스프링 시큐리티로 시작하는 웹 어플리케이션 보안  슬라이드

 

Buy me a coffeeBuy me a coffee



2015년 4월 21일, 서울특별시 강남구 삼성동 코엑스에서 열린 "AWS Summit Seoul 2015"가 열렸습니다. 

참석은 안했지만, 어떤 내용인가 확인하고 구글링 하다보니 흥미로운 주제로 된 발표가 많더군요.


현재, AWS에 관심이 많고, AWS기술 문서 및 AWS도입 사례 및 문제 해결 방안에 대한 내용을 습득하다보니 이번 4월 21일에 열린 AWS Summit Seoul 2015의 발표세션중 2015년 6월 6일까지 공개된 슬라이드들을 모으고 정리하였습니다.



트랙1 AWS 신규 서비스 및 솔루션 

AWS 최신 서비스 살펴보기 - Aurora, Lambda, EFS, Machine Learning, ECS


국내 사례로 본 클라우드 운영 최적화 - 모니터링, 자동화, 빌링


AWS 클라우드를 활용한 빅데이터 및 실시간 스트리밍 분석


국민내비 김기사, AWS 하이브리드 환경 구축사례


모바일 및 IoT 환경을 위한 AWS 클라우드 플랫폼의 진화


AWS와 컴볼트가 함께하는 데이터 보안 및 관리 자동화


AWS와 연계하는 레드햇 오픈 하이브리드 아키텍처


EBS성능 향상 및 EC2 비용 최적화 기법


트랙 2 AWS 소개 및 활용 사례 

AWS 소개 - 컴퓨팅(EC2), 데이터베이스(RDS, Redshift), 스토리지(S3, EBS)


CloudFront와 Route53기반 콘텐츠 배포 전략


엔터프라이즈에서의 하이브리드 환경 전략


엔터프라이즈 클라우드 도입 및 고려사항 - 메가마트 사례


AWS를 통한 클라우드 보안 이해하기


보안을 통한 AWS에서의 신뢰성 강화


데이터 중심 클라우드 전략과 하이브리드 솔루션


AWS이용사례 - SM엔터테인먼트 및 셰이커미디어 사례를 중심으로



Buy me a coffeeBuy me a coffee

개발자가 알아야 할 보안 슬라이드 2가지 모음


개발자가 알아야 할 보안

[D2 campus seminar]개발자가 꼭 알아야 할 보안이야기



Buy me a coffeeBuy me a coffee

2014년 12월 7일 일요일, 강남 단대부고에서 제 16회 개인정보관리사(CPPG)시험을 보았습니다.

이후 2014년 12월 26일 금요일 합격통지를 받고, 개인정보관리사(CPPG) 자격취득을 하였습니다.

 

 

 

합격 후기를 간략하게 써보겠다.

1. CPPG가이드라인

2. 정보통신망이용촉진 및 보호 등에 관한 법률

3. 개인정보보호법

4. 각종 시행령

5. 안전행정부 고시, 방송통신위원회 고시

6. PIPL, PIMS, ISMS,PIA, ISO27001등의 여러 인증에 대한 간략한 내용

(ps. 민법도 조금 알면 도움되나 그렇게까진 아닌듯. 헌법, 일반법/특별법, 시행령,지침,가이드라인, 고시의 차이만 알면 될듯)

위의 내용을 훑어보기를 여러번 (약 4번)정도를 하고 시험보았다.

 

법, 시행령, 가이드라인의 경우는 아래의 국가법령정보센터를 통해 얻어서 시간나는대로 읽어보았다.

 

1번째 공부하였을때엔 개인정보보호의 개념이 무엇인지? 개인정보보호법, 정보통신망 이용촉진 및 보호 등에 관한 법률에 대하여 열심히 훑어보았다.

그리고 이해, 그리고 이해  그리고 이해, 개인정보보호법과 정보통신망이용촉진 및 보호 등에 관한 법률의 차이점, 세부차이점을 숙독하고 정리후에 시험보면 해결

참고로 5과목은 다행이도 과락을 면하였지만, 정보보호 인증에 대한 내용을 심도있게 살펴봐야할것같다.

CISA시험을 치루면서 인증에 대한 내용은 개괄적으로 안다면 제대로 아는 건 아니였으니 이쪽부분이 제일 어려웠다.

 

이번 시험을 치뤄보면서, 정부에서 HWP포맷으로 시행령,지침,가이드라인을 만들어 배포하니, 지하철 출퇴근하면서 아이패드로 보나, 맥에서 볼때마다 난감하였다. 맥에 어쩔수 없이 한글뷰어를 설치하여 보았음.

공대출신이 자격취득을 위하 법의 한 분야인 개인정보보호법, 정보통신망이용촉진 및 보호 등에 관한 법률에 대한 걸 읽다보니, 법으로 먹고 사는 변호사, 판·검사들을 존경하게 되었습니다. 법은 수학이기 때문에 공식적으로 이해할수 있다만, 그 용어가 평상시에 쓰는 것이 아니라 문제지. 거기에 법이 여러개이며 민법, 상법, 형법, 헌법등 여러가지 법을 숙지하는 것만으로 대단한것 같다.

변호사들의 수임료가 비싼이유가 법의 숙지하는 자격을 갖기 어려워서가 아닐까란 생각을 해보았다.

 

회사 이직후에, 회사 일과 병행하며 자격증 공부하는게 정말로 힘들었다. 그래도 합격 및 자격취득한것만해도 다행. ㅎㅎ

 

Buy me a coffeeBuy me a coffee

영국 이코노미스트(The Economist)의 특집기사 - "CYBER-SECURITY"

2014년 7월 12일-18일자 주간지 이코노미스트(The Economist)에서는 사이버보안(Cyber-Security)에 대한 10쪽의 특집기사를 게재하였습니다. 



현재 사이버보안(CYBER_SECURITY)에 대한 트랜드와 비즈니스영향, 앞으로 미래등을 정리한 것 같고, 일단 기사를 읽어보고 정리를 해보겠습니다. (일하느라 바쁜데 읽을 거리는 넘쳐나는군요 @.@)


아래 사진은 이코노미스트 특집기사 - "CYBER-SECURITY"의 첫 표시와 첫기사 사진입니다.




Buy me a coffeeBuy me a coffee

2012년 2월 25일

교보문고 서가에서 책을 구경하다,  정보보안에 대하여 가벼운듯 하고 깊지도 않고 편안(?)하게 읽을 만한 책 "스마트 위험사회가 온다 - 대한민국 리스크 보안편"을 우연히 발견하였습니다.

스마트위험사회가온다대한민국리스크보안편
카테고리 인문 > 인문교양문고
지은이 민경식 (살림, 2011년)
상세보기

 

이 책에서 정보보안에 대한 기술적인 내용보다는 정보보안의 간단한 개념, 생활적에서 접할수 있는 보안 설정방법등 인터넷에서 접할수 있는 정보 보안에 대하서 소개를 하였다. 이후엔 개인정보에 대한 개념, 한국 사회의 정보 보호 수준과 실태과 주요 선진국의 정보 보호 정책 현황을 보여주면서 부족한 정보 보안 인식에 대해서 환기를 시켰다. 그리고 스마트폰의 급속한 보급과 이용과 더불어 스마트폰, 소셜 네트워크 서비스 에서의 보안 위협에대해서도 서술을 하였습니다.

책 마무리에는 우리나라(대한민국)의 정보보호를 담당하는 주요기관을 소개 및 정보보호에도 철학이 필요하다며 "정보 사회를 또는 정보보호를 너무 기술적 측면에서만 바라보면 안된다. 그 속에 철학을 담아야 한다. 왜냐하면 기술은 수단일 뿐 인간이 그 중심에 있기 때문이다." 라는 글로 끝을 맺는 책이다.

이 책은 100페이지도 안되는 내용에 정보보안에 대해 컴퓨터를 조금이라도 만질수 있는 사람이라도 쉽게 읽을수 있게 설명을 하고 있다.

책의 특징은 책의 저자가 사회과학을 연구한 사람이라보니 사회과학도의 시선에서 작성되었고, 기술적인 부분을 많이 배제시킨 것이다.

정보 보안이 어떤 내용인지 가볍게 알고 싶은 사람이라면, 정보 보안의 개념을 쉽게 정리하고 싶은 사람들에게 추천을 하고 싶습니다. 

책을 읽다보니 대학원 3차때, 정보보안쪽의 대가인 임채호 교수님께서 수업한 내용의 일부가 간략 정리한 것 같아서 예전 생각을 했었지요.  참고로 대학원 수업중에서 제일 재미있던 수업이 "정보보안"수업이였습니다. (이 수업에서 과제로 작성한 글이 잡지에 실었던 적이 있던지라 정말 기억이 남는 수업이였습니다)

Buy me a coffeeBuy me a coffee

아래의 URL들은 Spring Security에서 가상 URL로 처리하는 URL이며, 서블릿 필터 처리 과정에서 감시 되고 처리된다.

위와 같은 URL은 웹 어플리케이션의 Context ROOT에 대해 상대 경로를 가진다.


  • /j_spring_security_check
    사용자명/비밀번호 폼 인증을 위해 UsernamePasswordAuthenticationFilter를 통해 확인함.
  • /j_spring_openid_security_check
    (OpenID Provider에 의해) 반환되는 OpenID 인증을 위해 OpenIDAuthenticationFilter를 통해 확인함.
  • /j_spring_cas_security_check
    CAS SSO 로그인으로부터 돌아옴과 동시에 CAS 인증에서 사용됨
  • /spring_security_login
    auto-generate 로그인 페이지를 사용하도록 설정할때 DefaultLoginPageGeneratingFilter에서 사용하는 URL
  • /j_spring_security_logout
    로그아웃 액션을 감지하기 위해 LogoutFilter에서 사용하는 URL
  • /saml/SSO
    SAML SSO 사인 온 요청을 처리하기 위해 스프링 시큐리티 SAML SSO 확장 SAMLProcessingFilter에서 사용하는 URL
  • /saml/logout
    SAML SSO 사인 아웃 요청을 처리하기 위해 스프링 시큐리티 SAML SSO 확장 SAMLLogoutFilter에서 사용하는 URL
  • /j_spring_security_switch_user
    사용자를 다른 사용자로 전환하기 위해 SwitchUserFilter에서 사용하는 URL
  • /j_spring_security_exit_user
    사용자 변경 기능을 빠져나가기 위해 사용하는 URL


Buy me a coffeeBuy me a coffee

http://news.chosun.com/site/data/html_dir/2011/05/06/2011050600159.html


이 기사를 읽고 나서 생각을 간단히 적었습니다.


기사를 읽다보면 북한 해커부대가 뭔가 대단한 일을 벌이는 것 같이 수식어를 붙여서 기사를 작성했으나... CS(Computer Science)를 전공한 사람이 보기엔 뭔가 허술한 기사 같아 보입니다.

오토프로그램 만드는 것과 해킹을 동일시 하는 뉘앙스는 과장된 표현입니다. 오토 프로그램은 게이머가 게임을 조작하지 않고 자동적으로 반복행위를 해주는 프로그램이지, 시스템을 악의적으로 접근하여 시스템 파괴하는 해킹과 전혀 다른 겁니다.


3줄 요약하자면,

북한 통일전선부 산하 해커부대에서 만드는게 고작 '오토(auto)프로그램' 이라니, 돈을 벌려고 난리치는듯 합니다.

해커부대가 하라는 해킹업무를 뒷전으로 두고 고작 오토 프로그램을 만들고 있었다니 시간 낭비 중이군요.

대한민국 네트워크 망은 고작 오토 프로그램에 오토 프로그램 만드는 해커부대에 교란 가능할 정도로 보안이 허술하다걸 증명하였군요.


보안 관련 투자를 안하니깐 고작 오토 프로그램 만드는 수준으로도 네트워크 보안쪽이 허술하니... 제발 보안 투자 좀!


ps. MB정권이 정권 처음 잡아서 "IT는 일자리를 계속 줄여왔습니다"란 발언과 정보통신부를 폐지했을때 예상했던 일들이 계속 일어나군요.

Buy me a coffeeBuy me a coffee





아래는 옵티머스Q 루팅법에 적힌 글을 인용한것입니다.


현재 발견된 취약점으로 아마 모든 안드로이드 폰의 루팅이 가능할 것으로 보입니다 'ㅅ'

본 루팅과정은 드로이드X 루팅 과정인 http://alldroid.org/default.aspx?g=posts&t=493를 Optimus Q에 맞춰서 수정한겁니다. 

아무튼! 다음과 같이 차례대로 진행하시면 됩니다.

1. 옵큐를 usb로 컴과 연결하고 설정->응용프로그램->개발->usb디버깅에 체크한다.
2. 첨부파일을 받아서 c:\ 에 압축을 푼다.
3. 시작->실행에 들어가서 cmd 실행
4. cd c:\adb 치고 엔터
5. 이제 다음 내용을 차례대로 붙여넣기하고 엔터치면 됩니다. ㅇㅇ
 
    adb push su /sdcard/su
    adb push exploid /sqlite_stmt_journals/exploid
    adb shell
    cd /sqlite_stmt_journals
    chmod 755 exploid
    ./exploid
    rootshell
    secretlol
    cat /sdcard/su > /system/bin/su
    chmod 4755 /system/bin/su
    rm /system/bin/rootshell
    exit
    exit

6. 루팅완료!

PS. su 바이너리가 달라서인지 superuser.apk가 작동을 안하네요. 그래서 과감히 빼버렸어요. 아무튼 그래서 갤s나 다른 루팅된 기기와 달리 슈퍼유저 권한을 요청할때 allow창 같은게 안뜹니다. (보안상으로 매우 취약하군요ㄷㄷ)

PS2. busybox도 말을 안들어서 빼버렸습니다. 마켓에 검색해서 직접 깔아주세요.


LG에서 나온 옵티무스Q말고도 모토로이, 드로이드x 루팅하는 법과 국내판 갤럭시S [M110S] 루트권한 얻기시리우스 루팅방법...등의 방법이 나와 있습니다.

나온 방법들을 보면 Android OS의 취약점들을 이용하여 Root권한을 획득하는 것입니다.

보통 HTC의 단말기나 NexusOne같은 경우는 부트로더를 건드려 Root권한을 획득하기 때문에 HTC의 단말기같이 일부로 부트로더를 쉽게 루팅할수 있는 기계가 아닌 이상 모토로라사의 안드로이드폰이나 국내 안드로이드폰도 Root권한을 얻기 어려웠습니다.

이번 루팅은 Android OS의 취약점을 사용하여 부트로더를 안 건드리는 방법으로 폰들의 Root권한을 획득하는 식이다 보니, 약간의 Android OS의 보안문제가 있을 수 있겠군요.

위의 사례에서 보인 것 같이 오픈소스(Opensource)로 공개된 안드로이드(Android) OS는 Linux Kernel위에 Dalvik VM(SUN사의 Java VM을 따라하여 Java실행할수 있게 만든 Virtual Machine)이 올라간 형태입니다.

위의 오픈소스 같은 경우 소스가 공개된 상태이기 때문에 소스에 취약점이 있으면 공통적으로 바로 발견이 가능합니다.


오픈소스로 공개된 리눅스의 장점이랄까요? 단점이랄까요? 단점인 취약점이 금방 공개가 되는 듯 합니다.(그 단점으로 인해 빠른 패치가 가능하다는 장점도 있습니다.) 

안드로이드 오픈소스의 취약점이 바로 발견되기 때문에 위의 취약점으로 해킹을 하여 안드로이드폰 자체가 망가질 수 있는 문제점이 보이기 시작할듯 합니다. 

안드로이드폰의 보안 이슈에는 Root권한을 획득한 폰에서 앱을 통하여 해킹당할때의 문제가 있었지만, 이제는 Root권한을 획득하지 않은 일반 폰에서 앱에서 root권한을 취득할수 있게 만든 코드에서 해킹에 속수무책인 사항까지 나아간것 같습니다.

아마 위의 사례처럼 Android 2.2에서도 취약점발견되어 root권한 획득하는 방법이 있을듯 합니다. (Google측에서 취약점을 몰랐을 경우)

위의 취약점 사례는 아마도 Android Gingerbread 버전에서 사라질 가능성이 있습니다.

Buy me a coffeeBuy me a coffee

버그를 마시자(Drink Bugs) 발표가 2010년 6월 25일이 있었습니다.


발표자료(pdf파일) - 학생 vs 회사내 보안담당자 vs 보안회사종사자

위의 발표자료는 보안 쪽으로 가는 사람이 아니라도 IT종사를 원하는 사람들에겐 볼만한 자료입니다.

첫페이지부터 암울한 기운이 풍겨지며 계속 암울한 이야기만 나옵니다. (한국 IT업계 종사자들의 대부분의 현실이 암울한건 사실)


발표자료에선 본인이 미래에 뭘 할지?, 보안쪽에서 무엇을 얻고 싶은지에 대해 목표를 세우고, 어떻게 행동할까? 기회비용과 노력은 어떻게? 등등의 미래에 대한 설계를 결론 부분에서 말합니다. 

(쉽게말해서 인생 설계를 어떻게 할지에 대한 대안 정도?)

위의 내용은 보안 분야뿐만 아니라 IT분야, 다른 분야에서도 대부분 적용할 수 있는 말입니다.

IT종사 희망자인 저로서는 인생 설계를 어떻게 해야할지 결심을 서게 하는 발표자료입니다.



아래는 김휘강 교수님의 강의 영상입니다. Bugtruck에서 공개된 자료를 링크합니다..

김 휘강 교수님의 강의 영상 입니다^^

http://video.mgoon.com/3686949  - 1
http://video.mgoon.com/3686951  - 2

Buy me a coffeeBuy me a coffee

+ Recent posts