지크의 IT field

http://www.itworld.co.kr/news/147282

기사요약

1) 코로나 바이러스 확산으로 인해 재택근무가 늘어나면서 동시에 원격 네트워크 보안에 대한 우려가 커지고 있다.

2) 기업들은 원격 네트워킹으로 소모되는 대역폭 용량에 측정에 힘쓰고 있으며 무선 네트워크의 과부하 영향은 적은편.

VPN을 이용하면 보안이 취약한 주거용 인터넷 환경에서 사내 보안 시스템을 우회하게 되고, 사용량이 증가하며 비용도 증가 하게 됨

3) MS에서는 원격 사용량 증가로 인한 부하 분산을 위해 분할 터널링을 권고했지만 의견이 분분

4) VPN으로 기업 네트워크 터널 이용시 분할 터널링을 허용하도록 설정해 트래픽 부하를 낮출 수 있지만 사용자 PC가 외부에서 감염되면 2차적으로 기업 네트워크가 위험할 수 있기 때문.

분할터널링?

- VPN연결이 필요한 트래픽만 통과, 그 외 다른 트래픽은 일반 인터넷 연결을 이용하는 기술

https://www.boannews.com/media/view.asp?idx=87068

기사요약

1) 3월17일 19시 30경 마루호스팅이 랜섬웨어 감염으로 서비스 중단, 공격자와 협상중

2) 작년에도 스마터ASP, 라온넷닷컴 등 웹호스팅 업체들이 연이어 랜섬웨어에 감염되어 서비스 마비된 사례 있음

https://www.boannews.com/media/view.asp?idx=86986

기사요약

1) 2월 29일, VT에 PXJ라는 기존 랜섬웨어와 코드 기반이 판이한 신종 랜섬웨어가 등장

2) AES와 RSA 알고리즘을 함께 사용하는 이중 암호화 방식을 이용, 최근 랜섬웨어들의 트렌드

3) 현재까지 나온 기본 실천 사항으로 방어가 가능하나 변종은 계속 나올 것이기 때문에 모든 조직의 리스크 관리에 랜섬웨어 방어도 포함되어야 할 것.

http://www.itworld.co.kr/news/146862

기사요약

1) 이중 인증(2FA), 그 중에서도 하드웨어 2FA는 공격 완화에 매우 효과적이다. 공격자들도 이미 소프트웨어 기반 2FA를 우회하는 방법을 찾고 있다.

2) 소프트웨어 2FA를 선택할 수 없는 환경이거나 좀 더 강력한 보안을 원할 때 Yubikey(유비키)를 토큰을 이용한 하드웨어 2FA사용을 권장.

3) 소유기반+지식기반의 인증 절차시대는 계속될 것으로 보인다.

https://www.dailysecu.com/news/articleView.html?idxno=106905

기사요약

1) 마이크로소프트 윈도우 제품의 SMB프로토콜을 이용한 파일공유기능을 통해 악성코드를 설치 및 실행할 수 있는 취약점이 발견됐다.

2) 2017년 워너크라이 랜섬웨어와 유사한 방식으로 전파가 가능하다.

3) 마이크로소프트는 패치 개발 후 긴급 보안 업데이트 공지. 감염 후 다른 시스템으로 전파가 가능하므로 적극적인 보안 업데이트를 진행해야한다.

https://www.boannews.com/media/view.asp?idx=86935

기사 요약

1) 코로나19로 인해 많은 기업이 재택근무를 시행함.

2) 가정 내 사물 인터넷 장비나 PC, 모바일기기에 대한 보호조치가 어렵고 미흡한 상태에서 보안의 범위가 회사를 벗어나 임직원 각각의 가정으로 확대되며 곳곳에서 취약한 모습을 드러냄

3) 집에서는 기업용 보안 장비를 쓰는 경우도 거의 없는 데다 회사에서는 보안 수칙을 잘 지켜도 집에 가서도 잘 지키는 경우는 드묾.

4) 각자의 자리에서 일할 때 필요한 기준을 정해 문서화하고 비상연락망 체제를 구축한다. 다중 인증과 행위 기반 보안 시스템을 도입하는 것도 고려해 불법 접근에 특히 주의해야 한다.

안녕하세요.

오늘은 매일 정해진 시간에 URL에 들어갈 필요가 있을 경우에 사용할 수 있는 작업 스케쥴러 사용법을 써보겠습니다.

저는 업무상 인터넷보호나라(https://krcert.or.kr)에 자주 들어갑니다. 일지 작성에 필요한 최신 보안 동향이나 패치 권고 등을 확인하기 위해서 수시로 확인하는 곳입니다. 다만 다른 업무로 인해 잊어버리는 경우가 더러 있는데, 이것을 방지하기 위해 작업스케쥴러를 이용해 자동으로 실행시켜주도록 하겠습니다.

기준은 windows10이며, 그 외 버전도 작업스케쥴로 들어가는 방법만 다르지 내부의 내용은 동일합니다.

1. 우선 작업스케쥴러를 실행합니다.

window키+s를 누르면 프로그램을 검색할 수 있습니다. 

2. 우측 메뉴에서 작업 만들기를 클릭

3. 작업 이름과 설명을 간략히 적어준 후 구성은 windows10(해당 OS에 맞게)으로 설정해줍니다. 작업 이름은 영어로만 가능합니다.

4. 트리거 탭에서는 작업의 실행 시간을 예약할 수 있습니다. 새로 만들어 볼까요?

5. 설정 항목에서 실행할 주기를 체크해줍니다. 매일 볼거니까 저는 매일로 체크했습니다. 그 다음엔 원하는 시간을 지정해줍니다. 현재 포스트 작성 시간이 13:05분이니까 10분으로 해보겠습니다.

아, 그리고 하단에 사용에 체크가 되어있어야 해당 작업이 실행됩니다. 물론 기본적으로 체크되어 있습니다.

6. 동작탭에서 어떤 동작을 할 지 정해줍니다.

7. 프로그램 시작이 기본 상태이며 찾아보기를  통해 실행할 프로그램을 지정해줍니다. 저는 크롬(chrome)브라우저를 사용하니 크롬이 설치된 경로로 이동해보겠습니다.

8. 크롬브라우저는 기본적으로 C:\Program Files(x86)\Google\Chrome\Application 폴더에 있습니다.

9. 인수 옵션에 접근할 URL을 입력해줍니다. KrCERT의의 보안공지 페이지는 "https://krcert.or.kr/data/secNoticeList.do"입니다.

10. 확인을 누르고 저장해봅시다. 그리고 아까 지정했던 1시 10분이 되니...

11. 정상적으로 잘 실행이 되네요. 좌측 작업스케쥴러 라이브러리에서 스케쥴러가 잘 등록되었는 지 확인 가능합니다.

여기까지 무리 없이 따라오셨다면 손쉽게 작업스케쥴러를 활용하실 수 있습니다.

감사합니다!

기사 요약

1) 방통위에서 SNI 필드 차단 기술을 통해 https 보안 프로토콜을 사용하는 불법사이트로의 접속을 차단

2) 인터넷 검열국이 되는 것이냐며 인터넷 이용자의 불만의 목소리가 점점 커짐.

3) 패킷의 내용 자체를 들여다 보는 것은 아니나 패킷의 목적지를 확인하는 행위만으로도 이용자의 자유도가 하락함 

4) 불법을 근절하기 위한 고육지책인가, 개인의 자유를 침해하는 잘못된 제도인가

5) 세계적으로도 과도한 심의정책으로 이미 제한적인 인터넷 자유국으로 분류됨.

KT를 시작으로 SK와 LG U+ 등 인터넷 서비스 업체(ISP)의 불법사이트의 https 접근을 차단하는 제도가 시행되었다.

기본적으로 https는 패킷의 내용을 암호화하여 전송하기 때문에 패킷의 내용을 볼 수가 없다. 볼 수는 있어도 깨져있을 뿐..

그렇다면 어떤 방식으로 차단을 하는 것일까? 

여기서 SNI 기술을 알아보자.

Server Name Indication의 약자로 TLS의 확장 표준 중 하나이다.

기본적으로 도메인 하나 = IP 하나로 알고 있지만 최근에는 하나의 IP에 여러 개의 도메인을 연결하는 서비스가 대중화되었다.

https는 클라이언트가 사이트에 접속할 때 안전한 접속을 하기 위한 인증을 진행하는데, 인증서를 사용한다. 하지만 IP 하나에 여러 사이트를 사용하니 인증서 관리에 문제점이 생겼고, 그로 인해 SNI 기술이 나오게 되었다.

SNI 기술은 여러 사이트를 서비스하는 웹서버의 경우에도 인증서를 통해 https를 사용할 수 있다. 즉, 서버와 클라이언트간의 인증 기술인 셈.

그렇다면 이 기술을 어떻게 활용하는 것인가?

기본적으로 https을 사용하면 서버-클라이언트간의 통신은 암호화하지만 SNI를 통한 인증 과정은 암호화되지 않고 평문으로 전송 된다. 그리고 이 인증 과정에서 주고 받은 SNI 패킷에 기록된 도메인을 보고 차단여부를 결정하는 식으로 이용하게 되는 것이다. 

SNI 패킷의 평문 전송은 제3자에게 쉽게 노출되어 보안상의 문제가 있었으며, 2018년 9월에 암호화한 SNI(Encrypted SNI) 서비스를 시범적으로 개시했다.

결국 DNS에서 내용을 확인하고 전달해줘야하는데 이 과정 전에 암호화를 하기 때문에 별도의 DNS 서버가 필요하다. 그래서 클라우드플레어라는 기업의 DNS 서비스를 이용해야한다. 

다만 문제는 이 클라우드플레어를 이용 중인 사이트의 경우에만 접속이 가능하다는 것이다. 이용하지 않는 사이트는 클라이언트가 ESNI를 이용하더라도 접속할 수가 없다. 아직 시범단계인 기술이기 때문에 비표준인 ESNI의 도입은 시간이 걸릴 것이다.

이 제도 시행 후 인터넷 커뮤니티에서는 격렬한 반대의 말들이 많다. 말이 불법사이트 단속이지 인터넷 검열- 사생활 감시로 이어지는 것으로 느낄 수 밖에 없기 때문이다. 이 제도가 확대 시행되면 불법적인 사이트 근절 외에도 사용하는 주체에 따라 이용하는 민간인의 사찰도 가능하기 때문이다.

그렇다면이 차단을 우회하는 방법은 없는가?

늘 그렇듯 방법은 존재한다. 가장 확실한 방법은 VPN을 이용해 모든 통신 과정을 암호화 하는 것이다. 

계속...