StudioEgo's Thoughts, seasonⅡ

스프링 시큐리티로 시작하는 웹 어플리케이션 보안  슬라이드

2015년 4월 21일, 서울특별시 강남구 삼성동 코엑스에서 열린 "AWS Summit Seoul 2015"가 열렸습니다. 

참석은 안했지만, 어떤 내용인가 확인하고 구글링 하다보니 흥미로운 주제로 된 발표가 많더군요.

현재, AWS에 관심이 많고, AWS기술 문서 및 AWS도입 사례 및 문제 해결 방안에 대한 내용을 습득하다보니 이번 4월 21일에 열린 AWS Summit Seoul 2015의 발표세션중 2015년 6월 6일까지 공개된 슬라이드들을 모으고 정리하였습니다.

개발자가 알아야 할 보안 슬라이드 2가지 모음

개발자가 알아야 할 보안

[D2 campus seminar]개발자가 꼭 알아야 할 보안이야기

Spring Security 소개 및 이해 슬라이드 모음

영국 이코노미스트(The Economist)의 특집기사 - "CYBER-SECURITY"

2014년 7월 12일-18일자 주간지 이코노미스트(The Economist)에서는 사이버보안(Cyber-Security)에 대한 10쪽의 특집기사를 게재하였습니다. 

현재 사이버보안(CYBER_SECURITY)에 대한 트랜드와 비즈니스영향, 앞으로 미래등을 정리한 것 같고, 일단 기사를 읽어보고 정리를 해보겠습니다. (일하느라 바쁜데 읽을 거리는 넘쳐나는군요 @.@)

아래 사진은 이코노미스트 특집기사 - "CYBER-SECURITY"의 첫 표시와 첫기사 사진입니다.

아래의 URL들은 Spring Security에서 가상 URL로 처리하는 URL이며, 서블릿 필터 처리 과정에서 감시 되고 처리된다.

위와 같은 URL은 웹 어플리케이션의 Context ROOT에 대해 상대 경로를 가진다.

• /j_spring_security_check
  사용자명/비밀번호 폼 인증을 위해 UsernamePasswordAuthenticationFilter를 통해 확인함.
• /j_spring_openid_security_check
  (OpenID Provider에 의해) 반환되는 OpenID 인증을 위해 OpenIDAuthenticationFilter를 통해 확인함.
• /j_spring_cas_security_check
  CAS SSO 로그인으로부터 돌아옴과 동시에 CAS 인증에서 사용됨
• /spring_security_login
  auto-generate 로그인 페이지를 사용하도록 설정할때 DefaultLoginPageGeneratingFilter에서 사용하는 URL
• /j_spring_security_logout
  로그아웃 액션을 감지하기 위해 LogoutFilter에서 사용하는 URL
• /saml/SSO
  SAML SSO 사인 온 요청을 처리하기 위해 스프링 시큐리티 SAML SSO 확장 SAMLProcessingFilter에서 사용하는 URL
• /saml/logout
  SAML SSO 사인 아웃 요청을 처리하기 위해 스프링 시큐리티 SAML SSO 확장 SAMLLogoutFilter에서 사용하는 URL
• /j_spring_security_switch_user
  사용자를 다른 사용자로 전환하기 위해 SwitchUserFilter에서 사용하는 URL
• /j_spring_security_exit_user
  사용자 변경 기능을 빠져나가기 위해 사용하는 URL

http://news.chosun.com/site/data/html_dir/2011/05/06/2011050600159.html

이 기사를 읽고 나서 생각을 간단히 적었습니다.

기사를 읽다보면 북한 해커부대가 뭔가 대단한 일을 벌이는 것 같이 수식어를 붙여서 기사를 작성했으나... CS(Computer Science)를 전공한 사람이 보기엔 뭔가 허술한 기사 같아 보입니다.

오토프로그램 만드는 것과 해킹을 동일시 하는 뉘앙스는 과장된 표현입니다. 오토 프로그램은 게이머가 게임을 조작하지 않고 자동적으로 반복행위를 해주는 프로그램이지, 시스템을 악의적으로 접근하여 시스템 파괴하는 해킹과 전혀 다른 겁니다.

3줄 요약하자면,

북한 통일전선부 산하 해커부대에서 만드는게 고작 '오토(auto)프로그램' 이라니, 돈을 벌려고 난리치는듯 합니다.

해커부대가 하라는 해킹업무를 뒷전으로 두고 고작 오토 프로그램을 만들고 있었다니 시간 낭비 중이군요.

대한민국 네트워크 망은 고작 오토 프로그램에 오토 프로그램 만드는 해커부대에 교란 가능할 정도로 보안이 허술하다걸 증명하였군요.

보안 관련 투자를 안하니깐 고작 오토 프로그램 만드는 수준으로도 네트워크 보안쪽이 허술하니... 제발 보안 투자 좀!

ps. MB정권이 정권 처음 잡아서 "IT는 일자리를 계속 줄여왔습니다"란 발언과 정보통신부를 폐지했을때 예상했던 일들이 계속 일어나군요.

버그를 마시자(Drink Bugs) 발표가 2010년 6월 25일이 있었습니다.

발표자료(pdf파일) - 학생 vs 회사내 보안담당자 vs 보안회사종사자

위의 발표자료는 보안 쪽으로 가는 사람이 아니라도 IT종사를 원하는 사람들에겐 볼만한 자료입니다.

첫페이지부터 암울한 기운이 풍겨지며 계속 암울한 이야기만 나옵니다. (한국 IT업계 종사자들의 대부분의 현실이 암울한건 사실)

발표자료에선 본인이 미래에 뭘 할지?, 보안쪽에서 무엇을 얻고 싶은지에 대해 목표를 세우고, 어떻게 행동할까? 기회비용과 노력은 어떻게? 등등의 미래에 대한 설계를 결론 부분에서 말합니다. 

(쉽게말해서 인생 설계를 어떻게 할지에 대한 대안 정도?)

위의 내용은 보안 분야뿐만 아니라 IT분야, 다른 분야에서도 대부분 적용할 수 있는 말입니다.

IT종사 희망자인 저로서는 인생 설계를 어떻게 해야할지 결심을 서게 하는 발표자료입니다.

블로그를 둘러보다 재미있는 포스트를 보았습니다.

해킹아~ 물렀거라, 지피지기면 백전백승

한국인터넷진흥원에서 발표된 국가정보보호백서 2010에 나온 2009년 정보보호 이슈 10가지를 요약해서 정리를 하여 보여주더군요.

내용은 엔시스님의 생각이 가미되어 나옵니다.

1. 7.7. DDoS 공격 사고 발생
2. 소셜 메시징 인프라 기반 피싱 기승
3. 허위 보안 제품 등장
4. 온라인 게임 해킹 급증
5. 성적 조작을 위한 대학 전산망 해킹
6. 개인정보 유출 피해자 집단 소송 판결
7. 정보보호 관련 법, 제·개정 활발
8. 새로운 IT기술과 정보보호 - 스마트 그리드, 클라우드
9. 아이폰 등장으로 인한 스마트폰 보안 증가
10. 응용프로그램 제로데이 공격 증가

 위의 10가지가 국가정보보호백서 2010에 나왔습니다.

보안이라는 건 나 자신부터 잘 실천학 챙겨야 합니다.

혜민아빠(홍순성)님께서 보안뉴스와 트위터 인터뷰를 한 동영상입니다.

전문가들은 자신의 사생활이나 정보를 무분별하게 노출함으로써 혹시 모를 개인정보유출에는 각별한주의가 필요하다고 지적한다. 자신의 정보 노출의 범위가 어디까지인가 항상 생각을 해야 하고 적절한 통제가 필요하다고 조언한다.

트위터와 같은 SNS는 보안에 취약하다고 생각됩니다. 우선 SNS를 쓰다보면 자기 자신의 정보를 필요 이상으로 노출하는 경우가 많습니다.

자신의 정보 노출 범위가 어디까지인지에 대해서 진지하게 고민을 하고 트위터, 미투데이, 요즘과 같은 SNS를 사용해야지 별 뜻없이 무심코 SNS에 글을 올리다간 필요 이상의 개인정보가 남들에게 노출되는 부작용이 있습니다.

항상 SNS을 쓸때마다 적절한 통제가 필요하다고 느낍니다만 스마트폰등 컴퓨터를 이용하지 않고도 바로 본능적으로 글을 바로바로 올려 사용하는 상황에선 자기 자신의 위치를 노출한다는거나 등의 일을 많이 벌이지 말아야할 것입니다.

SNS를 사용할때 개인정보 노출을 하지 않도록 노력해야할때입니다.

ps. Facebook 창시자 마크 주커버그가 프라이버시의 시대가 종료하였다는 발언을 한 이후에 SNS에서의 보안에 대해서도 많은 생각을 해보았습니다. SNS의 보안은 본인 스스로가 조심해야지, 스스로가 조심하지 않으면 개인정보 노출같은 피해상황이 나올수가 있습니다.