2017 연속으로 1위를 차지한 만큼 굉장히 위험한 공격기법입니다. 쉬운 공격 난이도에 비해 파괴력이 어마어마하기 때문에 보안에 손을 한번이라도 담궈본 사람들은 무조건 들어봤을겁니다. Code Injection은 공격자에 의해서 취약한 컴퓨터 프로그램 코드를 삽입하고 실행을 변경하는 방식으로 이용되고, 어플리케이션이 인터프리터에 신뢰할 수 없는 데이터를 보낼 때 발생합니다. Code Injection에는 여러 종류가 있는데 오늘은 OS Command Injection과 SQL .. Think Like a Hacker! : XSS란? 원문: 호롤리한하루/Think Like a Hacker! : XSS란? Overview 요새 새로운 팀의 on-boarding교육을 받고 있는데 거기서 배운 것들 중에 정리해둘 만한 것들을 포스팅 해보려고 합니다. 첫 번 째 시리즈로는 Think Like a Hacker! 로, 코딩할때 고려해야 할 취약점들의 설명과 예방 방법에 대한 내용입니다. 이번 포스팅에서는 Cross-Site Scripting(XSS)에 대해서 설명해보도록 하겠습니다. XSS(Cross-Site Scripting)? XSS는 공격자가 web application에 예상하지 못한 스크립트를 삽입하여 공격하는 기법으로, 여러 곳에서 공격이 들어올 수 있습니다. http 파라미터 http 헤더, 쿠키 json, xml파일 db file.. 이전 1 2 다음
