외환 2x Card 혜택

지금 쓰는 이 글은... 사실은 카드 홍보나 알림의 성격보다는.. ^^;
얼마전에 혜택이 좋은 것 같아서 새로 발급받은 외환카드 2x 알파의 (복잡한)혜택을 내가 기억을 못하는지라,
나중에 찾아보기 위한 스크랩 차원에서 남겨 놓습니다.
뭐 더 자세한 2x카드의 혜택이 궁금하시면 이 링크를 클릭해 직접 살펴봐 주세요~

저는 보험료를 이 카드로 납부하고, (그럼 매월 25만원 or 50만원 이상 사용실적이 됨)
남은 돈을 가지고 커피나 편의점, 통신요금, 교통비, 영화관 등 할인되는 서비스를 이용하는데 쓰려고 카드를 만들었습니다.
처음 6개월간은 25만원을.. 그 다음부터는 50만원으로 쭉 사용할 예정이에요~



[2x 알파 카드 혜택 모음 - 전월 카드 실적 25만원 이상 이용시]

통합 할인 한도 및 할인 서비스 제공 조건

전월실적	25만원 이상		50만원 이상	100만원 이상
할인 한도	15000원		30000원	60000원

커피전문점 최디 50% 할인
- 스타벅스, 카페베네, 커피빈, 탐앤탐스, 커핀그루나루, 파스쿠치, 드롭탑

	일반(6개월미만)		우대(6개월 이상)
할인율	25%		50%
월간 할인한도	1만원		2만원
할인조건	전월실적 25만원 이상

편의점 최대 10% 할인
- 세븐일레븐, GS25, 훼밀리마트(CU)

구분	일반(6개월미만)		우대(6개월 이상)
할인율	5%		10%
월간 할인한도	5천원		1만원
할인조건	전월실적 25만원 이상

통신요금 최대 10% 할인
-SKT, KT, LGU+

구분	일반(6개월미만)		우대(6개월 이상)
할인율	5%		10%
월간 할인한도	4,500원		9,000원
할인조건	전월실적 25만원 이상

  

인터넷 쇼핑몰, 홈쇼핑 최대 10% 할인
 - G마켓, 옥션, 11번가, 인터파크, 엔샵,CJ홈쇼핑, GS홈쇼핑, NS홈쇼핑, 현대홈쇼핑

구분	일반(6개월미만)		우대(6개월 이상)
할인율	5%		10%
월간 할인한도	5천원		1만원
할인조건	전월실적 25만원 이상

주유 최대 리터당 100원 할인
 - GS칼텍스(LPG 제외)

구분	일반(6개월미만)		우대(6개월 이상)
할인율	50원/리터		100원/리터
월간 할인한도	5천원		1만원
할인조건	전월실적 25만원 이상

대중교통 최대 7% 할인

 - 버스, 지하철

구분	일반(6개월미만)		우대(6개월 이상)
할인율	N/A		7%
월간 할인한도	N/A		5천원
할인조건	전월실적 25만원 이상

패밀리레스토랑 최대 10% 할인

 - VIPS, 아웃백스테이크, 씨즐러, TGIF

구분	일반(6개월미만)		우대(6개월 이상)
할인율	N/A		10%
월간 할인한도	N/A		1만원
할인조건	전월실적 25만원 이상

영화관 CGV콤보 서비스, CGV온라인 영화 예매 최대 4천원 활인

 - CGV

구분	일반(6개월미만)		우대(6개월 이상)
할인율	4천원~1만원 = 2천원 1만원이상 = 4천원 할인		4천원~1만원 = 2천원 1만원이상 = 4천원 할인 + CGV 콤보 무료 서비스
월간 할인한도	N/A		월 1회, 연12회
할인조건	전월실적 25만원 이상

놀이공원 할인 최대 50%

- 에버랜드, 롯데월드, 서울랜드 등

전국놀이공원	에버랜드, 서울랜드, 롯데월드, 통도 환타지아, 광주 패밀리랜드  회원 본인 자유이용권 50% 할인 통합 월 1회, 연 6회
캐리비안 베이	회원 본인 입장료 50% 할인
설악 워터피아	회원 본인 40% 할인, 동반 4인 20% 할인
중홍 골드스파	회원 본인 및 동반 1인 30% 할인
대구이월드	본인회원 자유이용권 50% 할인(일 1회, 연 6회)
전주동물원	회원 본인 무료 입장(월1회)

할인조건 : 전월 실적 25만원 이상

외환YES포인트 적립 서비스

구분	일반(6개월미만)		우대(6개월 이상)
적립율	0.2%		0.4%
적립한도	제한없음		제한없음
할인조건	전월실적 25만원 이상

연회비 

국내외 겸용 - 1만원, 국내전용 - 9천원
단, 연간 사용금액이 300만원 이상이거나, 외환은행 결제계좌 사용시 연회비 무료
가족카드 발급 시 연회비 무료.

[2013-02-15] SKComms의 개인정보 유출 20만원 위자료 지급 판결

그동안 기업의 개인정보 유출사고와 관련하여
기업이 그 관련 관리 운영에 대한 책임을 어느정도 인정하여 주었던 과거와 다르게,
오늘(15일)은 불충분한 관리 운영에 대한 귀책사유를 인정해서
서울서부지법 민사12부(배호근 부장판사는 피해자 2882명이 SK컴즈를 상대로 낸 손해배상 청구소송에서 원고들에게 1인당 위자료 20만원을 지급하라고 판결했다.

판결문을 직접 보지는 못했지만, 관련 기사들의 내용을 종합해 보면...
다음과 같은 내용이 있었을 것으로 보인다.

(법이나 규정 상에 있는 모든 의무를 다 하였더라 하더라도,)SK 컴즈는...
① 개인정보가 대규모로 유출 되었는데 탐지하지 못했다.
② 내부 관리/운영자가 PC를 끄지 않고 24시간 켜 둬서 해킹에 용이한 상태로 관리/운영했다
③ 기업 라이센스가 없고 취약한 공개용 알집(사실은 알툴즈 업데이트 프로그램이었지만)을 사용했다
④ 보안상 취약한 FTP 서버를 운용하고 있었다.

등이 이번에 귀책사유로 언급된 내용으로 판단된다.

이번 문제로 각 회사 보안 담당자가 신경써야 하는 부분이라고 하면...

첫째, anti-APT 등 네트워크 이상 트래픽을 분석, 그리고 개인정보의 유출에 대한 탐지 여부를 확인할 수 있어야 한다. 작게 자주 일어나는 것도, 크게 한번에 가져가는 것도 모두 탐지가 되어야 할 것이다. 다만, NW 장비라는건 암호화 된 트래픽이나 encoding 된 소켓 프로그램 등에 대한 탐지는 분석이 어려우므로, Endpoint 단에서의 탐지 등도 고민해 보아야 한다.
둘째, 회사 내에서 PC를 24시간 켜 놓고 쓰지 못하도록 하는 방법을 마련해야 한다.
셋째, 라이센스 관리를 철저히 해서, 내부에서 인가한 프로그램이 아니면 설치해서 쓰지 못하도록 더 철저히 관리해야 한다.
넷째, 회사 내부에 운영하는 FTP 등 파일 관리 서버에 대한 관리를 더 철저히 해야 한다.

가 있을 것 같다.
아마도 SK컴즈에서는 항소하지 않을까 싶긴 한데, 이번 사태가 어떻게 진행되느냐에 따라서 각 기업들의 담당자들의 앞으로의 기업 보안 관리 정책이 달라질 수 있을 것 같다.

+. 재미있는건, 다른 업체(악성코드를 탐지하지 못한 백신 업체 Symantec이나, 보안관제를 하고 있던 안랩, 해당 PC를 해킹할 수 있게 만든 0day 취약점이 있었던 알툴즈 등)들은 무혐의 판결을 받았다는 점이다. 과연 법조인들이 생각하는건 어디까지가 문제의 원인이고(과실이 되고) 어떤건 아니라고 보는 걸까.. 그 판단의 잣대가 무엇인지 참 아리송해.

Yahoo DOM XSS zero day

Shahin Ramezany가 공개한 야후 이메일 계정 해킹 시연 동영상




야후 이메일에 XSS 공격이 가능한 부분이 offensive-security 사이트를 통해 공개되었다.
(위의 동영상을 보면 attacker가 victim의 계정 세션을 훔쳐 로그인 한 해킹 시연 화면이 보임)
이 취약점을 밝힌 shahin은 야후에서는 shahin이 Abysssec.com 에서 공개한 취약점에 대해서 2013년 1월 7일 저녁 6시 20분에 이미 수정했다고 했지만, 아직도 완전히 Fix 되지는 않아서 공격이 먹히고 있다고 했다.

야후 메일을 사용하시는 분들은 메일에 덧붙여 들어가 있는 링크를 함부로 클릭하지 않아야 할 것 같다.

+. 이 공격을 공개한 Shahin에게 공격 Poc 코드를 제공하라고 많이들 DM을 보내는 모양인데 ㅋㅋㅋ  아래 Shahin씨가 Twitter에도 적었듯 PoC와 취약점 관련 상세문서는 Yahoo에서 취약점을 완전히 Fix 한 후 공개한다고 하니까 기다리시면 될듯 함.

http://www.offensive-security.com/offsec/yahoo-dom-xss-0day-prevails/

2012-Nov : Recent Security News

2012-11-04

Anonymous, VMWARE ESX Kernel 소스코드 해킹 및 소스코드 공개
http://thehackernews.com/2012/11/anonymous-leaks-vmware-esx-server-kernel.html#sthash.TywF4pcM.dpbs

Anonymous group member "Stun" announce the leak of VMware ESX Server Kernel source code via twitter today. The tweet reads,  "WILD LEAKY LEAK. FULL VMware ESX Server Kernel LEAKED LINK #Anonymous #AntiSec". VMware ESX is an enterprise-level computer virtualization product offered by VMware. The reason behind this wild leak by anonymous is that, Vmware continue producing on same level again and again which is not a good practice for better Security.

"Bullshitting people and selling crap. But it's time for Anonymous finally to deliver. Ofc VMware will try to make like this Kernel is old and isn't used in its recent products. But thanks god, there is still such as thing as reverse engineering that will prove it's true destiny." Hacker said.

- See more at: http://thehackernews.com/2012/11/anonymous-leaks-vmware-esx-server-kernel.html#sthash.TywF4pcM.dpuf (중략)

2012-11-04

@Doxbin를 포함한 해커가 Symantec  ImageShack 및 DB 서버 해킹 사실을 공개
http://thehackernews.com/2012/11/imageshack-server-and-symantec-database.html#_

Hackers hack into ImageShack server and expose all the files online, moreover Antivirus Company Symantec's portal also hacked by them and complete database of all 1000's of researchers dumped in a pastebin File. One of the hacker behind this hack avilable on twitter at @Doxbin.

Hacker expose content of few most important files of the server, like /etc/passwd , /etc/shadow , Content list of ImageShack Web directory (/home/image/www) and many more. Hacker claimed to use some zero day vulnerability in order to get into the server.

Whereas in Symantec case, hackers leak complete database from online portal. Database information includes Phone numbers, email, domain, password, Name, Username etc.

According to Hackers write up that exploit unknown zero-day bug of ZPanel used by Symantec to get into server. In same operation, hackers target CrytoCC website (http://kerpia.cryto.net/) also, which is a portal for independent developers. Its possibly a huge hack of the week and Possibly victim parties still unaware about the hack and data disclosed.

- See more at: http://thehackernews.com/2012/11/imageshack-server-and-symantec-database.html#sthash.gDfIMI56.dpuf 

2012-11-05

코카콜라, 2009년에 해킹당한 사실 숨겼다.
 : 악성 링크 삽입한 이메일을 임원들에게 보내는 방식, China Huiyuan Juice Group 인수 관련 자료를 얻기 위했던 것으로 알려져... 
 영문 뉴스 기사 : http://www.securityweek.com/coca-cola-hid-hack-2009-report

Officials at Coca-Cola reportedly hid the fact that the company was victimized in a breach in 2009.

According to Bloomberg News, the FBI approached the company when it learned hackers had stolen sensitive files about the company's $2.4 billion acquisition of China Huiyuan Juice Group, which eventually collapsed. The compromise was reportedly occurred via emails with malicious links that were sent to company executives.

In the first two days of the attack, a dozen tools were uploaded that allowed the theft of emails and documents, as well as the installation of a keystroke logger on the machine of a top executive in Hong Kong. The computer account passwords for other Coke executives were also stolen, allowing the attackers to move across the network more easily. (중략)

 한글 뉴스 기사 : http://www.etoday.co.kr/news/section/newsview.php?idxno=650213


2012-11-13

Antivirus의 전설로 알려진 (McAfee의 창립자) John McAfee가 살인혐의로 공개 수배...
http://www.securityweek.com/anti-virus-legend-john-mcafee-wanted-murder-belize

Anti-virus Legend John McAfee Wanted for Murder in Belize

BELIZE CITY - John McAfee, founder of the eponymous anti-virus company, is on the run for killing another US citizen in a resort town, Belizean police said Monday. Police raided McAfee's mansion on the island of Ambergris Caye, in northeastern Belize, late Sunday to question him about the murder of American Gregory Faull. But McAfee was nowhere to be found, said the head of the country's anti-organized crime brigade, Marco Vidal. McAfee "is wanted so that he can be interrogated for homicide," Vidal told reporters. Vidal's officers had searched McAfee's mansion several months ago looking for weapons and drugs, and detained him for several hours. (중략)

관련 추가 기사 (2012-11-15)

John McAfee는 자신을 대신해 이웃주민이 살해 당한 것이며, 자신도 죽일것이라고 자신의 무죄를 주장하며 여전히 도피중...
http://biz.chosun.com/site/data/html_dir/2012/11/15/2012111501881.html



2012-11-13

캐러비안에 있다는 한 섬 Guadeloupe의 국가 도메인이 해킹당해서 Twitter, Google을 포함 유명 도메인의 credentials이 유출

http://trickspak.blogspot.kr/2012/11/guadeloupe-national-domain-registrar.html

Guadeloupe is a Caribbean island located in the Leeward Islands, in the Lesser Antilles. Today a hacker going by name "UR0B0R0X" claimed to hack into the "Network Information Center Guadeloupe" (nic.gp), which is Guadeloupe National Domain registrar having control over domains of big companies like Google.gp, Paypal.gp, twitter.gp, Yahoo.gp,  and many more.

Hacker claimed to hack server of nic.gp and leak credentials (encrypted) of 1271 Guadeloupe domains and user accounts including usernames, email addresses and phone numbers from server as shown via a paste-bin note. and complete database uploaded on a file sharing site.

Samsung Smart Camera? with 3G/4G network

음.. 이제 드디어 제품간의 융합도 본격화 되어가고 있는 것 같다.

AT&T에서 자사의 4G망을 이용할 수 있는 삼성 갤럭시 카메라를 몇주 안에 판매할거라고 발표를 했다. 즉, 사용자는 LTE 등 이동통신망이나 WIFI등을 이용해 자신이 찍은 사진을 바로 페이스북이나 트위터에 올릴 수 있게 되는 것이다.
이 카메라의 OS는 안드로이드 플랫폼을 탑재해서, 이제 카메라 기능이 강화된 좀 작은 태블릿 PC가 카메라 라고 불리우게 된것 같다.

국내에서도 SKT와 KT가 삼성전자와 손잡고 3G/4G가 지원되는 안드로이드 기반의 갤럭시카메라를 10월부터 판매할 거라고 한다. 이제는 카메라도, 전자상가나 가전 대리점이 아닌 이동통신사 대리점에서 사게되는 날이 오게 되었다. 뭐.. 카메라를 제조하던 회사에서 스마트폰도 제조하니, 둘 기기의 융합도 손쉽게 되는것이 재미있긴 하다. 

사람들의 평을 보면, 스마트한 기능(안드로이드 플랫폼에 인터넷이 되는 등..) 때문에 카메라 성능에 문제가 있지 않을까 하는 우려는 접어도 될 것 같다. 아무래도 디지털 카메라를 오랜기간 제조해왔고, 스마트폰에서의 카메라기능도 많이 다뤄봤기 때문에 가능한게 아닌가 한다. (1600만화소 CMOS 이미지센서, 23mm 광각렌즈, 줌 성능은 광학 21배까지 지원한다.)

다만, 우려되는 점은 카메라를 살때 이동통신사의 통신요금을 태블릿PC처럼 부과되는 것에 대해 사용자들의 불만이 있지 않을까 하는 점이다. 특히 국내에서 LTE는 OPMD도 지원을 안해주고 있기 때문에, 아무래도 사용자들이 WIFI만 되는 카메라보다 이것을 사고 싶다는 메리트를 별로 못느끼지 않을까. 

아마 이런 점들 때문에 이동통신사도, 삼성전자도 가격을 놓고 고민에 휩싸인듯 하다... 아직 가격은 공개되지 않았다.

이제 컴퓨터 뿐만이 아닌 TV나 오디오, 자동차, 카메라... 등 도 모두 네트워크 기능이 들어가있다. 향후 세탁기, 가스레인지, 냉장고에도 이런 기능이 들어가게 되고, 스마트폰이 폰이자 리모컨 기능을 탑재하게 될 날이 오는게 머지 않은것 같다. 아무래도 그때를 생각하면 기기간의 인증이나 안전한 원격 명령 수행 등 보안이 엄청 중요한 포션이 될 것은 분명해 보인다. 특히, 안드로이드폰의 경우는 rooting이 쉽고 위변조된 앱의 유통이 너무 쉬운 구조이기 때문에 보안에 더 많은 신경을 써야 하는게 아닐까.

2011년 10대 기업 IT 동향

○ 시장조사기관 오범(Ovum)은 2011년 기업 IT(enterprise IT)의 가장 중요한 세가지 동향은

보안, 클라우드 서비스, 지속 가능성이 될 것으로 전망

- 2011년 주요 동향을 파악함으로써 발생할 기회를 잘 활용하고 이에 수반되는 과제를

해결할 전략을 마련하는 것이 시급하다고 조언

---

◆ 10대 기업 IT 동향

(1) 보안 : CIO는 기술, 정책, 인력을 통합한 접근법을 도입해야 하고, 기업보호에

대해 보다 포괄적인 견지에서 보안 위험 및 규제 준수 문제 고려 필요

(2) 데이터 관리 : 하드웨어 용량 및 자원 누수 문제에 효과적으로 대처하기 위해

마스터 데이터 관리 및 스토리지 관리 환경 구축 필요

(3) 비즈니스 분석 : 의사결정을 개선하고 새로운 비즈니스 기회를 포착하며, 비용

절감 효과를 극대화하고 비효율적인 요소를 간파할 수 있는 분석 기술의 능력 때문에 중요성 증대

(4) 이동성 : 신기술을 수용하는 한편, 사용자 선호도, 생산성, 기업 보안, 규제 준수 간의 균형을 유지할 수 있는

전략 개발 필요

(5) 데이터센터 혁신 : 2011년 클라우드 컴퓨팅 시대가 IT 서비스 공급 방식에 변화를 줌으로써

기업이 복잡한 대규모 데이터센터의 구축 및 운영 가치를 재고할 것으로 전망

(6) 클라우드 서비스 : 2011년에도 클라우드 컴퓨팅은 지속적으로 성장할 것으로 예상

(7) 협업 : 업무 방식 변화에 대처하기 위해 지시와 통제를 바탕으로 한 전통적

위계 구조에서 협업과 팀워크를 강조하는 구조로 전환할 필요

(8) 지속 가능성 : 2011년에는 기업들이 보다 환경 친화적인 방법으로 작업할 수

있는 기회가 찾아올 것으로 예상

(9) IT 재정 관리 : 재무 건정성에 관심을 기울이고 보다 나은 IT 재정 관리 방식을

도입하여 IT 부서의 역량을 개선하고 비즈니스 투자 가치를 입증

(10) 상황 인식 컴퓨팅 : 비즈니스 프로세스 자동화 및 생산성 향상 측면에서

중요한 역할을 하는 기계화, 계측 및 무선 기술에 관심 필요

출처URL : http://about.datamonitor.com/media/archives/5153

* Datamonitor, 2010.11.30

맥아피, 2011년 8대 위협 전망 발표

○ 미국 컴퓨터 보안업체 맥아피(McAfee)는 ‘2011년 위협 예측 보고서(2011 Threats Predictions)’ 발표(2010.12) - 본 보고서에 따르면 스마트폰, 스마트패드, 소셜 미디어, 위치정보서비스 등 IT 신기술을 적용한 기기들이 사이버 공격의 집중 대상이 될 것이라고 예측 ◆ 2011년 8대 위협 전망 ① 소셜 미디어 공격 : URL 단축 서비스와 위치정보서비스의 악용 o URL 단축(URL shortening)* 서비스 악용 - 맥아피는 소셜 미디어 사이트 중에서 URL 단축 서비스를 제공하는 사이트가 사이버 보안이 가장 취약할 것으로 예측 - 분당 3,000개 이상 발생하는 단축 URL은 스팸, 사기, 기타 범죄의 목적으로 이용 되는 경우가 증가할 전망 * 월드 와이드 웹 상의 긴 URL을 짧게 만들어 주는 기술 o 위치정보서비스 악용 - 포스퀘어(foursquare), 고왈라(Gowalla), 페이스북 플레이스 (Facebook Place)와 같은 위치정보서비스를 통해 친구와 낯선 사람들의 위치를 쉽게 검색하고 추적이 가능함에 따라 사이버 범죄자가 개인정보 악용 가능 ② 모바일 : 모바일 사용 증가로 인한 사이버 공격 증가 o 모바일 부문에 대한 위협은 현재까지 거의 없었으나, 2011년은 모바일 기기를 대상으로 한 공격과 위협이 급증할 것이라고 전망 ※ 2010년 안드로이드에 루트킷(rootkits), 아이폰의 탈옥(jailbreaking), 제우스 (Zeus) 악성코드 발생 ③ 애플 o 맥 OS를 겨냥한 멀웨어가 계속 첨단화될 것이며, 아이패드와 아이폰을 사용하는 사용자들의 보안에 대한 이해 부족으로 개인정보노출 위험 증가 및 봇넷과 트로이 목마 바이러스가 발생할 것 ④ 애플리케이션 : 인터넷 TV를 통한 개인정보 유출 o 개발업체들의 안전성이 보장되지 않은 인터넷 TV 출시로 인해 널리 배포된 미디어 플랫폼에 악성 애플리케이션이 점점 증가할 것이며, 이로 인해 개인정보가 노출되거나 공격의 대상이 될 것 ⑤ 합법성을 가장한 술책 o 합법적 파일을 모방한 승인된 멀웨어가 더욱 확산될 것이며, 친구에게서 온 것처럼 위장한 소셜미디어에서 나오는 쿱페이스(Koobface)*, VBMania 등의 바이러스가 계속 증가할 것 * 사용자의 카드번호 등 개인정보를 수집하는 악성코드 o 또한, 특정 환경에서 작동하도록 고안된 ‘스마트 폭탄’ 공격도 증가할 것으로 예상 ⑥ 봇넷(Botnet)* o 맥아피는 최근에 제우스와 스파이아이(SpyEye)가 통합되어 보안 메커니즘과 법적 감시를 피하는 방법이 개선되었기 때문에 더욱 첨단적인 봇이 출현할 것으로 예상 * 일종의 군대처럼 악성 봇에 감염되어 명령·제어 서버에 의해 제어당하는 대량의 시스템들로 구성된 네트워크로 수십에서 수만 대의 시스템이 동시에 명령을 전달받아 실행하여 대규모의 네트워크 공격 등 다양한 악의의 행위 가능 ⑦ 핵티비즘(Hactivism)* o 핵티비즘이 2011년 이후로 정치적 입장을 표현하는 새로운 방식이 될 것이며, 이 과정에서 소셜 네트워크를 포함시켜 더욱 전략적으로 될 것 * 정치·사회적인 목적을 위해 자신과 노선을 달리하는 정부나 기업·단체 등의 인터넷 웹 사이트를 해킹하는 일체의 활동이나 주의 ⑧ 지능적 지속(APT, Advanced Persistent Threat)* 위협 o APT가 국가 안보나 주요 국제 경제활동과 관련된 모든 규모의 회사는 이메일 아 카이브, 문서 보관소, 지적재산 저장소, 기타 데이터베이스를 공격할 것이라고 전망 * 충분한 자금력을 가진 첩보활동을 위해 수행되는 다양한 공격으로부터의 위협 첨부파일 : rp-threat-predictions-2011.pdf