ISMS-P 컨설팅 & 보안 솔루션 | 뉴딜코리아: 11월 2017

2017년 11월 26일 일요일

솔라리스 패스워드 암호 알고리즘

☞ 패스워드 암호화 알고리즘을 sha256 이상으로 변경 필요

Step 1. Solaris 10 U6 이후 부터 적용

# cat /etc/release
                       Solaris 10 8/07 s10s_u4wos_12b SPARC
           Copyright 2007 Sun Microsystems, Inc. All Rights Reserved.
                        Use is subject to license terms.
                            Assembled 16 August 2007

※ U6 이전일 경우 140905-02 패치를 적용해 준다

# showrev
Hostname:
Hostid:
Release: 5.10
Kernel architecture: sun4u
Application architecture: sparc
Hardware provider: Oracle Corporation
Domain:
Kernel version: SunOS 5.10 Generic_147440-09

Step 2. 적용 가능한 알고리즘

# cat /etc/security/crypt.conf

# Copyright 2008 Sun Microsystems, Inc. All rights reserved.
# Use is subject to license terms.
#
#ident "@(#)crypt.conf 1.2     08/05/14 SMI"
#
# The algorithm name __unix__ is reserved.

1       crypt_bsdmd5.so.1
2a      crypt_bsdbf.so.1
md5     crypt_sunmd5.so.1
5       crypt_sha256.so.1
6       crypt_sha512.so.1

Step 3. 알고리즘 적용

# cat /etc/security/policy.conf

CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6
CRYPT_DEFAULT=5

Step 4. 암호화 적용 확인

# cat /etc/shadow
UserID:$sha256$WWPosyC1$$heOphUzdBSUGdktGO98EQ/:15540::84::::

암호화 & Key관리 솔루션 공급사

뉴딜코리아 솔루션사업부 (070-7867-3721, ismsbok@gmail.com)

2017년 11월 22일 수요일

OWASP Top 10 2017 ((Final, 2017-11-20)

☞ OWASP Top 10 2017 ((Final, 2017-11-20) 파일

웹 취약점 분석 및 모의해킹

뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)

2017년 11월 20일 월요일

아마존웹서비스(AWS) 인프라 취약점 진단 서비스

뉴딜코리아 아마존웹서비스(AWS) 인프라 취약점 진단 서비스

2017년 11월 18일 토요일

중소기업을 위한 기술보호 실무 가이드북(베트남, 2017)

중소기업을 위한 기술보호 실무 가이드북(베트남, 2017)

▣ 해외진출 중소기업의 경쟁력 강화를 위해서는 보유기술 및 정보에 대한 보호활동이 무엇보다 필요하며, 이를 위해 현지기업의 다양한 정보를 제공 필요

▣ 본 가이드북은 서론, 해외 기술유출 현황 및 사례, 해외 진출 중소기업의 유의사항, 베트남에서의 기술유출시 대응방안 등 총 4개의 장과 보안서식에 대한 부록으로 구성

제1장 서론
- 가이드북의 목적, 구성, 적용방법

제2장 해외 기술유출 현황 및 사례
- 해외 기술유출 현황(국내, 해외 실태조사), 기술유출사례

제3장 해외 진출 중소기업의 유의사항
- 사전조사 및 정보수집, 기술유출방지 기본전략 수립, 보안업무 추진

제4장 베트남에서의 기술유출시 대응방안
- 영업비밀, 영업비밀 침해 대응, 지식재산권 침해 대응 시장관리국, 베트남 IP-DESK

부록 1 기술보호 자가진단 요령
- 자가진단서식, 보안업무 기준

부록 2 보안서식 자료
- 보안관리규정 예시문, 보안서약서 국문, 영문, 베트남어 예시문

▣ 첨부파일 : http://cafe.naver.com/rapid7/3026

출처 : 대중소기업농어업협력재단

스마트 팩토리 보안구축

뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)

2017년 11월 12일 일요일

딥러닝 모델 구현의 시작과 끝 (텐서플로우 교육자료)

딥러닝 모델 구현의 시작과 끝

텐서플로우(Tensorflow)를 활용한 딥러닝 모델 구현실습

□ 본 자료는 딥러닝 모델 구현을 위해 가장 많이 사용되는 텐서플로우의 기본적인 사용법을 구체적으로 익히고, 효과적으로 딥러닝 모델을 구현하기 위한 실습 중심의 세미나 자료입니다.

□ 텐서플로우를 통하여 각자가 원하는 모델을 구현하고, 자유롭게 텐서플로우 내 기능을 이용하는 수준을 목표로 합니다..

▶ 강의 주제
- Tensorflow 소개
- Tensorflow 무작정 따라하며 익해하기
- 딥럽닝 모델 구현을 위한 Tensorflow 핵심 기능
- Convolutional Neural Network, Recurrent Neural Network 이해와 구현
- Tensorflow를 통한 효율적인 모델 구현

☞ 첨부파일 : 텐서플로우(Tensorflow)를 활용한 딥러닝 모델 구현실습

IP카메라 해킹하여 불법촬영한 피의자 등 50명 검거

IP카메라 해킹하여 불법촬영한 피의자 등 50명 검거

○ 가정집 등에 설치된 IP카메라에 무단으로 접속하여, 집안에서 속옷 차림이나 나체로 활동하는 여성들의 은밀한 사생활을 엿보거나 불법촬영한 혐의 등으로 50명(구속2)을 검거하였다.

○ 적 용 법 조
   1) 정보통신망이용촉진 및 정보보호 등에 관한 법률 제48조 제1항(정보통신망 침해)
                               ……… 5년 이하의 징역 또는 5천만원 이하의 벌금

   2) 성폭력범죄의 처벌 등에 관한 특례법 제14조(카메라 등 이용 촬영) 등
              …………………………… 5년 이하의 징역 또는 1천만원 이하의 벌금

□ 당부 사항

○ IP카메라 사용자들은 제품 출시당시 설정된 초기 비밀번호를 반드시 사용자만이 알수 있는 안전한 비밀번호로 재설정한 후 주기적으로 변경하여야 하고, 해당 기기는 최신 소프트웨어 상태가 유지될 수 있도록 업그레이드 하여야 하며, 접속 로그기록을 수시로 확인하여 타인의 무단 접속 여부 등을 체크하여야 한다.

○ 제조 및 판매사는 사용자가 초기 비밀번호를 변경하지 않거나 주기적으로 비밀번호를 변경하지 않은 경우, 이용범위를 제한하여 사용자들에게 보안관리의 필요성을 인식시키고 취약점 개선을 위한 지속적인 소프트웨어 업그레이드 서비스 제공과, 사전에 인증된 특정기기에서만 IP카메라에 접속할 수 있도록 하는 등의 보안강화 대책이 요구된다.

○ 과학기술정보통신부 등 관계부처에서는 IP카메라의 제조· 유통·설치·사용의 전 단계를 분석하여 취약점을 보완할 수 있는 표준을 마련하고, 제품에 대한 보안 인증제 강화 조치가 필요함을 통보하였다.

○ 또한, 네티즌들은 단순한 호기심에 의한 IP카메라 이용 불법촬영뿐만 아니라 불법촬영물 유포 행위도「음란물 유포」(정통망법 제74조 제1항 제2호, 1년 이하의 징역 또는 1천만원 이하 벌금)가 아니라 성폭력범죄인「카메라 등을 이용한 촬영」(성폭력범죄 특례법 제14조, 5년 이하의 징역 또는 1천만원 이하의 벌금)으로 처벌되고, 신상정보공개 대상 범죄가 되는 중대 범죄행위임을 인식하여야 한다.

□ 추가 내용 : IP카메라 해킹하여 ~

IP카메라, IoT 취약점 분석

뉴딜코리아 컨설팅사업부 ( 070-7867-3721, ismsbok@gmail.com)

해외에서 제 개인정보가 유출되었습니다. 어떻게 대응하면 될까요?

뉴딜코리아 홈페이지

Q. 해외에서 제 개인정보가 유출되었습니다. 어떻게 대응하면 될까요?

A. 해외에서는 각 국가별로 개인정보보호 관련 기구를 운영하고 있습니다.

해당 개인정보보호 기구 민원 제기 절차를 확인하시고 참고하시기 바랍니다.

현재 그리스, 뉴질랜드, 미국, 영국, 일본, 캐나다, 프랑스, 호주, 홍콩 등 9개국의 개인정보 침해 관련 민원제기 절차에 대한 간단한 국문 번역이 되어 있습니다.

☞ 첨부파일 :개인정 침해 관련 민원제기 절차

출처 : 개인정보보호 국제협력 센터

중국 인터넷 감독 강화 및 플랫폼 운영 규범화 작업

뉴딜코리아 홈페이지

중국, 인터넷 감독 강화 및 플랫폼 운영 규범화 작업
- 거짓정보와 불법행위 근절 위해 규제와 처벌 강화 -

□ 온라인 게시판 감독관리 강화

ㅇ 네트워크 안전법에 이어 '인터넷 사용자 공중계정 정보서비스 관리규정(이하 규정)' 발표로 감독관리 강화

- 2017년 9월 7일, 중국 국무원 신식화작업판공실은 '규정'을 발표, 10월 8일부터 시행함.

- 링크: www.cac.gov.cn/2017-09/07/c_1121624269.htm

자료원: 중앙 네트워크 안전 및 정보화 영도소조 홈페이지

ㅇ 국가 인터넷정보판공실은 전국 인터넷 공중계정을 감독관리하는 임무를 부여받음.

- 인터넷 공중계정 정보서비스는 인터넷 플랫폼과 앱에 등록된 계정을 통해 문자, 그림, 음성‧영상 등 정보를 전파하는 서비스를 일컬음.

- 텐센트 위챗공중계정, 시나 웨이보, 바이두 바이자하오(百家号), 왕이의 왕이하오(网易号) 등 외에도 즈후(知乎), 펀다(分答) 등 지식공유 사이트의 계정, 화자오(花椒), 잉커(映客) 등 방송플랫폼의 계정 등 포괄적으로 포함함.

- 인터넷 공중계정은 온라인에서 정보를 전파하는 중요한 채널로 파급효과와 영향력이 매우 크기 때문에 관리자와 사용자 모두 올바른 사회 가치관과 온라인 문화를 유지할 수 있도록 통제를 가하고자 함.

- 플랫폼 관리자는 부정확하거나 부적합한 정보가 전파되지 않도록

① 관리요원을 배치하는 등 관리제도를 구축할 의무가 있으며,

② 플랫폼과 사용자 권리의무를 명확히 하고 법률‧플랫폼 규칙 등을 위반한 자는 법적처벌을 가하고,

③ 플랫폼에 발표 및 게재되는 내용을 감독관리하고, 문제 있는 정보의 전파시에는 적합한 조치를 취해야 하는 의무가 있음.

☐ 온라인 게시판의 파급력과 통제

ㅇ 중국은 SNS가 가장 큰 정보교류의 장으로 거듭나고 있으며, 이를 통한 정보교류가 활발히 이뤄지고 있음.

- 공중계정의 숫자도 점차 증가하면서 시장이 점차 더 커질 것으로 예상됨.

- iimedia에 따르면 2016년 위챗 공중계정은 1206만 개로 전년 대비 46.2% 증가했으며, 2017년에는 1415만 개로 17.3% 증가할 것임.

- 액티브 유저가 증가하고 있으나 위챗을 비롯한 각종 앱과 플랫폼의 공중계정이 급증하면서 특정 계정을 팔로우하는 기간이 짧아지고 있음.

- 이에 보다 많은 팔로워를 만들기 위해 소비자들의 수요에 맞추어진 정보가 전파되고, 이 과정에서 허위나 사기 정보가 유포되는 경우가 적지 않음.

웨이신 공중계정 숫자

자료원: iimedia

ㅇ 플랫폼 운영 감독관리 및 처벌 강화 등 조치

- 2016년에 이미 웨이신은 공중계정 내 정보전파 통제, 사기나 불법행위를 근절하기 위해 '엄격하게 통제, 엄격하게 처벌'하겠다고 발표한바 있음.

- 3000여 개 웨이상청(微商城, 웨이신을 기반으로 한 상점)이 폐쇄조치됐으며, 텐센트의 투자를 받은 샤오헤이췬(小黑裙)도 불법행위로 인해 폐쇄됨.

- 아울러 불건전한 정보나 거짓정보를 유포하는 행위를 통제하기 위해 처벌방안을 도입하는 등 인터넷 게시판 및 플랫폼 정화작업을 할 것을 발표

☐ 시사점

ㅇ 웨이신을 비롯한 다수 플랫폼들이 관리감독 및 정화작업을 진행할 것
- 현재 웨이신이 비교적 빠르게 통제작업을 진행하고 있으며, 여타 플랫폼들도 웨이신의 방법을 따라 관리감독을 강화하고 있음.

자료원: 영도소조 홈페이지, 신화망, iimedia, 시나, 펑황망, KOTRA 상하이 무역관 자료 종합

출처 : 대한무역투자진흥공사 (2017-11-08 이윤식 중국 상하이무역관 )