목록정보보안 (58)
기록하는 공부
기사 요약 한글과컴퓨터가 연내 자사 아래아 한글 이용자들을 대상으로 액티브엑스(ActiveX) 기술 지원을 종료키로 한 데 이어, 안랩도 액티브엑스 환경을 지원하는 보안 서비스를 끝내기로 했다. 대한민국 공공 정보화와 정부 업무시스템 기반을 닦은 대표 소프트웨어(SW) 기업들이 액티브 엑스 기술 지원 종료를 차례로 선언한 셈이다. 개발사인 마이크로소프트(MS)가 액티브 엑스 공급을 끊은 데 이어 잔존 프로그램 사용자들을 위한 주요 SW기업들의 기술지원 마저 중단되면서 액티브 엑스는 역사의 뒤안길로 완전히 사라지게 됐다. 액티브 엑스는 마이크로소프트가 개발한 소프트웨어 컴포넌트 기술로 웹 브라우저에서 실행되는 인터넷 익스플로러(Internet Explorer)와 같은 웹 브라우저에서 사용되는 작은 프로그램..
기사 요약 고용노동부와 한국고용정보원이 운영하는 취업정보사이트 ‘워크넷’이 중국 해커에 뚫려 23만 명의 개인정보가 유출된 가운데, 고용정보원이 해킹방지를 위해 5년간 100억 원 넘게 지출해 온 것으로 확인됐다. 매년 20억 원 안팎의 예산을 투입하고도 해킹에 무방비했다는 지적이 나온다. 고용노동부에 따르면 이번 사고는 중국 등 외국에서 특정 IPIP를 통해 워크넷 무단 접속을 시도해, 개인정보를 조회한 건으로, 이름, 성별, 출생연도, 주소, 휴대전화, 학력뿐만 아니라 증명사진, 직업훈련이력, 외국어능력, 차량소유여부 등의 정보까지 유출됐다. 한국고용정보원은 유출 피해 대상자별로 알림톡 또는 문자로 유출 사실을 통보했고, 홈페이지에도 공지를 통해 암호변경 등을 안내하고 있다. 리뷰 매년 해킹 방지를 ..
기사 요약 서울대 컴퓨터공학부에서 운영하는 아키텍처 및 코드 최적화 연구실(ARC LAB) 홈페이지는 지난 3일부터 4일 오전까지 인도네시아 도박 사이트로 연결됐다. 이 사이트는 외부 클라우드(깃허브)를 통해 운영되고 있는데, 서브 도메인 소유권 분실 및 탈취로 이 같은 해킹 사건이 벌어졌다. 현재 해당 사이트는 정상적으로 접속되고 있다. 이에 대해 서울대 관계자는 "소유권 분실로 일어난 서브 도메인 탈취 사고"라며 "ARC연구실 측은 소유권 분실 인지 및 회복을 위해 조치를 진행 중이었으며, 4일 조치 완료됐다"라고 말했다. 리뷰 이번 해킹 사건의 원인은 서브도메인 소유권 분실 및 탈취이다. 피싱 사이트와 같은 뉴스는 많이 보긴 했지만 서브도메인에 대해서는 본 적이 없던 것 같다. 그래서 서브도메인에 ..
subdomain Takeover(서브 도메인 탈취) subdomain Takeover의 정의 및 발생 상황 subdomain takeover은 직역 그대로 서브도메인 탈취를 말한다. 이는 웹 애플리케이션에서 발생하는 취약점 중 하나이며, 서브도메인은 기업이나 조직의 웹 사이트를 식별하는 데 사용된다. 예를 들어, "example.com" 도메인의 블로그 페이지를 가리키는 페이지의 주소로 "blog.example.com"을 사용해 서브도메인인 blog를 사용할 수 있다. 서브도메인 탈취는 사용되지 않는 서브도메인의 제어를 획득하여 공격자가 그 서브도메인을 이용하여 사용자를 대상으로 하는 공격을 수행한다. 일반적으로 서브도메인 탈취는 아래와 같은 상황에서 발생할 수 있다. 먼저, 사이트 소유자가 서비스를 ..