7월, 2018의 게시물 표시

공급망 공격으로 PDF편집기에 악성코드 심어

한 PDF 편집기 앱이 공급망 공격(supply chain attack)을 당해 몰래 가상화폐를 채굴하는 악성코드를 퍼뜨리는 데 이용됐다. PDF 편집기 개발사가 직접 해킹을 당한 것이 아니라, 이 개발사 및 다른 곳에 폰트를 공급하는 제휴사의 클라우드가 해킹 당했다. 따라서 다른 6개의 앱 개발사도 피해를 입었을 가능성이 있지만 확인되지는 않았다. 이 폰트는 msi 파일 형식으로 제공되므로 윈도우가 표적이었으며, UWP 앱(스토어 앱)이 아니라 데스크탑 프로그램을 노린 것임을 알 수 있다. 해커는 여러 개의 msi 파일 중에 아시안 폰트를 설치하는 것 1개만을 변조하여 악성코드를 심었다. 문제의 편집기 사용자 중 아시안 폰트를 설치한 사람만이 감염되는 것이다. 이 편집기 개발사는 비주류여서 피해자가 많지는 않았다. 이 사건의 중요한 교훈 중 하나는 관리자 권한으로 실행되는 앱을 조심해야 한다는 것이다. 설치나 실행시 사용자 계정 컨트롤(UAC)에 의해 경고창이 뜨는 것 말이다. 이것은 시스템 설정에 변경을 가한다는 사실을 확인하는 것인데, 편집기 같은 일반적인 앱은 관리자 권한이 필요없다. 그러나 문제의 PDF 편집기는 관리자 권한을 요구했다. 악의적이거나 무개념이라는 점을 암시한다. 앞서 말했듯 동일한 폰트를 공급받은 개발사가 6개나 더 있었음에도 유독 이 회사만 피해가 확인된 것만 봐도 알 수 있다. 같은 맥락에서 Windows 10 사용자라면 UWP 앱(스토어 앱)을 사용하는 것이 좋다. 이는 제한된 권한만을 갖고, 샌드박스에서 실행되기 때문이다. 공급망 공격은 일단 성공하면 대박이므로 최근 증가하는 추세이다. 해당 프로그램을 사용하는 모든 사람에게 쉽게 악성코드를 감염시킬 수 있기 때문이다. 근본적으로는 개발사가 보안에 철저해야 하지만, 사용자도 프로그램 및 개발사를 선택하는 데 신중해야 한다. 뛰어난 성능도 중요하지만 신뢰성을 더 우선시 해야 한다. 참고 자료 Font of pwnage: Crims poison we...

MDM을 이용한 스마트폰 해킹

2주쯤 전에, 2015년부터 인도에서 행해진 13대의 아이폰에 대한 극도로 표적화된 해킹이 발견됐다. 그러나 최근 이것은 윈도우와 안드로이드까지 포함된 광범위한 작전의 일부에 불과하다는 사실이 밝혀졌다. MDM(Mobile Device Management)은 조직에서 구성원의 모바일 기기를 일괄적으로 관리하는 시스템이다. 사원의 스마트폰으로 사내 보안구역을 촬영할 수 없도록 조작하거나, 분실된 사원의 기기에서 정보가 유출되지 않도록 원격 삭제하는 등이 그 예다. 이것을 악용하여 사용자 몰래 악의적인 MDM 솔류션에 등록하면, 악성코드 설치 및 정보 유출을 포함해 기기를 맘대로 조작할 수 있다. 물론 특정 MDM에 등록하려면 관련 인증서 설치를 비롯해 사용자가 수동으로 몇 가지 단계를 수행해야 한다. 이 해킹 건을 발견한 시스코 탈로스는, 사용자를 속여 악의적인 MDM에 등록하기 위해 가짜 기술지원 전화 같은 사회공학적 기법을 이용했거나, 아니면 아예 물리적으로 기기를 조작했을 것으로 보고 있다. 최초 발견된 아이폰 해킹에서는, 텔레그램이나 왓츠앱 같은 정상 앱에 악성코드를 삽입한 악성 버전을, MDM을 이용해 설치했다. 그리하여 사용자를 염탐하고 실시간 위치, 메시지, 사진, 연락처 등 정보를 빼냈다. 이를 조사하는 과정에서, 동일한 해커단의 인프라에서 다른 운영체제 사용자를 노린 MDM과 악성코드를 발견하게 된 것이다. 로그인 정보를 훔치는 사파리 브라우저의 악성 버전도 발견됐다. 이런 종류의 공격에 당하지 않으려면, 어떤 서비스에 등록할 때는 신중을 기하고, 앱은 공식 스토어에서만 설치하라고 조언했다. 참고 자료 iPhone Hacking Campaign Using MDM Software Is Broader Than Previously Known Hackers Used Malicious MDM Solution to Spy On 'Highly Targeted' iPhone Users  

넷스펙터, CPU 해킹 취약점 스펙터의 진화된 변종

악성코드가 필요없는 넷스펙터(NetSpectre) 27일 현존 대부분의 CPU에 존재하는 취약점인 스펙터(Spectre)의 특이한 변종이 공개됐다. 지금까지 발견된 스펙터 류의 취약점을 이용한 공격에는 피해자의 기기에 설치된 악성코드나, 악의적인 웹사이트에 심어놓은 자바 스크립트가 필요했다. 그러나 넷스펙터는 네트워크 연결을 통해 바로 CPU를 공격하여, CPU의 메모리에서 민감한 정보를 빼낼 수 있다. 이 공격은 표적이 된 기기에 특수하게 가공된 요청 패킷을 대량으로 보내고, 응답 시간을 측정하는 방식으로 이루어지는 부채널(side-channel) 공격이다. 그러나 엄청나게 느린 공격 속도가 약점이다. 시간당 15bits, 인텔에 특유한 AVX2 모듈을 이용하면 60bits의 속도로 정보를 탈취할 수 있다. 이 때문에 넷스펙터는 단지 이론적인 것에 불과하다는 견해도 있다. 그러나 로우해머(RowHammer) 취약점의 경험처럼, 계속된 연구로 공격 속도가 극적으로 향상될 가능성도 있다. 또 하나 다행인 점은 원조 스펙터에 대응한 패치로 넷스펙터도 막을 수 있다는 것이다. 관련 자료 스펙터 & 멜트다운, 인텔CPU 해킹 취약점 CPU 해킹 취약점 스펙터 1.1 & 1.2 참고 자료 New NetSpectre Attack Can Steal CPU Secrets via Network Connections NetSpectre — New Remote Spectre Attack Steals Data Over the Network  

스마트폰 LG G7 씽큐 특징

이미지
디자인 후면도 강화유리로 되어있다. 뉴 세컨드 스크린 노치 디자인은 전면을 최대한 활용할 수 있는 장점이 있는 반면, 생소한 모양으로 호불호가 갈리고 있다. 이 점을 보완하여 알림 영역의 색을 변경하여 보기좋게 꾸미거나 노치를 숨길 수 있게 했다. 성능 씨넷 리뷰에 따르면, 스냅드래곤 845를 채용하여 뛰어난 성능을 보여준다. 배터리 성능은 미흡했다. 비행기 모드에서 동영상 연속재생으로 테스트한 결과, 평균 12시간 38분을 버텼다. 반면 갤9와 원플러스6은 15시간 30분을 기록했다(참고 자료 1). 게임 플레이 장면 인공지능 카메라 피사체를 자동으로 분석해 인물, 동물, 풍경 등 총 19가지의 모드에 따라 최적화된 색감과 효과를 추천해 준다. 주변이 어두울 때는 자동으로 슈퍼 브라이트 카메라를 추천해 밝게 찍을 수 있도록 한다. 슈퍼 브라이트 카메라 사용 예시(참고 자료 2) 붐박스 스피커 테이블이나 상자 위에 올려놓으면 폰 자체가 울림통 역할을 하여 풍부한 사운드를 들려준다. 고급 기종 스펙 비교 그 외에도 구글 어시스턴트와 Q보이스의 인공지능, 최대 1000니트의 밝고 선명한 화면, DTS X 입체음향, LG페이 등의 특징이 있다. 참고 자료 LG G7 ThinQ review: Does everything right except excite you LG G7 씽큐, 한 달간의 사용기  

탈중앙화 거래소 오픈 잇따라

최근 가상화폐 거래소들이 잇따라 해킹을 당함에 따라 DEX(탈중앙화 거래소)가 대안으로 떠오르고 있다. 탈중앙화를 표방한 신생 거래소들이 하나 둘 생겨나고 있는데, 조만간 코러버와 뉴비트가 오픈할 예정이다. 기존의 중앙집중형 거래소는 실제 가상화폐로 움직이는 것이 아니라 중앙DB(거래소 자체 지갑)에 의해 숫자상으로만 움직이기 때문에 해킹에 취약하다. 또한 고객 계정의 개인 키를 서버에 보관하기 때문에 거래소가 해킹당하면 고객 자산도 위험해진다. 반면 DEX는 가상화폐의 실제 블록체인을 통해 거래가 이루어진다. 그리고 고객이 직접 관리하는 개인 지갑에서 바로 거래가 이루어지고 거래소는 개인 키를 보관하지 않는다. 따라서 해킹을 하더라도 훔쳐갈 게 없다. 또한 개인 지갑을 사용하기 때문에 ICO와 AirDrop도 바로 참여할 수 있다. 단점이라면 거래 속도가 느리다는 것인데, 이들 거래소들은 이 문제를 보완했다고 주장하고 있다. 한편, 7월초 탈중앙화를 표방한 거래소 방코르가 해킹당해 탈중앙화도 역시 문제가 있는 것 아니냐는 의구심을 불러일으킨 일이 있었다. 그러나 탈중앙화 시스템의 문제는 아닌 것으로 밝혀졌다. 관련 자료 방코르 해킹, DEX 시스템 문제는 아니었다 참고 자료 탈중앙 집중형 하이브리드 거래소 ‘코러버’(Colover) 오픈 예고 해킹으로부터 안전한 탈중앙화 거래소 뉴비트(NEWBIT), 사전예약 개시  

타이탄 시큐리티 키, 구글의 하드웨어 보안 키

구글이 2단계 인증용 하드웨어 보안 키, 타이탄 시큐리티 키(Titan Security Key)를 선보였다. USB나 블루투스로 연결하여, 기존 휴대폰이나 OPT 기기로 하던 추가 인증을 수행한다. 구글은 1년 전 직원들의 계정 보호 수단으로 도입했는데, 그간 8만5천여 직원 가운데 피싱 등으로 계정을 침해당한 경우가 하나도 없었다. 그래서 앞으로는 일반 사용자용으로 판매를 계획 중이다. 하드웨어 보안 키는 YuBiCo의 유비키처럼 이미 사용되고 있다. 그러나 지원하지 않는 사이트도 많고, 휴대폰과 달리 별도의 기기를 휴대해야 하기 때문에 보급이 잘 되지 않고 있다. 보안성은 휴대폰의 SMS를 이용한 방식보다 좋다. 구글의 보안 감독관은 "피싱 사이트에서 암호 탈취 > 해커 즉시 로그인 > SMS 인증 메시지 발송 > 피싱 사이트에서 인증 번호 입력을 요구하여 탈취 > 계정 탈취 완료" 라는 시나리오를 제시했다. 이런 공격은 실제로 행해지고 있다. 하드웨어 키를 사용하면 이런 식의 공격은 불가능하다. 그러나 세션 쿠키를 탈취하는 등 OTP조차도 우회하는 공격 방법이 몇 가지 나와 있는데, 여기에는 별 수 없을 것이다. 2단계 인증이나 하드웨어 키는 상당히 효과적인 방어 수단이다. 그러나 역시 허점도 있으므로 과신하지는 말아야 한다. 관련 자료 2단계 인증도 해킹 가능 참고 자료 구글, 피싱에 맞서 FIDO 보안 키 직접 판다

스마트폰 LG V35 씽큐 특징

이미지
디자인 7.3밀리, 157그램으로 동급 성능의 스마트폰 중 가장 얇고 가볍다. 뉴 오로라블랙 색상은 주변 빛에 따라 푸른색이 감도는 고급스러운 느낌이라 한다(참고 자료 2). 기본 성능 씨넷 리뷰에 따르면, 스냅드래곤845를 채용해서 최상급의 성능을 보여준다. 배터리 성능은 비행기 모드에서 동영상 연속재생으로 측정했는데, 평균 16시간 47분으로 최상급으로 평가됐다. 갤9+는 17시간, 픽셀2 XL은 14시간이었다(참고 자료 1). 게임 플레이 영상 인공지능 카메라 피사체를 자동으로 분석해 인물, 동물, 풍경 등 총 19가지의 모드에 따라 최적화된 색감과 효과를 추천해 준다. 주변이 어두울 때는 자동으로 슈퍼 브라이트 카메라를 추천해 밝게 찍을 수 있도록 한다. 스펙 기타 특징으로는 OLED 디스플레이, DTS 입체음향, 무선충전, 방수방진 IP68 등급, LG페이 등이 있다. 참고 자료 LG V35 ThinQ review 인공지능으로 진화한 LG V35 씽큐, V30과 또 다른 점은?  

하드웨어 지갑도 안전하지 않다

최근 잇단 가상화폐 거래소 해킹으로 하드웨어 지갑에 관심을 갖는 사람이 많다고 한다. 그러나 하드웨어 지갑도 결국 소프트웨어에 의해 구동되고, 구동 소프트웨어에 취약점이 있을 경우 해킹 위험이 있다. 실제로 보안전문가 세르게이 볼로키틴은 하드웨어 지갑의 운영체제와 관련 솔류션의 취약점을 이용해 원격으로 해킹할 수 있음을 밝혀냈다. 물리적으로 지갑에 접근할 경우엔 개인키와 데이터를 빼낼 수 있다. 공급망 공격으로 소매점 혹은 중고거래의 경우 판매자가 사전에 악성코드를 설치한 채 판매할 수도 있다. 이 연구의 자세한 내용은 8월초에 열리는 블랙햇 행사에서 발표할 예정이다. 그리고 이번 연구에서는 생체인증 솔류션의 취약점도 이용했는데, 이것은 지갑 외에도 많은 용도로 사용되고 있어 문제가 확대될 수도 있다. 하드웨어 지갑의 취약점을 이용하는 해킹이 구체적으로 어떤 모습일지는 모르겠지만, 그리 쉽지는 않을 것이다. 그러나 하드웨어 지갑 사용자를 노리는, 쉽고도 효과적인 공격이 이미 행해지고 있다는 점을 주의해야 한다. 가상화폐 거래시 수취인 지갑주소를 해커의 것으로 바꿔치기하는 악성코드는 오래 전에 나왔다. 이것은 소프트웨어 지갑이든 하드웨어 지갑이든 가리지 않는다. 또한 하드웨어 지갑의 복구코드를 탈취하는 피싱 시도도 있었다. 복구코드를 알면 지갑을 복제할 수 있다. 아직 많이 알려지지 않은 사실이라 피해자가 많이 발생할 수도 있겠다. 결론을 말하자면 하드웨어 지갑이 비교적 안전한 것은 사실이지만 취약점이 있을 수 있고, 역사가 오래되지 않기 때문에 제조업체의 역량이 충분히 검증되지 않은 면도 있다. 따라서 악성코드나 피싱에 대해 항상 경계를 늦추지 말아야 한다. 관련 자료 하드웨어 지갑 트레조 노린 피싱 공격 가상화폐 지갑을 해킹으로부터 지키는 방법 참고 자료 Software is Achilles Heel of Hardware Cryptocurrency Wallets  

가짜 앱 구별하기

최근 해킹 추세는 피싱(phishing), 가짜 앱(fake app) 등 사용자를 속이는 데 초점을 맞추고 있다. 소프트웨어의 보안 수준이 향상되어 악성코드 설치가 쉽지 않은 데다, 취약점 이용(익스플로잇, exploit)이란 게 오류 상황을 이용하는 것이므로 결과가 불확실하기 때문이다. 반면 사용자를 속여서 악성코드를 설치하게 하면 사용자와 동일한 권한으로 악성 행위를 수행할 수 있다. 안드로이드의 경우를 예로 들면, 어떤 가짜 앱을 유용한 앱으로 속여 설치하게 만들었다고 해보자. 설치시 여러 권한을 요구할 텐데, 피해자는 이미 유용한 앱으로 믿고 있으므로 대부분 허락하게 될 것이다. 가짜 앱은 비정상적인 경로로 유포되는 경우가 많지만, 구글이나 애플의 공식 스토어에 침투하는 경우도 적진 않다. 그리고 탐지 및 제거도 어렵게 악질화되고 있다. 기기가 느려지거나 이상 작동을 하는 등의 눈에 띄는 증상이 없는 경우도 많다. 결국 아예 설치되지 않도록 미리 조심하는 게 최선이다. 가짜 앱을 식별하고 대응하는 방법은 다음과 같다. 철자나 문법을 잘 살핀다. 유명한 개발자 이름이나 앱 이름을 살짝 바꿔 가장하는 경우가 많다. 그리고 가짜 앱은 설명이 엉성한 경우가 많다. 다운로드 횟수를 본다. 누구나 알만한 유명한 앱인데 다운 수가 현저하게 적다면 가짜일 확률이 높다. 사용자 리뷰를 읽어 본다. 보안회사의 조사도 뭔가 이상하다는 사용자 불평에서 시작되는 경우가 제법 된다. 과도한 권한을 요구하는 앱에 주의한다. 맞는 말이지만 애매하기도 하다. 정상 앱도 무수히 많은 권한을 요구하기 때문이다. 가장 유력한 징후는 관리자 권한이다. 시스템 유틸리티 외에는 거의 요구하지 않지만, 악성코드가 제대로 활동하기 위해서는 꼭 필요하므로, 관리자 권한을 요구하면 일단 의심해야 한다. 악성 앱을 찾아서 지울 때는 캐시와 데이터 파일도 함께 지우는 것이 좋다. 잔재물을 완전히 없애는 것이다. 앱 런처에서 보이지 않는 악성 앱도 있다. 대표적으로 히든마이...

블루투스 페어링 시 암호화 버그로 해킹 취약점

블루투스(Bluetooth) 기능에서 중간자 공격(Man-In-the-Middle attack)이 가능한 해킹 취약점이 발견됐다. 페어링 과정에 끼어들어 암호화 키를 가로챌 수 있다는 것으로, 이스라엘 공대의 연구팀이 발견했다. 이 취약점은 CVE-2018-5383으로 등록됐으며, 2개의 블루투스 기능과 관련이 있다. 하나는 운영체제에 있는 Bluetooth LE의 Secure Connections Pairing 기능이고, 두나는 장치 펌웨어에 있는 BR/EDR의 Secure Simple Pairing 기능이다. 이 두 기능은 페어링 과정 중에 수신되는 공개키를 검증하는 역할을 하는데, 블루투스 스펙에서 권장하는 사항이지만 의무 사항은 아니다. 따라서 일부 공급자의 제품에서는 공개키 검증이 충분히 이뤄지지 않는다. 그래서 해커가 중간에서 암호화 키를 가로채서는 결국 트래픽을 가로채고, 훔쳐보고, 변조할 수 있는 것이다. 변조에는 악성코드 삽입도 포함된다. 다만, 공격이 성공하려면 다음 3개의 조건이 충족돼야 하기 때문에 실제로 활발하게 이루어질 것 같지는 않다. 하나, 해커가 물리적으로 블루투스 도달 거리 내에 있어야 한다. 대략 10미터 정도다. 두나, 공격 대상 기기 2대 모두가 취약해야 한다. 세나, 페어링되는 동안이라는 짧은 시간 안에 공개키를 가로채야 한다. 현재 애플, 브로드컴, 인텔, 퀄컴의 제품(칩셋 또는 운영체제)이 취약한 것으로 밝혀졌고, 마이크로소프트의 제품은 취약하지 않다. 구글, 안드로이드, 리눅스는 확실치 않다. 애플과 인텔은 이미 패치를 배포했다. 또한 블루투스 기술을 관장하는 Bluetooth SIG는 공개키 검증을 의무화하는 내용으로 스펙을 업데이트했다. 참고 자료 New Bluetooth Hack Affects Millions of Devices from Major Vendors  

해커단 MoneyTaker가 러시아 은행을 털다

최근 머니테이커라는 해커단이 러시아 은행 네트워크에 침투해 약 100만 달러를 훔친 사실이 드러났다. 5월말 시작된 공격으로 피해자는 PIR Bank였다. 머니테이커는 구버전 라우터를 해킹해 은행의 네트워크에 침투해서 악성코드를 심었다. 이후엔 파워셸을 이용해 은밀히 공격을 계속했다. 이들은 이전에도 미국, 영국, 러시아 등지에서 다수의 금융기관 해킹 사건에 연루돼 있다. 네트워크에 연결된 단 1개의 취약한 기기 때문에 전체 네트워크가 해킹당할 수 있다는 점을 여실히 보여준다. 그리고 파워셸을 비롯한 정상 유틸리티를 이용한 은밀한 공격이 증가하는 추세이다. 또한 취약한 라우터(공유기)를 공격의 발판으로 삼았다는 점에서 근래의 해킹 트렌드를 모두 보여주는 사례이다. 관련 자료 파워셸(PowerShell) 악성코드 급증세 IoT 온도계로 카지노를 해킹하다 슬링샷(Slingshot), 공유기로 침투하는 은닉형 악성코드 참고 자료 해커 그룹 'MoneyTaker', 은행 해킹해 1백만 달러를 훔친 방법  

그림파일에 악성코드 숨겨

스테가노그래피(steganography) 이용 18일 웹사이트 보안업체 Sucuri에 따르면, PayPal 보안 토큰을 탈취하는 해킹에 그림 파일이 이용됐다. pacman.jpg라는 그림 파일의 정보 데이터(EXIF data)의 UserComment(주석 혹은 설명) 섹션에 암호화된 악성코드를 심은 다음, 악성 스크립트로 해독하여 실행하는 것이다. pacman.jpg는 구글 플러스나 구글 포토 같은 서비스를 이용해 구글 서버에 올려놓았다. 그림 파일은 대부분 보안 소프트웨어에서 심각하게 다루지 않으므로 콘텐츠 필터링을 비롯한 보안 툴을 회피하기 위한 것이다. 이렇게 정상 파일에 다른 내용물을 몰래 삽입하는 것을 스테가노그래피(steganography)라 한다. 해킹이나 피싱에 신뢰할 수 있는 사이트를 이용하는 수법은 최근 증가하는 추세이다. 관련 자료 파일 확장명 위장한 악성코드 구글 독스(docs)를 이용한 피싱 주의 참고 자료 Hiding Malware Inside Images on GoogleUserContent  

로봇청소기 Diqee 해킹 취약점

중국제 로봇청소기 디키 360에서 원격으로 해킹할 수 있는 취약점이 발견됐다. 이 제품은 와이파이와 360도 회전카메라를 탑재해 집안을 돌아다니면서 감시하는 기능을 갖췄다. 악용되면 스파이 로봇이 되는 것이다. CVE-2018-10987은 원격코드실행이 가능한 취약점이다. 특수하게 조작된 UDP 패킷을 보내면 루트 권한으로 임의의 코드를 실행할 수 있다. 경우에 따라서는 기본 관리자 암호인 '888888'로 코드실행 권한을 얻을 수도 있다. 이 취약점을 발견한 포지티브 테크놀로지에 따르면, 같은 카메라 모듈을 사용한 다른 제품들(CCTV나 다른 청소기 등)도 같은 취약점을 갖고 있을 가능성이 높다고 한다. CVE-2018-10988 취약점은 SD카드의 특정 경로에 있는 코드를 루트 권한으로 실행하는 것이다. 제품 부팅 시 펌웨어 업데이트를 SD카드에서 찾는데, 디지털 서명을 확인하지 않는 것이 문제다. 악성코드가 담긴 SD카드를 삽입해야 하므로 집안에 스파이가 있어야 한다. 참고 자료 중국산 로봇 청소기에 의해 개인 정보가 유출된다?  

계정 해킹으로 카드결제, 카카오톡 피싱까지

최근 계정 도용으로 해외에서 신용카드를 무단 결제하는 사건이 잇따르고 있다. 7.7일 한 이용자는 계정 도용으로 애플에서 해외 결제돼 환불받기도 했다. 한 보안전문가에 따르면 4~7월 사이 이런 사건이 많이 발생하고 있으며, 카드 정보 도용에는 계정 탈취가 큰 몫을 차지하고 있다고 한다. 카드 무단결제는 아직까진 복제카드에 의한 경우가 대부분이었는데, 간편결제가 많이 보급되며 계정 해킹도 원인이 되는 것 같다. 또한 계정 해킹 후 피해자를 가장하여 계좌이체를 요구하는 사건도 꾸준히 발생하고 있다. 최근의 한 사례를 보자. 먼저 피싱으로 네이버 계정을 탈취한다. 블로그 불량게시물 및 징계 알림으로 위장해 피싱 메일을 보내 가짜 사이트에서 로그인하게 만든다. 여기에 입력한 로그인 정보는 그대로 해커에게 넘어간다. 그 다음 탈취한 네이버 계정으로 로그인해 주소록의 친구 목록을 다운로드한다. 주소록 정보를 이용해 타인의 이름, 프로필 사진을 도용해 그 사람 행세를 하며 급한 용무를 핑계로 카카오톡으로 계좌이체를 요구한다. 카카오톡 계정은 스마트폰과 연결되어 있어 직접 해킹하는 것은 상대적으로 어렵다. 따라서 보다 쉬운 포털 계정을 해킹하는 방법을 쓰는 것이다. 금전 문제 등 중요한 일은 직접 통화로 확인하는 것이 필요하다. 또한 수사망을 피하기 위해 피싱 조직은 해외에서 활동하는 경우가 많으므로, 카카오톡은 해외에서 접속한 프로필에는 표시를 해주고 있다. 그러나 접속 IP는 VPN으로 쉽게 속일 수 있으므로 큰 도움은 안될 것이다. 관련 자료 SNS계정 도용한 피싱 기승 카드 복제 피해에 대비하는 방법 참고 자료 카톡 계좌이체에 해외 결제까지...계정 탈취 피싱주의보  

민원 프로그램 이용한 해킹 시도

17일 사이버전 연구기관인 이슈메이커스랩(IssueMakersLab)은 북한 해커단 안다리엘(Andariel group)이 지방공무원 노조 사이트를 해킹했다고 밝혔다. 공무원을 노린 것으로, 공무원의 로그인 정보를 탈취하거나 그의 PC를 이용해 정부 내부망으로 침투할 목적으로 보았다. 온라인 민원신청 프로그램의 취약점을 이용하고 있으며, 아직 악성코드를 유포하진 않았다. 지난 5월에는 북한 관련 인사를 노려 ActiveX 취약점을 이용한 악성코드를 실제로 유포한 적이 있었다. 최근 북한과는 해빙무드에 있지만 사이버전에서는 예외이다. 사이버전은 심지어 우방국 간에도 벌어지곤 한다. 무엇보다 사이트 이용시 많은 프로그램 설치를 요구하는 인터넷 환경이 문제이다. 액티브엑스만이 문제가 아니다. 현재 이를 대체하여 실행파일 형식으로 바꾼 사이트가 많은데 위험하기는 마찬가지다. 액티브엑스건 실행파일이건 해당 사이트를 이용할 때 호출되고 업데이트되는데, 한동안 그 사이트를 방문하지 않는다면 취약한 구버전으로 남게 된다. 그 사이에 악성 사이트에서 취약한 버전을 호출하여 악성코드를 유포하면 꼼짝없이 당하게 된다. 이런 상황에서 최선의 보안을 유지하려면, 해당 사이트 이용 후에 즉시 거기서 설치한 모든 프로그램을 제거하는 수밖에 없다. 그러나 실제로 매번 이 짓을 어떻게 하나. 민원 사이트 같은 경우 문서 위조방지 등 웹 표준기술만으로는 구현하기 어려운 기능 때문에, 특정 프로그램이 필요할 수 있다는 점은 인정한다. 그렇다면 구태여 웹 환경을 고집하여 덕지덕지 프로그램 설치를 요구할 것이 아니라, 차라리 전용 프로그램을 만들어 이용하게 하는 것이 훨씬 좋겠다고 생각한다. 증권거래 프로그램처럼. 관련 자료 계속되는 ActiveX 취약점 공격 참고 자료 “한국 공무원 대상 ‘북 해킹 정찰’ 탐지”  

러시아 해커는 어떻게 민주당 캠프를 해킹했나

스피어 피싱(spear phishing)에서 시작 2016년 미국 대선 당시 러시아 해커단은 민주당 캠프를 해킹해 30대 이상의 PC를 악성코드에 감염시키고, 5만 개 이상의 이메일을 훔쳐 트럼프 캠프를 도왔다는 혐의를 받고 있다. 아직까지 드러난 해킹 과정 중 중요한 부분만 간추리면 다음과 같다. 2016년 3월, 힐러리 캠프의 의장인 존 포데스타에게 스피어 피싱 메일을 보내 구글 계정 로그인 정보를 알아냈다. 이를 이용해 5만 개 이상의 이메일을 탈취했다. 2016년 4월, 힐러리 캠프 멤버의 이름에서 한 글자만 뺀 가짜 계정을 만들어 30여 명의 스태프에게 스피어 피싱 메일을 보냈다. 이를 통해 알아낸 로그인 정보로 힐러리 캠프의 컴퓨터 네트워크에 접근할 권한을 획득했다. 그리고 X-Agent라는 악성코드를 심었다. 해커단은 X-Agent의 키로깅과 스크린샷 기능을 이용해 힐러리 캠프의 동향을 감시했다. 6월까지 총 33대의 DNC(민주당 전국 위원회) 컴퓨터를 감염시켰다. 2016년 5월, 민주당 측은 해킹 사실을 알아차리고 CrowdStrike라는 보안 회사를 고용했다. 해커단은 해킹 흔적을 지우는 한편 또다른 서버에 침입해 수천 개의 이메일을 훔쳐냈다. 또, 크라우드스트라이크에 대한 정보 수집에 나섰다. 2016년 6월, 해커단은 DCLeaks라는 사이트를 통해 수천 개의 이메일을 공개하고, 이 사이트를 지원하기 위해 트위터와 페이스북 계정을 이용했다. 크라우드스트라이크는 X-Agent를 무력화 시켰지만, 리눅스 버전은 10월까지도 살아남았다. 이상을 통해 2가지 핵심 사항을 알 수 있다. 첫째, 최초 해킹은 제로데이 취약점 이용같은 어렵고 효과도 확실치 않은 방법을 쓴 것이 아니라, 쉽고도 확실한 스피어 피싱(spear phishing)을 이용했다는 것이다. 그리고 그 유능하다는 인재들이 속아 넘어간다는 사실이다. 둘째, 악성코드에 일단 감염되면 제거는 무척 어렵다는 것이다. 크라우드스트라이크가 X-Agent를 완전...

Windows XP 방어하기

구형 운영체제에는 알약 익스플로잇 쉴드 7월 초 윈도 XP 기반의 POS 기기 10만 대 이상이 해킹당해 먹통이 되는 사건이 발생했다. 업데이트가 중단된 구형 운영체제를 사용한 것이 화근이었다. 구형 운영체제를 사용하는 것을 두고 꼭 사용자의 부주의를 탓할 수는 없다. POS 프로그램 등 어쩔 수 없이 사용해야 하는 프로그램이 최신 운영체제를 지원하지 않는 경우가 의외로 많기 때문이다. Windows 10은 고사하고 Windows 7과도 호환되지 않는 것들도 있다. 보안 업데이트가 중단된 구형 OS를 사용하는 PC는 어떻게 해킹과 악성코드로부터 지켜야 할까. 취약점을 탐색하고 이용하는 악성코드, exploit code를 차단하는 길뿐이다. 익스플로잇 코드도 악성코드의 일종이므로 백신 프로그램이 차단해야 하는 게 맞다. 그러나 그 많은 백신 제품 모두가 익스플로잇 코드를 제대로 요격하는지 확신할 수는 없다. 그렇다면 익스플로잇 코드를 막는 전용 백신을 설치하는 것도 좋은 방법이다. 가장 먼저 떠오르는 건 이스트시큐리티의 알약 익스플로잇 쉴드 이다. 윈도XP부터 지원하니 구형 OS를 구동하는 PC에는 안성맞춤인 듯하다. 일반 백신과 충돌하지 않으므로 중복해서 사용할 수 있다. 관련 자료 포스(POS) 단말기 해킹당해 대량 먹통 사태  

구글 독스(docs)를 이용한 피싱 주의

이미지
구글 독스를 이용하면 온라인 설문지를 쉽게 만들 수 있어 최근에 많이 활용되고 있다. 그런데 가상화폐에 관심있는 사람들을 노린 피싱(phishing)에 악용되는 사례도 있어 주의가 필요하다. 먼저 에어드롭 시행사를 가장하여, 지갑이 확인되지 않아 토큰을 전송할 수 없으니 재확인하라는 피싱 메일을 보낸다. 이는 설문지 링크를 포함하고 있다. 설문지 자체는 합법적인 구글 독스에 저장돼 있으므로 안심하기 쉽다. 그러나 내용을 보면 마이이더월렛을 흉내낸 가짜 사이트로 이동하여 개인키를 제출하도록 요구하고 있다. 에어드롭이든 뭐든 그 어떤 경우라도 개인키를 요구하는 경우는 없다. 가상화폐 지갑의 개인키가 필요한 것은 오직 거래를 할 때 뿐이다. 관련 자료 피싱(phishing) 사기 피하는 방법  

하드웨어 지갑 트레조 노린 피싱 공격

가상화폐를 비교적 안전하게 보관할 수 있는 방법으로 알려진 하드웨어 지갑을 노린 피싱(phishing) 공격이 있었다. 트레조(Trezor) 사용자를 노린 것으로 6월말에 일어난 사건이며, 실제 피해가 있었는지 여부는 알려지지 않았다. 공격 방법은 DNS 하이재킹인 것으로 추정됐는데, 이는 정상적인 트래픽을 가로채서 가짜 사이트로 연결시키는 것이다. 4월말 마이이더월렛 이용자들이 실제 피해를 입었다. 트레조의 웹지갑 포털에 접속하려던 사용자들이 SSL 인증서 오류를 접하고 관련 커뮤니티에 알리면서 드러났다. 이 사건에 나타난 특징은 다음과 같다. 첫째, HTTPS가 적용된 사이트를 완벽하게 복제하기는 어렵다는 것이다. SSL 인증서 유효성 오류가 발생하기 때문이다. 둘째, 에러 메시지가 진짜 사이트와는 달랐다. 가짜 사이트는 사용자를 속이기 위해, 하드웨어 지갑과 웹 계정의 동기화에 실패했다는 오류 메시지를 나타내는데 이것이 진짜 사이트의 메시지와는 표현이 달랐다. 아무리 똑같이 흉내내려고 해도 허점은 있기 마련이란 것을 알 수 있다. 셋째, 하드웨어 지갑의 복구코드(recovery seeds)는 해당 기기(대체품) 외의 어떤 곳에도 입력해선 안된다는 것이다. 복구코드를 알면 계정을 완전히 접수할 수 있다. 하드웨어 지갑은 분실이나 파손에 대비해 계정을 복구할 수 있는 복구코드를 생성하는데, 이것은 지갑 제조사의 기기에만 사용해야 한다. 트레조의 매뉴얼에도 명시되어 있다. 이번 가짜 사이트에서는 복구코드를 입력하도록 요구했는데, 정상 사이트에선 결코 있을 수 없는 일이다. 관련 자료 공유기 해킹하여 DNS 하이재킹하는 Roaming Mantis 악성코드 가상화폐 지갑을 해킹으로부터 지키는 방법 참고 자료 DNS Poisoning or BGP Hijacking Suspected Behind Trezor Wallet Phishing Incident  

스마트폰 방수 기능 너무 믿지 말자

방수 기능이 있는 스마트폰에서도 습기로 인한 고장 사례가 많이 발생하고 있다. 게다가 무상수리가 안되는 경우가 많으므로 주의해야 한다. 방수폰은 연결 부위에 고무실링, 방수접착제 등을 이용해 틈새로 물이 들어가지 못하게 하는 것이다. 그런데 이런 방수 성능은 시간이 지남에 따라 약해진다는 데 문제가 있다. 게다가 떨어뜨리는 등 외부 충격, 분해 수리 후 재조립 등은 방수 성능의 저하를 가속화한다. 방수 테스트 환경이 실생활과는 다르다는 점도 기억해야 한다. 이론적으로 방수 7등급은 수심 1미터에서 30분, 방수 8등급은 수심 1.5미터에서 30분을 버틸 수 있다. 그러나 계곡, 파도, 샤워기 등 수압이 센 환경에서는 장담할 수 없다. 이런 이유로 제조사들은 방수폰이라도 침수로 인한 고장시 무상수리를 해주지 않고 있다. 방수 기능 자체의 문제인지 소비자 과실인지 판단하기 어렵다는 것이다. 그러나 제조사의 이런 태도는 과장광고 여부, 소비자 피해 발생시 입증책임의 소재 등 문제의 소지가 있다. 참고 자료 스마트폰 방수기능 맹신했다간 침수로 수리비 덤터기  

CPU 해킹 취약점 스펙터 1.1 & 1.2

7.10일 CPU의 보안 취약점인 스펙터(Spectre)의 변종 2개가 또 공개됐다. 원조 스펙터와 마찬가지로 CPU의 분기예측 실행(speculative execution) 기능을 이용하며, Intel/AMD/ARM 등 모든 CPU에 해당된다. 이 2개의 버그는 스펙터 1.1과 스펙터 1.2로 불리며, CVE-2018-3693으로 등록됐다. 스펙터 1.1을 공략하면, 보호된 CPU 메모리 구역의 데이터를 읽을 수 있다. 스펙터 1.2를 악용하면, 읽기 전용으로 표시되어 보호되는 CPU의 메모리 구역에 데이터를 쓸 수 있다. 다만, 이들 취약점을 악용하려면 공격을 수행할 악성코드를 먼저 설치해야 한다. 이 점은 멜트다운과 스펙터 류의 취약점 대부분에서 마찬가지이다. 보안 프로그램으로 막을 수 있는 가능성이 열려 있는 것이다. 멜트다운과 스펙터 류의 취약점은 근래 CPU의 구조적인 문제인데, 완전한 해결을 위해서는 CPU, BIOS, 운영체제 등 모든 요소들이 업데이트돼야 한다. 사실상 불가능하다. 따라서 이들 취약점이 악용되는 경로를 차단하는 데 주력해야 한다. 보안 소프트웨어는 물론 크롬, 엣지 등 브라우저들도 이런 공격을 어렵게 하는 보안 기능을 강화하고 있다. 관련 자료 스펙터 & 멜트다운, 인텔CPU 해킹 취약점 크롬 67, 사이트 격리로 스펙터 대응 참고 자료 New Spectre 1.1 and Spectre 1.2 CPU Flaws Disclosed  

순식간에 목소리 복제하는 AI

이미지
AI(인공지능)가 불과 몇 분만에 사람 목소리를 복제하는 시대가 왔다. 캐나다의 AI 스타트업 라이어버드(Lyrebird)는 딥러닝 모델을 기반으로 음성 파일들을 학습해 똑같은 목소리를 만들어내는 AI 시스템을 개발했다. 영상은 블룸버그의 애슐리 반스 기자가 체험한 것인데, 후반부에 보면 대화할 내용을 컴퓨터에 입력한 후 AI가 만들어낸 목소리로 어머니와 통화를 하는데 전혀 눈치채지 못한다. 라이어버드는 이 기술이 목소리를 잃은 사람에게 목소리를 찾아주는 등 선의로 사용되기를 바란다고 했다. 그러나 신분 도용 등 악의적으로 사용될 우려 역시 제기되고 있다. 참고 자료 사람 목소리 수 분 만에 복제하는 AI 나왔다

코드 서명 인증서 훔쳐 악성코드 배포

7월초 한 해커단이 대만의 D-Link와 Changing Information Technology라는 회사의 코드 서명 인증서를 훔쳐 플리드(Plead) 악성코드를 유포하는 데 사용했다. 이들 회사는 이 사실을 알자마자 문제의 인증서를 무효화했다. 코드 서명 인증서는 온라인 상에서 배포되는 실행 파일이 신뢰할 수 있는 정당한 제작자가 만들었고, 위/변조되지 않았음을 증명하는 것이다. 발급기관은 프로그램 제작자가 확인되고 신뢰성이 확보돼야만 이를 발급해 준다. 그런데 코드 서명 인증서가 해커에게 탈취당하여 악성코드에 사용되면, 신뢰할 수 있는 프로그램으로 오인되어 쉽게 유포할 수 있다. 공급망 공격의 하나다. 우리가 프로그램을 설치할 때 마주치는 UAC(사용자 계정 콘트롤) 경고창에서 제작자를 확인하는데, 여기 신뢰할 수 있는 회사의 프로그램으로 표시되면 의심없이 설치할 수 있는 것이다. 2010년 이란 핵시설을 마비시킨 스턱스넷(Stuxnet) 악성코드는 RealTek과 JMicron의 인증서를 도용했다. 국내의 경우 2016년 인터넷뱅킹에 많이 사용되는 보안프로그램을 만든 이니텍의 인증서가 탈취돼 악성코드 유포에 사용된 적이 있다. 참고 자료 블랙테크 사이버 스파이 그룹, 인증서 훔쳐 멀웨어 서명 ‘코드사인 탈취’ 어떻게 대응해야 하나? 코드서명 해킹은 북한 소행...실제 피해는 없어

크롬 67, 사이트 격리로 스펙터 대응

취약점을 없앨 수 없다면 이용하지 못하게 하라. 구글의 웹 브라우저 크롬 버전 67부터는 사이트 격리(site isolation) 기능이 기본으로 활성화됐다. 사이트 격리는 크롬 샌드박스에서 원격코드가 다른 탭의 콘텐츠에 접근하는 것을 막는 기능이다. 악성 사이트에서 스펙터 공격을 하더라도 다른 사이트의 데이터가 같은 프로세스로 로딩되지 않아 훔칠 수 없는 것이다. 크롬 63에서 처음 도입됐었다. 단점이라면 메모리 사용량이 10% 가량 늘어나는 점이다. 멜트다운과 스펙터는 CPU의 메모리에서 민감한 정보가 누출되는 버그로, 2018년 최대의 보안이슈 중 하나이다. CPU, BIOS, 운영체제 등 컴퓨터의 모든 부분이 업데이트돼야 완전히 해결되는데, 현실적으로 불가능하다. 가장 실용적인 방법이라면 브라우저 차원에서 소프트웨어적으로 대응하는 것이다. 어떤 취약점을 이용하는 공격이 있을 때, 이를 직접적으로 대하는 것은 대부분 브라우저이기 때문이다. 멜트다운과 스펙터에 대응하여 크롬 뿐만 아니라 엣지, 파이어폭스, 사파리 등 주요 브라우저들은 보안 기능을 강화하고 있다. 관련 자료 스펙터 & 멜트다운, 인텔CPU 해킹 취약점 참고 자료 크롬 버전 65, 기본 설정으로 멜트다운·스펙터 대응하는 사이트 격리 기능 채택 크롬, 엣지, 파이어폭스가 내놓은 멜트다운·스펙터 취약점 대책  

안드로이드 오토 특징

이미지
7.12일 구글의 차량용 인포테인먼트 시스템인 안드로이드 오토(Android Auto)의 한국어 서비스가 정식으로 출시됐다. 단순 미러링 방식이 아니라 차량 디스플레이에 최적화되어 있다는 점이 장점이다. 안드로이드 오토의 기능은 크게 내비게이션, 미디어, 커뮤니케이션으로 구분할 수 있는데, 구글 어시스턴트와 연동되어 있어 음성으로 조작할 수 있다. 내비게이션은 카카오내비가 기본 앱이다. 글로벌 내비게이션인 웨이즈도 이용할 수 있지만 한국어 지원이 부분적에 그친다. 안정성을 고려해 API는 공개하지 않을 예정으로, 다른 내비는 사용할 수 없다. 미디어와 커뮤니케이션에 대해서는 API를 공개했으므로 다양한 제3자 앱이 개발될 것으로 기대된다. 현재 벅스, 멜론, 유튜브 등의 미디어 앱과 페이스북 메신저, 왓츠앱, 위챗, 스카이프 등의 커뮤니케이션 앱을 이용할 수 있다. 카카오톡은 아직 지원되지 않는다. 참고 자료 구글 안드로이드 오토, 어떤 기능 쓸 수 있나

방코르 해킹, DEX 시스템 문제는 아니었다

7.9일 해킹으로 일시 중단됐던 가상화폐 거래소 방코르(Bancor)의 서비스가 13일 재개됐다. 방코르에 따르면 고객의 지갑은 해킹당하지 않았다. 방코르가 탈취당한 가상화폐는 BNT(방코르 토큰) 250만 개, ETH(이더리움) 2만5천 개, NPXS(펀디엑스) 2억3천만 개이다. 총 1350만 달러 상당이다. 이더리움은 방코르 네트워크의 예치금 저장소 격인 커넥터 밸런스가 노출된데서, 다른 코인들은 스마트 컨트랙트 기능을 추가하는 과정에서 일부 지갑이 손상을 입어 노출된데서 탈취당한 것이라고 설명했다. 이번 일은 DEX(탈중앙화 가상화폐 거래소)를 표방한 방코르도 결국 해킹당함으로써 DEX도 취약한 것 아니냐는 의문을 불러일으켰다. 기존의 중앙화 거래소들이 연이어 해킹을 당하면서, 고객 계정의 개인키를 고객이 직접 관리하는 탈중앙화 방식이 주목 받는 터였다. 탈중앙화 거래소에서의 거래는 직접 개인 지갑을 통해 이루어진다. 중앙화 거래소가 고객 지갑의 개인키를 대신 보관하고 있는 것과 달리, 고객 개인이 직접 개인키를 보관하여 해킹으로부터 안전하다고 알려져 있다. 이 사건에 대해 많은 전문가들은 DEX 자체가 해킹당한 것은 아니라고 추정했었다. 고객 자산과 관계없는 회사 자체 계정의 문제였다는 것이다. 그리고 12일 방코르의 공식 발표로 이런 추정이 정확했던 것으로 밝혀졌다. 참고 자료 해킹당한 방코르 DEX, 서비스 재개…"예치금 저장소 문제" 안전하다더니…방코르 해킹에 "DEX 보안 뚫렸나" 시끌  

Hola VPN 해킹, 마이이더월렛 사용자 주의

홀라 VPN의 크롬 확장 버전이 악성코드에 감염되어, 이를 통해 인터넷을 이용한 사람들의 피해가 우려된다. 해커가 홀라 VPN 제작사인 Hola Networks의 크롬 스토어 계정을 해킹해, 원래 프로그램을 삭제하고 악성코드가 삽입된 것을 올려놓았다. 이 악성코드는 인터넷 활동을 로깅해 계정 정보를 탈취하는 것으로 알려졌다. 이 침해 상태는 5시간 정도 지속된 후 복구됐다. 이 사실은 7.10일 MyEtherWallet이 사용자들에게 해당 사실을 알리고, Hola VPN을 이용해 접속했던 사용자는 지갑을 바꿀 것을 경고하면서 알려졌다. 타 사이트 이용자도 피해를 입었을 가능성을 조사중이다. Hola VPN은 예전부터 평판이 좋지 않았다. VPN 정보를 제공하는 사이트인 TheBestVPN.com에 따르면, 이것은 사용자 정보를 과도하게 로깅하고 공유하며 통신 암호화도 부실하다고 했다. 그러면서 VPN 서비스를 선택할 때는 로깅, 프라이버시, 암호화 관련 정책을 꼼꼼히 살피라고 충고했다. 관련 자료 유명 VPN에서 해킹 취약점 발견 참고 자료 방코르와 마이이더월렛에서 보안 사고 발생해 암호화폐 도난  

게장, 젓갈에서 노로바이러스 검출… 식중독 우려

소비자원은 5~6월 시중에서 유통중인 31개의 게장과 젓갈을 수거해 검사했다. 오픈마켓 판매 제품 2개에서 대장균이, 대형마트 1개 제품에서 노로바이러스가 검출됐다. 장염비브리오는 나오지 않았다. 대장균은 식품의 위생 수준을 보여주는 지표 세균이고, 노로바이러스는 강력한 식중독 바이러스다. 소비자원에 따르면, 최근 3년 반 동안 게장이나 젓갈을 먹은 뒤 복통, 설사, 두드러기 등 증상이 나타난 사례는 305건이다. 2016년에는 게장을 먹은 뒤 사망한 경우도 있었는데, 장염비브리오로 추정됐다. 어패류와 관련한 3대 위험요소는 노로바이러스, 비브리오 패혈증, 패류독소를 들 수 있다. 관련 자료 노로바이러스, 겨울철 식중독 주의 비브리오 패혈증 봄에는 패류독소 주의 참고 자료 노로바이러스 굴젓, 대장균 게장…서울 대형마트서 유통 간장게장 먹고 식중독 증세 60대 숨져…가검물 '음성'  

무료 다운로드로 위장한 악성코드

이미지
무료 다운로드를 가장해 악성코드를 유포하는 사이트가 있어 조심해야 한다. 빙, 구글 같은 검색 사이트에서 "***** 다운로드"하는 식으로 검색하면 더러 나타난다. 아래 그림은 "Windows 7 다운로드"를 검색해서 들어간 사이트이다. 도메인은 수시로 바뀌는 듯하며, 다시 방문하면 위와 같은 다운로드 링크가 나타나는 것이 아니라 단순 게시글이 나타난다. 정체를 감추기 위한 트릭이지만, VPN을 이용해 돌파할 수 있다. <참고 자료 1>에서는 "북한 폰트 다운로드"를 가장해 갠드크랩 랜섬웨어를 유포하는 사례를 설명하고 있다. 같은 사이트인데 도메인만 다르다. 가장하는 다운로드 내용이나 연결된 악성코드는 얼마든지 바뀔 수 있으므로 비슷한 경우에 대비해야 한다. 나아가 공식 경로가 아닌 사이트에서의 다운로드는 항상 악성코드 감염의 위험이 있다. 참고 자료 북한 폰트 파일 위장 랜섬웨어, 구글 검색 통해 유포되나  

무선충전시 신용카드 훼손 주의

스마트폰 무선충전시 발생하는 전자파(자기장)로 인해 신용카드, 교통카드, 도어락 카드, 신분증 등의 NFC RFID 카드가 훼손될 수 있다. 심한 경우 화재의 위험도 있다. 스마트폰 케이스에 카드류를 수납할 수 있는데, 그대로 무선충전기에 올려 놓으면 충전 자기장으로 인해 카드가 과열되어 고장나거나 화재로 이어지는 것이다. 카드에 사용된 IC칩의 품질에 따라 영향력은 다를 수 있다. 그러나 단기적으로는 괜찮더라도 장기적으로 조금씩 훼손될 가능성이 크다. 이를 피하려면 카드가 스마트폰 앞면에 오게 되는 덮개식의 케이스를 사용해야 한다. 전자파가 스마트폰의 액정을 통과하지 못하기 때문이다. 한편 무선충전기의 전자파는 인체에 해로울 정도는 아니라고 한다. 참고 자료 갑자기 고장난 버스카드·신용카드, 알고보니 스마트폰 무선충전 때문  

사행성 게임 이용자 터는 악성코드

고스톱 등 소위 고포류의 사행성 게임 이용자를 노려 게임 정보를 탈취하는 악성코드를 유포했던 작전이 드러났다. 상대방의 패를 보는 식으로 승부를 조작해서 게임 머니를 버는 것이다. 2016.10월~2017.8월까지 이어진 장기전이었으며, 그동안 굵직한 디도스 및 해킹을 벌여온 북한 해커 단체의 소행으로 추정했다. 안랩은 이 작전을 Operation Red Gambler로 이름 붙였으며, 소프트웨어 공급망 공격과 UAC bypass 같은 고도의 기술을 구사했다. 공급망 공격 공급망 공격이란 소프트웨어가 설치되는 경로를 해킹하여 악성코드를 설치하는 방법이다. 이 작전에서는 VPN, 원격제어, 시스템 최적화 등 몇 개의 유틸리티 소프트웨어 제작사와 PC방 관리 서버를 해킹했다. 유틸리티의 경우에는 공식 홈페이지를 해킹하여, 설치파일을 변조해 악성코드를 삽입하는 방법과, 설치파일 다운로드 링크를 해커의 서버로 변조해서 악성파일을 받도록 하는 방법이 동원됐다. PC방의 경우에는 관리 서버를 해킹해, 해커의 사이트에서 악성코드를 받아 PC들에 설치하는 방식이었다. UAC 우회 이용된 악성코드는 UAC(User Account Control, 사용자 계정 콘트롤)를 우회해서 사용자 확인 없이 설치될 수 있었다. UAC는 시스템에 변경을 가할 때는 관리자 권한을 요구하는 것으로, 프로그램 설치시 방패 그림이 달린 경고창이 뜨는 바로 그것이다. 이 악성코드는 레지스트리를 조작해서 UAC를 우회했다. 참고 자료 ‘사이버판 타짜’ 알고 보니...국가 지원 해커 그룹  

포스(POS) 단말기 해킹당해 대량 먹통 사태

7.8일 악성코드에 의한 DoS(Denial of Service, 서비스 거부) 공격으로 10만 대 이상의 포스기(결제단말기)가 작동불능 상태에 빠졌다. 결제 정보 등 고객 정보 유출 여부는 불확실하다. 포스 기기의 운영체제 취약점을 통한 악성코드 감염으로 추정되고 있다. Windows XP에 기반한 MS POS Ready를 쓰고 있기 때문이다. 윈도XP는 이미 지원이 끊겼고, 포스 레디는 별도 계약을 통해서만 업데이트가 제공되는 낡은 운영체제이기 때문이다. 게다가 점포에서 관리조차 제대로 되지 않고 있는 실정이다. 또한 문제된 포스기의 90% 이상이 KT 모뎀에 연결돼 있다는 점에서, KT 모뎀이 먼저 악성코드에 감염되고 이것이 포스로 연쇄감염됐을 가능성도 제기되고 있다. 실제로 현장의 한 포스기 서비스 기사는, KT 연동 포스기에서는 초기화하고 백신을 설치해도 복구가 되지 않는다고 했다. VAN사와 관계 기관에서는 포스기를 모뎀에 직접 연결하지 말고, 공유기를 통해 사설IP를 부여받아 연결하라고 했다. 공유기는 그 자체로 방화벽이므로 어느 정도 보호 효과가 있다. 마찬가지로 네트워크 프린터도 인터넷에 직접 연결하지 말고 공유기에 연결해야 해킹 위험을 줄일 수 있다. 또한 포스기를 초기화한 후 윈도7 이상으로 업그레이드하고 백신을 설치하라는 지침도 내렸다. 이전에도 포스기를 해킹해서 신용카드 정보를 탈취하고 복제 카드를 만드는 등의 사건은 국내외에서 여럿 있었다. 관련 자료 IoT 해킹하는 봇넷 프린터 해킹 대응책 참고 자료 악성코드 공격으로 윈도XP 결제단말기 '먹통'  

SNS 메신저, 전송 취소 가능?

카카오톡 불가능하다. 메시지를 길게 누르면 삭제 명령이 있긴 하다. 그러나 이것은 나한테만 안보이는 것일 뿐, 상대방에게는 여전히 보인다. 라인 24시간 안에는 삭제할 수 있다. 보낸 사람과 받는 사람 모두에게서 삭제된다. 다만 이 기능이 도입된 2017년 12월 이후 버전에서만 가능하다. 즉, 이전 버전을 사용하는 사람의 대화방에서는 지워지지 않는다. 텔레그램 삭제뿐 아니라 편집, 즉 내용 수정도 가능하다. 참고 자료 “앗 잘못 보냈다”.. 카톡에는 없고 텔레그램, 라인에는 있는 기능  

HWP 취약점과 스테가노그래피 이용한 악성코드 발견

7.6일 이스트시큐리티는 '한국 방산업체 망 분리 관련 요청사항'을 사칭한 스피어 피싱 메일이 발견됐다며 주의를 당부했다. 내용상 방위산업 관련 대상을 노린 APT 공격으로 추정했다. 악성코드는 첨부된 hwp 문서파일을 통해 실행된다. 이번에 이용된 hwp 취약점은 제로데이 취약점이 아니라 이미 공개되고 패치된 취약점이다. 따라서 업데이트를 잘 한 사용자는 안전하다. 주목할 점은 스테가노그래피 기법을 이용한 것으로 보인다는 점이다. 이스트시큐리티의 분석가는 “문서 스트림 내부에 XOR 코드로 암호화된 포스트스크립트 셸코드가 작동하면 BMP 이미지 포맷에 정교하게 숨겨져 있던 악성 모듈이 실행된다”고 설명했다. 풀어 쓰자면 그림 파일에 스테가노그래피로 악성코드를 숨겨놓고, hwp 문서에 있는 스크립트로 이 악성코드를 추출하여 실행한다는 것이다. 스테가노그래피는 파일 확장명을 단순히 위장하는 데서 한걸음 더 나아가, 다른 파일 속에 완전히 숨겨 놓는 기법이다. 아직 악성코드 유포 수단으로는 많이 쓰이지는 않고 있다. 관련 자료 파일 확장명 위장한 악성코드 참고 자료 "방산업체 망 분리 사칭 악성코드 발견"  

이더리움 네트워크 혼잡으로 가스 가격 급등

최근 시가총액 2위 가상화폐인 이더리움(ETH) 네트워크가 심한 혼잡을 겪으면서 가스(Gas) 가격이 5배 이상 급등했다. 가스는 이더리움 네트워크에서 데이터 전송에 대한 수수료이다. 3일 스톡가젯에 따르면, 7.2~3일 동안 거래량 급증으로 가스 가격이 급등했고, 거래소에서의 거래도 지연됐다. 거래량 급증의 원인으로는 디앱 사용의 증가와 신규 거래소 에프코인의 토큰 상장 시스템 변경을 지목했다. 디앱(DApps)은 탈중앙화된 앱(Decentralized Apps)으로 블록체인 시스템에서 작동하는 앱을 말한다. 일반적인 앱은 데이터가 서버에 저장되지만, 디앱은 데이터를 블록체인에 저장한다. 4일 이더스캔에 따르면, 가스 가격이 최대 0.00004 이더(ETH)까지 급등했다. 이에 따라 거래소 바이낸스는 당분간 전송 수수료를 180 그웨이(gwei, 가스의 단위, 이더리움 가격의 약 1억분의 1)로 올리기로 했다. 전문가들은 이러한 이더리움 네트워크의 확장성 문제는 캐스퍼와 샤딩, 2가지 솔류션이 구현되면 해결될 것으로 기대했다. 캐스퍼는 지분 증명으로 합의 알고리즘을 변경하는 프로토콜이고, 샤딩은 데이터를 쪼개서 전달하는 방식으로 처리 용량을 늘리는 것이다. 참고 자료 이더리움 네트워크 혼잡에 가스(Gas) 가격 급등…"확장성 문제 다시 도마에"  

바이낸스 API 해킹 사건

7.4일 세계 최대의 가상화폐 거래소 바이낸스에서 API 비정상거래로, 시스코인이 평소 대비 약 380만배 폭등하는 사건이 벌어졌다. 이로 인해 일시적으로 모든 거래가 중단됐지만, 현재는 모든 API 키를 재설정하고 정상화됐다. 이번 API 비정상거래가 해킹인지 시스템 오류인지 아직 밝혀지진 않았지만, 지난 3월에 비슷한 해킹 사건이 있었다. 바이낸스는 제3자 앱을 통해 조회나 거래를 할 수 있도록 API를 제공한다. 각 사용자는 개별적으로 API 키를 생성하여 이 기능을 활성화한다. 이 과정에는 OTP를 이용한 2단계 인증이 필요하다. 일단 API가 활성화되면 추후 거래시에는 OPT가 필요없다. 3월의 해킹 사건에서는 피싱 사이트를 이용했다. 가짜 바이낸스 사이트에서 사용자 자격증명을 훔쳐 API코드를 생성했다. 1월부터 시작해서 2달 간 시세 조작에 충분한 계정을 탈취했다. 참고한 기사에선 OTP 2단계 인증을 어떻게 돌파했는지 설명하지 않았다. 아마도 2단계 인증까지 완료한 자격증명 자체를 가로채지 않았나 생각한다. EvilGinx 같은 해킹 툴이 이런 일을 한다. 관련 자료 2단계 인증도 해킹 가능 참고 자료 바이낸스 또 해킹...“1시스코인이 96BTC까지 폭등” 바이낸스의 ‘해킹 같지 않은 해킹’, 무엇이 일어났나?  

구글 렌즈(Google Lens) 특징

이미지
구글 렌즈는 이미지 인식 기술과 인공지능을 결합한 검색 기술로, 스마트폰 카메라로 사물을 비추면 상세 정보를 보여주고 이어서 관련 작업을 수행할 수 있다. 지원하는 기기에서는 별도의 앱 설치 없이 카메라, 구글 포토, 구글 어시스턴트에서 바로 이용할 수 있다. 활용 예시는 다음과 같다. 꽃을 비추면 이름과 상세 정보를 보여준다. 음식점 간판을 비추면 상세 정보, 메뉴, 평점을 알려준다. 외국어 메뉴의 경우 바로 번역해서 볼 수 있고, 어떤 음식인지 대화하듯 물어보면 검색 결과를 알려준다. 콘서트 티켓을 스캔해서 바로 일정에 추가할 수 있다. 구글 포토에 이미 저장된 사진에서도 관련 정보를 검색할 수 있다. 명품 가방을 비추면 어떤 제품인지 찾아 쇼핑몰로 바로 이동할 수 있다. 참고 자료 비추면 뭐든지 알려 준다. ’구글 렌즈’  

지메일(Gmail) 개인정보 유출 논란

이미지
7.2일 WSJ은, 구글이 지메일을 기반으로 한 가격 비교, 여행 일정 자동 관리 등 서비스에 가입한 사용자의 계정을 이들 소프트웨어 개발자들이 들여다 볼 수 있도록 방치했다고 보도했다. 그리고 지메일 계정을 스캔해 광고성 메일을 읽는지 확인하고, 인공지능을 학습시켜 이메일 정리를 자동화하는 알고리즘을 개발하는 식으로 이용하고 있다고 폭로했다. 결국 외부 소프트웨어 개발자들이 사용자의 지메일을 읽고 있다는 것이다. 다만 The Verge는 컴퓨터만 메일을 볼 수 있는지, 사람도 볼 수 있는지는 명확하지 않다고 덧붙였다. 물론 이런 서비스 가입시 약관 동의는 받고 있다. 하지만 국내외 전문가에 따르면 현저하게 상식에서 벗어나는 내용은 약관에 적어놓기만 한다고 되는 것은 아니라고 한다. 이에 대해 구글은 아래 그림처럼 명확하게 동의를 받고 있다고 반박했다. 그림 출처는 참고 자료 1. 또한 구글 직원의 경우, 사용자의 요청이나 동의 등 특수한 상황, 안보 목적, 버그나 어뷰징 대응 등 특별한 경우 메일을 읽을 수 있다. 참고로 구글은 지난 4월에 지메일을 업그레이드하여 기밀 모드를 만들었지만 종단간 암호화는 아니다. 종단간 암호화는 암호화/복호화가 Endpoint 기기에서 이루어지지만(관련 자료 3), 지메일 기밀모드는 메일의 저장과 암호화/복호화가 서버에서 이루어진다 내 생각엔 약관 동의 여부라는 법적인 문제보다는, 이런 데이터를 외부 협력사가 무단으로 사용하거나 유출하는 것을 막을 수 있느냐 하는 현실적인 문제가 더 중요한 것 같다. 2018년 3월 세상을 떠들석하게 한 페이스북 정보유출 사건에서 보면, 페이스북은 협력사를 통제할 의지도 능력도 없었다. 끝으로 제3자의 데이터 접근권을 설정하려면, [구글 계정>로그인 및 보안>계정 액세스 권한을 가진 앱] 의 경로를 통해 제어할 수 있다. 관련 자료 페이스북 정보유출 사태의 교훈, 계정 연동 주의 Gmail(지메일) 보안성 대폭 향상된다 드루킹이 사용...

가상화폐 거래소, 해킹 후유증 펌핑 주의

가상화폐 거래소가 해킹을 당하게 되면 일시적으로 입출금이 중단된다. 이렇게 되면 다른 거래소 물량이 들어오지 못하므로, 내부 세력에 의해 가격 교란이 일어날 수 있다. 이를 속칭 '펌핑'이라 한다. 실제로 6.20일 해킹을 당한 빗썸에서는 일부 코인이 이상급등하고 있다. 펌핑은 주로 시가총액, 거래량, 거래소 자체 보유량이 적은 종목에서 발생하기 쉽다. 이런 상황에서의 거래는 큰 손실을 초래할 수 있으므로 주의해야 한다. 참고 자료 빗썸, 해킹으로 입출금 중단했더니 펌핑 논란  

우리은행, 알툴즈 해킹한 크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑(Credential Stuffing) 이미 확보한 로그인 정보(크리덴셜)를 다른 계정에 무차별 대입하는 Brute Force 공격이다. 여러 사이트에 동일한 혹은 이전에 사용했던 크리덴셜을 사용하는 사람이 많다는 점을 이용하는 것이다. 크리덴셜 스터핑에 의해 피해가 발생했을 때, 책임 소재에 대한 문제가 발생한다. 암호는 계정마다 다르게 사용해야 한다는 것은 암호 관리의 기본이므로, 일단은 이용자의 과실이라 할 수 있다. 그러나 사이트 관리상의 과실도 함께 작용한다. 소수의 IP에서 다량의 로그인 시도가 행해지는 이상 행동은 탐지해야 마땅하다. 또한 캡챠(Captcha)나 2단계 인증 같은 방어 수단이 있으므로, 사이트에 요구되는 보안 수준에 따라 이런 방어 수단 구비 여부가 주의의무 위반 여부를 판단하는 데 고려될 수 있다. 우리은행 해킹(2018년) 6월 23~27일 동안 우리은행 인터넷뱅킹에 대해 3개의 IP를 통해 85만 회의 로그인 시도가 있었고, 그 중 5만6천여 건이 성공했다. 다른 은행에서 유출된 로그인 정보를 이용한 것으로 추정되고 있다. 이체 등 금융거래를 위해서는 추가 인증이 필요하므로 직접적인 피해는 없을 것이다. 그러나 계좌 정보와 자산 상태 같은 중요한 개인정보가 노출됐으므로 보이스피싱 등 2차적인 피해가 우려된다. 알툴즈 해킹(2017년) 해커가 2월~9월 무려 7개월에 걸쳐 다른 곳에서 탈취한 크리덴셜을 이용해 알패스에 브루트 포스 공격을 가했다. 알패스는 암호를 저장, 관리하는 서비스다. 그 결과 17만여 계정과 이에 저장된 약 2천5백만 개의 암호가 유출됐다. 해커는 이 개인정보를 이용해 피해자의 포털에 접속하여 주민증, 카드, 사진 등을 훔쳤고, 이를 이용해 대포폰 개통, 가상화폐 출금 등 추가 범죄를 저질렀다. 알패스는 암호 관리라는 특히 중요한 서비스임에도 불구하고 적절한 탐지 및 방어 장치를 갖추지 않은 과실이 인정되어 처벌을 받았다. 관련 자료 해킹이 힘든...

카카오인코더에 악성코드 포함

인기 있는 동영상 인코딩 프로그램, 카카오인코더(CacaoEncoder)가 크립토재킹 악성코드를 설치하는 것으로 밝혀졌다. 카카오인코더는 이름만 비슷할 뿐 다음카카오와는 무관하다. 카카오인코더는 동영상을 PC와 스마트폰에서 볼 수 있도록 변환하는 프로그램인데, 광고가 없고 다양한 코덱을 지원해 인기를 끌고 있다. 카카오인코더는 업데이트 시 자동으로 PUP(Potentially Unwanted Program)를 설치한다. 현재는 사용자 몰래 가상화폐 모네로를 채굴하는 프로그램이 깔리고 있다. 사용자에게 '스마트포인트 지원'이라고 간단히 알릴 뿐, 어떤 프로그램이 설치되며 어떤 부작용이 있을 수 있다는 것을 구체적으로 알리고 있지 않다. 더욱이 신뢰도가 높은 네이버 자료실에서도 정상적으로 배포되고 있다. 네이버는 자체적인 검수 절차를 갖고 있는데, 이에 대해서는 자료실에 등록된 프로그램 자체에는 문제가 없고 업데이트 과정의 문제라며 책임이 없다고 한다. 한편, 네이버 자료실에는 같은 회사의 카카오클린이라는 프로그램도 등록돼 있다. PC최적화, 애드웨어 제거, 툴바 등 많은 무료 프로그램들이 같은 문제를 갖고 있다. 올 4월에는 공식 유토렌트 설치 프로그램에 애드웨어가 포함된 것이 발견되기도 했다. 이런 이유로 누차 마이크로소프트 스토어 앱을 이용하라고 권하는 것이다. 참고로 우리 나라에선 encoder라고 부르는 동영상 변환 앱을 외국에선 대부분 converter라고 한다. 관련 자료 유용한 Windows 10용 앱 추천 μTorrent(유토렌트)에 악성코드 포함돼 참고 자료 혹시 내 PC도 암호화폐 채굴기? 카카오인코더 프로그램 깔았더니…  

WPA3 특징

현재 와이파이(Wi-Fi) 보안 표준의 주류인 WPA2를 대체할 WPA3가 2018년 1월 발표됐고, 이제 제조사들의 지원이 시작됐다. 그러나 WPA3가 주류로 되기까진 많은 시간이 걸릴 것으로 업계에서는 보고 있다. 이론적으로는 소프트웨어 업데이트로 WPA2 기기에서도 이용할 수 있다. 그러나 모든 제조사가 이런 지원을 하지는 않을 것이다. 그리고, 하위 호환성이 있다. 즉 WPA3 기기는 WPA2 기기와 연결할 수 있으며, 이때는 WPA2 모드로 작동한다. WPA3가 탄생한 데는 크랙(KRACK)이라는 WPA2의 심각한 취약점이 결정적 계기가 됐다. 또한 지금의 공공 와이파이는 보안이 너무 취약하다. WPA3가 널리 보급되면 이런 문제는 모두 해결된다. WPA2에 비해 향상된 보안 기능은 다음과 같다. WPA3-SAE WPA2-PSK는 WPA3-SAE로 바뀐다. 이것은 로그인 시 네트워크와의 상호작용을 요구한다. 따라서 무차별 대입(brute force) 공격이 훨씬 어려워졌다. 또한, 순방향 비밀성(forward secrecy)이 생겼다. 예를 들어, 해커가 오랜 준비 작업으로 암호화된 와이파이 통신 내용을 가로채서 저장해 왔다고 하자. 드디어 암호를 알아냈다. WPA2에서는 이 암호로 전에 저장해 뒀던 데이터를 해독할 수 있다. 그러나 WPA3에서는 이전 데이터를 해독할 수 없다. 앞으로 가로채는 내용만 해독할 수 있다. 따라서 피해자는 빨리 암호를 바꾸면 큰 피해는 피할 수 있다. Easy Connect IoT 기기를 위해 간편 연결을 지원한다. 화면이 없는 기기도 QR 코드를 이용해 연결할 수 있다. Individualized Data Encryption 개방형 네트워크에서도 안전하게 인터넷을 이용할 수 있다. 접속 인증을 위한 암호를 입력하지 않아도 통신 내용은 자동으로 암호화된다. WPA3 Enterprise 기업이나 정부 기관 같은 중요한 네트워크를 위한 모드로, 192비트 암호화를 지원한다. 관련 ...