구글의 BeyondCorp 2부 – 새로운 보안 모델로의 이동

앞서 1부에서는 구글의 BeyondCorp 프로젝트의 시작 배경과 기본적인 아키텍쳐 구성에 대해 알아보았다. 구글의 BeyondCorp 1부 – 보안네트워크의 새로운 패러다임 ☞ http://noplanlife.com/?p=1500 기존의 Perimeter 보안 모델에서 완전히 새로운 방식의 보안 네트워크 모델로의 전환은 굉장히 모험적인 일이었을 것이라 예상된다. 특히, 기업의 네트워크를 구축하는데 있어 가장 중요하게 생각되는 것이 바로 “가용성”과 “안정성”인 만큼 보수적인 시각으로 아키텍쳐를 구성하는 것이 일반적이다. 그럼에도 불구하고 구글은 완전히 새로운 모델을 구축하고 안정화시키는데 성공했다. 데이터 센터간의 서버 수십대 이전 작업만해도 굉장히 치밀한 계획이 필요한 것을 생각해보면, 전체 네트워크를 이와같이 변경한것이 얼마나 대단한지를 알 수 있다. 2부에서는 구글이 새로운 네트워크 모델로 어떻게 이전(Migration) 했는지에 대해 다룰 것이다. 또한 1부에서 BeyondCorp 각각의 … Read More

Continue Reading

구글의 BeyondCorp 1부 – 보안 네트워크의 새로운 패러다임

대부분의 기업은 보안 아키텍쳐를 설계할 때 전형적인 Perimeter Model 을 적용하고 있다. Perimeter Security Model은 외곽 경계, 즉 방화벽, IDS, IPS 등등의 보안 제품이나 서비스를 성벽을 쌓듯이 겹겹이 설치하여 자산을 보호하는 방식이다. 그러나, 이러한 Perimeter 방식은 몇가지 문제점을 안고 있다. 첫번째, 공격자의 방식이 진화하면서 어플라이언스 장비의 방어 효용성이 낮아졌으며, 둘째, 여러 장비가 있더라도 취약점은 항상 존재한다는 점이다. 따라서 공격자가 Perimeter 모델을 공격/또는 우회하여 내부로 진입할 수만 있다면 그 이후부터는 정상 유저와 공격자의 구분이 어려워 관리자 입장에서 탐지와 조치가  매우 어렵다. 또한 모빌리티 업무 환경이 확산되면서 “언제 어디서든 편하게 접속 가능하면서도” “안전한” 기업 네트워크 아키텍쳐의 필요성이 대두되었다. 이에 구글은 ’13년도 USENIX … Read More

Continue Reading

SSL Strip 공격과 HSTS Bypassing

  MITM (Man-In-The-Middle) 공격은 공격자와 Victim이 동일한 네트워크에 연결되어 있어야 한다. 따라서 외부에서 공격하는 Remote Exploit Attack에 비해 “덜 흥미로운-less interesting”것으로 간주되곤 한다. 그러나 동일 네트워크라는 제약조건에도 불구하고 MITM 공격이 여전히 이슈가 되는 이유는, Victim  네트워크에 접근했을 때, 다음 단계 해킹을 위한 강력한 무기로 활용할 수 있기 때문이다. 일반적으로 SSL과 같이 전송 구간 암호화가 적용되어 있으면 MITM이 불가능하다고 여기기 쉬우나, 다양한 기법을 통해 통신 내용을 중간에 가로채는 것이 (혹은 변조하는 것이) 가능하다. 이번 포스팅에서는 SSL 을 우회하여 MITM 공격하는 방법을 상세하게 다룰 예정이며, 목차는 다음과 같다. SSL-Strip 기법의 기본 이론과 동작 원리 SSL-Strip 방어기법 (HSTS)과 우회 방법 HSTS Bypass 공격을 … Read More

Continue Reading

2015년 보안 관련 컨퍼런스 영상 모음

블랙햇, 데프콘 등 해외에서는 한 해(Year)에도 수십건의 보안 관련 컨퍼런스를 통해 보안 기술에 대한 정보들이 공유되고 있다. 그러나 현실적인 여건상 매번 해외 현지에 직접 가서 컨퍼런스 참석을 하기는 힘들 뿐더러 참석하더라도 세션이 분리되어 있는 경우 모든 PT를 듣는것은 현실적으로 불가능하다. 참으로 다행인것은 대부분의 컨퍼런스에서 영상작업을 하고 있고 유튜브나 Vimeo와 같은 채널을 통해 공개되고 있어 (물론 즉시 공개되는건 아님) 전세계 어디에서든 PT를 볼 수 있게 되었다. 아래는 2015년 전 세계에서 열린 보안 관련 컨퍼런스의 영상을 모아놓은 것으로써 우연히 Github (https://github.com/PaulSec/awesome-sec-talks) 에서 찾은 보석같은 자료이다 🙂 사실 컨퍼런스 발표자들이 겹치거나 주제가 일부 중복되는 경우도 보이긴 하는데 매년 보안 필드에서 이슈가 되는 (주목을 … Read More

Continue Reading

공짜로 프로그래밍 공부하기 : E-Book 모음

간만에 쓰게 되는 블로그 포스팅이라 가벼운 주제를 써볼까 한다. 최근 페이스북에 최연소 입사자에 대한 인터뷰가 화제가 된 적이 있었다. [youtube https://www.youtube.com/watch?v=TUYvX2Kw8Jg] 17세의 나이로 페이스북에 입사한 이 친구는 순수히 인터넷 “검색”과 공짜 프로그래밍 강의 사이트를 통해 프로그래밍을 배웠다고 한다. (물론 어린나이에 말랑말랑한 브레인도 한 몫 했을거라 생각됨 ㅎㅎ) 많이 알려져있다 시피 미국의 경우 프로그래밍의 중요성과 실효성에 대해 레전드급 인물(빌 게이츠, 마크 주커버그 등)들이 직접 나서서 홍보하고 있으며, 코드 아카데미, 칸 아카데미와 같은 사이트를 이용하면, 기본적인 프로그래밍 기술을 습득할 수 있다. https://www.codecademy.com  / https://www.khanacademy.org/computing/computer-programming 국내의 경우 “egoing – 이고잉” 님께서 운영하시는 [생활코딩 – Opentutorial] 사이트를 이용하면 한글과 유튜브 강좌를 통해 C/Java/Python과 같은 … Read More

Continue Reading

Site Footer