플랫폼 개발팀 기술 블로그

INTRO근래 대부분의 해킹 사고는 개인정보 유출과 직결됩니다. 해커는 기업이 보유하고 있는 고객의 개인정보를 불법적으로 탈취하여 금품을 요구하거나 탈취한 개인정보를 또다른 불법적인 용도로 활용하게 됩니다. 따라서 기업의 해킹 사고는 (그들만의 문제가 아니라) 그 피해가 우리와 같은 일반 이용자게까지 미치게 되는 것입니다. 이에 현행 법제도에서는 기업이 제대로 관리/감독 하지 않아서 발생한 개인정보 유출 사고에 대해 과징금, 시정명령, 손해배상과 같은 행정처분을 부과할 수 있는 법적 근거를 마련해 두고 있습니다. 이번 글에서는 법에서 명시하고 있는 행정처분의 규정을 살펴보고, 그간 실제 발생한 해킹사고에서 기업에게 부과된 행정처분 사례를 알아 보겠습니다. 개인정보 보호 관련 법체계 개인정보보호와 관련된 ..

SQL 인젝션은, 웹 보안 하면 가장 대중적으로 언급되는 공격 기법입니다. XSS와 함께 쌍두마차급으로 유명한 기법이지요. 꽤 오래전에, 이 공격에 대한 글을 한번 다룬적이 있는데요. 벌써 12년도 더 전이네요. 그때나 지금이나 SQL 인젝션의 공격기법이든 방어기법이든 크게 달라진 것이 없어 보입니다. > [웹 보안 시리즈] 2. SQL INJECTION (대부분의 웹해킹이 그렇듯이) 웹 개발의 기본을 잘 이해하고 있다면, SQL 인젝션은 쉽게 이해하고 시도해 볼 수 있으리라 판단됩니다. 이 해킹 공격을 도와주는 자동화 툴도 쉽게 구할 수 있고요. SQL 인젝션은 손쉽게 공격을 해 볼 수 있는 반면에 공격이 성공했을때그 파급력을 상당할 수 있습니다.지금부터 알아볼 사례들을 보면, 이 진부한 공격기법이 아..

INTRO 불과 '반년 전 즈음(2018.06)에 브루트 포스(Brute Force) 공격이 대형 은행을 겨냥해 시도' 되었습니다. 이 사건은 (적어도 당시에는) 다행히 실제 금전적인 피해로 까지는 이어지지는 않은 것 같네요. 공인인증서나 OTP가 해킹된 것이 아닌만큼 출금/이체와 같은 서비스는 건드리지 못했을 겁니다. 하지만 정보유출이라는 측면에서는 꽤나 성공적이여서 고객 정보 56,000건이 유출되었다고 합니다. 유출된 고객의 개인 정보를 악용해 2차 피해가 어떤 식으로 유발될지는 알 수 없는 노릇이죠. 보다 자세한 내용은, 다음의 KBS 보도 영상과 관련 기사를 참고하기 바랍니다. [ 관련 기사 ] > [단독] 고객정보 5만 6000건 해킹 당해..우리은행 대처 나서 > 우리은행, 무작위 대입 공격..

INTRO 이 글에서는, 웹보안을 공부하고 해킹을 실습해 볼 수 있는 툴을 알아보고 설치 방법을 간단히 안내 하고자 합니다. 사실 웹보안 시리즈를 연재하고자 마음을 먹고서는, 개요부터 쭉~ 한번 훓고 가려 했는데요. 개요 작성에는 시간이 좀 더 필요할 것 같아서, 바로 본론으로 들어갑니다. 중간에 틈이 나면 전반적인 개요을 한번 다뤄볼까 합니다. 미리 말씀드리자면, 개요에서는 웹 보안의 중요성이나 해킹사례, OWASP Top 10과 같은 국제적 참고자료와 웹 보안 관련한 국내 현황과 법률 사항 등 전반의 내용을 다룰 예정입니다. 사실 과거(2006년)에 웹 보안 글을 몇개 끄적인 적이 있습니다. 당시에서 큰 보부를 가지고 웹보안 전반을 다룰려고 했으나, 그러질 못했네요. 이번에는 인생의 숙제(?)라 생각..