SomeNotes247

안드로이드 보안 업데이트는 엉망 공식 확인된 것은 아니지만 유출된 소식에 의하면, 구글은 대부분의 안드로이드 기기에 최소 2년간 보안 업데이트를 제공하도록 파트너 제조사에 요구하기로 했다. 첫해에는 최소 4번의 보안 패치를 제공해야 한다. 패치는 구글이 발표한 후 90일 이내에 제공돼야 한다. 이 요구를 충족하지 못하면 구글의 인증을 받을 수 없다. 대상 기기는 2018.1.31 이후 출시됐고, 10만 대 이상 개통된 기종이다. 업데이트를 쉽게 해 주는 프로젝트 트레블(Project Treble)을 비롯해, 보안 강화를 위한 최근 구글의 행보를 고려하면 사실일 가능성이 높다. 요구 조건이 과하지도 않다는 점에서 실현 가능성도 높다. 그러나 이걸로 문제가 완전히 해결될 것 같지는 않다. 해킹 취약점이 발견되면 일괄적으로 패치가 적용되는 애플과 마이크로소프트와는 달리, 안드로이드 스마트폰의 보안 업데이트 상황은 엉망이다. 구글에선 매달 보안 패치를 발표하지만, 기기 제조사 차원에서 제대로 적용이 되지 않고 있다. 따라서 보안 업데이트 문제를 심각하게 고려하는 사람이라면 아이폰을 쓰거나, 안드로이드에선 구글의 자체 브랜드인 픽셀폰만을 써야 할 것이다. 이번 대책도 허술하긴 마찬가지다. 요즘 취약점이 발견되면 바로바로 exploit code가 나오는데, 90일이면 이미 충분히 악용한 이후일 것이다 또한 1년에 4번이면 전체 패치의 1/3에 불과하다. 근본적으로 해결하려면 구글도 마이크로소프트처럼 보안 업데이트는 직접 챙겨야 할 것이다. Windows는 무수한 시스템 제조사, 주변기기 제조사, 부품 회사 제품에 탑재되지만, 업데이트는 MS에서 일괄적으로 제공하지 않는가. 안드로이드 취약점 악용은 쉽지 않아 그헣다면 대다수 안드로이드 스마트폰은 그냥 막 해킹당하는 것일까. Windows의 경우 취약점이 발견되면 짧은 시간 내에 exploit이 활발하게 시도되고, 실제로 이를 이용한 악성코드도 제법 발견된다. Android security bu

No More Ransom 프로젝트의 산물 올해 많은 피해를 유발한 GandCrab ransomware에 의해 암호화된 파일을 해독(복구)할 수 있는 유틸리티가 무료로 공개됐다. 암호화 과정에서의 버그를 이용해 만들었다. 갠드크랩은 백신 앱과 경쟁하여 지속적으로 변종이 나타났는데, 이 복구 툴은 갠드크랩 버전 1, 4, 5를 대상으로 한다. 갠드크랩의 버전은 암호화된 파일의 확장명으로 구별할 수 있다. 버전 1은 GDCB, 4는 KRAB, 5는 무작위의 확장명을 사용한다. 버전 2, 3은 CRAB를 확장명으로 사용하는데, 이에 대한 복구 툴은 개발 중에 있다. 이 복구 툴은 BitDefender와 여러 나라의 사법 기관의 공조로 만들어졌다. 국제 사회는 No More Ransom이라는 프로젝트로 랜섬웨어에 대항하고 있는데, 여기에는 각 국의 사법 기관과 보안 회사들이 참여하고 있다. 현재 80개가 넘는 복구 툴이 나와 있다. 따라서 랜섬웨어에 감염됐을 때는 해커에게 돈을 지불하거나 성급하게 포맷하지 말고, 복구 툴을 찾아보거나 나오기를 기다리는 것이 좋다. 갠드크랩용을 비롯한 복구 툴의 목록과 다운로드 링크는 <참고 자료 2>에 있다. 갠드크랩 복구 툴을 사용하려면 랜섬 노트의 복사본이 필요하다. Ransom note에 복호화 키가 들어있기 때문이다. 랜섬 노트가 있는지 확인한 후, 복구 툴을 다운로드해서 'Scan entire system'에 체크하고 'Scan' 버튼을 누르면 된다. 모든 파일의 복구를 보장하지는 못한다. 복호화에 실패한 파일은 로그 파일에서 확인할 수 있다. 로그 파일은 %Temp%\BDRemovalTool\BDRansomDecryptor\BDRansomDecryptor1600.log에 있는데, 기기에 따라 조금 다를 수 있다. 참고 자료 Free Decrypter Available for the Latest GandCrab Ransomware Versions

중간 음역대에 강점 HBS-510은 톤플러스 시리즈에서 보급형에 속한다. 상위 기종에서는 aptX를 비롯해 향상된 음질, 방수, 자동 줄감기 등 더 나은 성능과 편의성을 제공하지만, 이것은 기본만 한다. 요령껏 쓰면 되므로 이 제품을 선택했다. 요즘은 에어팟 류의 완전한 무선 이어폰이 인기를 끌고 있다. 간편함이 최대의 장점이다. 반면 이 제품 같은 넥밴드형도 확실한 장점이 있다. 안정성이다. 귀에서 빠져도 걱정 없기 때문에 맘 편히 활동할 수 있다. 본체 크기가 넉넉하기 때문에 대용량 배터리를 장착할 수 있는 것도 장점이다. HBS-510은 음악 재생 시간이 13시간에 달한다. 착용감도 좋다. 워낙 가벼워서 불편함이 없다. 한번은 목에 걸린 줄도 모르고 세수를 하러 간 적도 있다. 버튼이 큼직해서 조작하기 쉽다. 넥밴드의 끝에 자석이 달려 있어, 이어폰을 대충 근처에 가져가면 고정된다. 간혹 자석이 약하다고 불평하는 분들이 있는데, 가방 속에 스마트폰, 신용카드, 외장하드 등을 함께 넣을 수도 있으므로, 더 강한 자석은 곤란하다고 생각한다. 형상 기억되는 연성 소재이므로 막 쥐어도 된다. 음질은 중간음이 강점이다. 공간감 혹은 입체감이 느껴지고, 여러 소리가 섞여 있어도 세밀하게 구별되어 들린다. 저음은 강하지 않다. 저음이 특히 강조되지 않은 자연스런 음색이란 표현이 더 적절할 지도 모르겠다. 섬세한 소리를 좋아하는 사람에게 적합하다. 전에 쓰던 유선 이어폰이 저음이 강한 편이었는데, 같은 음악을 HBS-510으로 들어보니 전엔 안들리던 소리들이 들린다. 반면 둥둥 울리는 저음을 선호하는 사람에겐 빈약하게 들릴 수 있다. Bass/Normal/Treble의 이퀄라이저 기능이 있지만 큰 차이는 느낄 수 없다. Windows 10 음향 효과 적용 섬세한 음색이냐 강력한 저음이냐의 취향에 따라 다를 순 있지만, 음악 감상에는 좋다고 생각한다. 영화 감상 시엔 장르에 따라 다르다. 드라마 류의 영화는 물론이고

360도 음향 vs 스테레오 음량은 상당히 크다. 방 안에서는 넉넉히 즐길 수 있다. 음질은 유닛이 하나임에도 불구하고 중저음, 고음의 균형이 잘 맞는다. 소리가 뭉치지 않고 잘 퍼져서, 공연장 직캠 동영상도 실감나게 감상할 수 있다. 360도 음향이란 것은 소리를 어느 한 방향이 아닌, 사방으로 고르게 퍼지게 하는 것이다. 스테레오를 비롯한 다채널 스피커 시스템 같이 입체 효과를 내는 것이 아니다. 음질은 좋지만, 입체감은 떨어지는 편이다. 모노 스피커 시스템의 특성이다. 모노 하면 음질이 안좋을 거라고 생각할 수 있는데, 그렇지 않다. 우리가 매장이나 카페 등에서 듣는 음악도 모노 구성인 경우가 많다. 스피커는 여러 개지만 모두 같은 소리가 나오는 것이다. 이런 공간에서는 사람들이 사방에 흩어져 있고 움직이기도 한다. 다채널로 구성할 경우, 위치에 따라 특정한 소리만 크게 들릴 수 있기 때문이다. 선명한 음질과 풍부한 저음 2~3만 원 대의 저가형 블루투스 스피커는 사은품 등으로 받아 몇 개 사용해 봤다. 볼륨을 좀 높이면 째지는 소리가 나서 귀가 따갑다거나, 중저음과 고음이 명확히 분리되지 않아 웅얼대는 느낌이 드는 경우가 많다. PH1도 4만 원 이하의 저가형이지만, 이런 문제가 없다. 결론적으로 음질이 좋다. 선명한 소리를 내며 저음도 풍부하기 때문에, 볼륨을 높여도 귀가 따갑지 않고 듣기 좋다. 일반적인 음악과 영화 감상에 충분하다. 다만 모노 사운드라 입체감은 떨어진다. 평소 5.1채널 등 입체 음향을 좋아하는 사람에겐 답답하게 들릴 수 있다. 동영상을 첨부하지만 느낌이 얼마나 잘 전달될지 모르겠다. 녹음하면서 왜곡이 되고, 듣는 사람의 스피커나 이어폰의 영향을 많이 받기 때문이다. 이 점은 고려하시길. 무드 조명 기능은 스피커 기능과 별개로 켜고 끌 수 있다. 마이크를 내장하여 핸즈프리 기능도 제공한다. 외부입력 단자가 있어서 Bluetooth가 안되는 기기에도 연결할 수 있다. 3시간 충전에 5시

QR 코드 피싱 위험 QR 코드는 웹 페이지 뿐만 아니라 제품 포장 상자, 거리의 광고판에서도 쉽게 찾아볼 수 있다. 스마트폰 카메라로 비추기만 하면 간단하게 인터넷 사이트에 연결되어 정보를 확인할 수 있다는 편리함이 있는 반면에 악용되기도 쉽다. 눈으로 봐서는 어떤 사이트로 가는 링크인지 알 수가 없기 때문이다. 악의적인 QR 코드를 통해서 피싱(phishing) 사이트로 유인한 후, 개인정보를 탈취하거나 악성코드를 설치하는 일이 종종 일어난다. Norton Snap으로 QR 코드를 스캔하면 실제 링크가 가리키는 사이트를 확인한다. 악의적인 사이트일 경우 경고를 내보내고, 안전한 사이트라면 바로 이동한다. 개발사인 Symantec은 악성코드와 악성 사이트를 탐지하는 센서를 무수하게 운영하므로, 악성 QR 코드를 피하는 데 많은 도움이 될 것이다. Google Play 링크 Norton Snap qr code reader  

Symantec의 Norton Halt는 안드로이드 스마트폰의 취약점을 체크하는 앱이다. 매달 발견되는 취약점을 모두 확인하는 것은 아니고, 이슈가 된 주요 취약점만을 다룬다. 스펙터(Spectre), 크랙(KRACK), 블루본(Blueborne) 등이 모두 포함됐다. 구글 플레이 스토어에는 취약점을 점검하는 앱들이 여럿 있는데, 이런 앱 자체의 신뢰성이 의심스럽다. Norton Halt는 공신력 있는 보안회사의 앱이라는 점에서 추천해 본다. [기-승-전-Norton Mobile Security 설치 권장]의 구조는 좀 거슬리게 보일 수도 있다. 그러나 틀린 말은 아니다. 취약점이 있다고 해서 저절로 해킹되는 것은 아니다. 취약점을 탐색하고 악용하는 악성코드(exploit code)가 어떤 식으로든 실행돼야 한다. 따라서 보안 패치와 더불어 보안 앱의 역할이 항상 중요하다. 소프트웨어 업데이트가 가장 중요하다. 근본적으로 취약점을 제거하기 때문이다. 다만 현실적으로 패치가 적용되는 데 시간이 걸린다거나, 지원이 중단된 기종도 많다는 점이 문제이다. 이런 문제점을 보안 앱이 보충해 줄 수 있다. 물론 해커도 자신의 악성코드가 탐지되지 않도록 노력하기 때문에 한계는 있다. 그리고 유명 백신 앱의 성능은 비슷하므로, Norton이 아니더라도 잘 골라서 사용하면 된다. 보안 앱도 가짜나 엉터리가 많다는 점에는 주의해야 한다. Google Play 링크 Norton Halt exploit defender 관련 자료 블루본(Blueborne) 해킹, 블루투스 취약점을 이용한 공격 크랙(Krack), 새로 발견된 WPA2 와이파이 해킹 취약점 스펙터 & 멜트다운, 인텔CPU 해킹 취약점  

화면 끄기 기능 방해 Windows는 절전과 화면 보호를 위해, 일정 시간 입력이 없으면 자동으로 화면을 끈다. 그런데 몇몇 이유로 자동 화면 꺼짐 기능이 제대로 작동하지 않는 경우가 있다. 한참을 지나도 화면이 꺼지지 않거나 절전 모드에 들어가지 못하는 것이다. 백그라운드 앱이 원인인 경우도 있지만, Bluetooth 입력 장치가 범인인 경우도 있다. 해결책은 간단하다. 장치 관리자에서 사용 중인 마우스를 더블클릭 하면 상세 속성을 볼 수 있다. 여기서 '이 장치를 사용하여 컴퓨터의 대기 모드를 종료할 수 있음'이란 옵션을 해제하면 된다. 이 옵션은 애당초 블루투스 마우스에는 필요가 없다. PC가 절전 모드에 들어가면 블루투스 연결이 끊어지기 때문에, 이 옵션을 활성화하더라도 블루투스 마우스로는 절전 모드를 깨울 수 없다. Bluetooth 장치간 충돌 여러 개의 블루투스 장치를 동시에 사용하면 충돌이 일어나기도 한다. 꼭 그런 것은 아니고 블루투스 칩셋 간에 궁합 같은 게 있는 것 같다. 나는 마이크로소프트 Mobile mouse 3600과 LG PH1 스피커가 충돌한다. 마우스를 켜면 스피커의 소리가 심하게 끊긴다. 근본적인 해결책은 없고, 스피커를 헤드폰 단자에 유선으로 연결하거나 마우스를 잠시 끄는 수 밖에 없다. 나는 후자를 선호한다. 드라마 감상이나 다른 작업하며 음악 듣는 정도는 노트북 내장 스피커로 충분하고, 영화나 음악을 본격적으로 감상할 때만 블루투스 스피커를 쓰기 때문이다. 이런 현상이 단순히 주파수 간섭은 아닌 듯하다. 스피커는 스마트폰에, 마우스는 노트북에 연결하여 바로 옆에 두고 써도 아무 문제가 없다. 둘 다 노트북에 연결해야 쌈박질을 한다. 검색을 좀 해보니 와이파이 드라이버에서 블루투스와 협업하는 옵션을 활성화하라는 조언이 있던데, 해 보니 소용 없었다. KB4505903 블루투스 장치의 문제는 운영체제의 버그가 원인일 수도 있다. Windows 10 1903 버전의 경우, 2

CVE-2018-4013: LIVE555 Streaming Media Library의 RCE 취약점 LIVE555는 인터넷 연결을 통해 MPEG, H.264, H.265, JPEG, AAC, AC-3를 비롯해 다양한 동영상, 사운드, 이미지 등 멀티미디어 파일의 실시간 스트리밍을 담당하는 라이브러리이다. VLC, Mplayer 등 많은 media player 소프트웨어와 전용 재생 기기에 사용된다. 시스코 탈로스가 발견한 이 취약점은 LIVE555의 RTSP(Real Time Streaming Protocol) 기능이 http 패킷을 잘못 해석하는 데에 있다. 해커가 특수하게 조작된 http packets을 보내면 버퍼 오버플로우를 일으켜 임의의 코드를 실행할 수 있는 상태에 빠지게 된다. 특수하게 조작된 패킷이라고 해봐야 실은 아주 간단하다. 탈로스는 이 취약점을 10.10일 개발사인 Live Networks에 알렸고, 패치는 10.17일에 배포됐다. 탈로스는 패치 발표 다음날에 취약점을 대중에 공개했다. VLC Media Player 등 많은 앱과 기기 위험 이렇게 성급한 공개는 무책임한 처사라는 생각이 든다. 이 취약점은 단일 소프트웨어 제품에 있는 것이 아니라, 여러 소프트웨어와 기기에 사용되는 구성 요소에 있는 것이다. 미디어 플레이어 개발사가 이를 적용해 배포하는 데 시간이 걸릴 수도 있다. 일반 사용자가 직접 찾아 업데이트 하기도 쉽지 않다. 실제로 VLC media player의 공식 사이트를 보니 3.0.4 버전이 최신판이었다. 배포된 날짜나 버전 히스토리가 없어서 다른 사이트들을 뒤져봤더니 8월에 배포된 것이었다. 아직 패치가 되지 않은 것이다. 무책임한 공개 설령 Windows처럼 자동 업데이트가 되는 시스템이라도 실제 많은 기기에 적용되기까지는 시간이 걸리게 마련이다. 그런데도 패치 발표 하루만에 공개하는 것은 대부분의 사용자를 위험에 빠트리는 무책임한 짓이다. 요즘 보안업계가 취약점을 발견하여 이름을 알리

WDS와 멀티 브리지 요즘은 결합 서비스가 보편화돼서 라우터(공유기)를 거실에 설치하는 경우가 많다. 그래서 집이 넓거나 구조상의 이유로, 정작 인터넷을 많이 쓰는 방에서는 Wi-Fi 신호가 약해서 불편한 경우가 있다. 이때는 와이파이 신호 도달 거리를 확장하는 중계기를 이용하면 된다. 와이파이 확장기로는 ipTIME의 Extender 같은 전용 공유기가 있다. 이 용도에 특화되어 있으므로 간편하게 설정하여 사용할 수 있다는 장점이 있다. 그런데 남는 일반 공유기가 있다면 이를 이용해서도 할 수 있다. 무선 신호를 확장하는 방법으로는 WDS와 멀티 브리지가 있다. WDS는 낡은 방법으로 속도 저하, 연결 불안정의 문제가 발생할 수 있다. 따라서 멀티 브리지로 설정하는 것이 좋다. Wi-Fi 멀티 브리지 설정 방법 중계기로 쓰려는 공유기에서 사전 작업이 필요하다. 본 공유기와 구별되도록 이름을 붙여야 하며, IP가 충돌하지 않도록 내부 네트워크 설정을 손봐야 한다. 1. SSID(네트워크 이름) 설정 네트워크 이름, 인증 방식, 암호를 설정한다. 기종마다 메뉴 위치와 이름은 조금 다를 수 있다. 이런 관리자 페이지에 접속하려면, 와이파이 목록에서 중계기에 접속한 후 브라우저 주소창에 192.168.0.1(대개 이렇지만 다를 수 있다)을 입력하면 된다. 2. IP 주소를 변경 중계기의 IP 주소를 변경한다. 공유기는 대체로 192.168.0.1로 설정되어 출고된다. 이대로 두면 본 공유기와 충돌하므로, 예컨대 192.168.0.135처럼 미사용 주소로 변경한다. IP 주소를 변경하면 일단 연결이 끊어지므로 다시 접속해야 한다. 와이파이 목록에서 중계기에 접속한 후 브라우저 주소창에 변경한 IP인 192.168.0.135를 입력하면 된다. 3. DHCP 기능 끄기 DHCP 기능은 공유기가 연결된 기기에 자동으로 IP를 부여하는 기능이다. 충돌을 피하기 위해, 본 공유기에만 DHCP를 켜야 하고, 중계기에선

Microsoft Store에서 가짜 앱이 발견됐다 'Album by Google Photos'라는 앱으로 Google Photo와 관련된 공식 앱처럼 위장했다. 게시자 정보에서 구글을 사칭한 것은 물론, 개인 정보 취급 방침은 실제 구글의 것으로 링크되어 있다. Ad Clicker라는 애드웨어 그러나 사실은 구글과 전혀 관련이 없는 애드웨어이다. 이 앱을 실행하면 먼저 구글 포토에 로그인하는 페이지가 열린다. BleepingComputer에 따르면, 로그인 페이지는 진짜 구글의 것으로 악성 행위는 발견되지 않았다. 그러나 가짜 앱에서 제공하는 것이므로 로그인하지 말라고 덧붙였다. 참고한 기사에서 명확하게 언급하고 있진 않지만, 로그인하면 실제 구글 포토의 내용을 보여줄 것으로 생각된다. 요즘은 피해자의 의심을 피하기 위해, 정상적인 기능도 수행하는 악성 앱이 많이 나오고 있다. 애드 클리커는 해커의 C2 서버에서 광고 목록과 표시 빈도 등을 설정한 configuration file을 다운로드한다. 그리고 이에 따라 백그라운드에서 광고를 끊임없이 내보내서 수익을 챙긴다. 광고는 사용자에게는 보이지 않는다. 소리가 포함된 광고라면 소리는 들린다. 따라서 정체불명의 소리가 들린다면 애드웨어 감염을 의심해 볼 수 있다. 다행히 권한은 '인터넷 연결에 액세스' 하나 밖에 없어서, 광고 표시 외의 다른 악성 행위는 어려울 것으로 생각된다. 가짜 사이트에서 개인정보를 입력받는 피싱(phishing)도 가능하겠다. 마이크로소프트 스토어의 한국어 버전에는 리뷰가 등록된 게 없다. 그러나 영문판에는 가짜 앱이라는 리뷰가 여럿 올라와 있다. 어떻게 검수를 통과했는지는 물론, 아직도 삭제되지 않고 있는지 우려스럽다. 참고 자료 Ad Clicker Hiding as Google Photos App Found in Microsoft Store  

업데이트 후 오디오 장치 인식 안됨 10.9일 정기 업데이트 후 오디오(사운드) 장치가 작동하지 않는다는 사례가 보고되고 있다. 업데이트 시 일정 시간 동안 잘못된 드라이버를 전송했기 때문으로 밝혀졌다. 이 문제는 드라이버를 업데이트하면 해결된다. 장치 관리자를 사용한 드라이버 업데이트 드라이버를 업데이트하는 방법은 3가지이다. 첫째는 장치 제조사 사이트에서 직접 다운로드하는 것이다. 나머지 2가지는 제어판의 장치 관리자에서 하는 방법이다. 장치 관리자는 시작 버튼을 마우스 오른쪽 버튼을 클릭하면 나오는 메뉴에서 빠르게 접근할 수 있다. 작업 표시줄에서 "장치 관리자"를 검색해도 된다. 이때 띄어쓰기를 잘못하면 검색되지 않으므로 주의. 장치 관리자에서 문제의 장치를 찾아 더블클릭하면 세부 설정을 할 수 있다. 여기서 '드라이버 업데이트'를 하거나 '디바이스 제거'를 하면 된다. 장치는 PnP를 지원하기 때문에, 문제의 장치를 제거하면 자동으로 새로 인식해서 드라이버를 다시 설치하게 된다. 리부팅이 필요할 수도 있다. 블루투스 장치 연결 오류 장치의 인식이나 연결 오류는 업데이트 시 뿐만 아니라 PC 사용 중 여러 가지 이유로 발생하곤 한다. 드라이버 업데이트로 대부분 해결된다. 며칠 전에 Bluetooth 스피커를 새로 샀는데, 페어링 및 연결은 제대로 되는데 장치 종류를 잘못 인식하는 문제가 발생했다. 오디오 장치로 인식돼야 소리가 나는데, 기타 장치로 인식된 것이다. 위와 같은 방법으로 블루투스 드라이버를 업데이트해서 해결했다. 참고 자료 Windows 10 Audio Not Working After Installing Latest Windows Updates  

유출된 개인정보 이용 Hoax 메일이란 사실이 아닌 협박으로 피해자를 속이는 가짜 메일을 말한다. 오래된 수법인데 최근 국내외에서 활개를 치고 있다. 실제로 무슨 해킹 같은 것을 하는 것이 아니므로, 하기는 쉽고 돈벌이는 짭잘하기 때문이다. 해외에선 성인 사이트 이용자를 많이 노린다. 피해자의 PC를 해킹해 성인물 이용 장면을 녹화했으니, 돈을 내지 않으면 공개하겠다고 협박하는 것이다. 이런 수법을 Sextortion이라고 한다. 피해자들이 속는 데는 그만한 이유가 있다. 피해자의 암호를 비롯한 개인 정보를 제시하기 때문에, 자신이 해킹당했다고 믿게 된다. 그러나 이 개인 정보는 다른 사이트 해킹 등으로 유출된 것이다. 발신 메일 주소 조작 또 다른 수법은 협박 메일을 피해자의 메일 주소에서 발송하는 것이다. 자신에게서 협박 메일이 오니까 메일 계정이 해킹당한 것으로 믿는 것이다. 그러나 단지 발신 메일 주소를 조작했을 뿐이다. 메일 서버에서 SPF라는 보호 수단을 지원하지 않으면 이런 조작이 가능하다. 발신 메일 주소 조작은 피싱(phishing)에도 많이 이용된다. 국내에선 9월에 피해자의 PC에 원격제어 악성코드를 설치해 암호 등 개인 정보를 수집했다며, 가상화폐를 주면 이를 삭제하겠다는 사기 메일이 유행했다. 사기 치는 내용은 보이스 피싱과 마찬가지로 무궁무진하다. 이런 협박 메일을 받았다면 우선 PC를 정밀 검사하는 등 사실 확인을 먼저 해야 한다. 설령 사실이라 해도 랜섬웨어의 경우와 마찬가지로, 돈을 준다고 해서 약속한 조치를 이행한다는 보장도 없다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 New Sextortion Scam Pretends to Come from Your Hacked Email Account 이메일 해킹? 비트코인 결제 요구 ‘혹스’ 메일 주의  

메신저 앱 왓츠앱에서 영상 전화를 받기만 해도 해킹당할 수 있는 취약점이 발견됐다. 영상 통화 요청을 통해 수신한 RTP 패킷을 잘못 처리하면 메모리 내용이 변조되어(memory corruption error), 앱이 충돌을 일으키는 버그이다. 이 점을 이용해 해커가 특별하게 조작된 RTP 패킷을 보내면 왓츠앱 앱을 완전히 통제할 수 있다. 예컨대 왓츠앱 계정 정보를 탈취하거나 비밀스런 대화 내용을 엿보는 것이 가능하다. 이 취약점은 안드로이드와 iOS용 앱에만 해당하며, 왓츠앱 웹 서비스는 다른 프로토콜을 사용하므로 영향을 받지 않는다. 안드로이드 앱은 9.28일, iOS용은 10.3일 패치됐으므로 왓츠앱 이용자는 서둘러 적용해야겠다. 모르는 사람에게서 온 영상 전화는 받지 않으면 된다고 생각할 수도 있겠지만, 해킹 당한 계정이 워낙 많기 때문에 아는 사람에게서 온 전화나 메시지가 꼭 그 사람이 보낸 것이라고 확신할 수는 없다. 참고 자료 Just Answering A Video Call Could Compromise Your WhatsApp Account  

API의 해킹 취약점 이젠 개인정보 노출 소식도 지겹다. 여기저기서 줄줄 새고 있다. 컴퓨팅 환경이 SNS, 클라우드 등 네트워크 의존도는 점점 높아지는데, 그곳에 저장한 데이터는 그리 안전하지 못하다는 딜레마에 빠졌다. 이번에는 구글의 SNS인 구글플러스이다. 한 API의 취약점으로 인해 50만 명이 넘는 이용자의 개인정보가 제3자인 개발자에게 노출될 가능성이 있었다. 버그가 생긴 2015년부터 발견되어 수정된 2018년 3월까지. API(Application Programming Interface)는 한 프로그램의 기능을 다른 프로그램이 이용할 수 있도록 해주는 통로 같은 것이다. SNS의 경우에는, 흔한 예로 뉴스 사이트에서 기사를 보다가 페이지를 벗어나지 않고 트위터, 페이스북, 네이버 등에 공유 포스팅을 할 수 있는 버튼을 들 수 있다. API는 편리함도 있지만 해킹 등 보안 취약점이 많이 발견되는 부분이기도 하다. 노출 범위는 구글플러스의 프로필 데이터로 이름, 이메일, 직업, 생일, 프로필 사진, 성별 등이다. 포스팅한 글이나 사진 등 민감한 내용은 포함되지 않았다. 취약한 API를 사용한 application(앱 및 사이트)는 438개 였다. 다만, 얼마 전의 페이스북 해킹(관련 자료 1)과는 달리 파장은 미미할 것으로 생각된다. 버그가 제3자에게 알려져 이용되기 전에 발견되어 제거됐기 때문이다. 현재 조사 결과에 따르면, 누군가가 이를 알았거나 접근한 증거는 발견되지 않았다. 무엇보다 구글플러스는 실제 사용자가 별로 없다. 구글은 2019년 9월에 개인용 Google+ 서비스를 종료할 계획이다. 기업용은 계속 서비스하기로 했다. Project Strobe 이 취약점은 개인정보 보호를 강화하려는 스트로브 프로젝트를 통해 공개됐다. 이 프로젝트는 몇 가지 조치를 발표했다. 지금까진 제3자 앱이 구글 계정에 접근하는 것을 허락할 때 여러 항목을 일괄적으로 취급했다. 그러나 앞으로는 항목별로 세분하여 허용 여부를 설정할

2018 10월 업데이트시 파일 삭제 버그 마이크로소프트는 6일 최근 시작된 윈도우 10 10월 기능 업데이트를 일시 중단했다. 업데이트 과정에서 문서와 사진 같은 사용자의 파일이 삭제되는 현상이 다수 발견됐기 때문이다. 이번 업데이트는 일부 게임이 작동하지 않고, MS 워드 문서를 읽을 수는 있지만 저장할 수는 없는 등 많은 문제점이 보고되고 있다. 그러나 가장 심각한 것은 사용자의 개인 파일이 사라진다는 것이다. 어떤 사용자는 200 GB에 이르는 엄청난 양의 파일이 모두 삭제됐다고 한다. 업데이트 시 일부 문제가 생길 수도 있지만, 문서나 사진 같은 개인 파일이 자동으로 삭제되는 것은 본 적도 없고 있을 수도 없는 일이다. 현재 삭제된 개인 파일을 복구할 수 있는 방법은 없는 것으로 알려졌다. 이전 버전으로 돌아가는 Roll Back을 해도 소용없다. 마이크로소프트는 만약 1809 업데이트를 이미 설치했고 파일이 사라지는 문제가 있다면, 기기 사용을 중지하고 고객 서비스에 연락하라고 권고했다. 문제가 있는 상태에서 계속 사용할 경우 복구 가능성은 점점 희박해 지기 때문이다. 전문 파일 복구 유틸리티로 복구할 수 있는 가능성은 있을 것이다. 해당 업데이트는 중단된 상태지만, 수동으로 설치 파일을 다운로드했거나 설치 미디어를 만들어 놓은 경우도 있을 것이다. 이 경우에는 설치를 하지 말고 버그를 수정한 버전이 나올 때까지 기다려야 한다. 백업의 중요성 윈도우 10을 계속 업그레이드 해 주는 것은 고마운 일이다. 기기를 한번 구입하면 수명이 다할 때까지 최신 기능을 모두 이용할 수 있기 때문이다. 1803 버전의 Timeline 기능(Win키 + Tab)은 정말 잘 쓰고 있다. 그러나 너무 잦은 업데이트는 안정성에 문제를 일으키고 사용자의 피로감을 가져올 수도 있다. 1년에 1번 정도면 딱 좋지 않을까 싶다. 그리고 기기의 데이터는 하드웨어 고장, 소프트웨어 오류, 랜섬웨어를 비롯한 악성코드 등 여러 가지 위험에 항시 노출돼 있다.

Switch Application Server 해킹 최근 US-CERT, DHS, FBI 등 사이버 위협을 다루는 미국 기관들이 은행 서버를 해킹해 ATM에서 거액을 인출하는 작전에 대해 주의를 당부했다. 패스트캐시라고 불리는 이 작전은 2016년부터 시작됐으며 라자루스 혹은 히든코브라로 불리는 북한 해커단의 소행으로 추정됐다. 아시아와 아프리카 지역의 은행을 주로 털어왔는데, 미국도 표적으로 하고 있는지 조사 중이다. 패스트캐시의 핵심은 은행의 Switch Application Server에 대한 해킹이다. 이 서버는 ATM, POS 기기와 은행 중앙 서버를 연결해 주는 역할을 한다. 거래 요청이 들어오면 해당 계좌의 잔고 등 상태를 검증하여 거래를 수락하거나 거절한다. 해커단은 Switch Application Server에 악성코드를 심어, 그들의 출금 요청을 가로채 은행 중앙 서버에 전달되지 못하게 했다. 그리고 정상적인 것처럼 보이는 정교한 가짜 승인 응답을 ATM에 보내 출금을 허용했다. 그래서 잔고가 아주 적거나 0인 해커단의 계좌에서 거액을 인출했다. 물론 은행은 이 사실을 알지도 못한다. 이들은 이런 식으로 총 수천만 달러를 훔쳐낸 것으로 알려졌다. 2017년에는 30개 국, 2018년에는 23개 국의 ATM 기기들에서 동시에 인출하기도 했다 스피어 피싱에서 시작 Switch Application Server에 최초로 침투한 경로는 확인되지 않았다. 그러나 Spear Phishing을 이용했을 것으로 추정됐다. 스피어 피싱을 통해 은행 직원의 PC에 악성코드를 심어, 내부 네트워크 접근 권한을 탈취한다. 이를 이용해 네트워크를 이동하면서 결국 애플리케이션 교환 서버를 해킹하는 것이다. 우리 나라의 가상화폐 거래소 해킹에도 사용됐던 전형적인 수법이다. 미국 당국에서는 은행의 핵심 서버에 접근할 수 있는 직원의 계정에 2단계 인증을 의무화하도록 권고했다. 관련 자료 가상화폐 거래소 잇단 해킹, 스피어 피싱에 당했다

Cloud-based Phishing 합법적인 클라우드 서비스를 이용한 피싱 공격이 발견됐다. 새롭고 교묘한 방법이다. 마이크로소프트의 클라우드 서비스인 Azure Blob를 이용했다. 피싱 메일은 미국 덴버의 법률회사에서 온 것으로 가장했으며, Office 365 계정으로 로그인 해 내용을 볼 수 있다며 링크 클릭을 유도한다. 원 드라이브나 구글 드라이브 같은 클라우드 저장소에 있는 파일을 공유할 때 이런 식으로 링크를 이용하므로, 별 의심 없이 클릭할 수 있다. 링크를 클릭하면 Azure Blob에 저장된 피싱 페이지로 이동한다. 주소는 hhh://onedriveunbound80343.blob.core.windows.net이다(링크를 제거하기 위해 https를 hhh로 바꿨다). 이 페이지는 Office 365 로그인 창을 위장한 가짜 로그인 창을 띄워 계정 정보를 탈취한다. 여기서 속기 쉬운 게 피싱 페이지가 정상 클라우드 내에 있기 때문에 SSL 인증서 상 안전하게 보인다는 것이다(그림 출처는 참고 자료 2). 서브 도메인에 주의 클라우드나 블로그 서비스 등을 이용할 때 주소는 [사용자 ID.메인 도메인] 혹은 [메인 도메인/사용자 ID] 같은 형식을 갖게 된다. 이때 로그인 페이지는 이런 서브 도메인에 있는 것이 아니라 [login.메인 도메인] 등으로 메인 도메인에 있게 된다. 이번 피싱 건에서 보자면, 로그인 페이지는 hhh://onedriveunbound80343.blob.core.windows.net에 있을 수가 없는 것이다. hhh://login.microsoftonline.com라는 메인 도메인이 정상적인 로그인 페이지이다. 현재 마이크로소프트는 여러 사이트에 통합 계정을 운영하기 때문에 쓰고 있진 않지만, 예컨대 hhh://login.blob.core.windows.net 같은 것도 정상 로그인 페이지일 수 있다. 클라우드를 이용하지 않더라도 SSL 인증서를 갖춘 피싱 사이트는 많으므로, 인증서만 보

Danabot 뱅킹 악성코드 유포 다나봇은 은행 암호를 비롯한 금융 정보를 탈취하는 트로이목마이다. 화면 캡쳐, 키로깅, 기기에 저장된 파일에서 추출 등 다양한 방법을 이용한다. 주로 유럽과 미국의 은행 고객을 노리고 있다. 인터넷 팩스 서비스 사칭 북미 지역을 표적으로 한 이번 작전에서는 eFax라는 디지털 팩스 회사를 사칭했다. 수신된 팩스가 있으니 다운로드하라는 메일을 보낸다. 다운로드하면 팩스 본문으로 위장한 워드 문서가 열린다. 여기에는 매크로가 포함돼 있는데, 내용을 보려면 매크로를 허용해야 한다며 실행을 유도한다. 매크로를 실행하면 다나봇 악성코드를 다운로드하여 설치한다. 인터넷 팩스라고도 하는 디지털 팩스는 별도의 장비 없이 팩스를 송수신할 수 있어, 가끔씩만 팩스가 필요한 일반인이 많이 이용하고 있다. 우리 나라에도 엔팩스 같은 것이 있다. 웹 사이트 가입만으로 팩스를 이용할 수 있다. 피싱(phishing)이라는 것이 사람의 무지, 부주의 같은 실수를 이용하는 것이므로 항상 새로운 수단을 찾는다. 팩스 사칭은 이제껏 많이 보지 못한 것으로 잘 모르면 속을 수 있겠다. 인터넷 팩스에서 수신을 알리고 다운로드하는 방법은 서비스 회사마다 다르므로, 자신이 이용하는 팩스 서비스가 어떤 식으로 작동하는지 잘 알아두면 가짜 팩스에 속지 않을 것이다. 사이트에 직접 접속하여 확인하는 것이 가장 좋다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 Danabot Banking Malware Now Targeting Banks in the U.S.  

PDF 문서를 다루는 소프트웨어에서 많은 보안 취약점이 발견되고 있다. 요 며칠 새 Adobe는 86개, Foxit은 118개의 취약점에 대한 패치를 발표했다. 취약점 중에는 임의 코드 실행, 권한 상승 등 심각한 것들이 다수 포함됐다. 임의 코드 실행은 시스템을 맘대로 조작할 수 있고, 권한 상승은 제한된 계정에서도 시스템에 중대한 변경을 가할 수 있다. 그래도 이런 건 양반에 속한다. 개발사에서 패치를 바로 발표하기 때문이다. 8월에 PDF를 다루는 핵심 모듈인 고스트스크립트에서 심각한 취약점이 발견됐는데, 아직도 해결됐다는 소식이 없다. 오픈소스이기 때문에 패치가 제대로 되지 않는다. PDF 문서를 열 때는 신뢰할 수 있는 파일만 열어야 한다. 또한 사용하는 소프트웨어의 개수를 줄임으로써 위험에 노출되는 정도를 줄일 수 있다. 간단한 PDF 작업은 별도의 프로그램 없이 할 수 있다. Windows 10의 기본 기능인 'PDF로 인쇄(print to PDF)'를 이용하면 PDF 문서를 쉽게 만들 수 있다. 보는 것은 엣지 브라우저에서 그냥 할 수 있다. 편집은 구글 드라이브에 올려 구글 문서로 열면 할 수 있다. 표가 들어가면 레이아웃이 흐트러지는 등 부족한 면도 있지만, 간단한 편집은 가능하다. 관련 자료 고스트스크립트에 제로데이 취약점 발견, PDF 파일 주의 참고 자료 Adobe Releases Security Updates for Acrobat that Fix 86 Vulnerabilities Security Update for Foxit PDF Reader Fixes 118 Vulnerabilities  

CVE-2018-4379, 4380 iPhone XS를 비롯해 최신 iOS 12를 구동하는 아이폰에서 암호 없이 잠금을 우회할 수 있는 취약점이 발견됐다. 잠금을 완전히 해제하는 수준은 아니고, 주소록과 그에 연결된 일부 폴더에만 접근할 수 있다. 취약점 이용에는 2개의 전제 조건이 필요하다. 첫째로 음성 비서 시리가 잠금 화면에서도 작동하도록 설정되야 한다. 다음으로 얼굴 인식 기능인 Face ID가 작동하지 못하게 해야 한다. 설정이 꺼져 있거나 카메라를 가리는 식으로 말이다. 이 조건이 충족된 상태에서 시리와 VoiceOver라는 접근성 기능의 버그를 이용해 다소 복잡한 절차를 거쳐 주소록에 접근할 수 있다. 그리고 주소록에 있는 사람의 사진을 편집하는 기능을 이용해 사진 폴더에 접근할 수 있다. 아직 패치가 나오지 않은 제로데이 상태이므로, 잠금 상태에서 시리가 작동하지 않도록 설정하는 것이 유일한 대응책이다. 근래들어 iOS의 잠금을 우회하는 취약점은 새 버전이 나올 때마다 반복되고 있다. 그리고 iOS 9.3.1에서는 시리의 취약점으로 잠금 상태에서 트위터를 검색하고 주소록과 사진에 접근할 수 있는, 이번과 비슷한 버그가 발견됐었다. Windows 10의 경우에도 비슷한 일이 있었다. 코타나의 취약점으로 잠금을 우회하여 기기를 완전히 장악할 수 있는 것이었다. 사용의 편리를 위해 잠금 상태에서도 시리나 코타나 같은 음성 비서의 작동을 열어두는 데서 계속해서 취약점이 발견되고 있다. 10.9 업데이트 이 취약점은 iOS 12.0.1에서 해결됐으며 CVE-2018-4379, 4380으로 등록됐다. 관련 자료 코타나(Cortana) 해킹 취약점 참고 자료 New iPhone Passcode Bypass Hack Exposes Photos and Contacts  

크롬 브라우저를 즐겨 쓰는 사람들은 그 이유로 예외 없이 편리한 확장 프로그램(Chrome Extensions)을 꼽는다. 반면에 확장 프로그램은 많은 보안상 문제를 가져오기도 했다. 악성 확장은 물론 다른 스토어에선 찾아보기 힘든 공급망 공격(개발자의 크롬 웹 스토어 계정이 해킹당함)도 발생하곤 했다. 이에 대해 구글은 1일 대책을 발표했다. 권한 제한 지금까진 크롬 확장은 보고 있는 사이트의 모든 데이터와 콘텐츠에 접근할 수 있었다. 이것은 사이트의 스킨을 변경하고 기능을 추가하고 버그를 바로잡는 등 다양한 작업을 수행할 수 있는 장점이 있다. 반면 악용되면 광고 삽입, 악성코드 삽입, 개인정보 탈취, 다른 웹 사이트에 접근 등 악성 행위에 이용될 수도 있다. 그러나 크롬 70버전부터는 확장의 사이트 접근 권한을 3단계로 설정할 수 있다. 확장을 클릭했을 때만>특정 사이트>모든 사이트의 3단계다. 다만 현재로선 이런 제한이 기본적으로 적용되는 것은 아니고, 사용자가 수동으로 설정해야 한다. 앞으로는 보다 많은 옵션을 제공할 것이라고 밝혔다. 과도한 권한 요구에 제동 과도한 권한이나 사이트 접근권을 요구하는 확장은 추가적인 심사를 거치게 했다. 또한 원격에 호스팅된 코드(remotely hosted code)를 이용하거나 트래픽을 감시(outgoing monitoring)하는 확장은 세밀히 조사하기로 했다. 원격에 호스팅된 코드란 확장 프로그램 내부가 아닌 외부의 서버에 있는 코드를 호출하여 이용하는 방식이다. 이것은 심사 시간을 많이 필요로 하며, 개발자가 추후에 쉽게 바꿀 수 있기 때문에 심사를 우회할 수도 있는 문제가 있다. 따라서 모든 코드는 확장 프로그램 내에 직접 포함하도록 했다. 난독화된 코드 불가 악성코드는 대부분 분석이 어렵도록 알아보기 힘들게 난독화(obfuscation)되어 있다. 이를 도와주는 툴(obfuscator)도 있다. 앞으로는 확장에 난독화된 코드를 쓸 수 없다. 기존의 확장도 2019.1

DNS 하이재킹 라우터(공유기)를 감염시켜 DNS 서버 설정을 해커의 서버로 바꾸는 악성코드가 발견됐다. 고스트DNS라고 불리며 이미 10만 대 이상의 라우터를 감염시켰다. 취약한 암호를 가진 라우터를 탐색하여 브루트 포스 공격으로 침투한다. DNS 서버를 악의적으로 설정하면, 사용자가 입력한 주소가 아닌 엉뚱한 사이트로 연결된다. 이런 해킹을 DNS 하이재킹이라고 하는데 오래된 수법이다. 다만 근래 라우터를 겨냥한 공격이 급증하는 추세이다. GhostDNS는 주로 은행 사이트로 가는 트래픽을 가짜 사이트로 연결시켜 로그인 정보를 훔치고 있다. 현재 공격의 88%는 브라질의 은행에 집중되어 있다. 파밍(pharming) 대책 적용 DNS 하이재킹에 대비하려면 우선 라우터를 잘 지켜야 한다. 공유기 보안에서 가장 중요한 것은 강력한 암호를 설정하는 것과 불필요한 원격관리 기능을 끄는 것이다. 내 공유기를 잘 지키더라도 외부에서 인터넷을 쓰다 보면 취약한 네트워크를 이용하게 될 수도 있다. 따라서 가짜 사이트를 판별할 수 있어야 한다. 이 점에 대해서는 피싱과 파밍에 대한 대책이 그대로 적용될 수 있다. SSL 인증서를 잘 살펴야 DNS 하이재킹을 포함한 파밍은 주소창에 표시된 주소만으로는 판별할 수가 없다. 주소 체계 자체가 교란됐기 때문에 주소창의 주소 자체가 가짜다. 따라서 HTTPS가 적용된 사이트의 인증서에 표시된 주소를 봐야, 현재 보고 있는 사이트의 실제 주소를 알 수 있다. HTTP 사이트는 가짜를 판별할 방법이 없다. 인증서 상의 주소가 정확한지, 인증서가 오류 메시지를 나타내지는 않는지를 살펴봄으로써 진위를 판별할 수 있다. 실제 피해 사례를 보면, 피해자들은 인증서 오류를 봤지만 무시해 버렸다. 관련 자료 피싱(phishing) 사기 피하는 방법 공유기 해킹하여 DNS 하이재킹하는 Roaming Mantis 악성코드 와이파이(Wi-Fi) 보안 설정 하드웨어 지갑 트레조 노린 피싱 공격 가상

Browser notification 혹은 사이트 알림 기능은 웹 사이트에 새로운 소식이 있을 때마다 받아 볼 수 있는 기능이다. 브라우저를 실행하지 않더라도 바탕 화면에 알림 창이 표시된다. 이 기능은 사이트 별로 설정되는데, 사이트를 보다가 '이 사이트에서 알림을 허용할껴?' 같은 메시지가 나타날 때 동의함으로써 활성화된다. 그런데 최근 이 기능을 악용한 스팸이 기승을 부리고 있다. 저질 사이트에서 이런 짓을 하는데, 알림을 허용하지 않으면 사이트를 정상적으로 이용할 수 없다며 허용을 유도한다. 그러나 사이트 알림 기능은 말 그대로 알림을 push해 주는 것일 뿐, 다른 기능에 영향을 미치지 않는다. 이런 거짓말에 속아 알림을 허용하면, 인터넷을 사용하지 않는 중에도 바탕 화면에 엉터리 소프트웨어, 성인 사이트, 사기 사이트 등 광고성 알림이 계속 뜨게 된다. 이럴 때는 사이트 알림을 끄면 된다. 크롬의 경우는 [설정/고급/콘텐츠 설정]에 들어가면 위치, 카메라, 알림, 팝업 등 각 기능에 대해 허용할 사이트와 차단할 사이트를 설정할 수 있다. 엣지의 경우에는 [설정/고급/웹 사이트 사용 권한]에 들어가면 사이트 별로 허용할 기능을 설정할 수 있다. 참고 자료 Sites Trick Users Into Subscribing to Browser Notification Spam