이호스트ICT 공식 블로그

전문단체 이용 청부형 DDoS공격 등장 특정 기업 타깃 집중공격… 영세기업에 금전 요구도 최근 영세기업을 대상으로 한 분산서비스거부(DDoS) 공격이 늘고 있어 이를 막기 위한 분야별 공조체계 마련이 필요하다는 지적이다. 한국인터넷진흥원(KISA)은 21일 `인터넷 침해사고 동향 및 분석월보 3월호'를 통해 KISA의 사이버대피소에 신고된 사례 중 금전을 요구하는 협박성 분산서비스거부(DDoS) 공격이 증가하고 있고 청부형 DDoS 공격도 일부 발생했다고 밝혔다 ..........중략.............. KISA 관계자는 "이 사례는 청부형 공격이 얼마나 집요한지 보여준다"며 "이러한 침해사고 대응을 위해 사이버대피소뿐 아니라 피해대상 기업과 호스팅 업체, 수사기관 등 여러 기관간의 업무 공조와 노..

3.4대란 DDoS 상황보고서   ▶ 개요 오전 10시부터 청와대와 외교통상부, 국가정보원 등 국가기관과 금융기관, 포털 사이트 등 주요 인터넷기업 웹사이트에 대한 분산서비스거부(디도스:DDoS) 공격이 발생 ▶ 예상 원인 1. P2P 사이트를 통한 악성코드 배포 - 아래 P2P 사이트를 해킹해 악성코드를 삽입해 유포 - 유포경로 : 셰어박스, 슈퍼다운 - 유포시각 : 3월 3일 07시~09시로 추정 ▶ 공격 시작 1. 오전 10시부터 국내 40개 웹사이트를 대상으로 디도스 공격이 발생하고 있으며 이날 오후 6시 30분 추가 공격이 예정 2. 공격 사이트 : 총 40 사이트 URL 기관 URL 기관 naver.com 네이버 navy.mil.kr 해군본부 daum.net 다음 usfk.mil 주한미군 ..

【 ‘11년도 정보보호 취약점 점검서비스 대상 업체 모집안내】 본 서비스는 영세 IT서비스 기업을 대상으로 사이버 침해가 예상되는 서버, 홈페이지, PC, 네트워크 장비 등에 대해 취약점 점검 및 이행조치 지원 등의 기술지원을 제공하는 사업이며, 정보보호 전문 인력 및 예산 등을 고려하여 공모를 통해 선정된 업체에 대해 무상으로 제공하고 있습니다. □ 지원규모 : 00개사 □ 신청일정 : 4월 20일 ~ 5월 20일(1개월) □ 지원내용 o 지원 서비스 - 서버, 홈페이지, PC, 네트워크 장비 등에 대한 취약점 점검 지원 - 정보보호 수준 자가측정도구 등을 활용한 관리적 컨설팅 제공 ※ 업체에서 점검을 희망하는 장비, 점검항목 우선적으로 점검 o 진행방법 : ①신청 → ②선정여부 알림 → ③점검일정 협..

□ 개요 o Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단임 o 2011년 4월 19일(현지시각) Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상되는 바 Oracle 제품의 다중 취약점에 대한 패치를 권고함 □ 설명 o 2011년 4월 Oracle CPU에서는 Oracle 자사 제품의 보안취약점 73개에 대한 패치를 발표함 - 원격 및 로컬 공격을 통하여 취약한 서버를 공격하는데 악용될 가능성이 있는 취약점을 포함하여 DB의 가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점 존재 □ 영향받는 시스템 o Oracle Database 11g Release 2, versions 11.2.0.1..

□ 개요 o 국내 PHP기반의 공개 웹 게시판인 테크노트에서 XSS 취약점이 발견됨 [1] o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어 - 테크노트7.2 및 이전 버전 □ 해결방안 o 테크노트7.2 및 이전버전 사용자는 테크노트 홈페이지 공지사항을 참조하여 소스 수정 [1] ※ 패치 작업 이전에 원본 파일은 백업 필요 □ 용어 정리 o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어 o XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에 클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 ..

□ 개요 o 국내 PHP기반의 공개 웹 게시판인 제로보드에서 XSS 취약점이 발견됨 [1] o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 및 악성코드 유포지로 악용되는 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요 □ 해당시스템 o 영향받는 소프트웨어[1] - 제로보드4 버전 - 익스프레스 엔진(제로보드XE)1.4.5.2 및 이전 버전 □ 해결방안 o 제로보드4는 2009년 9월 25일 이후로 공식적인 배포가 중단되었으므로, 해당 버전 사용자는 XE 버전으로 업그레이드를 권고 [2] o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [3] ※ 패치 작업 이전에 원본 파일은 백업 필요 o 익스프레스 엔진을 새로 설치하는 이용자 - ..

□ 개요 o Adobe社는 Adobe Flash Player에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1] ※ 안드로이드 환경에서 동작하는 Adobe Flash Player 제외 o 공격자는 특수하게 조작된 Flash파일이 삽입된 엑셀 및 MS워드 파일을 사용자가 열어보도록 유도하여 악성코드 유포 가능 o 낮은 버전의 Adobe Flash Player 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고 □ 해당 시스템 o 영향 받는 소프트웨어 - 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.2.153.1 및 이전 버전 - 크롬 웹브라우저에서 사용하는 Adobe Flash Player 10.2.154.25 및 ..

[MS11-018] Internet Explorer 6, 7, 8 취약점으로 인한 원격코드 실행 문제 □ 영향 o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득 □ 설명 o 특수하게 조작된 웹페이지 파일을 열었을 경우 원격코드실행 취약점이 존재 o 관련취약점 : - Layouts Handling Memory Corruption Vulnerability - CVE-2011-0094 - MSHTML Memory Corruption Vulnerability - CVE-2011-0346 - Frame Tag Information Disclosure Vulnerability - CVE-2011-1244 - Javascript Information Disclosure Vulnerability - CVE-201..

- 개인정보의 기술적ㆍ관리적 보호조치 기준 해설서 배포 방송통신위원회(위원장 최시중)와 한국인터넷진흥원(KISA, 원장 김희정)은 인터넷사업자 등이 개인정보의 보호조치 의무를 이행하는데 도움을 주고자 "개인정보의 기술적ㆍ관리적 보호조치 기준 해설서"를 마련하여 배포한다고 밝혔다. 방송통신위원회는 해킹 등 외부 공격에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산을 막고자 지난 8월 개인정보의 기술적ㆍ관리적 보호조치 기준을 개정 고시한 바 있다. 해설서는 개인정보가 처리되는 시스템의 보호방안과 직원이 개인정보를 취급한 기록의 의무보관, 주민등록번호ㆍ계좌번호 등 주요정보의 암호화 보관 등 전반적인 보호조치 기준들의 제정 취지와 구체적인 적용 방법들에 대해 설명하고 있다. 해설서는 9월 18일..

- 한국인터넷진흥원 메신저 피싱 방지 5계명 발표 A씨는 최근 연락이 뜸한 대학 친구들로부터 “입금은행, 계좌번호를 다시 알려 달라.“는 뜬금없는 문자 메세지를 받았다. 알고 보니 누군가 A씨의 인터넷 메신저 아이디를 도용해 로그인한 뒤 대량쪽지 기능을 이용하여 등록된 친구 모두에게 ”부모님 병원비가 모자란다.“면서 30만원을 요구한 것이었다. 한국인터넷진흥원(KISA, 원장 김희정)은 최근 기승을 부리고 있는 인터넷 메신저를 통한 금전 요구 등 관련 피해 예방을 위해 ‘메신저 피싱 방지 5계명‘을 발표하고, 이에 대한 각별한 주의가 필요하다고 당부했다. 메신저 피싱(Messenger Pishing)은 타인의 인터넷 메신저 ID, 비밀번호를 입수하여 로그인한 후 이미 등록되어 있는 친ㆍ인척, 지인에게 1..

한국인터넷진흥원은 개인정보 취급자의 개인정보보호 관리 능력 제고를 위한 전문교육 과정을 아래와 같이 개설하오니, 관심 있는 분들의 많은 참여 부탁드립니다. □ 교육개요 o 개인정보보호 처리 원칙 및 준수사항 교육 o 개인정보보호 책임자 및 취급자의 개인정보보호 관리 능력 제고 □ 교육대상 o 정보통신망법 준용사업자 소속 직원 o 기업 내 개인정보(고객정보) 취급 책임자 또는 실무자 □ 교육일시 o 제 6차 교육 일시 : 2009년 9월 24일 (목) 13:40 ~ 18:00 □ 교육신청 기간 및 방법 o 교육신청 기간 : 2009년 9월 10일(목) ~ 9월 18일(금) 12:00까지 o 교육신청 방법 : 한국CPO포럼 사무국으로 이메일 또는 팩스 접수 o 접수처 : info@cpoforum.or.kr,..