2015년 4월 29일 수요일

Snort 분석(WEB-CLIENT Malformed PNG detected sRGB overflow attempt - 2nd)

지난 글에서 'WEB-CLIENT Malformed PNG detected sRGB overflow attempt' 룰에 의해 발생한 로그의 오탐 근거를 찾아냈었지만, 룰 개선으로 이어지지는 못했다. 룰을 개선해서 오탐을 줄이는 방법을 찾아보도록 하자. 일단 관련 로그 발생 현황.


2015년 4월 16일 목요일

숨을 참는다는 것

허리가 아파서 수영을 시작한지 벌써 3년째가 되어 간다. 독학으로 배운 수영이라 폼이고 뭐고 엉망이지만 이제 물이 무섭지는 않다. 작년부터는 잠영을 시작했다. 왠지 필요할 것 같아서.. 이제 25미터 정도는 수월하게 간다.

요령은 물 속을 겁내지 않는 것이다. 물을 겁내는 것과 물 속을 겁내는 것은 약간 얘기가 다르다. 수영을 할 수 있다는 것은 물과 공기의 경계에서 필요할 때 숨 쉴 수 있는 요령을 익혔다는 얘기인데, 물 속에서 그런 요령따위는 없기 때문.

물 속에서는 숨을 참는 수 밖에 없다. 그런데 이게 당연히 어렵다. 물 밖에서 30초 정도 참는 건 그리 어렵지 않은데, 물 속에 들어가면 이상하게 잘 되지 않는다. 아마도 살고 싶다는 본능, 잘못하면 영영 물 밖으로 나가지 못할 수도 있다는 공포 때문일 것이다.

2015년 4월 12일 일요일

보안관제와 빅데이터의 접목

Concert Forecast 2015 요청을 받고 오랫동안 일해 온 보안관제란 분야와 뜨거운 인기를 자랑하는 빅데이터에 대한 생각을 정리한 글입니다

보안관제의 문제점

1980년대 이후 컴퓨터 보안사고가 증가하면서 로그 분석의 필요성이 증가하기 시작했다. 그런데 로그가 너무 많더라는 문제 발생.

그래서 사람들은 사전에 정의해놓은, 공격으로 알려진 패턴을 이용해서 일반로그를 필터링하기 시작했다. 패턴 필터링, 분석의 범위를 좁혀주는 패턴매칭은 이렇게 시작됐다. 그런데 이 패턴매칭은 아주 커다란 문제점을 가지고 있다.

패턴매칭의 기원은 도청. 도청이 성공하기 위한 필수 조건은 정확한 타겟 선정이다. 그런데 대부분의 정보보안 환경에서는 타겟을 특정할 수 없다. 도대체 누가 해커란 말인가? 시작부터 망함

2015년 4월 9일 목요일

Snort 분석(WEB-CLIENT Malformed PNG detected sRGB overflow attempt)

Snort 설치 다음 단계는 탐지로그 분석. 참고로 최대한 다양한 유형의 탐지로그(오탐)를 경험하기 위해서는 Snort.org에서 다운로드 받은 룰 전부 활성화, 즉 주석(#)을 제거한 후 Snort를 운영하는 것이 좋다.

첫번째 분석 사례는 모 인터넷 서점 사이트에 접속하는 과정에서 발생한 'WEB-CLIENT Malformed PNG detected sRGB overflow attempt'.


2015년 4월 4일 토요일

성공불융자금

이명박 정권 당시 몇십 조의 국가 예산이 자원외교라는 이름으로 석유, 가스, 광물자원공사와 다수의 민간기업에 투자되었다고 한다.

의혹을 떠나 성공불융자금이란 단어에 눈길이 갔다. 1984년에 도입된, 민간 기업이 해외 자원개발 등 고위험, 고수익 사업에 뛰어들 수 있도록 정부가 기업에 자금을 빌려주되 실패하면 융자금을 감면해주고 성공하면 원리금에 부담금을 얹어 반환하도록 한 제도.

한 번의 실패도 용납이 어려운 한국 사회에서 이미 30여 년 전부터 실패하면 갚지 않아도 되는 융자 제도가 있어왔다는 게 신기하다. 장기적인 국익을 위해 필요한 제도임이 분명하다. 뚝딱뚝딱 5년안에 승부를 보려고만 할 게 아니라 국익에 도움이 될 가능성이 높다면 100년을 내다보는 정책도 필요하지 않은가?

크리에이티브 커먼즈 라이선스