-
IT Insight SKT 유심 해킹 분석 01. 사고 타임라인 이 과정에서 SKT 해킹 정황을 인지하고도 신고를 늦게 하였는데 해킹 인지 시점으로 41시간이 지난 뒤에야 정부 당국에 침해 사실을 신고했다. 정보통신망법에 따라 정보통신 서비스 제공자는 침해 사고의 발생을 아렉 된 떄부터 24시간 이내에 과학기술 통신부 장관 또는 KISA에 신고해야 하므로 법 위반에 해당한다. 02. 정부 조사 결과 과학기술정보통신부(이하 과기정통부)는 4월 29일 민관합동조사단의 1차 조사 결과를 발표했다. 공격 정황이 있는 3종, 5대 서버를 조사한 결과, 유출된 정보는 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이었다. 일단 IMEI가 유출되지 않은 것으로 확인되면서 유심을 복제해..
-
취약점 [PHP Filter chain] LFI2RCE iconv 변환 필터를 이용하여 서버측의 필터링 기능 우회를 성공하면서 발견된 취약점이다. PHP Filter의 활용`php://input` , `php://filter` , `php://output` 같은 스트림 래퍼를 활용하여 파일 경로를 조작하거나 데이터를 읽어들일 수 있다.`php://filter` : php에서 파일 스트림을 필터링할 수 있도록 하는 스트림 래퍼이다. 이를 사용하면 데이터를 실시간으로 변환하거나 필터링 할 수 있다. php://filter/변환:필터/파일경로예를 들어 아래와 같은 코드를 사용하면 사용자 입력을 통해 파일 경로를 포함시켜 비인가 경로에 접근 할 수 있다. file의 파라미터를 통해 URL 파라미터를 `../../etc/passwd` 로 설정하면 파일의 내용을 B..
-
취약점 [CVE-2019-19781] CitrixADC 및 CitrixGateway 취약점 💥 취약점 요약CitrixADC 및 CitrixGateway 에서 원격 공격자는 디렉토리 통과 요청을 쉽게 보내고 사용자 인증 없이 시스템 구성 파일에서 중요한 정보를 읽고, 임의 코드를 원격으로 실행 할 수 있다. Directory traversal 취약점을 이용하여 경로명을 잘못 처리할 때 발생되며 시스템 검증은 하지 않고 들어오는 요청에 직접 경로를 사용하게 된다. /vpn/.. 경로를 포함하여 요청하는 경우 /vpn/services.html은 Citrix 제품에서 실행되는 Apache 서버로 /vpn/..에서 경로를 변환하여 /vpns/로 간단히 진입하게 된다/vpn/../vpns/services.htmlApache 시스템에는 해당 취약점이 있으며 이를 통해 원격 공격자는 사용자 인증 없이 ..
보안
IT Insight
-
IT Insight SKT 유심 해킹 분석 01. 사고 타임라인 이 과정에서 SKT 해킹 정황을 인지하고도 신고를 늦게 하였는데 해킹 인지 시점으로 41시간이 지난 뒤에야 정부 당국에 침해 사실을 신고했다. 정보통신망법에 따라 정보통신 서비스 제공자는 침해 사고의 발생을 아렉 된 떄부터 24시간 이내에 과학기술 통신부 장관 또는 KISA에 신고해야 하므로 법 위반에 해당한다. 02. 정부 조사 결과 과학기술정보통신부(이하 과기정통부)는 4월 29일 민관합동조사단의 1차 조사 결과를 발표했다. 공격 정황이 있는 3종, 5대 서버를 조사한 결과, 유출된 정보는 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이었다. 일단 IMEI가 유출되지 않은 것으로 확인되면서 유심을 복제해..
-
IT Insight [24년 05(4)] IT Insight [24년 05(4)] IT Insight 한국, 다음 달 10년 만에 안보리 의장국 “北 사이버 해킹,탈취 공개토의”한국, 다음 달 10년 만에 안보리 의장국 “北 사이버 해킹,탈취 공개토의” | 서울신문 (seoul.co.kr) 한국, 다음 달 10년 만에 안보리 의장국 “北 사이버 해킹,탈취 공개토의”유엔 안전보장이사회 선출직 비상임 이사국인 한국이 다음달부터 한달 간 안보리 의장국을 맡는다. 한국이 안보리 의장국을 맡는 것은 2014년 5월 이후 10년 만으로, 이 기간 유엔에서 사이버 안www.seoul.co.kr 💡유엔 안전보장이사회 선출직 비상임 이사국인 한국이 다음달부터 한달 간 안보리 의장국을 맡는다. * 안보리: 국제 평화 및 안전유지에 대한 일차적인 책임을 가진 기관* 안보리 의장국..
-
IT Insight [24년 05(3)] IT Insight [2024-05] 셋째 주 IT Insight 서울메타위크 내달 26일 개막…인텔·넷플릭스 관계자 참석 (서울=연합뉴스) 이정현 기자 = 아시아 최대 규모의 인공지능(AI)·Web3·메타버스 페스티벌인 '2024 서울메타위크'가 다음 달 26일부터 이틀 동안 서울 코엑스 오디토리움에서 열린다고 행사 사무국이 16일 밝혔다.서울메타위크는 메인 콘퍼런스인 '2024 메타콘'을 중심으로 전 세계 업계 리더·기업가·전문가·크리에이터·인플루언서 등의 다양한 글로벌 리더가 한자리에 모여 다양한 산업의 흐름과 정보를 공유하는 자리이다.특히 올해 행사에서는 AI를 비롯해 전 세계 IT 트렌드를 바꾸고 있는 최신 기술들에 대해 심도 있는 논의할 예정이다.전 산업에 걸친 AI의 막대한 영향력은 물론 사물인터넷, 빅데이터 .. -
IT Insight "AI 기술, 노동시장 전체 아닌 동종업계 양극화 야기할것" (서울=연합뉴스) 김동규 기자 = 인공지능(AI) 기술이 노동시장 전체의 양극화가 아니라 동종업계 내 양극화를 야기할 것이라는 주장이 나왔다. 산업연구원은 16일 서울 서초구 L타워에서 'AI 혁명'을 주제로 제3차 산업정책포럼을 개최했다. 산업연구원 길은선 연구위원은 'AI 기술의 특이점과 핵심인재 인센티브 전략의 필요성'을 주제로 한 포럼 발제에서 AI가 미래 노동 시장에 미치는 영향에 대해 "노동시장 양극화가 아닌 동종업계 내 양극화를 야기할 것"이라고 내다봤다. 미래 노동 시장을 상위·중위·하위로 나눈다면 하위 시장은 소비자가 AI를 직접 활용하면서 수요가 소멸하고, 상위 시장은 전문가들이 AI를 활용해 기업형으로 성장하리라는 것이 그의 분석이다. 중위 시장의 경우 수요가 축소되고 공급 경쟁자가 ..
