Boris's Lab

전 세계적으로 사용중인 페이스북에서 타인의 사진을 삭제할 수 있는 취약점이 발견되었습니다. 일반인들도 쉽게 할 수 있고 웹 취약점 중에서도 대표적인 파라미터 조작 입니다. 보안이 뛰어난 페이스북에서 가장 기본적인 파라미터에 대한 검증이 없어 타인의 사진을 마음대로 삭제가 가능했다는 것에 놀라웠습니다. 

나름 페이스북에서도 특정 사용자 만이 삭제링크에 접속할 수 있도록 만들어 놓았으나, 타인 사진에 대한 삭제링크를 제 3자에게 부여할 경우에는 제 3자가 삭제링크에 접속할 수 있다는 부분은 간과한 것 같습니다. 삭제 전 최종적으로 현재 로그인된 사용자가 해당 사진을 삭제할 수 있는 권한이 있는 것인지 검증할 수 있는 시스템을 추가하는 것이 좋을 것 같습니다. 

http://mcaf.ee/3meq2

보안관련 뉴스기사를 읽던 중 지금까지 발생했던 보안사고의 원인을 가장 잘 집어주었던 기사라 생각해서 블로그에 올리게 되었습니다. 대기업에서 왜 자꾸 보안사고가 발생하는 것일까, 보안에 예산을 투입할 수 있는 여력이 충분한 업체에서 왜 보안사고가 발생하는 것일까? 분명 수많은 보안사고를 접해봤을텐데 왜 보안사고가 발생한 것인지. 의문이 많았습니다. 

이 기사를 읽으면서 아! 이것 때문이구나. 이렇게 생각해 볼 수도 있구나 라는 깨달음을 많이 얻게 해주었던 것 같습니다. 여타 기사처럼 특정 제품을 홍보하는 내용도 아닌 정말 읽으면 유용할 만한 기사라고 생각합니다. 기업에서 확실하게 신경써주어야 할 부분을 콕콕 찝어 정리했다라고 개인적으로 생각합니다.

http://mcaf.ee/lrzqm

가장 치명적인 보안위협은 사람을 통한 기술유출이라고 합니다. 신기술을 개발하더라도 사람이 투입되고, 해당 기술을 다루는 것도 사람이 다루다 보니 자신이 개발했던 정보. 사용했던 기술의 정보를 눈으로 보거나 혹은 파일로 만들어 경쟁회사에 유출시키는 경우가 많습니다. 

이러한 산업스파이에 대해서는 처벌도 강력한 편이나, 막상 해당 직원을 검거하여 조사할 때 '정보의 가치가 없었다.', '연구를 위한 것이였다' 라는 등의 핑계를 대는 경우가 다반사입니다. 이 때 가장 필요한 것이 해당 직원이 실제 해당 정보를 수집하였고 다루었다는 증거인데 이 증거는 해당 직원이 사용했던 PC에 저장된 경우가 많습니다. 

하지만, 대부분의 기술유출은 해당 직원이 이미 기술을 가지고 보직변경이나 퇴사를 한 이후에 발견되는 경우가 많기 때문에 PC를 이후 사용자에게 인수인계 하는 과정에서 대부분 컴퓨터를 포맷하여 실제 증거자료들이 소멸되는 경우가 많습니다. 

이러한 경우를 대비하여 퇴사자의 PC내 저장매체를 장기간 보관해 놓자는 의견의 기사입니다.

좋은 방법이긴 하지만, 따로 보관했던 저장매체가 분실되어 유출될 경우 더욱 더 큰 피해가 발생할 수 있다는 부분까지도 염두해야 하지 않을까요? 실제로도 백업파일이 유출되어 피해가 발생한 사례가 다수 있습니다. 크래커들은 이러한 관리가 소홀한 백업파일을 노리고 있다는 점을 생각해본다면 한발 더 생각하여 저장매체를 암호화 저장해 놓는 것도 좋은 방법이라 생각합니다.

http://mcaf.ee/s2m59