2018.05.05 02:12

포텐 에펨코리아 "보안 강화" 프로젝트 안내

조회 수 27591 추천 수 221 댓글 160
안녕하세요,
서버 보안을 맡고 있는 시스템 모니터입니다.

2015년도에 https://www.fmkorea.com/241301823 에펨코리아 "보안 강화" 프로젝트 관련 공지를 올렸으며, 모두 완료하는데 2년 반이라는 긴 시간이 걸렸지만, 관련 공지에 있던 모든 보안 사항 및 추가적인 보안 사항들이 적용되었습니다.

다음 사항들이 적용되었습니다:
1. 사이트 전체 통신 암호화
악성 또는 감염된 공유기, WIFI 및 네트워크 장비에서 로그인, 회원가입, 회원정보 변경시에 해당 장비에서 아이디나 암호를 가로채는 게 불가능하게 하고, 통신 장비를 이용해서 사용자가 어떤 사이트를 방문하는지 어떤 페이지를 방문하는지 감시가 가능하지 않게 국제 표준인 SSL/HTTPS로 보호 조치

2. 암호 데이터의 암호화 기법 강화
애초부터 암호를 관리자나 제3자가 알 수 없게 md5 단방향 암호화 기법으로 저장되고 있지만,
뉴스에 나온 여러 해킹 사건이 해당 암호화 기법을 사용해서 상당한 비난을 받았음
그 이유는 기술의 발달로 인해 해킹으로 데이터베이스가 유출될 경우, 현재 여러 가지 공격에 해당 암호화 기법이 취약함
그리하여 사전 공격이나 무작위 공격 기법이 어려운 전세계적으로 검증된 최신 CRYPT_BLOWFISH 및 salt 사용 기법으로 내부 암호화 기법을 교체함
신규 사용자는 자동 적용되고, 기존 사용자는 한번 로그아웃하고 다시 로그인하면 관련 부분이 자동 적용됨

3. 회원 가입 인증 이메일 및 비밀번호 복구 이메일의 암호화
과거에는 이메일을 일반 문자열 데이터로 전송했었는데,
이메일 서비스가 암호화를 지원할 경우 앞으로 국제 표준인 TLS/SSL 암호화로 전송되어서 중간에 통신 장비 등에서 이메일 내용을 가로챌 수 없게 됨

4. 회원 아이디/암호 무작위 시도 제한
이미 유출된 회원 자료나 무작위 기법을 이용해서 회원들의 아이디/암호를 탐지하기 위해 다량으로 로그인 시도를 시도하는 경우 자동 차단

5. 로그인/로그아웃 강화
로그인 성공 및 실패 기록 열람 가능하도록 업데이트: "내 정보" -> "로그인 기록"
자동 로그인을 기기별로 관리가 가능하도록 업데이트: "내 정보" -> "자동 로그인 관리"
그 외에 로그아웃 할 경우, 해당 아이디의 모든 일반 로그인 세션을 보안상 삭제 및 로그아웃

6. 네트워크 방화벽 도입
외부에서 기본적으로 내부 서버들에 대한 모두 접속 차단

7. 웹방화벽 도입
XSS, SQL injection 등, 범용적인 해킹 기법으로부터 사이트 보호

8. HTML 고급 필터 적용
HTML 을 허용하는 게시판 사이트들은 각종 태그 공격으로부터 쉽게 취약하지만, 이런 태그 공격에 취약하지 않도록 고난도 고급 필터링 기법들 적용

9. DDoS 공격에 대한 대비
DDoS 공격에 대한 대비책을 가져, 공격 받을 경우 빠르게 사이트 복구

10. 소스코드 관리 시스템 및 서버 자동 배포 기능 도입
해커들이 만약에 소스 코드를 변조를 시도할 경우,
해당 부분이 바로 탐지가 되도록 소스코드 자동 관리 시스템 및 소스 코드 배포 자동화 시스템 구축

11. 서버 설정 최적화
근본적으로 보안 구멍이 있더라도 해킹이 어렵도록 여러 보안 프로그램 설치 및 단계별 보안 제한들을 설정

12. 보안 헤더 추가
Strict-Transport-Security, X-Content-Type-Options, X-XSS-Protection 의 보안 헤더를 추가해서, 브라우저의 보안 처리를 강화시킴

추후 계획:
해킹에 취약한 흔히 사용되는 암호를(예를 들어 123456) 사용할 수 없도록 막을 예정이며, 그런 암호를 사용하는 아이디의 암호는 모두 강제 변경하도록 시스템을 개편할 예정입니다.

요약:
1 .에펨코리아 및 사용자 보안을 위해 상당히 노력 중입니다.
2. 암호 저장에 대해 신규 암호화 기법을 적용하려면, 신규 사용자는 자동 적용되고, 기존 사용자는 한번 로그아웃하고 다시 로그인하면 관련 부분이 자동 적용됩니다.
3. 해킹에 취약한 흔히 사용되는 암호를(예를 들어 123456) 사용할 수 없도록 막을 예정이며, 그런 암호를 사용하는 아이디의 암호는 모두 강제 변경하도록 시스템을 개편할 예정입니다.
221 46
  • BEST [레벨:25]십칠센치 2018.05.05 13:20
    이과 다 뒈져라
  • BEST [레벨:40]매니져ofRM 2018.05.05 12:40
    프로젝트라니 존내 있어보임
    그런의미에서 ㅍㅉㅈ
  • BEST [레벨:32]산마르코 2018.05.05 12:53
    M16 허준 명언 생각난다.

    해킹당해도 괜찮으니까 내 비밀번호 좀 마음대로 설정할 수 있게 해줘요..
  • [레벨:23]꼬화 2018.05.05 16:35
    펨창 10년만에 펨코가 명문화되는 꼴을 다 보네
  • [레벨:2]개집대장 2018.05.05 16:35
    시모 ai아니었음?
  • [레벨:25]나스리 2018.05.05 16:35
    시모님 포찌 좀 주세요
    백곰 달아보고 싶음..
  • [레벨:10]두릅킹 2018.05.05 16:35
    다른회원 정보 볼때 작성글만이 아닌 작성댓글도 쭉 한눈에 볼수있게 해주세요 대댓이 달렸는데 삭제했다면 대댓이라도 볼수있게
    해주삼...
  • [레벨:36]시스템모니터 2018.05.05 16:39
    관련 부분은 스토킹 문제로 현재 시행하고 있지 않은데,
    해당 의견 참고 하겠습니다.
  • [레벨:2]부심 2018.05.05 16:36
    포찌좀요..
  • [레벨:4]세븐체코 2018.05.05 16:42
    시스템 모니터 라면 한 번에 4개 먹음
  • [레벨:1]아하아나학 2018.05.05 16:44
    이거 xe루 만드러찡?
  • [레벨:36]시스템모니터 2018.05.05 16:45
    XE 소스 기반을 수정해서 운영하고 있습니다.
  • [레벨:1]아하아나학 2018.05.05 17:29
    xe 편리하긴하쥐...
  • [레벨:27]약탈의시대 2018.05.05 16:45
    만약 펨신의 억압때문에 강제로 이런 노동을 하고 있다면 다음 공지에는 당근을 흔들어주세요
  • [레벨:2]웬열 2018.05.05 16:56
    열심히하는건 좋은데 일베충새기들 밴시키는거좀 해줘라
  • [레벨:36]시스템모니터 2018.05.05 16:57
    관련 부분은 제가 일반적으로 관여 안하고 있는 부분인데,
    (차단 등은 주로 다른 관리자들이 하고 저는 기술 부분을 담당하고 있음)
    신고/문의 게시판에 신고 부탁 드립니다.
  • [레벨:24]33제수쌋넷19 2018.05.05 17:03
    이런사이트 보안직책맡으면 주로 월급이어느정도됨??2~3?4~5?6~7?
  • [레벨:24]소혜내꺼 2018.05.05 17:04
    댓글신고기능좀 제발...
  • [레벨:36]시스템모니터 2018.05.05 17:05
    "정치 글 신고"는 활발히 신고가 일어나고 있지만,
    일반 글 "신고" 기능은 사용이 현재 거의 안되고 있습니다.
    그래서 댓글 신고는 현재 개발을 보류하고 있으며, 관련 부분은 "신고/문의" 게시판을 우선 이용해주시길 바랍니다.
  • [레벨:1]워싱턴 2018.05.05 17:04
    펨코도 해킹시도 옴?
  • [레벨:36]시스템모니터 2018.05.05 17:06
    모든 서버/홈페이지/컴퓨터/공유기는 인터넷에 연결만 해도 지속적으로 매일 해킹 시도 및 보안 구멍 탐지가 된다고 보시면 됩니다.
  • [레벨:1]워싱턴 2018.05.05 17:07
    우앙
    탈퇴자들 닉 먹는건 또 언제해용
  • [레벨:36]시스템모니터 2018.05.05 17:08
    https://www.fmkorea.com/993069236 참고하시길 바랍니다.
  • [레벨:1]워싱턴 2018.05.05 17:08
    고생많네유 감사합니다
  • [레벨:8]Atletico 2018.05.05 17:11
    중간에 가로챌일이 뭐가있냐
  • [레벨:36]시스템모니터 2018.05.05 17:14
    보안에 신경 써서 나쁠 것은 없습니다.

    대부분의 경우 큰 위험이 없지만,
    공유기 보안 구멍으로 공유기 감염 시킨 뒤에, 아이디/암호를 가로챈 뒤에,
    해당 아이디/암호들이 메이저 포털 및 이메일 사이트에 되는지 테스트한 뒤에, 이메일 등을 통해서 피싱하고,
    스팸 뿌리는 경우는 실제로 현실에서 발생하긴 합니다.

    아이디/암호 털려서 가상화폐 코인 다 털리는 경우도 있긴 합니다.
  • [레벨:28]펩빡이머리짝 2018.05.05 17:15
    섹스
  • [레벨:20]mbrallck 2018.05.05 17:23
    패드립이나 고인드립댓글 신고기능 좀 넣어줘요
  • [레벨:36]시스템모니터 2018.05.05 17:31
    "정치 글 신고"는 활발히 신고가 일어나고 있지만,
    일반 글 "신고" 기능은 사용이 현재 거의 안되고 있습니다.
    그래서 댓글 신고는 현재 개발을 보류하고 있으며, 관련 부분은 "신고/문의" 게시판을 우선 이용해주시길 바랍니다.
  • [레벨:20]mbrallck 2018.05.05 17:36
    사실 접근하기 쉬운게 포텐글이고 포텐의 댓글이라서
    고인모독댓글은 비추만 박기 아쉬워ㅋㅋ
  • [레벨:16]아스날와라 2018.05.05 17:38
    그전에 XSS나 인젝션 다 먹혔었음? ㅎㄷㄷ
  • [레벨:36]시스템모니터 2018.05.05 17:43
    규모 있는 사이트라면 "100% 다 막았다" 주장만 할 수 있을 뿐, 확인할 방법은 없습니다.
    에펨코리아에서 알고 있는 한도 내에서 XSS 및 SQL injection 기법들을 최대한 막았다고 표현하는 것이 맞을 것 같습니다.
  • [레벨:2]광주최속의사나이 2018.05.05 17:45
    컴퓨터 독학하셨나요?
  • [레벨:4]세븐체코 2018.05.05 17:46
    펨코 사무실이ㅜ 어디임?
  • [레벨:23]그냥그러고싶었어 2018.05.05 17:57
    펨코 본사 어디있음
  • [레벨:1]M.Keane 2018.05.05 18:46
    요약해놓은거도 눈에 안들어와서 ㅂㅊ
  • [레벨:24]소통왕킹영권 2018.05.05 19:02
    이런거 보면 왠지 모르게 공격하고 싶어보일듯
  • [레벨:36]시스템모니터 2018.05.05 19:33
    -_-;
  • [레벨:21]회원 2018.05.05 19:07
    XE3로 업데이트 예정 없나여
  • [레벨:36]시스템모니터 2018.05.05 19:33
    현재는 없습니다.
  • [레벨:23]m3a12 2018.05.05 20:55
    프로젝트 시모 스킨나오나요
  • [레벨:14]고양이가좋아 2018.05.05 22:18
    시모도 에펨함???
  • [레벨:26]신포도코리아 2018.05.06 03:27
    학교 공용 와이파이로 접속하고 글이나 댓글 쓰려하면 맨날 IP차단 어쩌고 뜨던대 ㅜㅜ
  • [레벨:36]시스템모니터 2018.05.06 10:40
    해당 IP 로 신고/문의 게시판에 문의하시길 바랍니다.
    (풀어도 악성 사용자가 있으면 계속 해당 IP가 차단될 수 있기는 합니다)
  • [레벨:2]알미노 2018.05.06 14:10
    Injection은 그럼 시도하면 되는거였음..?
  • [레벨:36]시스템모니터 2018.05.06 14:26
    기본적으로 원본 소스 코드에서 injection 을 최대한 막지만,
    늘 놓친 부분이나 사람의 실수가 있을 수 있기 때문에 상단에 패턴 방식으로 범용적으로 추가적으로 막고 있습니다.
  • [레벨:36]조이내꺼 2018.05.06 15:26
    아까 보니까 블라인드글 안보기 해놨는데 모바일에서는 인기글 올라가있는거 그사람 아이디랑 글 다 보임
  • [레벨:36]시스템모니터 2018.05.06 15:27
    인기글은 기술적으로 복잡해서 블라이드 처리가 현재 안되고 있습니다.
  • [레벨:36]조이내꺼 2018.05.06 15:27
    앗.. 아아...
  • [레벨:22]이웜 2018.05.07 14:48
    2년 반.. 고생 많았음 관리자ㅠㅠ 앞으로도 우릴 지켜줘
  • [레벨:7]록드바바뎀바 2018.05.07 18:31
    으옹 보안공부하면서 보니까 새롭자너
  • [레벨:35]이정후 2018.05.08 00:13
    시모 조아
  • [레벨:2]날아라씹새 2018.05.10 11:15
    내글삭제할때 체크탭만들어서 체크후에 한번에 삭제하는기능
    언제넣을거임?? 들어가서 일일이하는거 너무귀찮자너~
  • [레벨:24]김예리 2018.05.11 13:05
    컴터랑 폰이랑로그인 번갈아가면서하면 자동로그인 풀리는거 너무 불편한데 어케안되나
    이게 컴터랑 폰말고도 다른컴터에서 로그인하면 풀리는거같음
  • [레벨:36]시스템모니터 2018.05.11 14:00
    대부분의 사용자가 문제 없는 것 같은데, 일부 문제 있는 경우는 이유를 모르겠습니다.
    참고로 일부 네이버 앱 버젼은 해당 앱 문제입니다.
  • [레벨:24]김예리 2018.05.11 14:43
    크롬만쓰는데 같은아이디로 휴대폰,집컴 로그인하면 집컴만 자동로그인인걸어놨는데 풀림
  • [레벨:36]시스템모니터 2018.05.11 14:54
    크롬에 크롬 동기화용 구글 아이디로 로그인하고 계신가요?
    그러면 그것이랑 관계된 부분일 수 있을 듯한데, 정확하게는 잘 모르겠습니다.
    (댓글 수정됨)
  • [레벨:24]김예리 2018.05.11 14:59
    땡큐요 동기화쓰고있는데 그런문제가있엇네 흠..
  • [레벨:36]시스템모니터 2018.05.11 15:31
    관련 부분 외에는 의심되는 부분이 없는데,
    괜찮아야할 것 같기도 해서, 추후 테스트해 보겠습니다.
  • [레벨:36]시스템모니터 2018.05.12 18:33
    관련 부분 근본적으로 수정 예정입니다.
    다음 주 수요일 이후에 계속 그러면 알려주시길 바랍니다.
    참고 공지: https://www.fmkorea.com/1054217256
  • [레벨:24]김예리 2018.05.12 18:34
    빠른해결 감사합니다
  • [레벨:25]숨막히는뒷태 2018.05.12 10:33
    시모아조씨 로그인정책이 어떻게에서 어떻게로 바뀜?

    로그인 풀리는 문제가 요즘 더 심해짐
  • [레벨:36]시스템모니터 2018.05.12 18:39
    관련 부분 근본적으로 수정 예정입니다.
    다음 주 수요일 이후에 계속 그러면 알려주시길 바랍니다.
    참고 공지: https://www.fmkorea.com/1054217256

글 목록
분류 제목 글쓴이 날짜 조회 추천
공지 mp4 파일 올릴 때 발생하는 몇 가지 버그 수정되었습니다. 27 [레벨:36]시스템모니터 2018.07.05 1378 9
공지 [중요] [1차 수정] 회원정보에 허용되는 이메일 주소 7월 9일 변경 예정 192 [레벨:36]시스템모니터 2018.07.05 24069 46
공지 영문 글씨체 조절되었습니다. 9 [레벨:36]시스템모니터 2018.07.04 878 4
공지 인기글 보고 있을 때 페이지가 뒤죽박죽 되는 버그 수정되었습니다. 8 [레벨:36]시스템모니터 2018.07.04 221 12
공지 상위 망곰 아이콘 테스트 중입니다. 479 첨부파일 포텐 [레벨:36]시스템모니터 2018.07.01 41772 71
공지 모바일에 주소 복사 기능 추가되었습니다. 22 첨부파일 [레벨:36]시스템모니터 2018.06.26 339 33
공지 프로필 gif 용량은 10메가에서 15메가로 상향 조절되었습니다. 9 첨부파일 [레벨:36]시스템모니터 2018.06.24 2214 24
공지 첨부 파일 용량 확장, 프로필 용량 확장, 제휴 링크 공지 105 첨부파일 포텐 [레벨:36]시스템모니터 2018.06.23 15669 47
공지 2018년 6월 23일 새벽 3:10 부터 3:30 장애 발생했습니다. 8 첨부파일 [레벨:36]시스템모니터 2018.06.23 341 -6
공지 오늘 에펨코리아 동시 접속자 그래프입니다. 167 첨부파일 포텐 [레벨:36]시스템모니터 2018.06.18 34616 -80
공지 프로필 용량 상향 예정, 첨부파일 용량 확장 준비, 대문 시스템 업데이트 예정입니다. 192 포텐 [레벨:36]시스템모니터 2018.06.15 13191 -66
공지 포텐에 있는 "에펨코리아 현 상황 요약정리" 에 대해 제 답변이고 사과문입니다. 794 포텐 [레벨:36]시스템모니터 2018.06.12 47027 -830
공지 현 시각 동시접속자 기준으로 게시판 순위 179 포텐 [레벨:36]시스템모니터 2018.06.06 36864 162
공지 에펨코리아 게시판 최근 인기도순 및 여러 브라우저 업데이트 관련 안내 92 포텐 [레벨:36]시스템모니터 2018.05.26 18122 58
공지 펨코에서 페미니즘 관련 글을 금지하겠다고 한 적은 역사상 없습니다. 102 포텐 [레벨:36]시스템모니터 2018.05.20 29982 -96
공지 차세대 포텐 시스템 계획 공지 252 포텐 [레벨:36]시스템모니터 2018.05.14 24550 -103
공지 자동 로그인 풀리는 문제 패치 되었습니다. 73 [레벨:36]시스템모니터 2018.05.12 5834 6
공지 에펨코리아 "보안 강화" 프로젝트 안내 160 포텐 [레벨:36]시스템모니터 2018.05.05 27591 175
공지 자동 로그인 관리 기능 소개 및 자동 로그인 만료 설문 조사 72 첨부파일 [레벨:36]시스템모니터 2018.04.24 5996 2
공지 쪽지 관련 신고에 대한 처리안내 6 [레벨:31]독고 2018.04.17 1892 22
게시판 목록 페이징 이전 1 2 3 4 5 6 다음
/ 6