나쁜 인증 시도 방어하기 (1 편)

Source

• Evernote/Inbox/오늘의유머 - 나쁜 인증 시도 방어하기! 1편.md

Summary

개발자가 CS 문의를 통해 대량 인증 시도 공격을 발견하고 대응하는 과정을 서술한 일기 형식 문서입니다. 대만 IP 에서 유입되는 비정상적인 인증 시도를 확인한 후, KISA API 를 활용하여 해외 IP 를 차단하는 기능을 개발 서버에 적용했습니다. 이후 legitimate 한 해외 사용자 접근을 위해 화이트리스트 기능을 추가하여 문제를 해결했습니다.

Key Points

• CS 문의를 통해 특정 성씨 집중 및 비정상적인 인증 시도 증가를 발견
• 로그 분석 결과 대만 IP 에서 유입되는 공격으로 확인
• 방화벽 레벨 차단이 어려워 KISA API 를 활용한 자체적인 해외 IP 차단 로직 개발
• 차단 후 정상적인 해외 사용자 접근을 위해 화이트리스트 기능 추가
• 문서 말미에서 ‘내일 생각이 바뀌게 된다’는 언급으로 후속 문제 발생을 암시

Related

• 카카오 블라인드 공채 플랫폼 취약점 분석 (2017)

• Authentication at Scale

• HTTP 기반 애플리케이션 방화벽 정책 분석

• GitHub의 SHA-1 충돌 공격 탐지 및 대응

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• Crowd-Sourced Call Identification and Suppression

• Developers don’t understand CORS

• 웹 서비스의 테스트 기반 보안 인증 체계

• MyPermissions 신뢰 인증 프로그램

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• Kurento WebRTC PaaS의 인증, 인가 및 회계 보안 모델 분석

• WebRTC 브라우저 간 보안 보장

• CSRF)

• ORAS 선물서버 재현 시도 (1부)

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• 봇넷 연구의 라이프사이클 기반 분류 및 서베이

• CAMP: Content-Agnostic Malware Protection

• HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• 웹 애플리케이션 모델 저장소의 텍스트 및 내용 기반 검색

• 실용적인 HTTP Host 헤더 공격

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• DDoS 공격 시각화: VideoLAN 사례

• SSL 의 6 가지 주요 보안 약점 (2014 년 기준)

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• 검색만으로도 해킹에 노출된 청소년들

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• 모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Etsy의 비판 없는 사후 분석 (Blameless Postmortem)

• Please don’t use these passwords. Sincerely, the Internet

• 니들이 해킹을 알어? - 1부 (디스이즈게임 연재)

• 미국 침입자 사살 허용설 반박

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• Rustle League, Anonymous 관련 계정 해킹

• 알람 시계 분해 및 회로 분석

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• Rogue Femtocell Owners: How Mallory Can Monitor My Devices

• WPA)

• 중국 해킹툴 관련 사이트 목록 (2007)

• 어나니머스 코리아 실체 논란 및 보안 전문가의 비판

• 맷 호난(Mat Honan) 아이클라우드 해킹 사건 분석

• Chromecast 의 설계상 보안 한계

• xHelper Android 악성코드: 공장 초기화에도 제거 불가

• 웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구

• APT(지능형 지속 위협) 개요 및 주요 사례

• 만화로 보는 DNS over HTTPS (DoH) 소개

• HTTPS 관련 7가지 오해 (HttpWatch Blog)

• 청각 불가청음을 이용한 에어갭 점프 멀웨어

• 웹 기반 연산 오프로딩 및 상태 시리얼라이제이션 연구 동향

• 2015 년 최악의 비밀번호 목록 및 보안 권고사항

• HTTP 프로토콜 기초 (Part 1)

• 3 Top IoT “security” Architectures and How to Fix Them

• S-links: 분산 보안 정책과 안전한 소개(Secure Introduction)

• 타자 패턴 기반 사용자 인증 스마트 키보드