반응형
유명백화점 3사가 어이없는 일을 벌였네요..아니 어쩌면 경쟁 하다보니 상대적 입장에서는 당연한지도 모르겠습니다.. 조금 보안 관점으로 접근해 보겠습니다..
우선 각 백화점마다 인트라넷으로 id/password 를 알아 냈다고 하는데 이것은 기본적으로 조금만 보안 마인드가 있으면 방어를 할수 있습니다.
우선 간단히 살펴 보겠습니다.. 다음과 같은 가상 시나리오가 작성이 되겠지요...
어느날 백화점 입점해 있는 거래처 A씨를 통하여 상대 백화점 인트라넷 아이디와 패스워드를 알아 내겠지요...그런데 보통 인트라넷은 ID/PASSWORD 를 알아야 접근이 가능하게 됩니다..
- 이럴땐 당연히 허용된 IP에서만 인트라넷이 접근 할수 있도록 해야 합니다. 만약 그냥 웹에 오픈한 상태에서 집에서도 아이디와 패스워드만 알면 접근할수 있게 끔 설계를 했다면 잘못 설계가 된 것이겠지요..
-
그런데 조금 더 예시를 들어보면 보안 마인드가 철저한 관리자가 위에 언급한 형태로 하여 특정 IP에서만 인트라넷에 접근하도록 만들었습니다..그러면 안전할까요?
아니겠죠..거래처 A씨를 만나러 왔다가 차 한잔하면서 컴퓨터에 접근하여 매출정보를 알아낸다면 할수 없겟죠..물론 이럴땐 A씨는 알면서도 모르는척 하는거죠.
만약 이럴땐 1주일이면 1주일마다 패스워드 변경 작업을 강제적으로 하게끔 변동을 해야 할 것입니다. 뭐..어떤것이든지 사람을 매수한다면 패스워드 바꾼다고 해서 해결 될 것은 아니지만 보안관리자로서는 최대한 조치를 취해야 할 것입니다.
제 개인적인 생각은 이러한 부분이 간과 되고 그저 인트라넷이 아이디와 패스워드로 보호 되었지 않았나 하는 생각이 듭니다. 서로 물고 물리는 세상 , 뺏고 뺏기는 세상에서 조금은 보안적인 마인드를 가지고 결국 정보가 유출이 되면 본인 책임이라는 책임의식을 가지고 임해야 겠습니다. 도덕성 문제도 있기 때문에 철처한 교육도 필요 하겠습니다.@엔시스
'Life of Security' 카테고리의 다른 글
| 당신의 USB 자동실행, 백신검사는 필수 (4) | 2010.09.09 |
|---|---|
| 속사포 텔레마케팅 스팸전화, 통화내역공개 (3) | 2009.06.24 |
| 모텔 PC에서 함부로 로그인 하지마세요 (49) | 2009.04.27 |
| 보안 공부를 "게임"으로 만들어 (10) | 2009.04.22 |
| 엔시스 "블로그" 책 속에 소개되다. (12) | 2009.04.19 |
