산업보안관리사 시험 준비

산업보안관리사 시험에 대한 출제경향 강의

산업보안관리사는 5개 과목으로 되어있고, 과목당 25문제씩 총 100문제입니다.
각 과목별로 교재 구성내용과  시험 출제기준에 대해서 설명이 진행 되었습니다.

 1과목. 관리적보안     — 손승우 교수

ㅁ 관리적보안
 – 산업보안의 이해 관련    3문항   : 개념, 산업보안관리자의 역할
 – 산업기술보호지침  1     5문항    : 자산평가
 – 산업기술보호지침  2     4문항    : 침해원인, 방지 및 보호방법

 ㅁ 산업보안관계법
 – 산업기술유출방지법 관련 5문항  : 개념
 – 부정경쟁방지법 관련        5문항  : 영업비밀(법적보호요건) 개념, 침해와 구제방안
 – 기타보안관계법               3문항 : 발명진흥법(직무발명), 대.중소상성협력촉진법, 외국인투자촉진법, 형법

2과목. 물리적보안    — 정태황 교수
 ㅁ 시설보안
   – 시설경비  6문항      : 경비법이해, 화재,소화관련
   – 신변보호  1문항
   – 경비시스템  13문항   : 침입감지시스템, 감지기
   – 보안장비   3문항

 ㅁ 통신보안
   – 감청 및 예방 : 통신비밀보호법 이해
…시설경비와 경비시스템은 중요하니까 문항이 많겟져 ㅎ

3과목. 기술적보안     — 이준택 교수
 ㅁ 1단계 정보보호정책 : ISMS연관해서 볼것
 ㅁ 2단계 기술적보안  : IT기술 80%, 물리,관리 20%비중.
   – 시스템,네트워크보안,무선보안
   – 웹보안(메일보안 등) OWASP를 통한 모의점검기술관련

4과목. 보안사고대응   — 박대하 교수
 ㅁ 업무지속성계획 : 업무지속성, 백업 및 재해복구센터
 ㅁ 사고대응방안 : 사고탐지 및 상황보고, 복구대책 및 재발방지

 5과목. 보안지식경영   — 방선이 교수
 ㅁ 기술관리
   – 지식재산관리 : 지식재산권 => 산업재산권, 저작권
   – 기술이전과 사업화
 ㅁ 경영관리
   – 인적자원관리와 조직관리 : 산업체에서 발생하며, 기업경영에 있어 기초가 되기에 경영부분이 필요함.
   – 성과관리 : 성과관리시스템, 성과지표 및 측정  관련하여 중요성을 이해하고, 절차, 방법론을 알아야함

구글 그룹 도메인 포함된 메일 주의

원문출처: http://www.boannews.com/media/view.asp?page=&gpage=&idx=20866&search=&find=&kind=3

  즘 보안위협경향중 두드러지는 것이 바로 사회공학적 공격유형들인 것 같습니다. 기업이나 ISP등에서 외부 공격을 차단하기 위한 많은 시스템을 도입하고 있는 상황이기 때문에   해커의 직접적인 공격으로 내부 PC들이 침해를 받기는 힘들어졌습니다.  사용자들 스스로  악성코드를 다운로드 받을 경우엔  수많은 보안장비들의 방어체계가 일순간에 무력화되는 경우가 많기 때문에  공격자들은  사용자들이 호기심을 느끼게 하거나  신뢰할 만한 대상으로 인식하게 하여  악성코드를 자신도 모르는새에 다운로드 받도록 공격방법을 바꾸고 있지요…  

   번에 발견된 구글 도메인 주소를 이용한 악성코드도 같은 맥락이라고 할 수 있습니다. 구글의 이름은 많은 사람들에게 신뢰를 주고 있는 점을 이용하여  구글 도메인을 연결해 이용자가 메일을 열어보도록 유도하고 있있다는 것입니다.   2010년 5월 4일경 구글 그룹(Google Groups) 도메인 주소를 악용한 악성코드가 이메일을 통해서 유포되는 것이 외국에서 처음 등장하였으며, 2010년 5월 7일 새벽에 해당 악성코드 이메일이 국내에도 유입된 것이 확인되었으므로, 컴퓨터 사용자들의 각별한 주의가 필요합니다.

  번에 유포된 악성코드는 2010년 04월 초 보고되었던 사용자 계정 요청 메일(“수신자도메인” account notification)로 위장한 형태의 변종으로 당시에는 첨부파일 방식으로 악성코드를 유포시켰지만, 이번에는 구글 그룹(Google Groups) 도메인 주소의 링크를 이용한 방식 등으로 변경되었습니다. 악성코드 이메일은 수신자 도메인 계정을 제목과 본문 등에 삽입하여 사용자로 하여금 신뢰할 수 있도록 위장하였으며, 일반 기업과 같은 경우 기업 관리자 등에 의해서 발송된 정상적인 안내 메일로 착각할 수 있도록 제작되어 있습니다.

   히, 메일 본문에는 사용자 계정이 다른 사람에 의해서 도용된 흔적이 발견된 것처럼 허위 보안 위협 내용을 언급하고, 수신자 계정이 일시 중단되어 있으니 링크되어 있는 파일을 실행하여 해결할 수 있도록 악성코드 감염을 유도합니다. 링크되어 있는 압축 파일 내부에는 “setup.exe” 라는 악성코드가 포함되어 있습니다. 압축된 파일을 해제하고, 내부에 포함되어 있는 setup.exe 파일을 실행하면 사용자의 컴퓨터는 악성코드에 감염되게 됩니다. 악성코드 (setup.exe)는 특정 웹 사이트 등으로 접속을 시도하며, 접속이 정상적으로 이루어지면 일명 “Desktop Security 2010” 이라는 이름의 허위 보안 제품을 사용자 몰래 설치합니다. 사용자의 동의 절차 없이 설치된 Desktop Security 2010 프로그램은 일종의 허위 보안 제품(Fake Anti-Virus)으로 마치 정상적인 Anti-Virus 제품처럼 사용자를 속이도록 제작되어 있습니다. 설치된 허위 보안 제품은 스스로 자동 검사를 진행하고, 존재하지 않는 악성코드를 가짜로 진단하면서 사용자에게 유료 결제를 진행하도록 권유하며, 결제를 진행할 경우 금전적인 피해를 입을 수 있습니다.

 ▶ 이메일을 통해서 유포되는 악성코드의 감염을 예방하기 위한 기본 보안 관리 수칙

1. 수상한 메일 열어보지 않기: 수상한 이메일을 수신할 경우 첨부 파일이나 링크를 함부로 실행하지 않는다.
2. OS보안패치 : 정기적으로 Microsoft 의 최신 서비스팩과 보안패치로 업데이트합니다.
3. 응용프로그램 최신 업데이트: Adobe Flash Player/ Reader, Office 등 최신으로 업데이트
4. 백신설치및 업데이트:  백신을 설치하고 항시 최신패턴을 유지하며, 실시간 감시 및 정기 검사를 진행한다.
5. 불법 소프트웨어 사용금지: 불법소프트웨어 다운로드하지않으며  유해 사이트등에 접근을 하지 않도록 한다
6. 패스워드 관리:  암호는 다른 사람이 추측하지 못하도록 복잡하게 설정하고 정기적으로 변경한다.
7. 속지 말자: 사회적인 관심사나 특정 이슈 내용에 현혹되어 수상한 프로그램을 무심코 실행하지 말자.
8. 설치된 프로그램 정리: 직접 설치하지 않았거나 증명되지 않은 프로그램의 경우 확인후 삭제하자

국내유일의 개인정보관리자격증 CPPG 를 아시나요?


사용자 삽입 이미지

1. CPPG는 국내유일의 개인정보 관리 자격이다.
    한국 CPO Forum에서 주관하는 CPPG(Certified Privacy Protection General)는 현존하는 국내 유일의 개인정보 관련 자격으로개인정보 및 관련 법률에 대한 이해와 개인정보를 보호하기 위한 지식을 갖추고 있는가를 평가하는 시험입니다.

    한국 CPO포럼 사이트: http://www.cpoforum.or.kr/


2. CPPG가 갖추어야 할 역량은 ?  

   개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자
    – 개인정보보호와 관련된 보안정책의 수립
    – 기업/기관과 개인정보보호의 이해
    – 개인정보 취급자 관리
    – 관련법규에 대한 지식 및 적용

3. CPPG 취득이후 업그레이드는 ?
   1)  CPPS(Certified Privacy Protection Specialist)
– CPPS 취득후 실무경력 2년이상
   개인정보보호에 대한 실무적 이해와 이를 보호하는 기술에 대한 이해를 갖춘 전문 인력으로서, 아래의 업무 등을 담당할 수 있는 능력을 보유한 자
    – 수립된 보안 정책의 구현
    – 개인정보보호 시스템의 운영 및 모니터링
    – 개인정보 라이프사이클 관리
    – 개인정보 기술적·관리적 보호조치 이행
    2) CPPA(Certified Privacy Protection Advisor) – CPPA 취득후 실무경력 5년이상
개인정보보호에 대한 전문적 지식을 가지고, 기업의 전문 컨설팅이나 자문을 해줄 수 있는 능력을 보유한 자


4. CPPG의 합격결정기준은? 
    매과목 과목당 40% 이상, 과목평균 60% 이상의 점수 취득 기준


5. 과목별 배점기준은 ?
사용자 삽입 이미지

6. 어떻게 CPPG에  응시할 것인가? 
    1) 시험관련 문의처: 한국CPO포럼,  시험담당 전화번호  02-516-1823~4
    2) 원서접수 사이트http://www.cpptest.or.kr/
    3) 시험일정: 3회 원서접수일: 2010.7.26~8.13  시험일: 2010.8.29(일)  합격자발표일: 2010.9.17(금)
                     4회 원서접수일: 2010.11.15~12.3  시험일:2010.12.19(일) 합격자발표일: 2011.1.7(금)
    4) 자격검정수수료:  130,000 원     단체접수시 (15명이상)  20% 할인이 가능.
    5) 시험준비: 원서접수를 하고 나면  가이드북을 배부한다고 하는군요. 이것으로 공부 가능

 

구글 ‘가이아’ 해킹 사건의 발단은 ‘직원 메신저’

   구글의 암호시스템인 ‘가이아’가 해킹되었다고  얼마전에 보도가 나왔었는데   이제서야 해킹경로가  보도로 알려지 지게 된 것 같습니다.    철통같다고하는 구글의 방어시스템도 결국  직원의 부주의한 실수 하나로   무너졌다는 것을 볼 수 있는 사례인것 같습니다.  예전에 옥션해킹사건도  유사하다고 볼 수 있다고 할때  직원에 대한 보안교육이 얼마나 중요한지  다시 한번 절감하게 되는것 같습니다.

원문링크: http://www.boannews.com/media/view.asp?idx=20540&skind=D 

  뉴욕타임스는 지난해 12월 구글 해킹 당시 전세계 수백만명의 구글 웹서비스 이용을 관리하는 암호체계가 침입자들에게 뚫렸다고 20일 보도했습니다.

 사건의 발단은 마이크로소프트(MS) 메신저 프로그램을 사용하는 중국 소재 구글 직원에게 인스턴트 메시지가 전달되면서 일어났습니다. 이 메시지에는 악성 웹사이트 링크가 담겨 있었고 이를 클릭하면 침입자들이 그의 PC 접근 권한을 가질 수 있게 돼 있었습니다. 침입자들은 구글 직원의 PC를 통해 미국 캘리포니아주 마운틴뷰의 구글 본사에 있는 소프트웨어 개발자 컴퓨터에 접근할 수 있었고 이들은 결국 개발팀이 사용하는 소프트웨어 저장공간의 통제권에까지 접근할 수 있었던 것입니다.  첫 공격 방법은 아주 간단했습니다. 그러나 침입자들은 누구를, 어떻게 해킹해야 하는지 정확히 알았다는 점에서 치밀한 전략을 세운 것으로 보인다. 또한 이들은 소프트웨어 저장 공간의 접근 권한을 얻기 위해 다른 복잡한 해킹 기법을 사용한 것으로 알려졌습니다.

  이들이 공격한 암호체계는 ‘가이아’라고 불리고 있으며 이 프로그램은 인터넷 사용자나 구글 직원들이 이메일이나 비즈니스 앱스 같은 서비스를 이용할 때 패스워드를 입력하도록 하는 소프트웨어입니다. 가이아는 구글 지메일(Gmail) 등의 가입자가 패스워드를 입력하고 로그인을 하면 이를 인증해 가입한 모든 서비스를 원스톱으로 이용할 수 있게 해주는 기능을 갖고 있습니다. 하지만 패스워드를 사용하는 구글의 거의 모든 서비스와 연결돼 있기 때문에 가이아 시스템이 해킹 당할 경우 구글의 모든 정보가 전부 노출될 위험이 있습니다.

  구글측은 올해 초 해킹을 적발한 직후 시스템 보안을 강화했기 때문에 가입자 정보는 안전하다고 밝혔으나 보안 전문가들은 “설계도에 해당하는 소스코드가 유출됐기 때문에 해커들이 이를 분석해 허점을 찾아내고 언제든 해킹을 시도할 수 있습니다”며 우려를 나타내고 있습니다.

ISA VPN 에 연결을 위해 방화벽에서 열어야할 포트

  Microsoft에서 제공되는 VPN서버인 ISA서버를 운영하는 기업의 경우  외부에 나간 클라이언트로부터  접속이 잘 안된다는 연락을 받는 경우가 있습니다. IPsec방식의 vpn을 사용하는 것이 아니라  PPTP 또는 L2TP방식의 VPN터널을 사용하는  특성상  접속이 안되는 환경이 있을 수 있습니다.  

 vpn 접속이 안될 경우  아래의 정보를 이용하여 해당 네트웍의 관리자에게  포트 혹슨 서비스오픈을 요청해주시면 되겠습니다.    꼭 MS ISA VPN이 아니라도 PPTP 방식이나 L2TP방식의 vpn 연결방식을 쓴다면 마찬가지라고 생각이 됩니다.

 ISA Server  VPN에서 사용되어지는 포트 정보입니다. (MS에서 지정되어 사용되는 포트입니다.)


PPTP ( EL_VPN1)

TCP 1723 : PPTP 터널 유지 트래픽을 허용하기 위해
라우터에서 Protocol ID 47 : PPTP 터널 데이터를 허용하기 위해

L2TP over IPSec (EL_VPN_2 )

UDP 500 : IKE(인터넷 키 교환)를 허용하기 위해
UDP 5500 : IPSEC NAT
을 허용하기 위해

UDP 1701 : L2TP
트래픽을 허용하기 위해 

일반 PC사용자 절반, 백신설치하지 않고 공인인증서 관리에 매우 소홀하다

원문출처: 보안뉴스 http://www.boannews.com/media/view.asp?idx=20488&kind=1

  퓨터사용자의 절반이 실시간 바이러스감지 프로그램이나 백신을 설치하지 않고 사용하는 것으로 나타나 바이러스 대비에 미흡한 것으로 나타났습니다.

  프터서비스 전문업체 아이티스타(대표 안창주, 옛 삼보서비스)는 지난 3월 한달 동안 도시철도공사와 함께 실시한 무상점검행사를 통해 의뢰고객 1105명에게 아래 항목의 설문조사를 실시했다고 합니다.


1. PC에 백신을 설치했는가?
사용자 삽입 이미지
2. 공인인증서를 어디에 보관하는가?사용자 삽입 이미지
3. PC를 남에게 맡길때 (수리,잠시 대여) 인증서를 지우는가?사용자 삽입 이미지  번 컴퓨터바이러스 등 보안과 관련된 설문조사를 실시한 최준호 아이티스타 이사는 “삼보서비스를 통해 최근 몇 년간 애프터서비스를 실시하면서 공인인증서를 지우지 않고 수리를 의뢰하는 고객들이 있어 설문을 실시하게 되었다”며  “최근에는 개인에게 무료로 제공되는 백신이 많이 있어 다운받아 사용하길 권하고, 공인인증서는 휴대용 저장장치 등을 이용해 철저하게 관리해야 불상사를 막을 수 있다”고 밝혔다.
 
 그래프를 넣을때 사용한 엑셀 sheet
9719346632.xls

Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고

  krcert에서 보안공지가 뜬 내역입니다. 요즘 자바런타임(JRE)을 사용하는 경우가 늘어나고 있습니다. 서버에서도 많이 쓰이고 있는 것이 현실이구요.   윈도우보안패치 말고도 이런 어플리케이션 취약점을 통해 시스템이 해킹되는 사례가 늘어나고있어서  사용자들의 주의가 요구되고 있습니다.  윈도우보안패치만 하면 안전하다고 생각하던 시대는 지난 느낌이 듭니다. ㅠㅠ   

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/

▶ 개요
   o Java 개발 및 실행환경인 JDK/JRE 6 Update 10 이후 버전의 자바 배포 도구 (Java Deployment
      Toolkit) 플러그인과 ActiveX 컨트롤에서 매개변수로 전달되는 입력값 검증 오류 및
      Update 18 이후 버전의 자바 플러그인의 오류로 인해 원격코드실행 취약점이 발생 [1, 2, 4]

   o 공격자는 특수하게 조작된 웹 페이지로 사용자를 유도하여, 해당 시스템에서
      악의적인 Java 파일(JAR)을 실행할 수 있음 [2]
   o 해당 취약점을 이용하여 악성코드를 전파하는 사례[6]가 발견되어 주의가 요구됨
   o 관련취약점 :
     – Java Deployment Toolkit 취약점 (CVE-2010-0886)
     – New Java Plug-in 취약점 (CVE-2010-0887)

▶ 해당 시스템
   o 영향 받는 소프트웨어 [4]
     – Java SE JDK/JRE 6 Update 10 ~ Update 19
     – Java for Business JDK/JRE 6 Update 10 ~ Update 19
       ※ Windows, Solaris, Linux 플랫폼에 관계없이 32비트 웹 브라우저에서 동작하는
           Java 제품에서 영향을 받음

▶ 해결 방안
   o Java SE 또는 Java for Business JDK/JRE 6 Update 20을 설치 [3, 4]
     ※ Java 자동업데이트 설정권고: 제어판→Java→업데이트→”자동 업데이트 확인” 설정 [7]

    <<  자바업데이트 사이트 >>
 
▶ 용어 정리

   o Java : Sun Microsystems(現 Oracle)에서 개발한 플랫폼 독립적인 객체 지향 프로그래밍
      언어로, 해당 언어 기반의 제품을 통칭하는 의미로도 사용됨
   o Java Deployment Toolkit : Java 응용 프로그램을 쉽게 배포할 수 있는 기능을 제공하는
      Netscape 호환 플러그인과 ActiveX 컨트롤 [5]
   o JDK(Java Development Kit) : Java 응용 프로그램을 개발하기 위한 도구
   o JRE(Java Runtime Environment) : Java 언어로 개발된 응용 프로그램의 실행 플랫폼
   o JAR(Java ARchive) : Java 응용 프로그램 및 라이브러리를 배포하기 위해 사용되는 실행
      가능한 파일 포맷

▶ 문의처
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

▶ 참조 사이트
[1] http://lists.grok.org.uk/pipermail/full-disclosure/2010-April/074036.html
[2] http://www.kb.cert.org/vuls/id/886582
[3] http://www.java.com/ko/
[4] http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
[5] http://java.sun.com/javase/6/6u10faq.jsp#DT
[6] http://blogs.zdnet.com/security/?p=6161
[7] http://www.java.com/ko/download/help/java_update.xml

제로보드XE (공개웹게시판) 보안 업데이트 권고

  krcert에서 보안공지가 뜬 내역입니다. 제로보드XE로 홈페이지를 구성하여 서비스하는 사이트가 많죠…많은 사람이 쓰다보니  공격대상이 되기 쉽습니다. 이렇게 많이 쓰이는 공개웹게시판에서 발견된 취약점을  보완하지 않으면  해커의 공격에 희생양이 되는 것은 시간 문제라고 할 수 있겠죠?  제로보드XE를 사용하시는 사이트의 관리자님들은  빠른시간내에  취약점을  제거하시기 바랍니다.

인터넷 침해대응센타 (KrCert) 사이트:   htttp://www.krcert.or.kr/


▶ 개요
  – 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이
     발견됨[1].
  – 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및
     조속한 패치가 필요함

▶ 영향
  – 원격의 사용자가 제로보드 XE 관리자 권한 획득가능
  – 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며,
     이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음

▶ 해당시스템
  – 제로보드 XE 1.4.0.10 이하 버전

▶ 해결방안
  – 업데이트된 파일만 적용하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드
       받아 압축을 해제하여 config.inc.php 파일과 func.inc.php 파일을 운영중인 XE의
      “./config” 디렉토리에 설치
    * communication.controller.php 파일은 운영 중인 XE의 “./modules/communication”
       디렉토리에 설치

  – 업데이트가 적용된 상위 버젼으로 업그레이드하는 경우,
    * 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.zip 파일을 다운로드
       받아 기존에 XE를 운영중인 디렉토리에 설치
     ※ 처음 사용하는 사용자일 경우, “Xpress Engine 사용자 안내서”[3]를 참고하여 설치할
         것을 권고

▶ 사용자 주의사항
   – 사용자들은 제로보드 XE의 공식 공지사항[2]을 주기적으로 확인하여 신규 취약점에 대한
      정보를 숙지하고 이에 따른 조치를 취해야함

▶ 용어정리
   – 제로보드(ZeroBoard) XE: PHP 언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임워크
   – XSS(Cross Site Scripting) 취약점 : 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트
      사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점
   – CSRF(Cross-Site Request Forgery) 취약점 : 취약한 웹페이지를 이용하여 권한을 도용하는
      가짜 요청문을 클라이언트의 웹브라우저상에서 실행되도록 유도하는 취약점
   – PHP: 동적인 웹사이트를 위한 서버 측 스크립트 언어

▶ 기타 문의사항
   – 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
      [1] http://www.xpressengine.com/18838863
      [2] http://www.xpressengine.com/notice

안드로이드폰 겨냥 IEMI정보 유출 악성 바이러스 출현

원문참조: 보안뉴스 http://www.boannews.com/media/view.asp?idx=20469&kind=0

  마트폰 안드로이드 IEMI 정보를 갈취하는 전문 악성 바이러스가 돌고 있어 이용자들의 주의가 요구됩니다.  IEMI는 ‘The International Mobile Equipment Identity’의 약자로 휴대폰의 고유 정보를 나타내는 번호입니다. 아이폰이 처음 국내 도입될 때도 이 IEMI정보가 외부로 보여진다는 우려의 목소리가 컸었습니다.  현재는 도청이나 복제 위험이 어느 정도의 보안 장치로 막혀 있다고 하지만 여전히 IEMI의 정보는 휴대폰의 도청과 복제를 가능하게 해주는 하나의 키가 될 수 있습니다.


 쉬
프트웍스(http://www.shiftworks.co.kr/) 홍동철 개발팀장은 “이러한 IEMI정보를 통해 사용자를 인증하고 저장·수집하는 악성 어플리케이션이 발견되었으며   이는 스마트폰 보안에서 사실상 가장 우려가 되었던 문제이기도 하다”고 경고했습니다.  홍 팀장은 “사용자들은 이러한 어플리케이션을 반드시 가려서 사용해야 한다”고 덧붙였습니다.

  프트웍스는 이 악성 어플리케이션들의 명칭을 ‘IMEI.ASH 시리즈’로 이름 붙였으며 이용자들의 사용주의를 당부했습니다.  쉬프트웍스 측은 “이미 증권사나 은행권등을 통해서 탑재되어있는 VGUARD를 사용하고 있는 이용자라면 자동업데이트로 해당 취약점 업데이트 후 치료가 가능하다”고 말했습니다.

 

[긴급]자바 제로데이 취약점 이용한 악성코드 주의!!!

원문참조: http://www.boannews.com/media/view.asp?idx=20439&kind=0 

  썬마이크로시스템즈(이하 썬)의 자바 런타임 환경(JRE)에서 원격코드를 실행하는 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 공격자는 이 취약점을 이용해 악의적인 웹 페이지를 구축하고 방문자가 방문하도록 유도해 공유된 네트워크에 위치한 악의적인 파일을 실행시킬 수 있는 것으로 확인됐다.

  ‘Java Web Start (JWS)’는 자바 개발자들이 ‘Java Networking Launching Protocol(*.jnlp)’ 파일에 URL을 이용하여 응용 프로그램을 실행하고 설치할 수 있는 방법을 제공한다. 썬 사는 ‘자바 6 업데이트 10 버전(Java 6 Update 10)’ 이후로 개발자들이 최종 사용자에게 응용 프로그램을 배포하기 쉽도록 Java Deployment Toolkit(JDT)’이라 불리는 NPAPI 플러그인과 ActiveX 컨트롤을 배포했다. 이 툴 킷은 기본적으로 JRE에 의해 설치되며 스크립팅하기 안전한 것으로 표시돼있다.  흔히 ‘자바 런타임’이라고도 알려져 있는 JRE는 자바 응용프로그램 개발도구인 JDK의 일부이다. JRE는 자바 응용프로그램이 실행되는데 필요한 최소한의 요건을 제공하며, JVM과, 핵심적인 클래스들, 그리고 각종 지원 파일들로 구성된다. 그러나 보안업계에 따르면, 썬 사의 JDT 커맨드 라인 파라미터에 대한 적절한 검증을 수행하지 않아 임의의 명령 코드를 실행하는 것이 가능한 취약점이 존재하는 것으로 전해지고 있다. 외국에서는 이미 이 취약점을 이용해 악성코드를 전파하는 사례가 외국 유명 가사사이트에서 발견됐으며, 게다가 이 취약점을 이용한 악성코드 유포 키트도 발견돼 국내 유입도 오래 걸리지 않을 것이라는 것이 전문가들의 예상이다.

사용자 삽입 이미지

▲해당 취약점을 이용해 배포한 악성코드로 계산기 프로그램을 실행시킨 화면 ⓒ최상명


  최상명 하우리 사전대응팀 연구원은 “아직 썬 사에서 이 취약점에 대한 보안업데이트를 하지 않은 상태이기 때문에, 이 취약점을 이용한 악성코드가 국내에 유입될 경우 급속도로 전파될 우려가 있어 사용자들의 각별한 주의가 필요하다”며 “의심스러운 사이트의 방문을 자제하고 백신 업데이트를 통해 최신 상태를 유지하는 것이 좋다”고 조언했다. 아울러 그는 “해당 취약점 악성코드 설치를 막기 위한 임시방편으로, 인터넷 익스플로러 사용자는 JDT 액티브엑스 컨트롤의 CLSID(클래스 식별자)인 ‘CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA’에 대해 ‘킬비트(kill bit)’ 설정을 해 익스플로러에서 해당 액티브엑스 컨트롤이 실행되지 않도록 할 수 있다”고 설명했다. 이에 대한 보다 자세한 내용은 Microsoft에서 제공하는 아래 ‘인터넷 익스플로러에서 ActiveX 컨트롤 실행을 중지하는 방법(http://support.microsoft.com/kb/240797)’을 참고하면 된다.