728x90 반응형 정보보안 월드/정보보안 이야기22 공용 충전기는 어떻게 당신의 스마트폰을 해킹하는가? 여행길, 카페, 공항에서 배터리가 깜빡이는 스마트폰을 보며 안도의 한숨과 함께 공용 USB 충전 포트에 케이블을 꽂아본 경험, 누구나 있을 겁니다. 우리는 그저 '전기'만을 원했지만, 만약 그 포트가 전기뿐만 아니라 당신의 모든 것을 노리는 '해커의 창구'였다면 어떨까요? 많은 분들이 이런 의문을 가집니다. "데이터 전송을 허용하겠냐는 알림창에서 '아니오'를 누르면 안전한 것 아닌가?", "정확히 어떤 원리로 내 스마트폰의 데이터가 빠져나가는 걸까?" 이 글에서는 바로 그 핵심적인 '어떻게'에 대해 깊이 파고들어, 공용 충전기의 위험성과 그 뒤에 숨겨진 기술적 취약점을 낱낱이 파헤쳐 보겠습니다. 모든 시작점: USB의 두 얼굴, '전원'과 '데이터' 이 모든 해킹의 가능성은 우리가 매일 사용하는 USB(.. 2025. 9. 24. KT 소액결제 해지 차단 방법 - 해킹 피해 사전 차단 신청 하세요 KT 소액결제 피해, 더 이상 남 일이 아닙니다 "자고 일어났더니 수십만 원이 빠져나갔어요."최근 온라인 커뮤니티를 중심으로 이런 KT 소액결제 피해 사례가 급증하고 있습니다. 결제한 기억도, 승인한 사실도 없는데 소액결제가 줄줄이 찍혔다는 이야기를 심심찮게 볼 수 있죠.놀라운 건 이런 피해가 단순한 비밀번호 유출이나 실수 때문이 아니라, 불법 초소형 기지국을 이용한 통신망 해킹으로 인해 발생했다는 점입니다.광명·금천·부천 일대에서 집중적으로 발생한 이 사건은 현재까지 79명 이상의 피해자, 약 5,000만 원의 피해 금액이 확인된 상태입니다. 이제는 더 이상 남의 일이 아닙니다해킹은 단순한 개인의 부주의 때문이 아니라, 시스템의 허점을 파고든 범죄입니다. 그리고 그 범죄의 타깃이 되는 순간은 대부분 .. 2025. 9. 12. Multi-Threaded SYN/UDP Flood Simulator for DDoS Defense Testing 하기 코드는 DDOS 모의 훈련용 코드이며, 악의적으로 사용시 문제가 발생하므로 점검용으로만 사용 바랍니다. DDOS 모의훈련 공격 코드 import randomimport timeimport threadingimport itertoolsfrom scapy.all import Ether, IP, TCP, UDP, RandString, RandIP, sendp, confimport loggingfrom concurrent.futures import ThreadPoolExecutorimport queueimport sysimport os# Scapy 로그 레벨 낮추기conf.verb = 0# 로깅 설정logging.basicConfig(level=logging.INFO, format='%(asctime)s .. 2025. 9. 3. 롯데카드 해킹 CVE-2017-10271 취약점 점검 스크립트 2025년 8월 롯데카드 내부 결제 시스템 자료 유출 사건2025년 8월 말, 롯데카드의 내부 결제 시스템에서 약 1.7GB 크기의 자료가 외부로 유출되는 사고가 발생했습니다. 다행히 이번 사고는 랜섬웨어 공격으로 이어지지 않아, 서비스 이용에는 큰 지장은 없었습니다. 해킹 경로와 취약점 개요이번 해킹의 원인은 낮은 버전을 사용 중인 Oracle WebLogic Server에서 발생한 원격코드실행(RCE) 취약점입니다. 공격자는 이 취약점을 통해 웹쉘(Web Shell)을 업로드할 수 있었습니다.이번 취약점은 2017년에 CVE-2017-10271로 등록되었으며, 전 세계적으로 다수의 기업 환경에서 공격에 악용된 사례가 존재합니다. WebLogic Server란?WebLogic은 Java EE 기반의.. 2025. 9. 2. OpenSSH CVE-2024-6387 'regreSSHion' 취약점 분석 및 대응 방안 취약점 개요CVE-2024-6387, 일명 'regreSSHion'은 OpenSSH 서버에서 발생하는 원격 인증되지 않은 루트 권한 원격 코드 실행(RCE) 취약점입니다. 이 취약점은 OpenSSH 서버의 시그널 핸들러에서 발생하는 경쟁 조건(race condition)으로 인해 공격자가 시스템을 완전히 제어할 수 있는 위험을 내포하고 있습니다. CVE 식별자: CVE-2024-6387영향 받는 시스템: glibc 기반 리눅스 시스템의 OpenSSH 서버취약점 유형: 원격 인증되지 않은 루트 권한 코드 실행(RCE)CVSS 점수: 8.1 (높음)공개일: 2024년 7월 1일 기술적 원인이 취약점은 OpenSSH 서버의 시그널 핸들러에서 발생하는 경쟁 조건 때문에 발생합니다. 클라이언트가 LoginGrac.. 2025. 8. 29. 윈도우에서 WMI를 활용하는 방법: 시스템 자동화의 핵심 도구 윈도우에서 WMI를 활용하는 방법: 시스템 자동화의 핵심 도구Windows Management Instrumentation(WMI)는 윈도우 시스템 관리의 숨은 보석입니다. 시스템 내부 정보를 불러오거나 제어할 수 있는 강력한 인터페이스로, 일반 사용자부터 보안 전문가, 시스템 관리자, 자동화 엔지니어까지 폭넓게 사용됩니다. 이 글에서는 WMI의 개념부터, 실제 명령어 예시, 윈도우 창 감지, 원격 데스크톱 상태 확인 등 실용적인 활용법까지 정리해보겠습니다. WMI란 무엇인가?WMI(Windows Management Instrumentation)는 마이크로소프트가 개발한 시스템 관리용 프레임워크로, Windows 운영체제에서 하드웨어 상태, 운영체제 정보, 네트워크 구성, 프로세스/서비스 제어 등 다양.. 2025. 7. 23. OSCP(Offensive Security Certified Professional) 자격증 독학으로 취득하기 단계별 로드맵 1단계: OSCP 시험 구조와 목표 이해시험 형식 요약실기 시험 24시간 + 보고서 작성 24시간다양한 머신을 해킹하고 루트 권한을 획득하는 방식총점 100점 중 70점 이상 + 보고서 제출 시 합격공식 과정Offensive Security의 PEN-200 (구 PWK) 과정이 OSCP 대비 공식 코스입니다.OSCP 시험 응시를 위해서는 PEN-200 학습과 함께 Offensive Security 플랫폼에서 실습해야 합니다.2단계: 학습 자료 준비 (무료 또는 저비용 중심)① 무료 학습 자료범주자료설명기본 이론Cybrary - Penetration Testing무료 강의기초 해킹 실습TryHackMe (무료 라운지 포함)OSCP 준비 트랙 존재모의해킹 트랙Hack The Box Starti.. 2025. 7. 21. 랜섬웨어와의 싸움, 협상 없는 복구 성공! SGI서울보증 해킹 사건의 교훈 SGI서울보증 단 한 푼의 몸값도 지불하지 않고 데이터를 복구 성공2025년 7월, 대한민국 금융 시스템의 한 축을 담당하는 SGI서울보증이 전례 없는 랜섬웨어 공격으로 마비되는 충격적인 사건이 발생했습니다. 전세보증부터 각종 대출 보증에 이르는 핵심 서비스가 중단되면서 많은 이들이 해커와의 협상을 통한 해결을 예상했죠. 하지만 SGI서울보증은 놀랍게도 단 한 푼의 몸값도 지불하지 않고 데이터를 복구하는 데 성공했습니다. 이 놀라운 복구의 중심에는 금융보안원의 활약이 있었으며, 이들은 공격자가 남긴 악성코드 내부에서 결정적인 실마리를 포착해냈습니다.복호화 성공의 배경과 숨겨진 복호화 키의 정체1. 금융보안원의 기술력, 랜섬웨어를 무릎 꿇리다사건 발생 직후, SGI서울보증은 자체 대응이 어려운 상황에 직면.. 2025. 7. 19. 스마트홈 보안의 핵심: Zigbee · Wi-Fi 해킹, 정말 가능한가? 스마트홈 보안의 핵심: Zigbee·Wi-Fi 해킹, 정말 가능한가? “오늘 날씨 어때?” 음성 비서에게 말을 걸고, 스마트폰 터치 한 번으로 조명을 켜는 편리한 일상. 스마트홈은 더 이상 미래 기술이 아닙니다. 하지만 이 편리함의 이면에는 보이지 않는 위협이 도사리고 있습니다. 최신 보고서에 따르면 2023년에만 전 세계적으로 7억 건 이상의 IoT 기기 대상 사이버 공격이 발생했으며, 이 수치는 지금도 기하급수적으로 증가하고 있습니다.많은 분들이 “설마 우리 집이?”라고 안일하게 생각하지만, 당신의 스마트홈 네트워크, 특히 Zigbee와 Wi-Fi는 해커들에게 매력적인 공격 통로가 될 수 있습니다. 이 글에서는 막연한 불안감을 걷어내고, Zigbee와 Wi-Fi 해킹의 실제 가능성과 구체적인 사례,.. 2025. 7. 18. 해시, 솔트, 페퍼의 진짜 의미 암호화라는 말의 함정“회원님의 비밀번호는 안전하게 암호화되어 있습니다.” 우리가 웹사이트 회원가입 시 흔히 보는 문구입니다. 마치 철통같은 금고에 보관되는 것처럼 느껴지지만, 현실은 다를 수 있습니다. 2024년에만 수백 건의 대규모 개인정보 유출 사고가 발생했고, 그중 많은 경우가 “암호화는 했다”고 주장했지만 결과적으로 사용자들의 비밀번호는 손쉽게 뚫렸습니다.그 이유는 간단합니다. ‘어떻게’ 암호화했는지가 빠져있기 때문입니다. 구식 해시 알고리즘을 사용했거나, 가장 중요한 ‘소금(Salt)’을 뿌리지 않았기 때문입니다. 이 글에서는 비밀번호 보안의 핵심인 해시(Hash), 솔트(Salt), 그리고 한 단계 더 나아간 페퍼(Pepper)와 키 스트레칭(Key Stretching)의 역할까지, 실제 해킹.. 2025. 7. 18. 전자금융 인증과 vs 공인인증서 인증의 차이 '공인인증서 폐지' 이후, 왜 여전히 혼란스러울까? “공인인증서가 폐지됐다.” 이 짧은 뉴스는 수많은 국민에게 작은 해방감을 주었습니다. 하지만 현실은 그리 단순하지 않습니다. 분명 폐지 소식을 들었는데, 여전히 은행 앱에서는 '공동인증서'를 가져오라고 하고, 로그인 시 복잡한 비밀번호를 요구하는 걸 보면 과연 무엇이 바뀐 것인지 의문이 듭니다.더군다나 "전자서명", "공동인증서", "금융인증서", "카카오인증서", "PASS" 같은 용어들이 뒤섞이면서 사용자들은 혼란에 빠지기 쉽습니다. 이 글에서는 '공인인증서 폐지'의 진짜 의미부터, 새롭게 등장한 인증서들이 기술적으로 무엇이 다른지, 그리고 가장 중요한 내 인증서를 어떻게 안전하게 관리해야 하는지 총정리해 드립니다. 공인인증서의 과거: 무엇이 그토록.. 2025. 7. 18. 내 정보가 인질로? 현실적인 랜섬웨어 대응법 설마 나한테 그런 일이’라는 위험한 착각디지털 시대를 살아가는 우리에게 랜섬웨어는 이제 더 이상 TV 뉴스 속 남의 일이 아닙니다. 기업의 서버는 물론이고, 개인의 노트북, NAS, 심지어 스마트홈 서버까지 해커들의 타깃이 되고 있습니다. 최근 대기업의 피해 사례가 아니더라도, 자영업자의 포스기, 중소기업의 회계 PC, 가정의 사진 아카이브까지 랜섬웨어는 대상을 가리지 않습니다.하지만 더 큰 문제는 대부분의 사용자들이 이를 막연한 공포로만 받아들일 뿐, 실제로 내 컴퓨터 화면에 랜섬노트가 나타났을 때 무엇을 해야 할지 모른다는 점입니다. 백업은커녕, 대응 순서조차 정리되어 있지 않으면 상황은 걷잡을 수 없이 악화됩니다. 이 글에서는 실제 랜섬웨어 감염 사례를 기반으로, 감염 직후의 현실적인 대응법과 가장.. 2025. 7. 18. 이전 1 2 다음 728x90 반응형
