Security Analysis- Reporter¡¯s Notebook
ÆäÀÌÆÈ(Paypal)ÀÌ Áö³ ´Þ ¹ßÇ¥ÇÑ º¸°í¼´Â À¥ »çÀÌÆ®ÀÇ À¯È¿¼ºÀ» Ç¥½ÃÇÏÁö ¾Ê´Â À¥ ºê¶ó¿ìÀú »ç¿ëÀÚ¿¡°Ô¼ ¼ÕÀ» ¶¼·Á´Â ¿Â¶óÀÎ ÁöºÒ ÇÁ·Î¼¼¼ÀÇ Àǵµ¸¦ ³ªÅ¸³Â´Ù. ¸¶ÀÌŬ ¹è·¿(Michael Barrett)°ú ¸®½ºÅ© °ü¸® ¼±ÀÓ Ã¥ÀÓÀÚ ´í ·¹ºñ(Dan Levy)´Â ÀÌ º¸°í¼¿¡¼ Çǽ̿¡ ´ëÀÀÇϱâ À§ÇÑ ÆäÀÌÆÈÀÇ Àü·«ÀÇ À±°ûÀ» ±×·È´Ù. ÆäÀÌÆÈ°ú ±× ÆÄÆ®³Ê»ç À̺£ÀÌ(eBay)´Â ÀÎÅͳݿ¡¼ ÇǼÅ(phisher)µé¿¡°Ô °ø°Ý¹Þ´Â °¡Àå ´ëÇ¥ÀûÀÎ ºê·£µåµéÀÌ´Ù.
ºê¶ó¿ìÀúµé¿¡ ´ëÇÑ Á¢±ÙÀ» °ÅºÎÇÑ´Ù´Â ÀÌ °°Àº °áÁ¤Àº EV SSL(extended validation SSL)ÀÎÁõÀ» Áö¿øÇÏÁö ¾Ê´Â ÀÎÅÍ³Ý ÀͽºÇ÷η¯³ª ÆÄÀ̾îÆø½º¿Í °°Àº ´Ù¸¥ À¯¸í ºê¶ó¿ìÀúµéÀÇ ±¸ ¹öÀüÀ» »ç¿ëÇÏ´Â »ç¿ëÀڵ鿡°Ô ¿µÇâÀ» ³¢Ä£´Ù. EV SSLÀº ¾ÈÀüÇÑ »çÀÌÆ®¿¡ ´ëÇØ ±×¸° URL ÁÖ¼Ò ¶óÀÎÀ», Àǽɽº·¯¿î »çÀÌÆ®¿¡ ´ëÇؼ´Â Ȳ»ö°ú Àû»ö URL ÁÖ¼Ò ¶óÀÎÀ» ³»º¸ÀδÙ. ÇÑÆí, IE 7°ú ÆÄÀ̾îÆø½º 3Àº EV SSLÀ» Áö¿øÇÑ´Ù.
¸Æ°ú ¾ÆÀÌÆù(iPhone)¿¡ µðÆúÆ®·Î ¼³Á¤µÇ¾îÀÖ´Â ¾ÖÇÃ(Apple)ÀÇ »çÆĸ®(Safari) ºê¶ó¿ìÀú´Â ¾ÈƼÇÇ½Ì ¸ÞÄ¿´ÏÁòÀ» °®°í ÀÖÁö ¾ÊÁö¸¸ ÀÌ¿¡ °üÇØ ÆäÀÌÆÈÀº »çÆĸ®³ª ±× ¿ÜÀÇ Çö ºê¶ó¿ìÀúµéÀ» ±ÝÁöÇÏÁö´Â ¾ÊÀ» °ÍÀ̶ó°í ¹àÇû´Ù.
¹è·¿°ú ·¹ºñ´Â ÆäÀÌÆÈÀÌ È¦·Î ³ª¾Æ°¥ ¼ö´Â ¾ø´Ù¸ç ÇÕ¹ýÀûÀÎ ¸Þ½ÃÁöµéÀ» Àΰ¡ÇÏ°í ÀáÀçÀûÀÎ ¾Ç¼º ¸Þ½ÃÁöµéÀ» Á¦°ÅÇϱâ À§ÇÑ µµ¸ÞÀÎ Å°¿Í SPF¿Í °°Àº À̸ÞÀÏ ÀÎÁõÀ» ÀνÄÇÏ°í ½ÃÇàÇϱâ À§ÇØ ISPÀÇ µµ¿òÀ» ûÇß´Ù.
±×µéÀº ¶ÇÇÑ °·ÂÇÏ°Ô ÇǼŵéÀ» ±â¼ÒÇÏ°í ±â¾÷µéÀÌ ±×µéÀÇ ºê·£µå ÅëÇÕÀ» º¸È£ÇÏ´Â °ÍÀ» µ½±â À§ÇÑ ¹ý·ü ½ÃÇàÀ» ¿ä±¸Çß´Ù.
Æнº¿öµå ÂëÀ̾ß?
º° º¼ÀÏ ¾ø´Â »óÇ°À¸·Î »ç¶÷µéÀÌ ±×µéÀÇ ÄÄÇ»ÅÍ Æнº¿öµå¸¦ ¾çµµÇϵµ·Ï ºÎÃ߰ܺ¸´Â ÀÎÆ÷½ÃÅ¥¸®Æ¼ À¯·´(Infosecurity Europe)ÀÇ ¿¬·ÊÇà»ç´Â ¿ÃÇØ ¼º(àõ)ÀûÀ¸·Î ÆíÇâµÈ °á°ú¸¦ ³ªÅ¸³Â´Ù. 45% ´ë 10%ÀÇ ¸Å¿ì ÇöÀúÇÑ Â÷ÀÌ·Î ¿©¼ºµéÀÌ ³²¼ºµé¿¡ ºñÇØ ÀڽŵéÀÇ Æнº¿öµå¸¦ Áà¹ö¸®´Â °æÇâÀ» º¸¿´´Ù. Á¶»ç Âü¿©Àڵ鿡°Ô´Â ÃÊÄݸ´ÀÌ º¸»óÀ¸·Î Á¦°øµÇ¾ú´Ù. Àü¹ÝÀûÀ¸·Î Á¶»ç Âü¿©ÀÚÀÇ 21%´Â »óÇ°À» Æ÷±âÇߴµ¥, ÀÌ°ÍÀº Áö³ ÇØ 64%¿¡ ºñÇØ ÈξÀ ³ª¾ÆÁø ¼öÄ¡´Ù. ±×·¯³ª »ç¶÷µéÀÌ ½ÇÁ¦ Æнº¿öµå¸¦ ¾çµµÇß´Ù´Â Áõ°Å´Â ¾ø´Ù.
¾Ë¸² : ¿ÀÈÄ 2½Ã ½ºÆÔ ¿¹Á¤
ÃÖ±ÙÀÇ ½ºÆÔ ±ÞÁõ¿¡´Â »õ·Ó°í ±³È°ÇÑ Á¤Å© ¸ÞÀÏÀÇ º¯Á¾ÀÌ Æ÷ÇԵǾîÀÖ´Ù. ¹ÌÆà ÃÊ´ë·Î °¡ÀåÇÑ ¸Þ½ÃÁö µîÀÌ ±× ¿¹´Ù.
ÀÌ ¸Þ½ÃÁö´Â »ç¿ëÀÚÀÇ ¸ÞÀϹڽº¿¡ µµÂøÇØ °æ¿ì¿¡ µû¶ó »ç¿ëÀÚ°¡ È®½ÇÇÏ°Ô ±× Ãʴ븦 °ÅÀýÇÏÁö ¾Ê´Â ÇÑ ÀÚµ¿ÀûÀ¸·Î ¼ö½ÅÀÚÀÇ ÀÏÁ¤Ç¥¿¡ Ãß°¡µÉ ¼ö ÀÖ´Ù.
ÀÌ Çö»ó¿¡ ´ëÇÑ À¥¼¾½º(Websense) ¿¬±¸ÀÚµéÀÇ ¿¬±¸¿¡ µû¸£¸é ±¸±Û Ķ¸°´õ(Google Calendar)¿Í ÅëÇÕµÈ Áö¸ÞÀÏ(Gmail)À» ÀÌ¿ëÇÏ´Â »ç¿ëÀÚµéÀÇ °æ¿ì »ç¿ëÀÚ°¡ À̸ÞÀÏÀ» ¿¾îº¸Áö ¾Ê¾Æµµ Ķ¸°´õ¿¡ °¡Â¥ ¾à¼ÓÀÌ ³ªÅ¸³ª »ç¿ëÀÚ°¡ ¼³Á¤ÇØ ³õÀº µðÆúÆ® ¾Ë¸²(default reminder)À» ¸ðµÎ ½ÇÇà½Ãų °ÍÀÌ´Ù.
»ç¿ëÀÚ°¡ ¼öµ¿À¸·Î ÇØ´ç ¹ÌÆÃÀ» Ķ¸°´õ¿¡¼ »èÁ¦ÇÏÁö ¾Ê´Â ÇÑ »ç¿ëÀÚ°¡ ÇØ´ç ¸ÞÀÏÀ» »èÁ¦ÇÏ´õ¶óµµ ±× À̺¥Æ®´Â ±¸±Û Ķ¸°´õ¿¡ °è¼Ó ³²°Ô µÉ °ÍÀÌ´Ù. ¾Æ¿ô·èÀÇ °æ¿ì, »ç¿ëÀÚ°¡ ÀÌ·¯ÇÑ ¸Þ½ÃÁö Áß Çϳª¸¦ ¿ÀÚ¸¶ÀÚ ÇØ´ç ½Ã°£Àº Ķ¸°´õ¿¡¼ ¡°¾Ë ¼ö ¾øÀ½¡±À¸·Î Â÷´ÜµÇÁö¸¸, »ç¿ëÀÚ°¡ ±× ¸ÞÀÏÀ» »èÁ¦ÇÏÁö ¾Ê´Â ÇÑ ±×°÷¿¡ °è¼Ó ³²°Ô µÉ °ÍÀÌ´Ù.
<±Û¡¤µ¥´Ï½º ÇǼÅ(Dennis Fisher)>
Copyright ¨Ï 2006 Information Security and TechTarget
[Á¤º¸º¸È£21c Åë±Ç 96È£(info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>