* 보안

웹 개발시 저지르는 실수 2탄- KT편

어제 KT의 고객 정보 유출 사고의 내용을 보면, 웹 개발 시 서버 유효성 확인이 얼마나 중요한가를 다시 한번 깨닫게 합니다. 예전에 제가 블로그에서도 한번 지적한 바 있는데, 프론트엔드 개발 방식이 확대됨에 따라 상대적으로 서버 유효성 확인을 등한시 하는 개발자들이 늘어 나고 있습니다. "웹 개발의 가장 중요한 불문율 중에 하나가 프론트 엔드, 즉 ...
2014/03/07

액티브X 남용과 사회적 비용 (1)

이 블로그에서 가끔 액티브X 콘트롤의 남용에 따른 국내 PC 보안의 현실에 대한 주제를 가끔 다뤄 왔다. 글을 쓸 때마다 받는 대응은 다음과 같다. 1) 악성 코드는 액티브X 콘트롤에 의해 감염되는 것이 아니다. 2) 사용자가 윈도 혹은 취약점 SW 업데이트를 못하거나 안해서 그렇다. 3) 불법 복제 SW가 많아서다. 4) 왜 액티브X ...
2010/04/03

댁의 ‘예금’이 아니라 ‘PC’가 안녕하십니까?

어제 KBS 취재파일 4321에서 '댁의 예금은 안녕하십니까?'라는 주제로  메모리 해킹이라는 신종 수법으로 인터넷 뱅킹을 해킹하는 시연을 보여 주었다. 즉, PC에 설치된 해킹 프로그램으로 웹 브라우저로 인터넷 뱅킹을 하는 동안 메모리에 보관된 주소 내 데이터를 변조하는 방식을 통한 해킹 방식이다.메모리 해킹 방식은 매우 치밀하고 PC 구동 방식을 노린 최후의 궁극적인 해킹 ...
2007/08/27

이길 수 밖에 없는 싸움

정말... 이렇게 해결하는 것은 원치 않는 방법이지만. 오픈웹의 인터넷 뱅킹 소송이 구체화 되었다. 지금 소송 원고를 모집하고 있다. 소송 대상은 1차적으로 배타적인 인터넷 뱅킹 서비스를 하고 있는 금융결제원이다. 일차적인 결과물을 얻어 내면서 점차 소송의 대상을 확대해 나갈 것으로 본다. 이런 와중에 국정원이 윈도우에서나 있을 법한 키보드 후킹이나 스파이웨어 방지 S/W를 탑재하지 않았다는 ...
2006/08/30