기록하는 공부

요약 이 메일은 2021년 3월 21일에 내가 직접 받았던 메일이다. 메일의 내용으로는 미국 회사인 SITA에 저장되어 있는 항공 서비스 데이터 정보가 개인정보(카드번호, 이름 등)가 유출되었다는 것이다. 유출된 카드 정보는 암호화되어 있으며, 조치를 취해 부정 결제가 발생할 가능성이 낮지만 도용 예방을 위해 카드 재발급 또는 결제 알림 서비스 가입을 부탁한다고 적혀있다. 리뷰 2021년 3월 21일에 나에게 제주항공에서 메일이 날아왔다. 작년에 친구들과 베트남 다낭으로 제주항공을 이용해 여행을 다녀온 적이 있다. 그때, 제주항공 홈페이지에서 티켓을 예매하고 카드결제를 진행했었는데 그 때 정보가 아마 유출된 것으로 추측된다. 정확하게 어떤 기법을 이용해 유출되었는지는 나와있지 않아 모르겠지만 유출된 것을..

기사 요약 보안 블로그 시큐리티어페어즈에 의하면 인기 높은 워드프레스 플러그인인 닌자폼즈(Ninja Forms)에서 세 가지 취약점이 발견됐고, 현재 90만 개 이상의 웹사이트들이 취약점에 노출되어 있는 상황이라고 한다. 이 취약점들은 CVE-2023-37979, CVE-2023-38386, CVE-2023-38393이며, 권한 상승과 민감 정보 유출을 가능하게 한다. 닌자폼즈 개발사 측은 3.6.26 버전을 새롭게 배포하며 사용자들에게 업데이트 설치를 권장하는 중이다. 리뷰 워드프레스란 웹사이트/홈페이지/쇼핑몰/블로그 제작 관련 오픈 소스 프로그램이다. 현재 전세계 웹사이트의 40% 이상이 워드프레스로 제작되어 있다고 한다. 이 워드프레스의 닌자폼즈는 서류 양식과 관련된 워드프레스 플러그인 중 인기가 ..

기사 요약 국가정보원이 실시한 '2023년 공공기관 정보보안 관리실태 평가' 결과, 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선된 것으로 나타났다. 전담조직·인력·예산확보 등의 수준이 상승한 것이 주요 요인이다. 그러나 130개 기관 중 25개 기관은 수준 미달인 것으로 조사돼 개선이 필요한 상황이다. 기술적 보안 분야에서 여전히 절반에 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또 용역업체 직원에 대한 시스템 접근 권한을 차등 부여해야 함에도 불구하고 이를 이행하지 않는 등 용역업체 보안관리도 전년보다 미흡한 것으로 확인됐다. 아울러 윈도 7·윈도 서버 2008 등 보안 지원이 중단된 운영체제의 사용, 시스..

접근통제 모델 시스템 또는 네트워크에 대한 무단 접근을 제한하고 통제하기 위해 설계된 구조나 방법을 말한다. 이 모델은 인가된 사용자만이 시스템 또는 데이터에 접근할 수 있도록 보장하여 불법적인 접근을 막는 역할을 한다. 임의적 접근통제(DAC, Discretionary Access Control) 사용자나 그룹의 신원을 기준으로 객체에 대한 접근을 제한하는 방법 객체의 소유자는 다른 주체에 대해 객체에 대한 접근 권한 설정 가능 -> 객체의 소유자가 접근 여부를 결정 하나의 주체마다 객체에 대한 접근 권한을 부여 접근제어 행렬, 자격목록, 접근제어 목록이 있다. 리눅스, 윈도우, 유닉스 등 대부분의 OS에서 사용 ■ 장점 객체별로 세분화된 접근제어가 가능 (융통성) 특정 주체가 다른 주체에 대해 임의적..