Zoom 보안이슈 정리 : 당분간은 Zoom OUT

코로나19로 인한 전세계에 팬더믹 선언으로인해 재택근무 관련 서비스의 사용률도 폭발적으로 증가하고 있습니다. 특히 최근 가장 이슈가 되고 있는 화상회의서비스인 Zoom에 대한 보안이슈를 정리해보고 사용시 어떤점을 주의해야 할지에 대해 말씀드리고자 합니다. 결론부터 말씀드리자면 보안이슈가 해결되기 전 까지 당분간은 Zoom OUT !! 현재까지 알려진 Zoom 보안이슈들 최근 Zoom 화상회의서비스는 2월~3월 한달간 300% 이상의 사용자가 급증했다고 합니다. 특히 코로나19로 인해 개학/개강이 늦어지면서 Zoom을 이용한 화상수업을 준비하거나 실제 사용하고 있는 곳이 많습니다. 소프트웨어나 서비스의 사용자가 많아질수록 해커나 Seurity Researcher 들의 관심이 높아질 수 밖에 없고 실제로 최근 몇주간 Zoom관련 보안이슈가 끊임없이 나오고 있어 주의가 요구됩니다. 현재까지 알려진 Zoom 보안이슈를 하나하나 살펴봅시다. [ 암호화 키를 … Read More

Continue Reading

파일[데이터] 크롤링시 사소한 팁들 (feat.삽질기)

저는 2019년 DEFCON DEMO LABS에서 안드로이드 앱의 클라우드 백엔드 취약점 분석도구 soFrida를 발표한 바 있습니다.  [링크 바로가기] 발표를 준비하면서 취약점을 증명하기 위해 구글 플레이스토어 160개국에서 가장 인기있는 앱들을 선별하였고, 설치파일(APK)을 수집하여 분석을 수행하였습니다. 물론 대부분의 과정들은 파이썬을 통해 자동화를 시켰으나, 분석에는 엄청난 노가다가 수반되었습니다. 이 부분에 대해서는 나중에 따로 글을 써 볼까 합니다. [ 함께해서 더러웠고 다시는 만나지 말자? ] 오늘은 파일 또는 데이터를 크롤링할때의 사소한 팁에 대해서 몇가지 소개해볼까 합니다. 제목은 팁이라고 적었지만 사실은 여러번의 삽질끝에 깨달은 “실수방지 팁”에 가깝습니다. 데이터를 좀 수집해보신 분이라면 아니 저런 말도 안되는 실수를 했다고? 라고 생각할 수 있으나 저는 전문적인 개발자도 아니었고, 취약점 … Read More

Continue Reading

[번역] OWASP API Security Top 10

https://apisecurity.io/encyclopedia/content/owasp/owasp-api-security-top-10.htm 본 문서는 “OWASP API Security Top 10″으로 게시된 내용을 번역한 내용입니다.개인적인 연구목적으로 작성하였으며 출처를 표기하신 후에 인용을 부탁드립니다. 오역이 발생할 여지가 있는 부분은 영어 그대로 표기하였으며, 번역자 의견의 경우 녹색으로 표시하였습니다. Web application security vs API security REST API와 Web Application 간에는 유사점이 많지만, 근본적인 차이점도 있습니다. 전통적인 Web Application에서는 데이터 프로세싱이 서버사이드에서 이루어지며, 프로세싱 결과는 클라이언트 브라우저로 전송된 후 렌더링되어 표시됩니다. 이러한 이유로 인해 비즈니스상 네트워크 아키텍쳐에 대한 진입점 (사용자 접점)은 상대적으로 적으며 WAF(웹방화벽)과 같은 장비를 서버 앞단에 설정함으로써 공격을 직관적으로 방어할 수 있었습니다. 그러나 최신 API기반의 어플리케이션은 상황이 아주 다릅니다. 점점 더 많은 UI들이 어플리케이션의 기능을 제공하기 … Read More

Continue Reading

대학원 논문 일기를 시작하며

대학원 전체 과정의 절반을 지나왔다.  2학기동안 (파트타임 치곤) 많은 수업을 수강해 둔 덕분에 올해 (내년이라 썼다가 고침, 벌써 1월 중순인가) 에는 논문에 좀 더 집중할 수 있을 것으로 보인다. 파트 타임 대학원생은 풀 타임 대비 연구에 투자할 수 있는 시간이 절대적으로 부족하다. 이 팩트 자체를 우선 인정하고 갈 필요가 있다. 좋은 논문을 작성하고 싶은 욕심은 크지만 그렇다고 무리하게 하루에 2시간만 자면서 풀 타임 연구원을 따라가고자 하는 것은 어리석은 짓이다. 무엇보다 대학원의 목표 자체가 “풀 타임 학생만큼 하겠다”는 아니기 때문이다. 따라서 파트타임 대학원생은 전략적으로 논문을 준비할 필요가 있다고 생각한다. 논문 주제도 최대한 실무 경험을 바탕으로 선정하고, 준비 과정에서도 회사 동료들의 의견을 … Read More

Continue Reading

Site Footer