원격 코드 실행(RCE, Remote Code Execution) 공격은 공격자가 조직의 컴퓨터나 네트워크에서 악성 코드를 실행할 수 있는 공격이다. 공격자가 제어하는 코드를 실행하는 기능은 추가 맬웨어를 배포하거나 중요한 데이터를 탈취하는 등 다양한 목적으로 사용될 수 있다. 1. 원격 코드 실행(RCE) 공격의 작동 방식 원격 코드 실행 공격은 일반적으로 웹 애플리케이션과 네트워크 인프라의 취약점을 통해 발생한다. 원격 코드 실행 취약점은 공격자가 대상 시스템에서 악성 코드를 실행할 수 있도록 허용하는 소프트웨어의 결함이다. 다음 예를 포함하여 여러 유형의 취약점을 RCE에 사용할 수 있다. 1) 삽입 취약점 SQL 삽입 또는 명령어 삽입과 같은 삽입 취약점은 잘못된 입력 삭제에 의해 활성화된다..

"기본 보안부터 철저히 해야" 겉보기에 그럴듯한 보안 조치들이 그동안 우리 사회를 안심시켜 왔을 뿐이다. 현재의 보안체계로는 정보자산을 충분히 지킬 수 없다. 주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다. 보안 솔루션 중 도입해야 할 1순위가 계정도용, 권한상승, 우회/원격접속, 중간자 공격을 차단할 수 있는 2차 인증 솔루션이다. 기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다. "망분리 했다고 해커들의 침투를 100% 막을 수 없다"는 걸 인정하고, "해커들은 이미 망 내부에 들어와 활동하고 있다"는 가정으로 보..

다계층 인증 체계(Multi-layer authentication system)는 다양한 사이버 공격에 대비하여 중앙 집중식에서 벗어나 탈중앙화하는 PC, 서버, 네트워크, 애플리케이션, 데이타베이스, 저장장치 등 각각의 컴포넌트(레이어)를 촘촘한 그물망처럼 보안의 위험을 분산시켜 "단일 지점 공격"에서 시스템을 보호할 수 있는 독립된 인증 체계를 적용하여 보안 위험을 분산하고 단일 지점 공격을 방지하는 보안 전략이다. 중앙 집중식 인증 방식의 단점을 보완하고, 각 레이어별로 독립적인 인증 체계를 적용하여 더욱 강력한 보안을 구축할 수 있다. 1. 다계층 인증의 장점 1) 보안 강화 각 레이어별로 인증 체계를 적용하여 시스템 전체의 보안을 강화하고, 단일 지점 공격에 대한 위험을 줄인다. 2) 위험 ..

비밀번호 보안에 소홀한 사용자에게는 좋지 않은 소식이다. 해커는 사용자가 무심코 설정한 가장 단순하고 무작위적인 비밀번호를 영화 한 편 보는 시간 안에 알아낼 수 있다. 최근 분석에 따르면, 챗GPT 서비스를 활용해 8자리 숫자 조합 비밀번호를 무차별 대입 공격으로 해킹하는 데 걸리는 시간은 단 3시간에 불과하다. 현재 대부분의 웹사이트에서는 8자리 비밀번호를 최소 기준으로 제시한다. 그러나 단순한 숫자 조합의 8자리 비밀번호를 사용하는 경우, 해킹 위험성이 매우 높다. 비밀번호의 복잡도를 높이면 해킹에 소요되는 시간이 몇 시간에서 몇 달, 수년, 심지어 수천 년으로 대폭 늘어나긴 한다. 그러나 이 역시 위협에서 완전히 안전하다고 할 수는 없다. 숫자로만 구성된 8자리 비밀번호는 사실상 즉시 해킹 당할 ..

기본 보안부터 철저히 해야 겉보기에 그럴듯한 보안 조치들이 그동안 우리 사회를 안심시켜 왔을 뿐이다. 주요 인프라 공격의 85%가 패치, 2차 인증(추가 인증), 최소 권한 원칙 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타난다. (2024 IBM 보고서) MS의 조사에 따르면 "다중 인증(MFA)을 구현하면 계정 공격의 99.9%을 차단" 할 수 있다고 한다. 보안 강화하기 위하여 다계층 인증 체계(Multi-layer authentication system)를 지원하는 2차 인증을 적용하는 순서는 제일 첫번째로 운영체제(OS), 두번째로 관리자 계정이나 관리 콘솔, 세번째로 일반 사용자 계정이다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다.(KISA, ..

현상 : May 2 10:42:15 localhost sshd(pam_baro_auth)[54662]: Failed to open tmp secret file "/usr/baropam/.baro_auth~"[Permission denied] May 2 10:40:29 localhost sshd(pam_baro_sql)[54597]: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (13) 원인 : Redhat 계열인 경우 SELINUX를 비활성화하지 않아 보안문제로 막혀서 발생 조치 : "/etc/sysconfig/selinux"에서 SELINUX를 비활성화(SELINUX=enforcing →..

현상 : Dec 10 11:27:24 baropam sshd(pam_baro_auth)[58877]: Invalid verification code Dec 10 11:27:24 baropam unix_chkpwd[58879]: password check failed for user (baropam) Dec 10 11:27:24 baropam sshd[58877]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2 user=baropam원인 : Interactive mode를 지원하지 않음. 조치 : "/etc/pam.d/sshd" 설정 시 nullok를 ..

현상 : javax.naming.NameNotFoundException: Name [jdbc/baromost] is not bound in this Context. Unable to find [jdbc]. at org.apache.naming.NamingContext.lookup(NamingContext.java:840) at org.apache.naming.NamingContext.lookup(NamingContext.java:172) at cohttp://m.baromost.common.DBConnection.getConnection(DBConnection.java:50) at cohttp://m.baromost.common..

현상 : Linux 서버에 BaroPAM 적용 후 일회용 인증키를 입력하는 항목(Verification code: 또는 Password & Verification code:)을 스킵(Skip)하여 로그인이 안되는 현상 발생 서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상 원인 : 서버 접근제어 솔루션에서 /etc/pam.d/sshd 설정한 것 보다 BaroPAM 설정이 앞에 설정하여 발생함 조치 : 다음과 같이 /etc/pam.d/sshd 설정의 순서를 변경하면 됨. 변경 전) auth required /usr/baropam/pam_baro_auth.so nullok secret=/usr/barop..

현상 : No supported authentication methods available (server sent publickey,gssapt-keyex,gssapt-with-mic) No supported authentication methods available [preauth] 원인 : Interactive mode를 지원하지 않음.(/etc/pam.d/sshd 설정 시 nullok를 설정하지 말고 forward_pass로 설정해야 함) 조치 : "/etc/ssh/sshd_config" 파일에서 "PasswordAuthentication yes"로 변경 후 sshd restart