원더보이 프로그래밍

12월 14일 log4j 취약점 관련 기사들이 보도되면서, IT 기업들이 진땀을 흘리고 있습니다. 자, 그러면 이번 사태에 대한 정보 및 취약점 대응 방법에 대해 알아보겠습니다. log4j는 아파치에서 제공하는 오픈소스 프로그램이며, 어플리케이션 로깅 시 사용되는 모듈 중 하나입니다. log4j 버전1은 2015년 이후 업데이트가 종료되어, 사용되는 곳이 거의 없을 것으로 생각됩니다. 로깅 모듈을 log4j로 사용하는 대부분의 기업에서는 현재 log4j 버전2를 사용 중 입니다. 취약점의 중심에는 log4j-core.jar에 결함이 있습니다. (JNDI 파싱 기능이 원격 코드 실행 취약점을 불러일으키기 때문) 취약점에 노출 될 경우, 악성코드가 유포되거나 중요 데이터 탈취, 임의의 파일 다운로드 된 후 ..

양방향 이란, 암호화 및 복호화 모두 가능한 것을 의미합니다. 이름, 이메일, 휴대폰 번호, 주민등록번호 등 민감한 개인정보는 암호화해서 저장도 해야 하고, 필요에 따라서 .... 즉, 고객 정보를 식별하기 위해서 복호화도 가능해야 합니다. 따라서, 이런 개인정보를 암호화할 때 양방향 암호화를 사용합니다. 키와 DB가 노출되었을 때, 복호화가 가능하여 원본 데이터가 노출될 수 있습니다. (추가로, 개인정보를 마스킹 한 후, 암호화하여 저장하여 대처 가능) 이에 해당하는 알고리즘에는 대표적으로, AES 시리즈가 있으며, 국내에도 자체 개발한 SEED가 있습니다. (SEED는 공인 인증서에 사용됨) AES256이 많이 사용되며, 양방향 알고리즘은 보안에서만 쓰이는 것이 아니고, 안정성과 속도가 보장되는 이유..

단방향 이라는 것은 암호화만 가능하고 복호화는 불가능하다는 것을 의미합니다. 보통 비밀번호와 같이 암호화 되어 있는 값들만 단순 비교할 때 사용하고, 복호화 필요가 없는 정보들을 단방향 암호화 합니다. 추가로, 데이터를 무결성 검사하는 데도 사용한다고 합니다. 키와 DB가 노출되도 복호화가 불가능하기 때문에 원본 데이터는 알 수가 없습니다. 이런 이유로, 양방향 암호화보다 안전하다고 합니다. 또, 이런 특성 때문에 사이트의 비밀번호 암호화에 사용됩니다. 여담으로, 비밀번호를 암호화할 때, 단방향 암호화를 사용하는 사이트에서는 보통 비밀번호를 재설정하는 서비스를 제공하며... 비밀번호 찾기를 지원해주는 서비스가 있으면 보안이 안 좋은 서비스라고 볼 수 있습니다. (복호화가 가능하여, 원본 데이터 탈취 가능..