8월, 2018의 게시물 표시

TPM 칩 해킹 취약점

TPM(Trusted Platform Module)칩에서 보안 취약점이 발견됐다. 이 칩은 하드웨어적으로 시스템의 보안을 강화하기 위한 전용 칩으로, 메인보드에 장착되어 있다. 선택 사항이므로 모든 기기에 장착된 것은 아니다. TPM은 RSA 암호화 키를 저장 및 이용하며, 부팅 과정에서 하드웨어 구성요소를 검증하고, BitLocker 같은 디스크 암호화 유틸리티를 지원한다. 가상의 스마트 카드 같은 여타 용도로 응용될 수 있다. TPM은 ACPI(전원 관리)를 지원하는데, 이번에 발견된 취약점이 이와 관련이 있다. TPM이 절전 모드에 들어가고 깨어나는 방식에 영향을 끼쳐 TPM을 리셋하고, 악의적으로 조작하는 것이다. 취약점은 2개인데 CVE-2018-6622는 SRTM 취약점이며, CVE-2017-16837은 DRTM 취약점이다. DRTM 취약점은 인텔의 TXT(Trusted eXecution Technology)를 이용하는 경우에만 해당한다. 해결책으로는 펌웨어 업데이트가 필요하다. Windows 10의 경우에는 필요할 경우, '보안 프로세서 또는 TPM 펌웨어를 업데이트해야 한다'는 경고를 내보낸다. 이때 <참고 자료 2>에 있는 상세 절차대로 수행하면 된다. 참고 자료 Researchers Detail Two New Attacks on TPM Chips 보안 프로세서(TPM) 펌웨어 업데이트  

인스타그램, 해킹 대책으로 2단계 인증 보완

Instagram이 2단계 인증 수단을 확대한다. 기존에는 SMS만 가능헀는데, SMS 기반의 2단계 인증은 비교적 쉽게 뚫리는 문제점이 있다. 따라서 28일부터 구글 OTP, 마이크로소프트 Authenticator 같은 타사의 인증 앱을 사용할 수 있게 했다. 보안을 위해 이런 인증앱으로 바꾸는 것이 좋다. 최근 몇 주간 많은 인스타그램 계정이 해킹당했는데, 그 중에는 2단계 인증을 설정한 계정도 포함됐다. 얼마 전에는 2단계 인증을 설정한 레딧 직원들의 계정이 해킹당하기도 했다. SMS 기반의 2단계 인증이 취약하다는 것을 보여주는 사례들이다. 또한 SMS 인증은 심 스와핑(심 해킹)에도 취약하다. 인스타그램은 이번에 가짜 뉴스를 이용해 정치적인 영향력을 행사하려는 계정으로 인한 문제점을 완화할 수 있는 조치도 내놨다. 검증된 계정(Verified Account)을 도입하고, 계정의 변경 이력(history)을 보여주는 것이다. 이런 조치는 팔로워들이 자신이 팔로우하는 계정에 대해 좀더 잘 파악하여 악용(어뷰징) 계정을 가려내는 데 도움이 될 수 있다. 계정 히스토리는 해킹당하여 계정 이름이 변경된 경우도 쉽게 식별할 수 있게 해준다. 관련 자료 2단계 인증도 해킹 가능 레딧, 2단계 인증에도 해킹당해 심 해킹으로 계정, 가상화폐 탈취 참고 자료 Instagram Expands 2FA Support Following Recent Wave of Account Hacks  

해커가 윈도우의 제로데이 취약점을 공개했다

CVE-2018-8440: Task Scheduler의 로컬 권한 상승 취약점 SandboxEscaper라는 트위터 이용자가 윈도우 10의 제로데이 취약점을 공개했다. F 문자를 마구 쓰는 등 거친 말투로 봐서, 보안 연구자가 아닌 사회에 불만이 많은 해커인 것 같다. 그는 마이크로소프트에 알리지도 않고, 취약점을 악용할 수 있는 악성코드(exploit code)와 함께 트위터에 공개해 버렸다. CERT/CC에서 확인한 결과, 이 취약점은 사실이었으며 모든 패치가 적용된 최신 Windows 10에서 작동했다. 이는 로컬 권한 상승(LPE, Local Privilege Escalation) 취약점이다. ALPC(Advanced Local Procedure Call)를 잘못 처리하는 데서 비롯하며, local에서 작동하는 부분이기 때문에 네트워크를 통해 원격으로 악용할 수는 없다. 예를 들어, 여러 명이 사용하는 PC에 관리자가 일반 사용자들에게 제한된 계정만을 열어줬다. 이는 악성코드를 설치하거나 시스템에 중요한 변경을 가하는 것을 막기 위해서다. 그러나 악의적인 사람이 이 취약점을 이용하면 관리자 권한으로 PC를 맘대로 조작할 수 있는 것이다. 마이크로소프트는 9월 정기 업데이트 때 패치할 예정이다. <9.5 업데이트> 이 취약점이 공개된 지 이틀만에 이를 이용한 악성코드가 등장해, 실제 피해 사례가 발견됐다. 취약점 내용도 상세히 알려졌다. 이 취약점은 Windows 7~10에 존재하며, 사용자 권한을 제대로 확인하지 않아 C:\windows\task 폴더에 쓰기를 허락한다. 결국에는 공격자에게 전능한 'SYSTEM 권한'을 주게 된다. 악성코드는 취약점을 이용해 구글의 업데이트 툴인 GoogleUpdate.exe를 백도어로 덮어쓰고, 원래 권한인 관리자 권한을 시스템 권한으로 상승시킨다. 이 취약점은 원격으로 이용할 수는 없으므로 최초 공격은 이메일의 첨부파일을 통해 이뤄졌다. <9.11 업데이트...

시만텍 인증서는 믿을 수 없다?

HTTPS 프로토콜이 적용되고 유효한 SSL, TLS 인증서를 갖춘 사이트는 브라우저에서 안전한 것으로 표시된다. 그러나 시만텍(Symantec)이 발급한 TLS 인증서를 갖춘 사이트는, 파이어폭스와 크롬 브라우저에서 오는 10월 중순경부터 안전하지 않은 것으로 표시된다. 브라우저 개발사들이 시만텍의 모든 인증서를 신뢰하지 않기로 했기 때문이다. 그동안 시만텍은 인증서를 발급할 때, 업계의 규정을 제대로 지키지 않았다. 그 결과 부적합한 인증서가 3만 개 넘게 발급됐다. 이런 것은 피싱(phishing) 사이트에 이용될 수 있다. 이런 이유로 파이어폭스와 크롬은 2016년 6월 1일 이전에 발급된 시만텍 인증서를 신뢰할 수 없는 것으로 표시해 왔는데, 10월부터는 모든 시만텍 인증서로 확대 적용하는 것이다. 또한 시만텍의 하위 인증기관(CA, Certificate Authority)인 GeoTrust, Thawte, RapidSSL 등의 인증서 역시 마찬가지이다. 결국 시만텍은 인증 사업을 포기했고, 2017년 10월 31일 DigiCert가 시만텍의 웹 보안 및 인증 사업을 인수했다. 이로 인해 디지서트는 업계 6위에서 3위로 급성장하게 됐다. 그리고 문제된 시만텍 계열의 인증서는 무료로 교체해 주고 있다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 Firefox Nightly Distrusts All Symantec TLS Certs  

IoT 해킹: 스마트 플러그로 집안을 해킹하다

맥아피의 연구팀이 벨킨의 'Wemo Insight Smart Plugs'에서 원격으로 해킹할 수 있는 취약점을 발견했다. 이 스마트 플러그는 와이파이로 연결되는 IoT 기기이다. 해당 취약점은 CVE-2018-6692로 등록됐으며 5.21일에 벨킨에 통보됐다. 이 취약점은 원격으로 스마트 플러그의 보안 장치를 우회하여, 플러그를 완전히 장악할 수 있는 것이다. 간단하게는 플러그를 켜고 끄거나 과부하를 유발할 수 있다. 그러나 이것은 약과다. 이 스마트 플러그는 많은 Linux 명령어를 내장하고 있고, 와이파이를 통해 홈 네트워크에 연결되어 있기 때문에, 전체 네트워크를 해킹하는 발판(middleman)이 될 수 있다. 연구팀은 스마트 플러그의 명령어를 통해 악성 스크립트를 다운로드해 실행해서, 같은 네트워크에 있는 스마트 TV를 조작해 보였다. 물론 스마트 TV 역시 자체적인 취약점이 있었기에 가능한 일이었다. 스마트 TV를 켜고 끄거나, 앱을 설치하거나 삭제하는 것이 가능했고, 임의의 온라인 콘텐츠를 재생하는 것도 가능했다. 이것은 보안회사의 연구였지만, 실제로 IoT 기기를 해킹한 후 이를 통해 전체 네트워크를 해킹한 사건이 있었다. 미국의 한 카지노가 어항에 있는 온도계를 통해 해킹당한 것이다. 스마트 홈이니 인공지능 비서니 하면서 집안의 기기들이 IoT 기기로 빠르게 대체돼 가고 있다. 편리한 반면에, 단 하나의 취약한 기기로 인해 온 집안이 위험에 빠질 수도 있게 됐다. 조만간 펜치로 창문을 뜯고 들어오는 도둑은 사라지고, 스마트 도어록을 해킹해 당당히 문 열고 들어오는 도둑을 보게 될 것이다. IoT 기기에 대한 보안 수칙은 다음과 같다. 기기를 구입하는 단계부터 보안을 염두에 둔다. 신뢰할 수 있는 회사, 제품을 선택하도록 한다. 인터넷 검색도 도움이 된다. 기본 암호는 반드시 바꾸고, 설치하자마자 업데이트를 확인한다. 요즘은 정부 지침에 따라 기본 설정된 암호도 조금은 복잡해 보인다. 그러나 회사마다 패턴이...

포트나이트 앱, 악성코드 설치에 이용될 수 있다

인기 게임 Fortnite 안드로이드 버전에서 악성코드 설치 수단이 될 수 있는 취약점이 발견됐다. 구글이 8.15일에 발견해서 개발사 Epic Games에 통보했고, 에픽 게임즈는 이틀만에 수정판인 2.1.0 버전을 내놨다. 이 취약점은 Man-in-the-Disk(MitD)라고 불리는, 외부 저장소 공격에 대한 취약점이다. 포트나이트에 국한된 문제가 아니라, 많은 안드로이드 앱이 이런 취약점을 갖고 있다. 내부 저장소와 외부 저장소 안드로이드 시스템의 저장 공간은 내부 저장소(internal storage)와 외부 저장소(external storage)로 나뉜다. 내부 저장소는 운영체제의 샌드박스(sandbox) 처리에 의해 보호되어, 운영체제 자체 및 각각의 앱에 할당되고 격리된 저장 공간이다. 즉 다른 앱은 접근할 수 없는 곳이다. 외부 저장소는 앱 및 사용자가 자유롭게 사용할 수 있는 공간이다. 내부 저장소와 외부 저장소의 구분은 물리적인 것이 아니라 논리적인 것이다. 기기 내부의 드라이브에 있는 저장 공간이라도, 운영체제의 보호 밖에 있는 부분은 외부 저장소이다. 슬롯에 삽입한 SD card나 USB 메모리 같은 것은 전형적인 외부 저장소이다. 구글의 보안 가이드라인에 따르면 실행파일 같은 핵심 부분은 외부 저장소에 둘 수 없고, 외부 저장소에 저장하는 데이터는 암호화하고 디지털 서명돼야 하며, 읽어 들이기 전에 유효성 검증을 해야 한다. 문제는 개발자들이 이 지침을 잘 따르지 않는다는 데에 있다. 특히 보급형 기기 같은 경우 내부 저장소의 공간에 제약이 있기 때문에, 개발자들은 앱의 일부분을 외부 저장소에 둠으로써 앱 크기를 줄일 필요성을 느낀다. 또 임시 파일 등을 처리하기에 편한 점도 있다. 이런 이유로 개발자들이 외부 저장소를 활용하면서 보안 지침을 지키지 않는 것이다. MITD(Man-in-the-Disk) 공격 외부 저장소는 운영체제의 보호 하에 있지 않기 때문에, '외부 저장소에 접근' 권한 하...

라자루스 해커단, Mac OS용 악성코드도 만들었다

유령회사 설립해 유사 공급망 공격 북한의 해커단 Lazarus가 처음으로 맥용 악성코드를 만들어, 아시아에 있는 가상화폐 거래소를 해킹하는 데 사용했다. 이 작전은 카스퍼스키가 발견했으며, 애플제우스 작전(operation AppleJeus)이라고 불렀다. 금전적 피해가 발생했는 지는 확실치 않으며, 우리 나라 거래소는 아니다. 해킹은 피싱(phishing)에서 시작됐다. 거래소 직원이 개발사의 사이트로 위장한 가짜 사이트에서 가상화폐 거래용 프로그램을 다운로드했는데, 업데이트 모듈에 악성코드를 다운로드하는 기능을 넣었다. 이 프로그램은 유효한 디지털 인증서(코드 서명 인증서)로 서명되어 있어서 보안 프로그램을 우회할 수 있다. 가짜 가상화폐 거래 프로그램은 윈도우용과 맥용이 있으며, 추후 업데이트 시 RAT(원격제어) 악성코드를 다운로드한다. 애플제우스 작전에서 특이한 점은 유령회사를 이용한 점이다. 보통 피싱에서는 유명한 회사의 사이트를 모방한 가짜 사이트를 이용하는데, 여기서는 실존하지 않는 소프트웨어 개발사를 만들어 홈페이지를 구축하고 코드 서명 인증서까지 발급받은 것이다. 공급망 공격(supply-chain attack)의 변형이라고 할 수 있겠다. 참고 자료 Lazarus Group Deploys Its First Mac Malware in Cryptocurrency Exchange Hack  

Onavo Protect는 사이비 VPN?

페이스북의 자회사 오나보의 '프로텍트'라는 앱이 애플의 앱스토어에서 퇴출됐다. 과도한 개인정보 수집 및 이용으로 애플의 가이드라인을 넘어섰기 때문이다. 오나보 프로텍트를 살펴보면 정통 VPN이 아니다. 기기의 데이터 사용에 대한 제어가 주기능이고, VPN은 그저 사용자의 트래픽을 페이스북이 관리하는 서버로 재전송하기 위한 수단에 불과한 듯하다. 이전부터 이 앱은 전문가들 사이에서 논란이 많았고 평판도 좋지 않았다. 재밌는 건 스토어에서 일반인의 평점과 리뷰는 좋다는 것이다. 오나보 프로텍트는 제3자 앱을 포함해서 기기의 모든 인터넷 트래픽을 추적해서, 페이스북의 서비스 개선에 이용한다. 물론 개인정보 보호정책에 이 점을 명시하긴 했다. 따라서 법적으로는 불법이 아닐 수도 있다. 그러나 일반적인 VPN 앱은 이런 짓을 하지 않는다. 즉 애플이 지적한 대로, 앱의 목적에 직접적으로 필요하지 않은 것까지 과도하게 개인정보를 수집한 것이다. 엉터리 VPN으로 인한 피해 사례는 7월에 있었던 Hola VPN 해킹 사건도 있었다. VPN 서비스를 선택할 때는 개인정보 보호정책과 암호화 정책을 잘 살펴야 한다. 오나보 프로텍트는 애플 앱스토어와 구글 플레이 스토어에서 3,300만 번 이상 다운로드됐다. 애플의 스토어에서는 퇴출됐지만 구글 스토어엔 아직 남아있다. 애플 앱스토어에서 이미 다운로드한 사용자는 계속 사용할 수 있다. 단, 업데이트는 제공되지 않는다. 그러나 개인정보 이슈로 퇴출된 것이므로 기존 사용자도 삭제하는 것이 좋을 것이다. 관련 자료 Hola VPN 해킹, 마이이더월렛 사용자 주의 참고 자료 Apple Forces Facebook VPN App Out of iOS Store for Stealing Users' Data  

Triout, 정상 앱을 스파이 앱으로 만드는 악성코드

정상적인 안드로이드 앱을 스파이웨어(spyware)로 변조하는 악성코드 프레임워크(malware framework)가 발견됐다. 비트디펜더 연구팀이 발견해서 '트라이아웃(Triout)'이라고 불렀다. 트라이아웃으로 변조된(repackaged) 악성 앱들은 5.15일부터 발견되기 시작했다. 분석된 표본은 구글 플레이 스토어에 있었던 정상 앱과 완전히 똑같은 모양을 하고 있으며, 실제로 똑같은 기능도 한다. 심지어 진짜 구글의 디버그 인증서로 서명까지 돼 있었다. 이들의 출처는 정확하게 밝혀지진 않았지만, 연구팀은 제3의 앱스토어나 해커가 만든 악성 사이트로 추정했다. 이 외에도 커뮤니티 게시물, 파일공유 사이트, 각종 공개자료실 등이 악성코드의 주된 유포 경로이다. 트라이아웃의 감시 능력은 정부 지원 해커들이 사용하는 수준의 것으로 평가됐다. 다만 분석을 방해하는 난독화(obfuscation)는 미흡해서 아직 완성작은 아니라는 추측을 불러왔다. 트라이아웃은 통화 녹음, SMS 수신 내역, 상세한 통화 내역, 촬영한 모든 사진과 동영상 등 개인정보를 C2 서버로 전송한다. 또한 자신을 완벽하게 은폐하여 감염된 기기 상에서 보이지 않는다. 여기서 배울 가장 중요한 것은, 앱은 반드시 신뢰할 수 있는 출처에서 받아야 한다는 것이다. 이렇게 정교하게 변조된 앱을 판별하는 것은 사실상 불가능하기 때문이다. 현재로선 구글 플레이 스토어가 가장 믿을 만하다고 생각한다. 프로젝트 제로팀 등 보안 역량이 뛰어나고 스토어 보안에 많은 공을 들이고 있기 때문이다. 물론 플레이 스토어에서 악성 앱이나 가짜 앱이 발견되는 일이 종종 있지만, 그 악성의 정도는 비교적 경미한 편이다. 치명적인 악성 앱은 대부분 피싱이나 악성 사이트를 통해 전파됐다. 아마존이나 우리 나라의 원스토어 등 제3자 스토어의 신뢰성에 대해서는 잘 모르겠다. 다음으로 권한을 허용할 때 신중해야 한다는 것이다. 이런 여러 스파이 행위를 하려면 많은 권한이 필요하기 때문이다...

델 인스피론 5676 특징

이미지
업그레이드와 방열에 유리한 큼직한 타워형 데스크탑이다. 두툼한 철판에 플라스틱을 덧댄 견고한 케이스다. 인텔에 비해 가성비가 좋은 AMD의 CPU를 사용했다. 8코어의 라이젠7 2700X 3.7GHz이다. RAM은 8GB, 저장장치는 256GB SSD와 1TB HDD를 갖췄다. 그래픽카드는 AMD 라데온 RX580 8GB이다. 전체적으로 중상급의 스펙으로 동영상 편집, 4K 동영상 재생, VR 콘텐츠 구동 등도 원활하게 할 수 있다. 게임 성능의 경우 일반적으로 평균 초당 30프레임이 간신히 할 만한 수준, 60프레임이 원활한 수준으로 본다. 해상도 설정 그래픽 설정 성능 배틀 그라운드 1920*1080 울트라 60 fps 몬스터헌터 월드 1920*1080 최고 40~50 fps 몬스터헌터 월드는 그래픽 품질을 조금 낮춰야 기분좋게 플레이할 수 있겠다. 참고 자료 [리뷰] 라이젠 기반 다재다능 데스크탑, 델 인스피론 5676  

고스트스크립트에 제로데이 취약점 발견, PDF 파일 주의

Ghostscript에서 심각한 제로데이(Zero-day) 취약점이 발견됐다. 패치가 아직 나오지 않았고 CVE에 미처 등록도 되지 않은 상태다. 고스트스크립트는 다른 프로그램들이 어도비의 포스트스크립트(PostScript)와 PDF 파일을 다룰 수 있게 하는 인터프리터(interpreter) 소프트웨어이다. 동종의 소프트웨어 중 가장 널리 쓰이고 있다. ImageMagick, Evince, GIMP를 비롯해 대부분의 PDF 편집기/뷰어에 사용되고 있다. 이 취약점은 악의적으로 조작된 PostScript, PDF, EPS, XPS 파일을 열어보면 작동하게 된다. 악용되면 해커는 원격으로 임의의 코드를 실행하여 시스템을 완전히 장악하게 된다. 고스트스크립트는 널리 사용되고 있기 때문에 해커들이 항상 주시하고 있는 표적이다. 작년에 발견된 CVE-2017-8291은 북한 해커단이 우리 나라 가상화폐 거래소를 해킹하는 데 이용됐다. 패치가 나올 때까지는 신뢰할 수 없는 출처의 위 파일들을 열어보지 않는 수 밖에 없다. 문제는 패치 과정이 쉽지 않다는 것이다. 고스트스크립트는 오픈소스로 위와 같은 많은 소프트웨어의 일부분으로 포함되어 있다. 따라서 고스트스크립트의 개발사인 Artifex Software에서 패치를 내놓고, 이에 따라 고스트스크립트를 이용한 프로그램 개발사들이 자사의 소프트웨어를 패치해야 업데이트가 끝나는 것이다. 이런 복잡한 과정에는 시간이 많이 걸리고, 원활하게 진행된다는 보장도 없다. 그 동안에는 해킹 위험에 무방비로 노출되는 것이다. 윈도우에 취약점이 발견되면 빠른 시간 내에 자동 업데이트되는 것과는 다르다. 오픈소스에 의존하는 많은 소프트웨어들이 같은 처지에 놓여 있다. 참고 자료 No Patch Available Yet for New Major Vulnerability in Ghostscript Interpreter Unpatched Ghostscript Flaws Allow Remote Takeover of...

다크 테킬라, 5년간 암약한 뱅킹 악성코드

최소 2013년부터 멕시코의 은행 고객을 털어온 악성코드 유포 작전이 발견됐다. 카스퍼스키가 발견하여 Dark Tequila라고 이름 붙였다. 5년이 넘도록 발각되지 않은 것은 엄선한 표적만 공격하고, 조심스럽게 절제된 공격을 펼쳤기 때문이다. 다크 테킬라의 주된 목표는 온라인 뱅킹용 크리덴셜(로그인 정보) 탈취이지만, 다른 유명 사이트의 크리덴셜 역시 탈취한다. 오피스365, 아마존, 드롭박스 등이 포함됐다. 이 점은 2가지 측면으로 볼 수 있다. 이들 계정 자체가 여러 모로 쓸모있는 가치가 있기도 하지만, 많은 사람들이 여러 사이트에 같은 크리덴셜을 사용하기 때문이기도 하다. 우리 나라에서도 6월에 우리은행이 크리덴셜 스터핑(credential stuffing) 공격을 받아 5만 명이 넘는 피해자가 발생했다. 다크 테킬라는 스피어 피싱(spear phishing)이나 USB 기기를 통해 감염된다. 일단 실행되면 C2 서버의 엄격한 통제하에 조심스럽게 공격한다. 백신을 비롯한 보안 프로그램이 작동 중일 때나 악성코드 분석 환경일 때는 감염 활동을 하지 않는다. 멕시코가 아니거나 기타 흥미없는 대상일 때는 원격으로 스스로를 삭제한다. 보안 프로그램에 발각될 위험이 감지돼도 자폭하는데, 포렌식 툴에 추적 당하지 않도록 흔적까지 말끔히 없앤다. 정보 탈취는 키로깅을 하거나, 브라우저, 이메일/FTP 클라이언트에 저장된 암호 파일에서 추출하는 방법을 쓴다. 다크 테킬라는 지금도 활동하고 있으며, 표적은 해커의 관심에 따라 쉽게 바꿀 수 있다. 여기에서 몇 가지 기본적인 보안 팁을 다시 한번 확인할 수 있다. 보안 소프트웨어는 반드시 구동해야 한다는 것이다. 그리고 USB 기기는 여전히 악성코드의 주요한 공격 벡터(vector, 매개체)이므로, 연결시 자동실행(autorun)되지 않게 설정해야 한다. 끝으로 여러 사이트에 동일한 크리덴셜을 쓰는 것은 절대 금물이다. 관련 자료 우리은행, 알툴즈 해킹한 크리덴셜 스터핑(Credential Stu...

게임패드 앱에 악성코드

안드로이드 스마트폰에 연결해서 게임 조작을 쉽게 해주는 주변기기인 게임패드가 인기를 끌고 있다. 블루투스로 연결되며, 제조사의 앱을 설치해야 사용할 수 있다. 대부분 중국제인데, 문제는 제조사의 설정 앱이 과도한 개인정보를 수집하여 제조사 서버로 전송한다는 것이다. 어떤 것은 사용자 동의도 받지 않는데, 이스트시큐리티에서는 이를 악성코드로 판단했으며, 알약에서 Misc.Android.Infostealer로 탐지한다. 설정 앱은 플레이 스토어가 아닌 제조사 홈페이지에서 받아야 한다. 벌써 여기서부터 문제다. 신뢰할 수 있는 제조사들은 관련 앱도 공식 스토어를 통해 제공하고 있다. 이 앱은 30여 개에 달하는 권한을 요구한다. 이런 권한을 이용하여 게임 실행과 관련 없는 광범위한 개인정보를 수집한다. 몇 개만 열거해 보면 제조사 및 모델 등의 기기 정보, 위치 정보, 주변에 있는 기기의 MAC 주소, 설치된 앱 목록 등이다. 이런 정보들은 취약점 파악 및 기기 맞춤형 악성코드 전송에 이용될 수 있다. 게다가 관리자 권한까지 요구한다. '슈퍼유저 요청'이라고 표시되는 기종도 있다. 관리자 권한은 기기 설정을 맘대로 조작하고 다른 앱에도 접근할 수 있으므로, 반드시 신뢰할 수 있는 앱에만 허락해야 한다. 관리자 권한을 얻으면 'busybox'라는 프로그램이 권한 부여, 폴더 생성, 파일 복사 등 작업을 수행한다. 설치된 파일 중에 motionelf_server_***** 하는 것들은 앱을 제거하더라도 바로 삭제되지 않는다. 백그라운드에서 계속 작동하며 재부팅해야 삭제된다. 수집된 정보는 제조사 서버로 전송된다. 이 과정에서 사용자에게 알리지도 않는다. 비슷한 다른 앱들은 사용자 동의를 받고 있는데 반해, 이 앱은 몰래 수행한다는 점에서 악성코드로 판단한 것이다. 참고 자료 Misc.Android.InfoStealer 악성코드 분석 보고서  

크롬이 '호환되지 않는 앱'이라는 경고를 나타낸다면

코드 인젝션(code injection) 차단 크롬(chrome) 브라우저는 최근 크롬의 프로세스에 코드를 주입하는(code injection) 타 프로그램을 차단하는 기능을 추가했다. 코드 인젝션은 Windows에서 많이 일어나는데, 시스템 충돌을 일으켜 안정성을 해치는 결과를 초래한다. 많은 경우 악성코드의 소행이기도 하다. 엣지(Edge) 브라우저에는 이미 비슷한 기능이 있다. 코드 인젝션 차단 기능은 크롬 66버전에서 도입되어 점차적으로 확대 적용 중에 있다. 현재 크롬 68버전에서는 코드 인젝션을 하는 프로그램으로 충돌이 발생하면, 문제의 프로그램을 표시하면서 "Update or remove incompatible applications"라는 경고창을 띄운다. 내년 1월에 출시될 크롬 72버전에서는 아예 이런 프로그램을 자동으로 차단하게 된다. 아직은 테스트 단계이기 때문에 모든 크롬 사용자에게 이 기능이 활성화돼 있는 것은 아니다. 그러나 차차 이런 경고를 보는 사람이 늘어날 것이다. 이때는 어떻게 해야 할까. 백신 등 보안 프로그램은 코드 인젝션 차단 기능에 걸려들 가능성이 있다. 악성 행위를 하는 지 테스트하는 과정에서 코드 인젝션을 할 수도 있기 때문이다. 실제로 현재 MalwareBytes, BitDefender, Avast 등 유명 백신들이 경고를 유발하고 있다. 이렇게 납득할 만한 이유가 있고, 신뢰할 수 있는 프로그램인 경우에는 경고를 그냥 무시하면 된다. 그러나 이외의 경우라면 판단을 내려야 한다. 자주 쓰지 않거나 잘 모르는 프로그램이라면 삭제하는 것이 안전하다. 현재 DropBox, FileZilla, Acer Power Manager 등 코드 인젝션을 할 이유가 없는 프로그램 몇몇이 경고 대상이 되는 것으로 알려져 있다. 참고한 기사를 쓴 악성코드 전문가 로렌스 에이브람스도 이상하게 생각한다. 참고 자료 Google Chrome Showing Alerts About Incompat...

애플, 16세 소년에 해킹당했다

애플이 16세 고등학생에게 해킹을 당했다. 애플의 보안 수준은 최고 수준으로, 사람들은 보통 애플은 해킹할 수 없다고 생각한다. 게다가 1년이 넘는 기간 동안, 여러 번 해킹을 당하면서도 눈치를 채지 못했다. 해킹으로 90GB 가량의 데이터를 도난당했는데, 이 서버들은 극도로 보안된 파일들을 보관하는 곳이었다. 유출된 파일 중에는 사용자에게 로그인 권한을 주는 인증키, 여러 계정에 접근할 수 있는 권한을 주는 인증키도 포함됐다. 애플의 요청으로 자세한 내용은 공개되지 않았으며, 어떤 종류의 데이터들이 탈취됐는지는 불확실하다. 다만 애플은 17일 언론 발표를 통해 개인 정보는 유출되지 않았다고 밝혔다. 해커는 작년에 FBI와 AFP(호주 연방경찰)의 공조로 체포됐는데, 그의 기기에서 수많은 해킹툴이 발견됐으며, 해킹 관련 내용을 왓츠앱으로 다른 사람들과 공유하고 있었다. 참고 자료 16-Year-Old Teen Hacked Apple Servers, Stole 90GB of Secure Files  

거래내역 엑셀 파일로 위장한 피싱 주의

이스트시큐리티에 따르면 최근 기업의 거래 내역을 담은 엑셀 파일로 위장한 스피어 피싱(spear phishing) 메일이 퍼지고 있다. 발신자는 세무회계 사무소 담당자 행세를 하며, 첨부 파일은 '거래내역.xlsx.exe' 같은 형태의 이중 확장명을 갖고 있다. 윈도우의 기본 설정은 exe 같은 흔한 파일 형식은 확장명을 표시하지 않으므로, 단순한 엑셀 파일로 보이게 된다. 게다가 아이콘까지 엑셀의 것을 쓰고 있다. 이런 첨부 파일을 실행하면 악성코드에 감염되는데, 이 악성코드는 해커의 C2(C&C, Command & Control, 명령제어) 서버에 접속하여 임의의 명령을 수행하고, 자신을 업데이트하거나 다른 악성코드를 다운로드할 수 있다. 감염시 정상적인 엑셀 파일도 열려 피해자의 의심을 피한다. 이중 확장명을 가진 악성 파일을 피하기 위해, 모든 확장명을 표시하도록 윈도우 탐색기 설정을 변경하라고 흔히들 말한다. 그러나 별 도움이 되지 않는다. 파일 확장명을 위장하는 다른 방법도 있기 때문이다. 그보다는 내 PC가 아닌 다른 곳에서 온 파일은, 속성을 통해 실제 파일 형식을 확인하는 것이 중요하다. 또한 가상화폐 관련 문서나 금융권 입사지원서, 이력서 등으로 위장해, 가상화폐와 금융권 관련 인사를 노리는 유사한 사례가 많다고 한다. 관련 자료 파일 확장명 위장한 악성코드 참고 자료 기업 거래내역 엑셀 문서파일로 위장한 APT 표적공격 포착...주의  

파이어폭스의 보안 애드온이 개인정보 수집

모질라(Mozilla)의 웹 브라우저 파이어폭스(Firefox)의 인기 부가 기능(Add-on, 애드온)인 'Web Security'가 개인정보 수집 이슈로 애드온 포털에서 퇴출됐다. 웹 시큐리티는 악성코드, 악성 사이트, 피싱으로부터 안전하게 지켜준다는 애드온으로, 20만 명 이상이 사용할 정도로 인기가 많으며 사용자 리뷰의 평판도 좋아서, 파이어폭스의 공식 블로그에서 보안과 개인정보 보호 분야의 추천 애드온으로 선정될 정도였다. 그러나 사용자의 웹 서핑 기록(히스토리)을 과도하게 수집하여 개발사 서버로 전송한다는 사실이 밝혀졌다. 또한 비슷한 이유로 Browser security, Browser Privacy, Browser Safety, Popup Blocker, Quick AMZ 등 모두 23개의 애드온이 애드온 포털에서 제거됐다. 이들 퇴출된 애드온은 더 이상 다운로드가 불가능하며, 이미 사용중인 경우에는 보안상 이유로 작동 불가 조치됐다는 경고가 나타난다. 퇴출된 애드온 명단에서 알 수 있듯이, 보안을 향상시킨다는 것들이 오히려 해로운 것이었다. 이런 일은 다른 출처들에서도 많이 볼 수 있다. 엉터리 혹은 악의적인 보안 툴, 시스템 성능 향상 툴이 사방에 널려있다. 개인 사용자의 경우, 믿을 만한 백신 프로그램 하나만 설치하고, 스마트 스크린(엣지), 세이프 브라우징(크롬) 등 브라우저의 보안 기능을 활성화하는 것으로 충분하다. 정체불명의 보안 프로그램에 혹하지 말자. 그리고 최근의 PC와 스마트폰은 성능이 충분히 좋기도 하거니와, 운영체제 자체의 관리 능력도 좋아서 별도의 시스템 최적화 혹은 성능 향상 프로그램이 필요 없다. 오히려 불필요한 프로그램 개수를 줄이는 것이 보안상으로나 성능상으로나 좋다. 참고 자료 Firefox Add-On With 220,000+ Installs Caught Collecting Users' Browsing History Mozilla Removes 23 Fire...

방어 장치를 우회하는 새로운 피싱 기술들

요즘 대부분의 메일 서비스나 오피스 솔류션은 피싱에 대한 방어 장치를 갖추고 있다. 메일에 포함된 링크를 일일이 추적하여 악성 사이트로 연결되는 것은 미리 차단하는 것이다. 그런데 이런 방어 장치를 회피하는 피싱 기술 또한 발전하고 있다. 기업에서 많이 이용하는 마이크로소프트 오피스365도 피싱 방어 장치를 갖고 있는데, 이를 무력화하는 새로운 기법들이 계속 나오고 있다. 아래에 나오는 링크 쪼개기는 5월에, 제로폰트 기법은 6월에 발견됐고, 현재는 보완 조치가 된 상태다. 그러자 셰어포인트 문서를 이용하는 방법이 새롭게 나타났다. 제로폰트(ZeroFont) 기법 문장 일부분을 폰트 크기 0으로 하는 방법이다. 0 크기의 문자는 사람 눈에는 안보이지만 컴퓨터에는 보인다. 예를 들어 다음과 같은 문장을 이용한다고 하자. Microprocessors run optimize software to store your secrets Securely. It is also good for system integrity, thanks to our Team. 이것을 다음과 같이 일부분의 폰트를 0으로 한다. 여기서는 작게 표시했지만, 실제 피싱 메일에서는 0으로 해서 아예 보이지 않는다. Micro processors run optimize soft ware to store your secrets Secur ely. It is also good for system integr ity , thanks to our Team. 결국 사람 눈에는 Microsoft Security Team으로 보이게 된다. 컴퓨터의 안티 피싱 소프트웨어는 평범한 문장으로 인식하지만, 사람은 신뢰할 수 있는 발신자로 판단하게 되는 것이다. 링크 쪼개기(baseStriker attack) 악성 링크를 <base> 태그를 이용해 분산시키는 방법이다. 예를 들어 https://bit.do/ee9mr이라는 악성 링크가 있다고 하자. 이를 그냥 피싱 메일에 표시하면...

180814 패치된 2개의 제로데이 취약점

14일 Patch Tuesday라고 불리는 마이크로소프트의 정기 보안 업데이트에서 총 60개의 취약점이 패치됐다. 그 중에서 2개는 패치 이전에 이미 실제 공격에 이용된 제로데이(Zero-day) 취약점이었다. 각종 취약점은 매일같이 무수히 발견되지만 이것들이 모두 실용적인 것은 아니다. 취약점을 악용하는 익스플로잇(exploit)은 대부분 일단 오류 상황을 일으키고 그 틈에 임의의 코드를 실행하는 방식이 많기 때문에, 많은 경우 해커가 원하는 결과가 일정하게 나오지 않는다. 실패 확률이 높다는 것이다. 대신 요즘 쉽고 확실한 피싱이 유행하는 이유이기도 하다. 러시아 해커단이 2016년 미국 민주당 대선 캠프를 해킹한 사례에서 볼 수 있듯이, 최고의 엘리트들도 피싱에 넘어 간다. 그러나 제로데이 취약점은 이미 실용성이 입증된 것이므로, 패치 발표 이후에도 집요하게 공격 대상이 된다. 특히 주목해야 하는 이유이다. CVE-2018-8373 | Scripting Engine Memory Corruption Vulnerability 인터넷 익스플로러의 스크립팅 엔진이 개체를 잘못 다뤄, 원격코드 실행이 가능케 하는 취약점이다. 해커가 이를 이용하면 메모리 내용을 바꿔서, 사용자의 권한으로 임의의 코드를 실행할 수 있다. 따라서 사용자가 관리자 권한으로 로그인한 경우라면, 컴퓨터를 완전히 제어할 수 있게 된다. 예를 들어 파일을 보고, 바꾸고, 지울 수 있다. 계정을 새로 만들거나 프로그램을 설치할 수도 있다. 제한된 계정으로 로그인한 경우라면 개인 파일이 피해를 입을 수는 있지만, 시스템 차원의 심각한 피해는 입지 않는다. 해커는 이 취약점을 이용하는 내용물을 담은 웹 페이지를 만들어, 피해자가 이것을 보도록 유도하는 방식으로 공격할 수 있다. 또한 악의적인 ActiveX 개체를 포함한 첨부파일을 메일로 보내, 열어보도록 유도할 수도 있다. CVE-2018-8414 | Windows Shell Remote Code Execution Vulne...

포어섀도우(Foreshadow), 인텔 CPU 보안영역 해킹 취약점

인텔 CPU 특유의 보안 영역인 SGX Enclave의 민감한 내용을 탈취할 수 있는 취약점이 발견됐다. speculative execution 기능의 취약점을 이용한다는 점에서 스펙터(Spectre) 류로 분류되기도 하지만, SGX Enclave와 L1 캐시 메모리를 공격 대상으로 한다는 점에서 많이 다르기도 하다. 이런 차이점으로 인해, 기존의 멜트다운(Meltdown)과 스펙터에 대한 대응 조치는 소용이 없다. 인텔에서는 이를 L1TF라고 부르는데, 먼저 발견하고 제보한 연구팀은 포어섀도우라고 부른다. 포어섀도우에는 3개의 버전이 있는데, 원조는 CVE-2018-3615로 등록된 Foreshadow, 2개의 변종은 CVE-2018-3620, 3646인 Foreshadow NG(Next Generation)이다. Foreshadow는 SGX Enclave를 공격하고, Foreshadow NG는 L1 cache를 공격한다. Sgx Enclave는 인텔 CPU에 특유한 것이므로 현재까지의 연구 결과로는 다른 제조사의 CPU는 영향을 받지 않는다고 한다. 포어섀도우는 스펙터로 한창 난리가 났던 올 초에 인텔에 보고됐고, 인텔은 바로 펌웨어 업데이트를 했다. 그러나 운영체제와 드라이버에 대한 패치가 늦어져 8.14일에야 배포됐고, 관련 사실도 대중에 공개됐다. 이번 패치는 스펙터 때와는 달리 시스템 성능 저하가 거의 없다고 한다. 포어섀도우 역시 스펙터와 마찬가지로 클라우드 서비스에 특히 위협적이므로, 서비스 제공업체의 주의가 필요하다. 포어섀도우 발견으로 인해 CPU의 보안영역에 대한 과신은 금물이라는 점이 더욱 명확해졌다. 이전에도 SgxPectre라는 취약점(관련 자료 1)이 발견된 바 있고, 일반 악성코드에 의한 공격 가능성도 입증된 적이 있다. 물론 공격의 난이도와 안전성에서 일반 저장공간과는 큰 차이가 있지만, 정상 프로그램이 읽고 쓸 수 있는 공간이라면 악성코드도 할 수 있다고 보는 편이 옳다. 관련 자료 인텔 CPU의 SGX ...

팩스 번호 하나로 전체 네트워크를 해킹하다

팩스(fax) 번호는 공개된 것이므로 쉽게 알 수 있다. 그런데 이것만 가지고 팩스가 연결된 전체 네트워크를 해킹할 수 있다는 사실이 입증됐다. 체크포인트 연구팀이 발견했고, 팩스플로잇(Faxploit)이라고 이름 붙였다. 대상은 팩스 기능이 포함된 HP의 AIO(All-in-One printer, 복합기)였다. 이 기기에는 CVE-2018-5924, 5925로 등록된 버퍼 오버플로우 취약점이 있는데, 이를 이용하면 원격으로 임의의 코드를 실행할 수 있다. 여기에 팩스 번호로 취약점을 악용하는 악성 팩스, 즉 특별하게 조작된 이미지를 전송하여 제어권을 탈취한다. 복합기(올인원 프린터)를 해킹하면 인쇄 중인 중요 문서 탈취, 가상화폐 채굴, 다른 사이트에 대한 DDOS 공격에 동원 등 악성 행위를 할 수 있다. 뿐만 아니라 요즘 프린터는 와이파이 등 네트워크로 연결된 경우가 많으므로, 프린터를 거점으로 삼아 전체 네트워크에 침투할 수 있다, 네트워크에 연결된 다른 기기에 침투하는 데는 시스템의 취약점이 이용된다. 이번 연구에서는 이터널블루(EternalBlue)와 더블 펄사(Double Pulsar)라는 해킹툴이 이용됐다. 이터널블루는 NSA가 개발했고 워너크라이(WannaCry) 랜섬웨어 확산에 이용된 바 있다. 해당 HP 복합기의 취약점은 패치됐다. 그러나 연구팀에 따르면, 이 취약점은 근본적으로 팩스 프로토콜 자체와 관련이 있으므로 다른 복합기, 팩스 단일기기, 심지어 팩스를 메일로 변환해 주는 서비스까지도 비슷한 취약점이 있을 것이라고 한다. 참고 자료 Hackers can compromise your network just by sending a Fax  

윈도우 디펜더가 메모리 변경을 차단했습니다...악성코드 감염?

제어된 폴더 액세스 Windows 10 PC 사용중에 Windows Defender가 *****프로그램이 메모리를 변경하지 못하도록 차단했다는 알림을 보이는 경우가 있다. 이것은 윈도우 디펜더의 랜섬웨어 방지 기능의 하나인 '제어된 폴더 액세스' 때문이다. 이 기능은 허가되지 않은 프로그램이 메모리와 주요 폴더의 내용을 변경하지 못하도록 막는 것이다. 기본으로 활성화되어 있는지는 잘 모르겠는데, 활성화할 것을 권한다. 가끔 정상 프로그램의 행동을 차단하는 경우도 있다. 예를 들어, 바탕화면 같은 보호된 폴더에 파일을 저장하지 못하는 프로그램도 있다. 이럴 때는 다른 위치에 저장하면 된다. 이처럼 민감하게 반응하여 조금 불편한 경우도 있지만, 효용성이 훨씬 크다고 생각한다. '제어된 폴더 액세스'가 차단 알림을 나타내는 것은, 위처럼 오인의 경우도 있지만, 악성코드에 감염됐음을 나타내는 징후일 수도 있다. 여기서 우리 나라 사람을 힘들게 하는 문제가 발생한다. 정부 기관이나 금융 회사 사이트를 이용할 때 설치되는 보안 프로그램이 말썽을 일으켜서 판단을 어렵게 하기 때문이다. 공공 사이트나 금융 사이트에서 강제로 설치하는 각종 보안 프로그램이 설치되어 있을 때는, 윈도우 디펜더의 차단 경고가 빈번하게 나타난다. 심지어 웹 브라우저를 열어놓지 않은 상태에서도 차단 경고가 나온다. 해당 사이트를 이용 중이 아닐 때도 백그라운드에서 항상 작동하고 있는 것이다. 엉성한 프로그램은 제거하는 게 좋다. 있어봐야 말썽만 일으킨다. 강제로 설치된 보안 프로그램들을 찾아 싹 지워버리면 윈도우 디펜더가 조용해진다. YesSign7 제거하기 대부분은 앱 설정에서 잘 지워지는데, YesSign7이란 것은 제거하려면 에러가 난다. 설치 정보와 실제 파일 위치가 맞지 않기 때문이다. 대부분의 금융사에 공급되는 프로그램이지만 이렇게 엉성하다. 예스싸인 공식 사이트에 가면 자료실에 제거 프로그램이 있다. 그러나 받을 필요 없다. 엉뚱한...

디링크 라우터 해킹해 DNS 하이재킹

디링크(D-Link)의 모뎀과 라우터(공유기)를 해킹해, 브라질 은행 고객들을 가짜 은행 사이트로 이끄는 공격이 탐지됐다. 현재는 브라질의 은행만을 대상으로 하고 있지만, 간단한 설정 변경으로 목표물을 바꿀 수 있음은 물론이다. 공격에는 디링크 라우터의 취약점이 이용됐다. "/dnscfg.cgi?dnsPrimary= &dnsSecondary= &dnsDynamic=0&dnsRefresh=1"라는 악성 URL을 이용해 라우터의 DNS 설정을 원격으로 변경할 수 있는 취약점으로, 2015년에 알려진 것이다. 펌웨어 업데이트가 얼마나 중요하며, 실제로 잘 안되고 있다는 것을 알 수 있다. DNS 설정이 해커의 것으로 변경되면, 이 라우터를 통한 트래픽은 직접 입력이든 즐겨찾기든 해커가 의도한 가짜 사이트로 연결된다. 이런 공격 방법을 DNS 하이재킹이라 하는데, 근래 많이 발생하고 있다. 이를 알아채고 피하는 방법은 피싱과 같다. 어떤 방식이든 간에 가짜 사이트를 이용하는 것은 마찬가지이기 때문이다. 해킹된 라우터를 통해 브라질 은행에 접속하려던 사람은 가짜 사이트로 이동되며, 여기에 입력한 로그인 정보는 고스란히 해커의 손에 넘어갔다. 피해자 PC에는 아무 공격이 없으므로 일반적인 보안 소프트웨어에는 탐지되지 않으며, 가짜 사이트 접속 시 나타나는 SSL 인증서 관련 경고 메시지가 유일한 징후이다. DNS 하이재킹 사례를 살펴보면, 많은 사람들이 이 인증서 경고를 그냥 무시했다. 관련 자료 공유기 해킹하여 DNS 하이재킹하는 Roaming Mantis 악성코드 피싱(phishing) 사기 피하는 방법 참고 자료 Hackers Exploiting DLink Routers to Redirect Users to Fake Brazilian Banks DNS Hijacking Targets Brazilian Banks  

"구글 선물을 획득했습니다" 가짜 이벤트 주의

웹 서핑을 하다 보면 "Google 사용자께 축하드립니다. Google 선물을 획득했습니다!"라는 창이 열리는 경우가 있다. 아이폰 등을 경품으로 내걸었다. 그러나 개인정보 수집을 위한 가짜 이벤트이다. 공짜를 미끼로 하는 이런 팝업을 만나면 혹 하기 쉽지만, 차분하게 생각을 해 볼 필요가 있다. 내가 응모한 적도 없는 이벤트에, 메일도 아니고 인터넷 팝업으로 어떻게 당첨 알림이 올 수 있겠는가. 물론 메일로 와도 피싱인 경우가 적지 않으므로 꼼꼼히 살펴봐야 한다. 참고한 기사를 쓴 기자분은 용감하게 링크를 클릭해서 살펴봤다고 한다. 위와 같은 멘트 뒤에, 매주 10명의 사용자에게 임의로 선물을 지급하며, 간단한 퀴즈 3개를 풀고 경품을 선택하면 된다고 한다. 바람잡이로 감사의 댓글 몇 개를 보여준다. 이때, 피해자를 초조하게 만들기 위해, 짧은 시간 안에 절차를 마무리하지 않으면 품절될 수 있다고 타이머를 보여 주며 재촉한다. 마지막 단계에서는 본색을 드러내어 개인정보를 입력하도록 요구한다. 개인정보가 스팸에 이용되는 건 그래도 양반에 속한다. 해커는 이런 정보들에서 계정 암호를 유추하여 각종 계정을 해킹할 수도 있다. 세상에 공짜는 없다. 참고 자료 '아이폰 당첨되셨습니다' 경품 이벤트의 정체  

가짜 악성코드 감염 경고 주의

이미지
웹 서핑 중 바이러스에 감염됐다는 경고와 함께 치료 프로그램을 다운로드하라는 내용의 새 창이 열리는 경우가 있다. 이 페이지는 마이크로소프트와 윈도우 로고를 갖고 있으며, MS의 보안 지원 사이트와 유사한 모양을 하고 있다. 그러나 이 팝업창은 가짜다. 지시대로 프로그램을 다운로드하면 악성코드에 감염되거나 엉터리 백신 프로그램에 이용료를 지불하게 된다. 경고가 나오면 순간 당황하기 쉽지만 침착하게 생각을 해 보자. 만약 실제로 악성코드가 발견됐다면, 내가 설치하여 사용중인 보안 프로그램이 경고를 내보내는 것이지, 웹 페이지에 나올 리가 없다. 물론 웹 브라우저에 내장된 악성 사이트 차단 기능에서 위험한 사이트라는 경고를 내보내는 경우는 있다. 그러나 이것은 해당 사이트를 보지 말라고 경고하는 데 그치고, 다른 프로그램의 설치를 요구하지는 않는다. 가짜 혹은 엉터리 백신 프로그램으로 인한 문제는 이전부터 많이 있었다. 신뢰할 수 있는 보안 프로그램 하나만 설치해서 이용하고, 이런저런 헛소리에 흔들리지 말자. 실제 사례다. 마이크로소프트의 페이지처럼 보이려고 노력했지만, 주소 바를 보면 이상한 사이트임을 알 수 있다. 또 하나의 예다. 이런 경우에는 화면에 표시된 버튼을 클릭하지 않는 것이 좋다. 안내되는 내용과 다른 동작을 할 수 있기 때문이다. 창 상단에서 탭 자체를 닫아버리는 것이 안전하다. 브라우저 창 전체를 닫는 것은, 설정에 따라서는, 다시 브라우저를 실행하면 이전 탭들이 또 표시될 수도 있다. 참고 자료 웹서핑 중 "삐" 울리면, 당황하지 말고 이렇게 하세요  

스마트폰 LG Q8 2018년형 특징

이미지
중급 스마트폰 중에 눈에 띄는 게 있어 간단히 소개한다. 기본 스펙을 보자면, CPU는 스냅드래곤 450이다. CPU만 보면 4XX 시리즈라서 보급형이라 할 수 있지만 RAM이 4기가라서 체감 성능은 꽤 좋으리라 생각된다. 게다가 6.2인치의 대화면과 64기가의 저장공간을 고려하면 중급기로 보는 것이 옳다. 그 외에 하이파이 입체음향, 지문인식과 LG페이, 미국 군사 표준을 충족하는 내구성, IP68 등급의 방수방진 등의 실용성을 갖췄다. 가장 내세우는 점은 전용 터치 펜(스타일러스 펜)을 내장했다는 것이다. 따라서 꺼진 화면에서 바로 메모, 컬러링북, 스크래치 아트, GIF 캡쳐, 돋보기 기능 등의 편의 기능을 지원한다. 전용 터치펜이 특별히 대단해 보이지는 않는다. 그러나 상관없다고 생각한다. 스마트폰에서 터치펜이라는 게, 물론 여러 기능을 십분 활용하는 분도 있겠지만, 대부분 간단한 메모나 낙서, 손가락 끝의 쓰라림을 피하기 위한 터치 대용 정도의 용도에 그치기 때문이다. 사실 터치펜은 모든 스마트폰에서 쓸 수 있다. 시중에서 아무거나 싼 거 사서 쓰면 된다. 저가형은 대부분 뭉뚝한 고무캡을 쓰는데, 일반적인 사용에는 문제 없지만 작은 글씨는 쓸 수가 없다. 작은 글씨 등 조금 세밀하게 쓰고 싶다면 펜촉 지름이 2mm 정도되는 미세 터치펜을 사면 된다. 1만원 근처에 살 수 있다. 고급형 중에는 JOT(한글 표기를 할 수가 없네요 ㅋㅋ)사의 제품처럼 블루투스로 연결하여 카메라 셔터 역할을 하는 등 특별한 기능을 갖춘 것들도 있다. 결론적으로 보급형보다는 조금 쾌적한 체감 성능을 원해서 중급형 스마트폰을 찾는 분이라면, 전용 펜의 편의성도 함께 챙길 수 있다는 점에서 좋은 선택일 것 같다.

카스퍼스키 VPN 앱, DNS 노출 취약점

카스퍼스키의 안드로이드용 VPN 앱에서, 기기에 설정된 DNS 서버를 노출시키는 보안 취약점이 발견됐다. VPN이 익명성을 보장하려면 기기의 IP 주소뿐만 아니라 기기에 설정된 DNS 서버도 숨겨야 한다. 그리고 모든 네트워크 트래픽은 VPN 서비스 제공자로부터 할당된 가상의 IP 주소와 DNS 서버를 통해 이뤄져야 한다. 이 취약점은 6.20일에 배포된 1.4.0.486 버전에서 수정됐다. 스토어 앱에서 자동 업데이트를 설정하지 않은 사용자는 확인 후 업데이트해야 한다. 참고 자료 DNS Leak Fixed in Kaspersky VPN App for Android  

신종 키패스(KeyPass) 랜섬웨어

원격 데스크톱(RDP) 기능 조심해야 키패스라는 신종 랜섬웨어(ransomware)가 퍼지고 있다. 파일을 .keypass라는 확장명으로 암호화하고 랜섬 노트에 keypass라는 이름과 메일 주소가 있다. 해외 커뮤니티 사이트들에 감염 사례가 보고되고 있는데, 20개 국 이상에서 피해자가 발생했다. 감염 경로는 아직 밝혀지지 않았다. KMSpico 같은 크랙을 다운로드한 후에 감염됐다는 사람도 있고, 별 이유없이 저절로 감염됐다는 경우도 있다. 제로데이 취약점이나 원격 데스크톱 이용이 의심된다. 크랙(crack)이란 유료 소프트웨어를 무료로 쓸 수 있도록 한 해적판을 말하는데, 옛날부터 악성코드 감염의 주된 통로이므로 절대 피해야 한다. Windows, Office, 게임 등의 크랙이 특히 많다. 원격 데스크톱 기능(RDP, Remote Desktop Protocol)의 사용도 주의해야 한다. RDP를 구동하는 컴퓨터는 인터넷에 직접 연결하지 말고, VPN 뒤에 숨기라고 한다. 즉 VPN 계정으로 로그인한 사람만 접근할 수 있도록 하라는 것이다. 최근의 예로, 원격 데스크톱으로 침투하는 악성코드로는 샘샘(SamSam) 랜섬웨어가 대표적이므로 참고 바랍니다. 보안상 이유로 Windows 10의 경우 Home 버전에서는 원격 데스크톱을 지원하지 않는다. Pro 이상에서 지원한다. Home edition에서 원격 데스크톱을 이용할 수 있도록 봉인을 해제하는 RDP Wrapper라는 유틸리티가 있다. 그러나 이런 건 일종의 루팅(rooting, 운영체제를 임의로 변경하는 것)이므로 쓰지 않는 것이 좋다. 크롬 브라우저의 확장 프로그램을 이용하는 게 더 좋다고 생각한다. 단, 크롬 확장으로 원격 데스크톱을 이용하려면 반드시 구글에서 만든 것을 다운로드해야 한다. 원격제어는 악용되면 위험이 크므로 절대적으로 신뢰할 수 있는 프로그램만 써야 한다. 관련 자료 샘샘(SamSam), 600만불의 랜섬웨어 참고 자료 New KeyPass...

중국 IT기기 백도어 주의보

중국제 5G 네트워크 장비 도입 여부와 관련하여 백도어(backdoor, 은밀히 접근할 수 있는 통로) 논란이 일고 있는 가운데, 중국제 CCTV에 대해서도 백도어 우려가 제기되고 있다. 이런 상황은 우리 나라만의 일은 아니다. 중국의 각종 IT 제품들이 가성비를 앞세워 글로벌 점유율을 높여감과 함께 각국에서 보안 우려를 낳고 있다. 미국의 경우 올들어 중국제 휴대폰, 통신장비, 관용 CCTV 등의 수입을 줄줄이 금지했다. 해킹 등으로 인한 후천적인 백도어는 보안 소프트웨어로 대응할 여지라도 있다. 그러나 제조사가 심어놓은 선천적인 백도어는 전문가가 일일이 찾아내야 한다는 데 문제가 있다. 펌웨어 업데이트나 강력한 암호 설정 같은 일반적인 보안 수칙도 소용없음은 물론이다. 중국제 CCTV 백도어 의심에 관해 8일 나온 기사(참고 자료 1)은 구체성이 좀 떨어진다는 생각이다. 중국 웹사이트나 유튜브에 불법 유출 영상이 떠돈다는 것만으로 선천적인 백도어를 의심하기엔 부족하다. 관리 소홀이나 해킹에 의한 것일 수도 있기 때문이다. 게다가 제조사가 고의로 백도어를 만들었다면 좀더 고가치의 목표를 위한 것이지 인터넷에 뿌려버릴 일은 아닐 것이다. 그래서 사실로 밝혀진 2015년의 경우(참고 자료 2)를 살펴보는 게 더 좋을 것 같다. 당시 D-Link와 TP-Link라는 2개의 중국계 네트워크 장비업체의 CCTV에서 백도어가 발견됐다. 이 백도어는 중국에 있는 제조사의 클라우드 서버에서만 접근할 수 있다. 제조사는 이를 이용해 원격으로 CCTV를 제어하고 여러 기능을 수행할 수 있다. 그리고 CCTV를 이용해 보안 솔류션을 통과해서 내부 사설망에 침투할 수 있다. 게다가 관리자 암호는 제조사의 클라우드에 암호화되지 않은 평문으로 저장돼, 제조사가 그냥 알 수 있다. 즉 맘대로 영상을 빼내고 설정을 변경할 수도 있다는 것이다. 이 문제는 펌웨어 업데이트로 해결됐다. 고의인지 실수인지는 알 수 없지만, 들킨 이상 수정하지 않을 수는 없었을 것이다....

TSMC를 멈춘 건 워너크라이 랜섬웨어

대만의 반도체 생산업체 TSMC는 8.3일 소프트웨어 설치 중 악성코드에 감염돼 공장 가동이 이틀간 중단됐다. 이로 인해 총수익의 3% 가량 손실을 입은 것으로 추산된다. 이 악성코드는 2017년 5월 순식간에 전세계적으로 20만 대 이상의 PC를 감염시켜 대란을 일으켰던 워너크라이 랜섬웨어의 변종으로 밝혀졌다. 직원의 실수 때문으로 알려졌는데, 기본적인 보안 수칙을 지키지 않으면 이미 지나간 위험 요소에도 당할 수 있음을 여실히 보여준다. 그런 의미에서 작년에 최초 등장 시의 상황을 복습해 보자. 워너크라이 랜섬웨어(WannaCry ransomware)가 최초로 네트워크에 침투한 경로는 확실히 밝혀지지 않았으나 이메일 첨부파일로 들어온 것으로 추측됐다. 일단 교두보를 확보한 후에는 Windows의 SMB(Server Message Block)의 취약점을 이용해 퍼져나갔다. 이 취약점은 CVE-2017-0144, 0145 두 개인데, 특수하게 조작된 패킷을 이용해 임의의 코드를 실행할 수 있는 원격코드실행 취약점이다. 워너크라이가 등장하기 전인 2017.3월에 패치가 나왔지만, 업데이트를 제대로 하지 않은 기기들이 당한 것이다. 워너크라이의 탄생에는 비화가 있다. 미국의 정보기관인 NSA가 위의 취약점을 이용해 이터널 블루(EternalBlue)라는 해킹 툴을 만들었는데, 이것이 섀도우 브로커스(Shadow Brokers)라는 해커단에게 탈취돼 인터넷에 공개됐다. 이터널 블루를 바탕으로 워너크라이가 만들어졌다. 워너크라이는 특이한 킬스위치가 있었다. 특정 URL에 접속을 시도해서 성공할 경우에는 악성 행위를 하지 않는 것이다. 이를 두고, 통제불능 상태에 빠지는 것을 막으려는 안전장치라는 분석도 있고, 배포 초기에 악성코드 분석가들의 샌드박스에 걸려들지 않기 위한 회피 수단이라는 분석도 있다. 뒤에 나타난 변종들에는 킬스위치가 없다. 재미난 것은 이 킬스위치를 발견한 마커스 허친스가 이 URL을 사들여 워너크라이의 활동에 제동을 걸었다. 그리...

포트나이트 안드로이드 버전, 플레이 스토어에는 없다

전세계에서 가장 인기있는 게임 중 하나인 포트나이트(Fortnite)의 안드로이드 버전이 곧 출시된다. 게임 매니아에겐 희소식^^. 그런데 공식 구글 플레이 스토어에는 들어오지 않는다고 한다ㅠㅠ. 개발사인 에픽 게임즈에 따르면, 포트나이트 안드로이드 버전은 개발사의 공식 홈페이지에서만 독점적으로 다운로드할 수 있게 할 방침이다. 게이머와의 긴밀한 소통과 구글에 줘야할 수수료 30%를 아끼기 위해서라고 한다. 문제는 스토어 외에서 앱을 다운로드하려면 '알 수 없는 소스에서 앱 설치' 옵션을 허용해야 한다는 것이다. 이것은 안드로이드 보안 정책상 기본적으로 해제되어 있고, 기기를 악성코드로부터 보호하는 1차 방어선 역할을 한다. 이것만으로도 스미싱(Smishing)에 당할 위험은 거의 막을 수 있다. 포트나이트만 설치하고 바로 이 옵션을 원상회복하는 것을 깜박 잊어버리거나, 외부 소스에서 경계심 없이 앱을 설치하는 습관을 들인다면 보안에 큰 구멍을 내는 것이다. 플레이 스토어에서도 악성 앱이 발견되는 일이 종종 있다. 그러나 빈도나 위험도 면에서 외부 소스에 비할 바는 아니다. 실제로 기기를 완전히 제어할 수 있는 치명적인 악성 앱들은 모두 외부 소스에서 설치된 것들이었다. 나 같으면 차라리 게임을 안하고 말겠지만, 안그런 사람이 더 많을 것 같다. 좋지 않은 선례가 될 수도 있겠다. 참고 자료 Fortnite APK Download for Android Won't Be Available on Google Play Store  

알서포트, 해킹으로 코드 서명 인증서 유출

공급망 공격(supply-chain attack) 원격 지원/제어 솔류션 회사인 알서포트의 내부 PC가 해킹당해 코드 서명 인증서(code sign certificate)가 유출됐다. 알서포트가 해킹 사실을 안 건 7.18일이었는데, 8.6일에야 이 사실을 알렸다. 코드 서명 인증서는 파일이 신뢰할 수 있는 제작자에 의해 만들어졌고, 이후 변조되지 않았다는 것을 증명하는 표식이다. 이것을 제3자가 탈취하면 악성코드를 정상적인 프로그램으로 위장해 배포할 수 있다. 공급망 공격의 일종이다. 알서포트에 따르면 코드 서명 인증서가 유출된 것을 안 즉시 해당 인증서를 폐기했고, 업데이트 서버가 침해되지는 않았다. 애초에는 업데이트 서버가 해킹당해 고객사에 악성코드를 유포한 것으로 보도됐지만 사실이 아니었다. 어쨌거나 사건 발생 후 20일 가까이 지나서야 알린 것은 비난받아 마땅하다. 폐기된 인증서로 서명됐더라도 파일이 실행되지 않는 것은 아니다. 잘 모르거나 부주의로 경고를 무시하고 실행할 수도 있는 것이다. 이런 위험이 있는데도 쉬쉬하고 넘어가려 한 것은 무책임한 처사이다. Operation Red Signature 8.22일의 추가 보도(참고 자료 3)를 반영한 업데이트다. 트렌드마이크로는 이 사건을 자세히 분석했고, '붉은 서명 작전'이라고 명명했다. 내용을 보면, 알서포트가 밝힌 것과는 달리 업데이트 서버가 해킹당했고, 코드 서명 인증서는 훤씬 이전에 유출된 것으로 보인다. 고객사에 악성코드가 실제로 전달됐는지는 명확하게 언급되진 않았지만, 피해가 발생한 듯한 느낌을 준다. 해커는 먼저 코드 서명 인증서를 탈취했다. 4.8일에 이 인증서로 서명된 악성코드가 몇 개 발견됐는데, 이를 통해 알서포트 해킹은 오래 전부터 진행된 것으로 추측했다. 다음으로 '9002 RAT'라는 원격제어 악성코드를 삽입한 업데이트 파일을 만들어, 훔친 인증서로 서명했다. 그리고 알서포트의 업데이트 서버를 해킹해, 해커의 서버에...

WPA2 와이파이 해킹을 더 쉽게 만드는 방법 발견

WPA, WPA2로 보안된 와이파이(Wi-Fi) 네트워크의 암호 크래킹을 더 쉽게 만드는 공격 방법이 발견됐다. Hashcat이라는 유명한 암호 크래킹 툴을 개발한 얀스 스티브(Jens "atom" Steube)가 WPA3를 공격하는 방법을 연구하던 중 알아냈다. 이것은 WPA/WPA2 암호 자체를 더 쉽게 깨는 방법은 아니다. 즉, 암호 자체를 공격하는 새로운 방법은 아니다. 대신에 암호 해독의 단서인 PMKID(Pairwise Master Key Identifier)를 쉽게 획득하는 방법이다. 여기서 알아차려야 할 것은 암호 자체를 강력하게 설정하면 이 공격 방법으로도 깨기 어렵다는 것이다. 기존의 와이파이 해킹 방법에서는, 해커가 물리적으로 와이파이 신호 도달 범위 내에 있어야 했다. 그리고 피해자가 와이파이에 접속하는 바로 그 순간에 handshake(로그인 요청/수락 신호)를 캡쳐해야 한다. 그러나 새로운 방법에서는 단지 라우터(공유기)에 접속 인증 요청만 하면 된다. 그러면 EAPOL 프레임 하나를 얻을 수 있는데, 여기에서 PMKID를 추출할 수 있다. 스티브는 대부분의 사람들이 와이파이 암호를 바꾸는 방법을 잘 모르고, 초기 설정된 암호를 그냥 사용한다고 지적했다. 요즘은 보안 지침에 따라 라우터(공유기)에 기기마다 고유한 암호가 설정되어 출하된다. 그러나 초기 암호는 제조사마다 일정 규칙에 따라 생성되므로 해커가 쉽게 알아낼 수 있다. 대부분의 제조사는 10자리 암호를 설정하는데, 이것은 외장 GPU 박스를 4개 장착한 시스템에서 8일이면 깰 수 있다고 스티브는 말했다. 강력한 암호는 대문자, 소문자, 숫자, 특수기호를 모두 포함하고 충분히 긴 것이어야 한다. 암호의 길이에 대해서는 많은 과학적 연구가 행해지고 있고 결론도 조금씩 다를 수 있다. 스티브는 암호 생성기를 이용해서 20~30자의 암호를 만들어 사용한다고 했다. 관련 자료 와이파이(Wi-Fi) 보안 설정 WPA3 특징 해킹이 힘든 ...

민원24, 택배, 이벤트 사칭한 스미싱 주의

스미싱(Smishing)의 뜻 스미싱이란 SMS와 피싱(phishing)의 합성어로, 문자 메시지를 이용한 피싱을 말한다. 피해자의 관심, 호기심, 걱정 등을 유발하는 내용으로 악성 링크 클릭을 유도하여, 개인 정보를 탈취하거나 악성코드를 설치한다. 정부의 온라인 민원 사이트인 '민원24'를 사칭하는 스미싱은 연중 꾸준히 발견된다. 몇가지 예를 보면 "층간소음으로 민원이 접수되어 안내드립니다", "음식물 분리수거 위반으로 민원이 신고되었습니다", "쓰레기 방치 및 투기로 신고되어 안내드립니다" 등 내용과 함께 링크가 들어있다. 그러나 정상적인 민원24의 문자에는 링크가 없다. "정부24>MyGov>나의민원에서 확인바랍니다" 하는 식으로 경로를 안내할 뿐 링크가 직접 들어있지는 않다. 택배 배송 불가, 택배 배송 조회, 명절 안부 인사, 유명 업체 이벤트 등도 많이 발견되는 유형이다. 안드로이드에서 drive-by download 공격 만약, 스미싱 링크를 클릭했다면 어떻게 될까? 뉴스에서는 대부분 "스미싱 문자메시지 내 인터넷 접속 주소를 클릭하면 악성코드가 설치돼 모르는 사이에 소액결제가 발생하거나 개인 금융정보가 유출될 수 있다"(참고 자료 1) 라는 식으로 설명한다. 오해의 소지가 있다고 생각한다. 사용자의 추가적인 행위 없이 악성 사이트 방문만으로 자동으로 악성코드가 설치되게 하는 공격 방법을 드라이브 바이 다운로드라고 한다. 운영체제, 브라우저, 기타 프로그램의 취약점을 이용하는 것이다. Windows에서는 종종 발생한다. 그러나, 안드로이드에서 드라이브 바이 다운로드 방식의 공격이 성공하려면 2가지 조건이 충족되야 한다. 첫째, '알 수 없는 소스'에서의 앱 설치가 허용되어야 한다. 이 옵션은 안드로이드 보안 정책상 기본적으로 차단되어 있다. 둘째, 사용자의 승인이 있어야 한다. 첫째 요건...

샘샘(SamSam), 600만불의 랜섬웨어

랜섬웨어(ransomware) 중에서 가장 유명하고 널리 퍼진 것은 워너크라이(WannaCry)와 낫페트야(NotPetya)일 것이다. 그러나 요란스럽게 주목받지 않으면서도 알차게 수익을 챙긴 것은 샘샘 랜섬웨어이다. 소포스의 새로운 연구에 의하면, 샘샘 랜섬웨어가 처음 유포된 2015년 12월 이래로 거둔 수익은 총 600만 달러 가량 된다. 연구팀은 랜섬 노트에 표시된 비트코인 지갑을 추적해서 이런 결과를 내놨다. 반면 피해자는 233명에 불과했다. 또한 수익은 매달 30만 달러 정도의 속도로 지금도 늘어나고 있다. 이런 특이한 점은, 샘샘은 무차별적으로 배포하지 않고 표적을 선별해서 공격했으며, 다른 랜섬웨어들과는 달리 자가증식하지 않고 해커의 수동 공격으로 퍼졌다는 것이다. 그리하여 불필요하게 이목을 끌거나 통제불능으로 퍼져 나가는 등의 부작용을 피할 수 있었다. 샘샘은 처음에는 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)을 통해 침투한다. 원격 데스크톱에 접속하려면 로그인 정보가 필요하다. 윈도우의 원격 데스크톱에는 마이크로소프트 계정, 크롬의 원격 데스크톱 확장 기능에는 구글 계정이 필요하다. 이런 로그인 정보는 brute force 공격이나 암시장에서 사옴으로써 해결했다. 이렇게 일단 교두보를 확보한 후에는 네트워크를 통해 다른 컴퓨터의 취약점을 이용해 공격했다. 전체 네트워크 시스템을 감염시킨 후에는 주요 데이터를 암호화 시킨 다음, 암호 해독을 빌미로 돈을 뜯어내는 것이다. 샘샘은 대형 표적도 많이 공격했다. 애틀랜타시 정부, 콜로라도 운송부, 몇몇 병원과 미시시피 밸리 주립대학 같은 교육기관이 그 예다. 여기서 배울 점은 원격 데스크톱을 잘 지켜야 한다는 것이다. 쓰지 않을 때는 이 기능을 꺼두는 것이 좋으며, 계정 암호는 강력하게 설정해야 한다. 참고 자료 SamSam Ransomware Attacks Extorted Nearly $6 Million  

드루팔 사이트 해킹 취약점, 업데이트해야

드루팔(Drupal)로 만든 사이트 관리자는 패치를 서둘러야겠다. CVE-2018-14773으로 등록된 치명적인 취약점이 발견됐기 때문이다. 이를 악용하면 해커가 원격으로 사이트를 완전히 장악할 수 있다. 이 취약점은 third-party library인 Symfony에서 발견됐다. 심포니는 웹 애플리케이션 프레임워크로 다른 프로젝트에도 많이 쓰이기 때문에, 이를 이용한 다른 많은 웹 앱들도 취약할 것이라는 우려를 낳고 있다. 드루팔은 4월에도 속칭 드루팔겟돈2(Drupalgeddon2) 이라는 원격코드실행 취약점(CVE-2018-7600)이 발견되어 실제 공격을 받은 적이 있다. 드루팔은 수백만 개의 웹 사이트 구축에 사용된 인기있는 콘텐츠 관리 시스템(CMS, Contents Management System)이다. 워드프레스(WordPress) 같은 것이다. 워드프레스, 드루팔은 수많은 게시판, 블로그 등을 만드는 데 쓰이는데, 치명적인 취약점이 발견되는 경우가 종종 있어 사이트 관리자는 업데이트에 항상 신경 써야 한다. 참고 자료 Symfony Flaw Leaves Drupal Sites Vulnerable to Hackers—Patch Now  

1500만 카드정보 훔친 해커들 기소되다

세계 최대의 사이버 범죄단의 하나인 FIN7 소속으로 추정되는 해커 3명이 미국에서 기소됐다. 이들은 미국에서 1500만 개가 넘는 신용카드 정보를 훔쳐 암시장에 판매한 혐의를 받고 있으며, 작년에 체포됐다. 이들은 식당, 호텔, 카지노 등 고객과 대면 접촉이 많은 사업체를 노렸다. 이런 업체의 직원들에게 예약 등을 가장하여 악성코드가 첨부된 스피어 피싱(spear phishing) 메일을 보내고, 직접 전화까지 걸어 첨부파일을 확인하도록 독촉하는 치밀함을 보였다. 장사하는 입장에서 속지 않을 수 없다. 첨부 파일을 열어 악성코드가 설치되면 게임 끝. 업체 네트워크에 침투하여 주요 정보를 탈탈 털었다. 또한 POS 단말기를 직접 해킹하기도 했다. POS 기기는 구형 운영체제를 사용하는 경우가 많고, 사업장에서 보안 관리가 제대로 되지 않아 해킹에 취약하다. 국내외에서 많은 해킹 사고가 있었으며, 숙련된 해커인 이들에게는 식은 죽 먹기 였을 것이다. 이렇게 POS의 캐시에 임시저장된, 신용카드를 포함한 결제 정보를 빼냈다. 한편, FIN7 해커단은 지난 5년 동안 전세계 은행들로부터 10억 유로 이상을 훔쳐낸 악명 높은 그룹이다. 2014년에는 Anunak, Carbanak 같은 악성코드로 은행과 ATM 네트워크를 공격하여 수백만 개의 신용카드 정보를 탈취했다. 그 후 Cobalt라는 정교한 은행 털이용 악성코드를 만들어 2016년까지 사용했다. 이들 악성코드를 이용하면 해커는 은행에서 가짜 계좌나 자신들이 지켜보고 있는 ATM 기기로 돈을 빼돌릴 수 있다. 악성코드 유포 수단으로는 은행 직원에 대한 스피어 피싱을 이용했으며, 구글의 서비스들을 C&C 서버로 악용하기도 했다. 참고 자료 3 Carbanak (FIN7) Hackers Charged With Stealing 15 Million Credit Cards

고소장으로 위장한 피싱 주의

고소를 당했으니 소환장을 다운로드해 지시를 따르라는 내용의 피싱 메일이 유포되고 있다. 기한 내에 응하지 않으면 심판 절차가 진행된다며 겁을 준다. 순간적으로 당황해서 속기 쉬우니 주의해야 한다. 소환장을 다운로드하는 링크를 제공하는데, 이는 압축파일로 연결되며 그 안에 있는 *****.js 파일이 악성코드를 다운로드하는 역할을 한다. js 파일은 자바 스크립트 파일로 실행 파일의 하나다. 이 악성 스크립트는 *****.scr 파일을 다운로드하는데, 이것이 실제 악성코드인 갠드크랩 랜섬웨어이며 엑셀 아이콘으로 문서인 것처럼 위장하고 있다. scr 파일은 화면보호기 파일 형식이며 역시 실행 파일이다. 이번 피싱 메일은 exe 파일과 마찬가지로 실행 파일인 js, scr 파일 형식을 이용한 점이 특징이다. 컴퓨터를 잘 모르는 사람에겐 생소할 수 있으므로, 이 점을 노린 것으로 보인다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 소환장 알림 메일을 통해 유포되는 랜섬웨어 주의!  

미크로틱 라우터 해킹해 가상화폐 채굴

MikroTik(미크로틱)사의 라우터를 해킹해 가상화폐를 채굴하는 3개 이상의 대규모 작전이 발견됐다. 현재 파악된 것만 20만 대가 넘으며, 계속 늘어나고 있다. 미크로틱은 라트비아의 네트워크 장비 제조사인데, 세계 각국의 통신사와 조직에서 널리 사용되고 있다. 복수의 해커단은 미크로틱 라우터의 취약점(CVE-2018-14847)을 이용해 관리자 권한을 획득했다. 그리고 악성코드를 심어, 감염된 라우터를 통해 접속한 모든 웹 페이지에 가상화폐를 채굴하는 코인하이브(CoinHive) 스크립트를 삽입했다. 웹사이트나 사용자 PC를 직접 해킹한 게 아니라 라우터에서 트래픽을 변조한 것이다. 이 작전을 발견한 보안 전문가들은 이를 아주 현명한 것으로 평가했다. 소규모 웹 사이트나 개인 PC를 해킹하는 것보다 쉽고 효과적이기 때문이다. 흔히 공유기라고 하는 가정용 라우터는 2~3개, 통신사의 라우터는 적게는 수십 대에서 많게는 수백 대의 기기가 연결된다. 또한 이들 작전에 이용된 취약점은 4월에 발견돼 즉시 패치가 발표된 것이었다는 점에서 사용자와 사업자의 보안 불감증이 지적됐다. 미크로틱의 라우터는 취약점 공격에 많이 이용당하고 있다. 이슈가 된 것만 해도 3월에 슬링샷(Slingshot), 5월엔 VPNFilter라는 위험도 높은 악성코드에 공격당했다. 관련 자료 슬링샷(Slingshot), 공유기로 침투하는 은닉형 악성코드 정교한 봇넷(Botnet) 악성코드 VPNFilter 참고 자료 Hackers Infect Over 200,000 MikroTik Routers With Crypto Mining Malware  

씨클리너(CCleaner), 개인정보 수집 이슈

PC와 모바일을 통틀어 전세계 20억 명 이상이 사용중인 시스템 정리 유틸리티인 씨클리너가 정보 수집 문제로 이용자들의 불만을 사고 있다. 7월에 배포된 최신 버전 5.45에서 'Active Monitoring'이라는 기능을 강제로 설정했기 때문이다. 이것은 백그라운드에서 항상 실행되면서 시스템 정보를 수집하고 개발사인 아바스트(Avast)로 전송하는 기능이다. 물론 아바스트에 따르면, 수집하는 정보는 민감한 개인 정보가 아니며 버그 발견 및 프로그램 개선에 필요한 사용기록일 뿐이다. 그리고 사용자를 식별할 수 없게 익명화한다. 프로그램 개선을 위한 사용 기록 수집 및 전송은 흔히 이루어진다. 그런데 씨클리너가 문제시 되는 건 강제로 설정하기 때문이다. 대부분 프로그램에서는 이에 동의하지 않을 수 있는 옵션이 있다. 씨클리너에도 겉보기엔 끄는 옵션이 있다. 그러나 기기를 재부팅하거나 씨클리너를 다시 실행하면 자동으로 다시 켜진다. 또한 불필요한 파일이 있다는 것을 알리기 위해 백그라운드에서 항시 작동하는 것도 문제다. 기기 성능 향상을 위해 정리하는 툴이 오히려 성능에 악영향을 줄 수도 있는 것이다. 씨클리너는 작년에도 말썽을 일으킨 적이 있다. 개발사가 공급망 공격을 당해 1달이 넘게 악성코드가 삽입된 버전을 배포한 것이다. 200만 명이 넘는 피해자가 발생한 대형 사고였다. 이번 사태는 아바스트 측이 정보 수집에 투명성을 강화하고 사용자의 선택권을 보장하는 식으로 개선하겠다고 약속함으로써 곧 해결될 전망이다. 이런 일은 몇 가지 시사점을 준다. 첫째, 프로그램은 꼭 필요한 것만 최소한으로 설치하는 게 좋다. 설치된 프로그램 수와 보안 취약점의 수는 비례한다. 악의적이든 실수든, 혹은 제3자에 의해 악용되든 프로그램은 해킹이나 정보 유출의 통로가 될 수 있다. 아바스트는 그나마 어느 정도 신뢰할 수 있는 회사지만, 시스템 정리 툴 중에는 악의적인 혹은 엉성한 것들이 많아 주의해야 한다. 더욱이 지금은 시스템 정리나...

레딧, 2단계 인증에도 해킹당해

소셜 뉴스 사이트인 레딧(Reddit)이 해킹당했다. 1일 레딧은 6월에 발생한 해킹으로 일부 사용자의 이메일 주소와 2007년도 백업 데이터가 노출됐다고 밝혔다. 백업 데이터에는 ID, 암호화된 비밀번호, 개인 메시지를 비롯한 모든 데이터가 포함됐다. 해커는 레딧의 몇몇 직원의 계정을 해킹하여, 레딧 일부 시스템에 대한 읽기 전용 권한을 얻어냈다. 문제는 이들 레딧 직원의 계정에는 SMS를 통한 2단계 인증이 적용됐음에도 불구하고, 해커는 SMS를 가로채서 계정을 탈취했다는 것이다. SMS 기반의 2단계 인증은 비교적 취약하다. 문자 메시지는 가로채기 쉽기 때문이다. 레딧은 전용 인증앱 같은 토큰 기반의 2단계 인증 수단을 사용하라고 권고했다. 관련 자료 2단계 인증도 해킹 가능 심 해킹으로 계정, 가상화폐 탈취 참고 자료 Reddit Hacked – Emails, Passwords, Private Messages Stolen  

LG 포켓포토 스냅 PC839, 포토프린터 겸 즉석카메라

이미지
처음 이 제품에 대해 알게 됐을 때에는, 이런 게 무슨 필요가 있을까 싶었다. 폰카를 비롯한 디지털 카메라와 성능 좋은 프린터를 대부분 갖고 있을 테니 말이다. 게다가 25만원 가량되는 기기 가격에 장당 700원 정도 하는 인화지도 경제적이라고 할 수는 없다. 그런데 스마트폰을 정리하다가 잔뜩 찍어 놓기만 하고 잘 들여다 보지는 않는 무수한 사진이 있음을 깨달았다. 예전 필름 카메라를 사용할 때는 비싼 필름 가격과 현상소에 다녀와야 한다는 귀찮음 때문에 사진을 선별해서 찍었다. 근데 디지털 카메라 시대가 오면서부터는 마구잡이로 찍어대기 시작했다. 사람 심리라는 게 참 희안하다. 사진이 귀할 때는 앨범에 정성껏 정리해서 틈틈이 들여다 봤는데, 요즘은 찍는 데만 정신이 팔려 막상 잘 보지는 않는다. 그래, 선별해서 찍고 예쁘게 뽑아서 앨범에 정리하는 것도 좋겠구나 하는 생각이 들었다. 포켓포토 스냅은 그런 아기자기한 재미를 즐기는 분이라면 한번 고려해 볼 만하다. 화질에 대해서 <참고 자료 1>에서는, "자체 화질은 즉석 카메라라는 점을 감안하면 충분히 뛰어난 수준이다. 제대로 된 사진을 촬영하는데 목적을 둔다면 DSLR 카메라에 고성능 포토프린터로 사진을 인화하는 것이 가장 좋다. 반면, 바로 찍어서 친구나 가족 등 지인들에게 선물로 주거나 보관하는 목적에 초점을 둔다면 이 정도가 가장 최적화된 모습이 아닐까 생각된다." 라고 한다. 조금 박한 평가라고 생각된다. 사진 인쇄에서 용지가 품질에 미치는 영향은 상당하다. 이 제품은 염료승화 방식의 인화지를 쓴다. 잉크를 뿌려 '인쇄'하는 방식이 아니라, 실제 '인화'에 가깝다. 색감이 풍부하고 습기에 강하다. 제조사에 따르면 앨범 보관 시 5년 이상 변색이 없는 내구성도 갖췄다. 리뷰나 벤치마크 목적이 아닌 실제 사용에서는 좋은 화질을 보여줄 것으로 생각한다. 디지털 사진의 다소 과장된 선명함과는 다른, 아날로그 감성의 자연스러움을...

스팀 게임에서 악성코드 발견

인기있는 온라인 게임 플랫폼인 스팀(Steam)에서 정식으로 서비스하는 게임에서 악성코드가 발견됐다. Abstractism이라는 게임인데, 최근 몇 주간 사용자들 사이에서 악성코드를 품고 있다는 불만이 제기돼 왔고, 7.30일 결국 스팀에서 퇴출됐다. Abstractism은 몰래 가상화폐를 채굴하는 크립토재킹 악성코드를 갖고 있는 것으로 밝혀졌다. 극도로 단순한 게임임에도 불구하고 CPU와 GPU를 많이 사용하여 의심을 사게 됐다. 이 게임은 또한 아이템 사기에도 연루됐다. 스팀은 근래 들어 광범위한 게임 개발자에게 문호를 개방하고 있다. 이에 따라 게임 모니터링 능력에 대한 우려도 커지고 있다. Abstractism은 3.15일부터 서비스됐다. 악성 게임이 4달이나 걸러지지 않은 채로 방치됐고, 그나마 사용자들에 의해 탐지된 것이다. 보안 사이트 CSO에 따르면, 크립토재킹은 나가는 통신을 위장하는 방식 때문에 탐지가 어렵다. 확실한 징후라면 시스템을 느리게 하는 것이라고 한다. 그러나, 최근의 가상화폐 채굴 악성코드는 시스템 자원의 일부만을 사용하여 느려지는 증상이 없는 경우도 많다. 관련 자료 크립토재킹 - 가상화폐 채굴용 해킹 참고 자료 Steam Game Vanishes After Players Accuse It Of Mining Bitcoins On Their Computers  

심 해킹으로 계정, 가상화폐 탈취

심 해킹(SIM hacking)은 심 스와핑(SIM swapping), 심 하이재킹(SIM hijacking), 포트아웃 스캠(port out scam)으로도 불리며, 타인의 휴대폰 번호를 훔치는 것이다. 통신사의 고객지원 부서를 속여, 피해자 몰래 해커의 폰으로 유심 기변을 하는 것과 같다. 해커가 피해자의 번호로 피해자 행세를 하게 되는 것이다. 휴대폰 번호는 본인 인증, 2단계 인증 등 주요 인증 수단이므로, 이를 탈취하면 연결된 각종 계정의 암호를 재설정하여 계정을 완전히 장악할 수 있다. 최근 해외에선 이런 사건이 빈발하고 있다. 한 피해자는 심 해킹으로 아마존, 이베이, 페이팔, 넷플릭스 등 주요 계정을 몽땅 털렸다고 한다. 최근 체포된 조엘 오티즈는 심 해킹으로 다수의 SNS 계정을 훔쳐 암시장에 팔고, 40여 명으로부터 약 500만 달러 상당의 가상화폐를 빼내기도 했다. 심 해킹은 통신사의 고객지원 부서를 속이는 것이므로, 통신사가 서비스에 중요한 변경을 할 때는 본인 확인을 철저하게 하는 수밖에 없다. 그런데 무수한 사이트 해킹, 사업자의 악의적인 혹은 무개념한 관리로 인한 유출 등으로 개인정보가 공공재가 되버린 상황에서 현실적인 어려움도 있다. 미국의 주요 통신사들은 서비스 변경을 위해 별도로 암호를 설정할 수 있게 하는 등 계정 보안을 강화했다. 우리 통신사들은 어떤지 모르겠다. 그리고 심 해킹을 당하면 피해자의 핸드폰은 유심(USIM) 등록이 해제되어 불통 상태가 되므로, 이유 없는 불통 발생시 즉시 신고해야 피해를 줄일 수 있다. 미국의 한 AT&T 고객은 핸드폰이 불통이 된 걸 발견하자마자 매장으로 달려갔지만 이미 150만 달러 어치의 가상화폐가 사라진 후였다고 한다. 그런데 미국에선 심 스와핑에 내부자(통신사 직원)와 결탁하는 경우가 종종 있다. 이런 경우에는 해커가 목적을 달성한 후에 재빨리 원상회복 시킬 수 있어, 피해자가 눈치채기가 더 어렵다. 통신사들은 내부통제 수단이 있지만 쉽게 우회할 수 있다고 한...