퓨처

arrow_downward최신기사

ATP 공격

정보보안 전문가 면접에서 듣게 되는 질문 50선

는 꾸준히 유망직종으로 손꼽히는 직업입니다. 지켜야 할 개인정보와 디지털 자산의 부피는 나날이 커지고 사이버 범죄 또한 진화를 거듭하는 오늘날, 정보보안 전문가의 역할이 더욱 커질 것으로 보입니다. 정보보안 전문가를 떠올리면 흔히 '천재 해커' 이미지를 떠올리죠. 하지만 정보보안 전문가는 단순히 해킹을 잘 하는 사람이 아닙니다. 해킹에 대한 문제해결 능력을 갖춰야 합니다. 또 무엇보다 올바른 직업관과 윤리의식이 필요합니다. 정보보안 전문가가 갖춰야 할 기술 지식과 가치관은 무엇일까요. 취업 면접장에서는 어떤 질문에 답하게 될까요. 보안 회사 취업을 준비하는 미래의 정보보안 전문가들을 위해 SK인포섹, 안랩, 시큐아이 등 국내 보안 업체 면접장에서 나온 질문을 50개로 추렸습니다. 전·현직 임직원이 직접 기업에 대한 평가를 작성하는 국내 기업평가 정보 서비스...

SQL인젝션

"2016년 가장 흔한 웹 공격은 SQL인젝션"

펜타시큐리티시스템이 2016년 웹 애플리케이션에 대한 공격 패턴 중 가장 잦은 유형이 'SQL인젝션' 공격이었다는 내용의 보고서를 5월20일 발표했다. 보고서에 따르면 지난해 탐지된 웹 애플리케이션 공격 시도의 45%는 SQL인젝션 공격이었다. CSS(Cross Site Scripting) 공격은 34%로 SQL인젝션 공격 다음으로 빈도가 높았다. SQL인젝션은 웹 애플리케이션 사용자의 입력값에 필터링이 제대로 적용돼 있지 않을 때 발생한다. 공격자는 사용자의 입력값을 조작해 개발자가 의도치 않은 SQL문을 실행하게 만들어 데이터베이서(DB)를 공격할 수 있다. 지난 3월 숙박 O2O 서비스 '여기어때' 고객 91만명의 정보를 유출시킨 공격 유형이다. 2015년 온라인 커뮤니티 '뽐뿌' 회원 195만명의 개인정보가 유출된 것 역시 SQL인젝션 공격을 통해서였다. 사례가 보여주듯 SQL인젝션 공격은 대량의 정보유출이 발생할 수 있는 심각한 공격이다. 펜타시큐리티는...

SQL인젝션

[IT열쇳말] SQL 인젝션

2017년 3월, 고객정보 유출 사건이 발생했다. 숙박 O2O 서비스 ‘여기어때’를 이용한 고객에게 불쾌한 내용을 담은 문자메시지가 3월24일 전후로 발송됐다. 문자메시지를 받은 것으로 확인된 고객 수만 4천여명에 이른다. 며칠 뒤인 3월30일, 최종적으로 여기어때에서 고객 91만명의 정보가 유출된 것으로 나타났다. 해킹으로 이용자명, 휴대폰 번호, 숙박 이용정보 등 고객 정보 323만건이 유출됐다. 해커는 다양한 공격 시도를 한 것으로 알려졌다. 그 가운데 SQL 인젝션(SQL Injection) 공격 흔적이 발견됐다. 여기어때 측은 “SQL 인젝션 방식으로 자사 데이터베이스(DB)가 뚫렸다는 것은 사실이 아니다”라고 선을 그으면서도 “SQL 공격 흔적이 있을 뿐, 다양한 방식의 해킹 시도가 있었기에 이 점을 관계 당국이 수사 중”이라고 밝혀 SQL 인젝션 공격 가능성을 완전히 무시하지는 않았다. 여기어때가 어떤 경로로 사용자 정보를...

KISA

‘여기어때’ 고객정보 유출…“‘SQL인젝션’ 공격 흔적, 금전 협박”

숙박 O2O(Online to Offline) 서비스 ‘여기어때’에서 해킹으로 고객정보가 대량 유출됐다. 최근 ‘여기어때’를 이용한 고객들에게 불쾌한 내용의 문자 메시지가 대량 발송됐다. 확인된 고객 수만 4천여건이다. 흔히 사용되는 웹 취약점 공격 수법인 ‘SQL인젝션(Injection)’에 의해 고객 개인정보가 저장된 데이터베이스(DB)가 뚫린 것으로 보인다. 현재 경찰과 한국인터넷진흥원(KISA), 미래창조과학부, 방송통신위원회가 조사를 진행하고 있다. ‘여기어때’를 운영하는 위드이노베이션은 3월24일 “일부 고객정보가 해킹에 의해 침해된 사실을 확인하고 KISA와 경찰청 사이버안전국에 신고해 조사하고 있다”라며 “유출이 확인된 고객들에게는 별도 개별 통지했다”라고 밝혔다. 회사측은 이날 오후 이같은 고객정보 유출 사실을 ‘여기어때’ 모바일 앱에 공지했다. 위드이노베이션에 따르면, 유출이 확인된 고객정보는 4천여건이다. 침해된 고객정보는 이메일, 연락처, 이름 등이다. 하지만 더 많은 고객정보가 유출됐을 가능성도...