๋ณธ๋ฌธ ๋ฐ”๋กœ๊ฐ€๊ธฐ

์ „์ฒด ๊ธ€562

์นจํ•ด๋Œ€์‘ & CERT_6(๊ตฌ๊ธ€๋ง์„ ํ†ตํ•œ ์›น ์ทจ์•ฝ์ ) ์ด๋ฒˆ ์‹œ๊ฐ„์—๋Š” ์‹ค์ œ ์‹ค๋ฌด์—์„œ ์ค‘์š”ํ•˜๊ฒŒ ๋‹ค๋ฃจ๋Š” ์ทจ์•ฝ์ ๋“ค์— ๋Œ€ํ•ด ์ง์ ‘ ์ฐพ์œผ๋ฉฐ ์‚ฌ๋ก€๋ฅผ ์•Œ์•„๋ณด๊ณ  ์ด๋ฅผ ์ •๋ฆฌํ•˜์—ฌ ๋ฐœํ‘œ๋ฅผ ์ง„ํ–‰ํ–ˆ์Šต๋‹ˆ๋‹ค. [๋ฐœํ‘œ ์ž๋ฃŒ] [4์ค„ ์š”์•ฝ]๊ด€๋ฆฌ์ž ํŽ˜์ด์ง€ ๋…ธ์ถœ ์ทจ์•ฝ์ ์ •์˜ : ์ผ๋ฐ˜ ์‚ฌ์šฉ์ž๊ฐ€ ์ ‘๊ทผํ•˜์—ฌ์„œ๋Š” ์•ˆ ๋˜๋Š” ๊ด€๋ฆฌ์ž ํŽ˜์ด์ง€๊ฐ€ ์ธํ„ฐ๋„ท ์ƒ์— ๋…ธ์ถœ๋˜์–ด ์™ธ๋ถ€์—์„œ ์ ‘๊ทผ์ด ๊ฐ€๋Šฅํ•œ ๊ฒฝ์šฐ๋ฅผ ์˜๋ฏธํ•ฉ๋‹ˆ๋‹ค.์œ„ํ˜‘ : ๊ด€๋ฆฌ์ž ํŽ˜์ด์ง€๊ฐ€ ๋…ธ์ถœ์ด ๋œ ์ž์ฒด๋งŒ์œผ๋กœ ๊ณต๊ฒฉ์ž๋“ค์˜ ์ฃผ ํƒ€๊ฒŸ์ด ๋ฉ๋‹ˆ๋‹ค.์˜ˆ์‹œ : site:admin.*.* inurl:login ์‚ฌ๋ก€ : ์‹ค์ œ ์—ฌ๋Ÿฌ ์ค‘์†Œ๊ธฐ์—…์—์„œ ๊ด€๋ฆฌ์ž ํŽ˜์ด์ง€๊ฐ€ ์™ธ๋ถ€์— ๋…ธ์ถœ๋˜์–ด ๋ฐœ์ƒํ•œ ์ด์Šˆ๊ฐ€ ๋‰ด์Šค์— ๋ณด๋„๊ฐ€ ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.๋Œ€์‘ : ์ ‘๊ทผ ๊ฐ€๋Šฅํ•œ IP ๋Œ€์—ญ ์ œํ•œ, ์˜ˆ์ธกํ•˜๊ธฐ ์–ด๋ ค์šด ๊ฒฝ๋กœ ๋ฐ ํฌํŠธ, ๋‹ค์ค‘ ์ธ์ฆ ์‚ฌ์šฉ(MFA)๋””๋ ‰ํ„ฐ๋ฆฌ ๋‚˜์—ด ์ทจ์•ฝ์ ์ •์˜ : ์›น ์• ํ”Œ๋ฆฌ์ผ€์ด์…˜์„ ์‚ฌ์šฉํ•˜๊ณ  ์žˆ๋Š” ์„œ๋ฒ„์˜ ๋ฏธํกํ•œ ์„ค์ •.. ์‹œํ๋ฆฌํ‹ฐ/๋ฆฌํŒฉํ† ๋ง(Security) 2025. 8. 18.
์นจํ•ด๋Œ€์‘ & CERT_5(Shodan์˜ ์ด์šฉ๋ฒ”์œ„์™€ ๊ธฐ๊ธฐ์˜ ํŠน์ง•) ์ €๋ฒˆ ์ฃผ๋Š” ์‚ฌ๋ฌผ์ธํ„ฐ๋„ท IoT์™€ Shodan์— ๋Œ€ํ•ด ์ •์˜๋ฅผ ์•Œ์•„ ๋ณด์•˜๋‹ค๋ฉด, ์ด๋ฒˆ์—๋Š” IoT ๊ธฐ๊ธฐ๋“ค์˜ ํŠน์ง•๊ณผ ์ทจ์•ฝ์ ์— ๋Œ€ํ•ด ์ •๋ฆฌํ•˜๊ณ  Shodan์—์„œ ํŠน์ • ํ‚ค์›Œ๋“œ๋ฅผ ๊ฒ€์ƒ‰ํ•˜์—ฌ IoT ์žฅ๋น„๋“ค์˜ ์„œ๋ฒ„์— ์ ‘๊ทผํ•ด๋ณด๋Š” ์‹œ๊ฐ„์„ ๊ฐ€์ ธ ๋ณด์•˜์Šต๋‹ˆ๋‹ค. [๋ฐœํ‘œ ์ž๋ฃŒ] [3์ค„ ์š”์•ฝ] 1. ๊ฒ€์ƒ‰ ๊ฐ€๋Šฅํ•œ IoT ๊ธฐ๊ธฐCCTV - ๋Œ€๋ถ€๋ถ„ RTSP ๋˜๋Š” HTTP ์›น ์ธํ„ฐํŽ˜์ด์Šค๋ฅผ ํ†ตํ•ด ์˜์ƒ ์†ก์ถœWebCam/IP Cam - ์‹ค์‹œ๊ฐ„ ์˜์ƒ ์ŠคํŠธ๋ฆฌ๋ฐ + ์›๊ฒฉ ์ œ์–ด ๊ธฐ๋Šฅ ์ง€์›Network Printer - ๋„คํŠธ์›Œํฌ๋ฅผ ํ†ตํ•ด ์ง์ ‘ ์ธ์‡„, ์Šค์บ”, ํŒฉ์Šค ๊ธฐ๋Šฅ ์ˆ˜ํ–‰์‚ฐ์—…์ œ์–ด์‹œ์Šคํ…œ(ICS) - ์ œ์กฐ ์„ค๋น„, ๋ฐœ์ „์†Œ, ์ •์ˆ˜์žฅ, ๊ตํ†ต์‹ ํ˜ธ ๋“ฑ ๋ฌผ๋ฆฌ ์žฅ๋น„ ์ œ์–ด 2. ๊ฒ€์ƒ‰ ๊ฐ€๋Šฅํ•œ IoT ๊ธฐ๊ธฐ ์ทจ์•ฝ์ CCTV - ๊ตฌํ˜• ์žฅ๋น„๋Š” ์ธ์ฆ ์—†์ด ์˜์ƒ ์ ‘๊ทผ ๊ฐ€๋Šฅ, ์ œ์กฐ์‚ฌ๋ณ„ ๊ธฐ๋ณธ ๊ณ„์ •/๋น„.. ์‹œํ๋ฆฌํ‹ฐ/๋ฆฌํŒฉํ† ๋ง(Security) 2025. 8. 11.
NACL ์ด๋ž€? (feat. Security Group๊ณผ์˜ ์ฐจ์ด) ์˜ค๋Š˜ NACL์— ๋Œ€ํ•ด ๋‚ด์šฉ์„ ์ •๋ฆฌํ•ด๋ณด๊ณ , Security Group๊ณผ๋Š” ์–ด๋–ค ์ฐจ์ด์ ์ด ์žˆ๋Š”์ง€ ํŒŒ์•…ํ•ด๋ณด๋Š” ์‹œ๊ฐ„์„ ๊ฐ€์ ธ๋ณด์•˜์Šต๋‹ˆ๋‹ค. NACL์ด๋ž€?NACL(Network ACL, ๋„คํŠธ์›Œํฌ ์ ‘๊ทผ ์ œ์–ด ๋ชฉ๋ก)๋Š” VPC ์ˆ˜์ค€์˜ ์„œ๋ธŒ๋„ท ๋‹จ์œ„์—์„œ ์ธ๋ฐ”์šด๋“œ, ์•„์›ƒ๋ฐ”์šด๋“œ ํŠธ๋ž˜ํ”ฝ์„ ์ œ์–ดํ•˜๋Š” ๋ฐฉํ™”๋ฒฝ ์—ญํ• ์„ ํ•ฉ๋‹ˆ๋‹ค. ์ฃผ์š” ํŠน์ง•์„œ๋ธŒ๋„ท์— ์ ์šฉํ•ฉ๋‹ˆ๋‹ค.stateless ์ž…๋‹ˆ๋‹ค. ์š”์ฒญ๊ณผ ์‘๋‹ต์„ ๊ฐœ๋ณ„์ ์œผ๋กœ ํŒ๋‹จํ•˜๊ธฐ ๋•Œ๋ฌธ์— ๋ฐ˜๋“œ์‹œ ์ธ๋ฐ”์šด๋“œ์™€ ์•„์›ƒ๋ฐ”์šด๋“œ ๋‘˜ ๋‹ค ๋ช…์‹œ ํ•ด์•ผํ•ฉ๋‹ˆ๋‹ค.๊ทœ์น™์— ์ˆœ์„œ(๋ฒˆํ˜ธ)๊ฐ€ ์žˆ์Šต๋‹ˆ๋‹ค. ๋‚ฎ์€ ๋ฒˆํ˜ธ๊ฐ€ ๋จผ์ € ํ‰๊ฐ€๋˜๊ณ  ์ ์šฉ์ด ๋ฉ๋‹ˆ๋‹ค.ํ—ˆ์šฉ(Allow)๊ณผ ๊ฑฐ๋ถ€(Deny) ๋‘˜ ๋‹ค ๋ช…์‹œ๊ฐ€ ๊ฐ€๋Šฅํ•ฉ๋‹ˆ๋‹ค.์˜ˆ์‹œ์„œ๋ธŒ๋„ท A → NACL ๊ทœ์น™:100: ALLOW TCP 80 (์ธ๋ฐ”์šด๋“œ)110: DENY ALL-> 80๋ฒˆ ํฌํŠธ๋งŒ ํ—ˆ์šฉํ•˜๊ณ  ๋‚˜๋จธ์ง€๋Š” .. ํด๋ผ์šฐ๋“œ ์‹œํ๋ฆฌํ‹ฐ/ํด๋ผ์šฐ๋“œ(Cloud) 2025. 8. 1.
CDN ์ด๋ž€ CDN ์ด๋ž€ ? CDN์€ ์ฝ˜ํ…์ธ  ์ „์†ก ๋„คํŠธ์›Œํฌ(Content Delivery Network)์˜ ์•ฝ์ž๋กœ, ์›น ์ฝ˜ํ…์ธ ๋ฅผ ์‚ฌ์šฉ์ž์™€ ๊ฐ€๊นŒ์šด ๊ณณ์— ์œ„์น˜ํ•œ ์„œ๋ฒ„๋ฅผ ํ†ตํ•ด ๋น ๋ฅด๊ฒŒ ์ œ๊ณตํ•˜๋Š” ๊ธฐ์ˆ ์ž…๋‹ˆ๋‹ค. ์—ฌ๋Ÿฌ ์ง€์—ญ์— ๋ถ„์‚ฐ ๋œ ์„œ๋ฒ„๋ฅผ ํ™œ์šฉํ•˜์—ฌ ์ฝ˜ํ…์ธ  ์ „์†ก ์†๋„๋ฅผ ๋†’์ด๊ณ , ์„œ๋ฒ„ ๋ถ€ํ•˜๋ฅผ ๋ถ„์‚ฐ์‹œ์ผœ ์›น์‚ฌ์ดํŠธ ์„ฑ๋Šฅ์„ ๊ฐœ์„ ํ•˜๋Š” ๋ฐ ์‚ฌ์šฉ๋ฉ๋‹ˆ๋‹ค. CDN ์ž‘๋™ ์›๋ฆฌ1. ์ฝ˜ํ…์ธ  ๋ณต์‚ฌ : ์›น ์‚ฌ์ดํŠธ์˜ ์ฝ˜ํ…์ธ (์ด๋ฏธ์ง€, ๋™์˜์ƒ, CSS, JavaScript ๋“ฑ)๋Š” CDN ์„œ๋ฒ„์— ๋ณต์‚ฌ๋˜์–ด ์—ฌ๋Ÿฌ ์ง€์—ญ์— ๋ถ„์‚ฐ ์ €์žฅ๋ฉ๋‹ˆ๋‹ค. 2. ์‚ฌ์šฉ์ž ์š”์ฒญ : ์‚ฌ์šฉ์ž๊ฐ€ ์›น์‚ฌ์ดํŠธ์— ์ ‘์†ํ•˜๋ฉด, CDN์€ ์‚ฌ์šฉ์ž์˜ ์œ„์น˜๋ฅผ ํ™•์ธํ•˜์—ฌ ๊ฐ€์žฅ ๊ฐ€๊นŒ์šด CDN ์„œ๋ฒ„๋ฅผ ์„ ํƒํ•ฉ๋‹ˆ๋‹ค. 3. ์ฝ˜ํ…์ธ  ์ „์†ก : ์„ ํƒ๋œ CDN ์„œ๋ฒ„์—์„œ ํ•ด๋‹น ์‚ฌ์šฉ์ž์—๊ฒŒ ์ฝ˜ํ…์ธ ๋ฅผ ์ „์†กํ•ฉ๋‹ˆ๋‹ค. 4. ์บ์‹ฑ : CDN ์„œ๋ฒ„.. CS ์ง€์‹, IT์ง€์‹, ๊ธฐํƒ€์ง€์‹/๋„คํŠธ์›Œํฌ 2025. 7. 31.
์นจํ•ด๋Œ€์‘ & CERT_4(์‚ฌ๋ฌผ์ธํ„ฐ๋„ท, Shodan) ์˜ค๋Š˜์€ ์‚ฌ๋ฌผ์ธํ„ฐ๋„ท(IoT)์™€ Shodan์— ๋Œ€ํ•ด ๊ฐœ๋…๋“ค์„ ์ •๋ฆฌํ•˜๊ณ  PPT ์ œ์ž‘ ํ›„, ๋ฐœํ‘œ๋ฅผ ์ง„ํ–‰ํ–ˆ์Šต๋‹ˆ๋‹ค. [๋ฐœํ‘œ ์ž๋ฃŒ] [4์ค„ ์š”์•ฝ] 1. ์‚ฌ๋ฌผ์ธํ„ฐ๋„ท(IoT : Internet of Things)์€ ์‚ฌ๋žŒ, ์‚ฌ๋ฌผ ๊ณต๊ฐ„ ๋ฐ์ดํ„ฐ ๋“ฑ์˜ ๋ชจ๋“  ๊ฒƒ์ด ์„ผ์„œ์™€ ํ†ต์‹  ๊ธฐ๋Šฅ์„ ๋‚ด์žฅํ•˜์—ฌ ์ธํ„ฐ๋„ท์— ์—ฐ๊ฒฐํ•˜๊ณ  ์„œ๋กœ ๋ฐ์ดํ„ฐ๋ฅผ ์ฃผ๊ณ  ๋ฐ›๋Š” ์ƒํ˜ธ์ž‘์šฉ ๊ธฐ์ˆ ์ž…๋‹ˆ๋‹ค. 2. ์‚ฌ๋ฌผ์ธํ„ฐ๋„ท์˜ ๊ตฌ์„ฑ์š”์†Œ์Šค๋งˆํŠธ ์žฅ์น˜ ๋ฐ ์„ผ์„œ(Device and Sensor)๊ฒŒ์ดํŠธ์›จ์ด(Gateway)ํด๋ผ์šฐ๋“œ(Cloud)๋ฐ์ดํ„ฐ ๋ถ„์„ ์‹œ์Šคํ…œ(Data Analytics System)์‚ฌ์šฉ์ž ์ธํ„ฐํŽ˜์ด์Šค3. Shodan์ด๋ž€ ์‚ฌ์šฉ์ž๊ฐ€ ๋‹ค์–‘ํ•œ ํ•„ํ„ฐ๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ์ธํ„ฐ๋„ท์— ์—ฐ๊ฒฐ๋œ ์—ฌ๋Ÿฌ ์œ ํ˜•์˜ ์žฅ์น˜๋ฅผ ์ฐพ์„ ์ˆ˜ ์žˆ๋Š” ๊ฒ€์ƒ‰ ์—”์ง„์ž…๋‹ˆ๋‹ค. 4. Shodan ํ‚ค์›Œ๋“œcitycountrygeohostn.. ์‹œํ๋ฆฌํ‹ฐ/๋ฆฌํŒฉํ† ๋ง(Security) 2025. 7. 28.