Boris's Lab

최근 전직 CIA 요원이 미국이 개인정보를 수집해 왔다는 증언을 하고, 자료까지 배포하면서 큰 논란이 되고 있습니다. 미국 전역은 물론 전 세계 정보까지 수집했다는 사실이 놀랍습니다. 감청 및 해킹은 물론이고, 최근에는 앱 마켓내에 악성 어플리케이션을 대량 유포하여 다방면으로 정보를 수집하고 있다는 기사도 있었는데

일반인 정보까지도 무분별하게 수집하고 있다고 하니, 평소 인터넷 서핑했던 것도 모두 수집하는 것이 아닌가 싶습니다. 금융정보는 아무래도 금융회사내에서도 보안유지가 철저할 텐데, 이 정보를 수집한다면 회사와의 비밀공조가 없다면 과연 가능했을까 싶습니다. 

http://mcaf.ee/a6yuh

전 세계적으로 사용중인 페이스북에서 타인의 사진을 삭제할 수 있는 취약점이 발견되었습니다. 일반인들도 쉽게 할 수 있고 웹 취약점 중에서도 대표적인 파라미터 조작 입니다. 보안이 뛰어난 페이스북에서 가장 기본적인 파라미터에 대한 검증이 없어 타인의 사진을 마음대로 삭제가 가능했다는 것에 놀라웠습니다. 

나름 페이스북에서도 특정 사용자 만이 삭제링크에 접속할 수 있도록 만들어 놓았으나, 타인 사진에 대한 삭제링크를 제 3자에게 부여할 경우에는 제 3자가 삭제링크에 접속할 수 있다는 부분은 간과한 것 같습니다. 삭제 전 최종적으로 현재 로그인된 사용자가 해당 사진을 삭제할 수 있는 권한이 있는 것인지 검증할 수 있는 시스템을 추가하는 것이 좋을 것 같습니다. 

http://mcaf.ee/3meq2

보안관련 뉴스기사를 읽던 중 지금까지 발생했던 보안사고의 원인을 가장 잘 집어주었던 기사라 생각해서 블로그에 올리게 되었습니다. 대기업에서 왜 자꾸 보안사고가 발생하는 것일까, 보안에 예산을 투입할 수 있는 여력이 충분한 업체에서 왜 보안사고가 발생하는 것일까? 분명 수많은 보안사고를 접해봤을텐데 왜 보안사고가 발생한 것인지. 의문이 많았습니다. 

이 기사를 읽으면서 아! 이것 때문이구나. 이렇게 생각해 볼 수도 있구나 라는 깨달음을 많이 얻게 해주었던 것 같습니다. 여타 기사처럼 특정 제품을 홍보하는 내용도 아닌 정말 읽으면 유용할 만한 기사라고 생각합니다. 기업에서 확실하게 신경써주어야 할 부분을 콕콕 찝어 정리했다라고 개인적으로 생각합니다.

http://mcaf.ee/lrzqm