안녕하세요? 이스트시큐리티입니다. 국제 공인 보안 평가 기관 바이러스 블러틴(Virus Bulletin)에 이스트시큐리티 연구 산물인 ‘안드로이드 기반 악성코드의 유사도 분석 방법론’을 주제로 한 논문이 게재되었다는 기쁜 소식 전해드립니다! 기사 자세히 보기 >> 이스트시큐리티, ‘악성코드 유사도 분석 방법론’ 논문 ‘바이러스 블러틴’ 게재 바이러스 블러틴이란? 바이러스 블러틴은 '체크마크', 'ICSA'와 함께 세계 3대 보안인증으로 꼽히는 'VB100'을 심사하는 글로벌 보안인증기관입니다. 심사 외에도 글로벌 보안업체 지능형지속위협(APT) 분석 보고서와 연구 결과를 논문 형태로 게재하고 있습니다. 실제로 카스퍼스키, 시만텍, 맥아피 등 글로벌 보안 업체들은 매년 바이러스 블러틴에 논문을 발표합니다...

이스트시큐리티 소식 2019. 12. 4. 09:00

커버로스(Kerberos)는 그리스로마신화에 등장하는 "개의 머리와 뱀의 꼬리를 가진 지옥의 문을 지키는 개"의 이름으로, 분산 컴퓨팅 환경에서 대칭키 암호를 이용하여 사용자 인증을 제공하는 중앙 집중형 인증 방식입니다. 최근 보안연구원들은 커버로스에서 취약점을 발견하였으며, 이 취약점을 'Orpheus Lyre(오르페우스의 리라)'라고 명명하였습니다. 그 이유는, 이 취약점의 원리가 그리스 신화의 오르페우스가 리라를 문을 지키는 케르베르를 복종시켰킨 것과 유사하기 때문입니다. 1996년에 공개된 버전부터 지금까지 공개된 버전의 Heimdal Kerberos, MS의 Kerberos가 영향을 받는 것으로 확인 되었습니다. 커버로스 인증을 우회하는 "오르페우스의 리라" 이 취약점에 영향을 받는 것은 커버로..

국내외 보안동향 2017. 7. 18. 15:51

alipay(알리페이) 실명제 실시支付宝实名制来了 最受影响的竟是港澳台 7월 1일부터 시작하는 규제당국의 요구에 따라, alipay는 사용자 정보 중 일부를 누락한 홍콩, 마카오, 대만 사용자들은 5월 20일부터 alipay 계정을 사용할 때 영향을 받을 수 있다고 밝혔습니다. alipay의 이런 조치는 인터넷 결제 실명 인증에 부합하기 위함입니다. 2015년 12월, 중앙정부가 발표한 에 따르면, 결제회사들이 고객들에게 계좌를 열어주려면, 반드시 고객들의 실명제관리를 해야한다고 밝혔습니다. 이 밖에 개인의 온라인결제계좌를 세가지로 분류한 후, 계좌를 업데이트 하려면 추가적인 인증을 해야합니다. 해당 법규는 7월 1일 정식으로 시행됩니다. 이에 따라 해외에 있는 사용자들은 인증이 매우 복잡할 것으로 예상됩..

국내외 보안동향 2016. 5. 26. 09:00

스마트 워치, 보안위협에 매우 취약하다고 밝혀져Smartwatches Are Extremely Vulnerable to Security Threats, Study Shows 최근 HP의 연구조사에 따르면, 대부분의 스마트 워치에 충분하지 않은 인증이나 암호화를 사용하지 않는 등 심각한 취약점이 존재한다고 합니다. HP가 테스트한 10개 상용 스마트 워치 중, 10개 제품 모두 이중 인증을 사용하지 않았으며, 30%의 제품은 사용자 계정 탈취가 매우 용이했습니다. HP가 언급한 스마트 워치의 주요 취약점들은 다음과 같습니다: 충분하지 않은 사용자 인증: 패스워드 시도가 여러 번 실패하더라도 계정을 잠그는 안전장치가 존재하지 않아 브루트포스 공격에 취약합니다.전송 암호화 부재: 10개 제품 모두 SSL/TL..

국내외 보안동향 2015. 7. 24. 15:34

OpenSSL CVE-2015-1793 취약점 패치 권고 7월 9일, OpenSSL 측은 공격자가 중간자 공격을 통해 암호화된 웹사이트, 가상 프라이빗 네트워크, 이메일 서버로 위장하거나 암호화된 인터넷 트래픽을 스누핑할 수 있는 심각한 취약점을 패치하였습니다. 이번 취약점 CVE-2015-1793은 인증서 확인 처리 과정에 존재하며, 실행 중 발생한 에러로 인하여 신뢰할 수 없는 새로운 인증서에 대한 확인 과정이 누락되면서 발생하는 취약점입니다. 해당 취약점을 악용하면 공격자가 인증서 경고를 우회회할 수 있으며 어플리케이션이 유효하지 않은 인증서를 정식 인증기관으로 취급하도록 제어할 수 있습니다. 취약한 버전 OpenSSL 1.0.1n, 1.0.1o,1.0.2b, 1.0.2c 영향받지 않는 버전 Ope..

국내외 보안동향 2015. 7. 10. 13:28

iOS의 AFNetworking에서 SSL 취약점 발견 iOS의 AFNetworking 라이브러리에서 중간자 공격이 가능한 심각한 보안 취약점이 발견되었습니다. AFNetworking는 오픈소스 코드 라이브러리로, 개발자들이 iOS와 OS X프로세스 중 네트워크 기능을 추가할 때 자주 사용되고 있습니다. 그러나 해당 라이브러리는 SSL 인증서가 합법적인 인증 기관에서 발급된 것인지에 대한 도메인 이름을 체크하지 않는 취약점을 가지고 있는 것으로 확인되었습니다. 공격자는 해당 취약점을 이용해 중간자 공격을 할 수 있습니다. AFNetworking 최신 버전인 2.5.3 이전 버전을 사용하는 경우, SSL 프로토콜로 보호되어 있어도 해당 취약점에 노출될 수 있습니다. 확인 결과, 현재 앱 스토어에 있는 25..

국내외 보안동향 2015. 4. 27. 16:42

보안 인증에 대한 상식을 업그레이드! 해보도록 하겠습니다. 알약이 ㅇㅇ인증을 받았다! 라는 뉴스를 종종 접해본 적이 있으실 겁니다.(본적이 없으시면 여기를 클릭!!) 최근에는 윈도 서버 2008 환경에서 vb100인증을 획득하기도 했습니다. 서버 부분은 인증받기가 쉽지 않습니다. 흑.. 그런 뉴스를 접할 때마다, 대부분 "뭘 인증받았다는 거야? 알약이랑은 무슨 관계인데?" 라고 생각하고 무심코 지나치실 텐데요. 예를 들어, 마트에서 특정 물건을 살 때... 제품 뒷면에 품질보증마크가 붙어있는 걸 본 적이 있으실 겁니다. 이 품질보증마크는 이 제품이 품질, 기능, 디자인, 안정성 등의 엄격한 기준을 통과했다는 것을 나타냅니다. 즉, 공신력을 지닌 기관이 어떤 기술이나 제품에 대해 보증해 주는 것이 `인증'..

안전한 PC&모바일 세상/PC&모바일 TIP 2014. 1. 23. 13:44