11월, 2018의 게시물 표시

국민연금 체납처분 절차 개선

11.23일 국민연금법 개정안이 국회를 통과했다. 체납처분시 사전 안내를 확실히 하고, 공단 운영에 수급자의 의견이 반영되도록 하는 것이 주요 내용이다. 공포를 거쳐 3~6개월 후에 시행된다. 소액금융재산 압류 금지 국민연금을 연체하면 10일 이상의 기한을 정한 독촉장이 발부되고, 그래도 납부하지 않으면 국세에 준하여 체납처분을 할 수 있다(국민연금법 제95조). 체납처분에는 국세징수법이 적용되는데, 이 법은 최소한의 생활에 필요한 은행예금 등은 압류하지 못하도록 규정하고 있다. 그러나 현실에서는 이 규정이 잘 지켜지지 않고 있다. 모르면 부당한 처분을 당할 수 있는 것이다. 개정법에서는 체납처분을 하기 전에 체납명세, 압류 가능한 재산의 종류, 압류 예정 사실, 소액금융재산은 압류할 수 없다는 사실을 밝힌 통보서를 의무적으로 발송하도록 했다. 분할납부 가능 2회 이상 체납한 지역가입자는 분할납부를 신청할 수 있다. 공단은 "분할납부를 승인할 수 있다"고 규정하고 있으므로 항상 받아들여지는 것은 아니다(국민연금법 제95조의 3). 그러나 현실에서는 이 규정을 알지 못해서 분할납부 신청을 해보지도 못하고 재산압류를 당하는 경우가 많다. 개정법에서는 체납처분을 하기 전에 분할납부가 가능하다는 사실과 신청 방법을 의무적으로 알리도록 했다. 수급자 대표 참여 국민연금공단 이사회는 사업운영 계획과 예산, 직제 규정, 내부 지침, 주요 경영 사항 등을 보고받고, 심의, 의결 확정하는 권한을 가지고 있다. 이의 비상임이사로 수급자 대표가 참여하여 수급자의 이익을 대변하게 했다. 수급자 대표는 국민연금심의위원회에도 참여한다. 참고 자료 국민연금 보험료 못 냈다고 예금통장 함부로 압류 못 한다  

젠하이저 인증서 해킹 취약점

루트 인증서의 중요성 Root certificate는 다른 디지털 인증서를 발행할 수 있는 인증서다. 루트 인증서에 의해 발행된 인증서는 SSL/TLS 서버를 인증하여 암호화 통신을 하고, 프로그램 개발자를 인증하는 등의 역할을 한다. 루트 인증서는 주로 운영체제와 브라우저에 의해 자동으로 관리되며, Trusted Root CA certificate store에 저장된다. 그러나 사용자가 수동으로 루트 인증서를 추가하거나 삭제할 수도 있다. 루트 인증서와 그 개인키가 있으면 아무나 임의로 인증서를 발행할 수 있다. 그 인증서는 해당 루트 인증서가 있는 기기에서는 신뢰할 수 있는 것으로 취급된다. 구글, 네이버 등 자신이 통제할 수 없는 사이트들에 대한 wildcard SSL 인증서를 발행하는 것도 가능하다. 이를 MiTM attack(Man-in-the-Middle attack, 중간자 공격) 해킹툴에 장착하면, 같은 루트 인증서를 가진 타인과 이들 사이트와의 트래픽을 중간에서 엿보고 변조할 수 있다. 악성 프로그램에 임의의 인증서로 서명해서 공신력 있는 개발자의 것처럼 위장할 수도 있다. 따라서 주기적으로 루트 인증서 목록을 확인하는 것이 좋다. Windows 10에서는 작업 표시줄에서 "인증서 관리"를 검색하면 관리 도구가 열린다. CVE-2018-17612 Sennheiser 헤드셋의 유틸리티는 웹사이트에서 구동되는 소프트웨어적인 전화 기능을 지원한다. 이를 위해 암호화 통신을 구현해야 했고 인증서가 필요했다. 이때 치명적인 몇 가지 실수를 저질렀다. 인증서와 개인키가 모든 기기에서 동일하다. 게다가 개인키가 AES 암호화되긴 했지만 프로그램 파일 내에 저장돼 있다. 따라서 해커가 복제 및 개인키를 알아내기가 너무 쉽다. 인증서 설치 시에 매번 다른 공개키/개인키 조합을 생성했어야 했다. 필요한 인증서를 루트 인증서로 설치했다. 루트 인증서 저장소에 설치할 것이 아니라 신뢰할 수 있는 사람(trusted pe...

인기 안드로이드 앱이 광고 사기

클릭 인젝션 Google Play에서 인기를 끌고 있는 8개의 앱이 광고 사기를 저지르고 있다는 의혹을 받고 있다. 아무 공헌도 없으면서 부당하게 credit(광고 효과 인정)을 받아, 다른 개발자와 광고주에게 금전적 손실을 입히고 있다는 것이다. 피해 규모는 수백만 달러에 이른다. 보통 앱에는 다른 앱 설치를 권하는 광고가 붙는다. 사용자가 이를 클릭하거나 설치하면, 앱 개발자는 광고주로부터 0.5~3 달러 정도의 보상을 받는다. 그런데 이들 악성 앱은 click injection 수법을 통해, 다른 경로로 설치된 앱 광고주로부터 크레딧을 챙기고 있다. 다른 개발자가 받아야 할 크레딧을 가로채거나, 불필요한 크레딧을 받아내고 있는 것이다. 과도한 권한이 문제 문제된 앱은 Clean Master, Security Master, CM Launcher 3D, Battery Doctor, Cheetah Keyboard, CM Locker, CM File Manager, Kika Keyboard의 8개 이다. 이들은 모두 Cheetah Mobile이라는 중국의 대형 앱 개발사의 것이다. 마지막 것은 Kika Tech의 것이지만, 이 회사는 사실상 치타 모바일의 자회사이다. 클릭 인젝션은 어떤 앱이 설치되는 순간에, 자신의 앱에서 클릭이 이루어진 것처럼 허위의 트래픽을 발생시키는 것이다. 이들 악성 앱은 사용자의 키 누름과 앱 설치 활동을 추적할 수 있는 권한을 갖고 있기 때문에 가능했다. 이들은 모두 과도한 권한을 요구하므로, 광고 사기 뿐만 아니라 개인정보 보호 측면에서도 위험이 크다. 따라서 연구팀은 삭제할 것을 권고했다. 이런 의혹에 대해 치타 모바일은 제3자 SDK(개발도구) 탓으로 돌렸다. 그러나 이에 사용된 SDK 역시 사실상 자신의 것으로 밝혀졌다. 참고 자료 8 Popular Android Apps Caught Up In Million-Dollar Ad Fraud Scheme These Hugely Popular And...

비트코인 지갑 Copay 악성코드 감염

개인키 노출 BitPay의 bitcoin wallet 앱인 Copay에 악성코드가 삽입된 사실이 밝혀졌다. 지갑에 있는 가상화폐를 훔치는 악성코드다. Copay 버전 5.0.2 ~ 5.1.0이 해킹당했으며, 악성코드가 제거된 5.2.0 버전으로 빨리 업데이트해야 한다. BitPay 앱은 감염되지 않았다. BitPay의 권고에 따르면, private key가 노출됐을 가능성이 크므로 우선 지갑 앱을 업데이트한 후에, 모든 비트코인을 'Send Max' 기능을 이용해 새 지갑으로 이동해야 한다. 오픈소스 모듈 Node.js 공급망 공격 Copay 해킹은 이 지갑에 사용된 제3자 모듈인 Node.js library를 악성코드에 감염시킴으로써 이루어졌다. Supply-chain attack인 것이다. Node.js는 1주일에 2백만 번 다운로드될 정도로 인기있는 개발도구이다. 문제가 된 부분은 Node.js 라이브러리의 Event-Stream이라는 모듈이다. 몇 달 전부터 이 모듈의 개발 및 유지보수를 맡은 right9ctrl이라는 불량 개발자가 Event-Stream 3.3.6 버전에 악성코드를 삽입한 것이다. 악성 버전은 9.9일 업로드되어 최근까지 8백만 번 다운로드됐다. Node 프로젝트를 관리하고 있는 NPM은 11.26일 악성코드를 제거했다. 참고 자료 Rogue Developer Infects Widely Used NodeJS Module to Steal Bitcoins  

Gmail 버그로 발신자 조작 가능

인터페이스의 문제 지메일에서 발신자(from:) 정보를 조작할 수 있는 취약점이 발견됐다. 아무 이름이나 주소에서 온 것처럼 보이게 할 수 있고, 심지어 공백으로 할 수도 있다. 피싱이나 스팸에 악용될 위험이 있다. 이메일의 발신자를 조작하는 수법은 오래 전부터 있었다. 이것은 메일 서버를 속이는 것으로, 이에 대응하는 SPF라는 기능이 있다. SPF는 메일이 실제로 그 주소에서 왔는지 검증하는 것이다. 그러나 SPF도 완전한 것은 아니고, 이를 간단히 우회하는 방법도 있다. 모든 메일 서버가 SPF를 지원하는 것도 아니다. 이번에 발견된 지메일 버그는 위에서 말한 서버 차원의 문제가 아니다. 지메일은 SPF를 지원하고, 이를 우회하기 위한 공격이 있었던 것도 아니다. 단지 지메일 웹과 앱의 표시상의 문제일 뿐이다. 메일 헤더를 특별하게 조작하면 지메일이 이를 잘못 처리하는 것이다. 결국 이메일의 발신자는 여러 방법으로 조작될 수 있음을 기억해야 한다. 비슷한 버그가 다른 메일 서비스나 앱에도 있을 수도 있는 일이다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 Gmail Bugs Allow Changing From: Field and Spoofing Recipient's Address New Gmail Bug Allows Sending Messages Anonymously

무료 VPN 앱 상당수 신뢰성 부족

프라이버시 정책 눈여겨 봐야 VPN은 사용자의 실제 IP 주소를 감춰 프라이버시를 보호하고, 통신 내용을 암호화하여 취약한 네트워크에서도 안전한 인터넷 사용을 가능케 한다. 이것은 트래픽을 일단 VPN 서버로 보내는 방식으로 이루어진다. 그런데 그 VPN 서버를 믿을 수가 없다면? VPN 정보 사이트 TOP10VPN은 구글 플레이와 애플 앱스토어에서 검색 결과 상위 30개의 무료 VPN 앱을 상세히 들여다봤다. 결과는 처참했다. 구글과 애플이 철저히 심사를 해서 스토어에 제공해야 하는데, 그렇지 못한 것이 현실이다. 사용자의 많은 사전 조사와 신중한 선택이 필요하다. 59%는 중국과 관련이 있었다. 중국 회사나 중국인이 직접적으로 소유하든 간접적으로 관련되든 간에. 중국은 대놓고 인터넷을 검열/통제하는 국가이며, 중국 기업들은 그동안 좋지 않은 모습을 많이 보여줬다. 86%는 용납할 수 없는 개인정보 보호정책을 갖고 있었다. 상세하지 않은 로깅 정책, 사용자의 인터넷 활동을 추적하고 제3자와 공유 등이 있고, 심지어 프라이버시 정책이란 게 아예 없는 경우도 있었다. 55%는 프라이버시 정책을 아마추어적인 방법으로 게시했다. 광고가 있는 워드프레스 사이트에 게시한 것도 있고, 페이스트빈이나 아마존 서버에 단순 텍스트 파일로 올려 놓은 경우도 있었다. 64%는 전용 웹사이트조차 없었다. 대부분은 어디에 근거지를 두고 있는지, 누가 관련이 있는지 알기 어려웠다. 소수의 경우는 서비스 제공자가 누군인지도 알 수 없었다. 52%는 고객 지원 이메일 계정이 지메일 같은 개인 계정이었고, 83%는 문의 메일을 무시해 버렸다. 보고서는 길고 상세한데, 중요한 것 몇 개만 간추렸다. HotspotShield VPN 이전부터 좋은 평판을 얻어왔다. 이번 조사에서도, 최상위 상용 VPN에는 미치지 못하지만 기대 이상이라는 평가를 받았다. HotspotShield를 운영하는 AnchorFree는 Betternet과 TouchVPN도 운영한...

월세를 전세로 속이는 사기 주의

전/월세 이중 계약 사기 월세를 전세라고 속이고 보증금을 가로채는 사기가 기승을 부리고 있다. A는 부동산 중개업자로 해당 지역에서 오래 동안 일해 왔고 신뢰도 받고 있었다. A는 집주인으로부터 아파트 관리를 위임받고 월세 계약 대리권만을 받았지만, 피해자와 전세 계약을 체결하고 보증금을 가로챘다. A는 이런 수법으로 2007년부터 최근까지 21명에게서 6억 원을 가로챘다. B는 부동산 중개업자로부터 빌린 자격증으로 영업하며, 월세 물건을 전세로 속여 보증금을 가로채는 수법으로 2011년부터 최근까지 14명에게서 10억 원을 챙겼다. C 역시 같은 수법으로 22명에게서 9억 원을 가로챘다. C는 오피스텔 관리소장과 경리 직원이었다. A는 월권 대리행위의 경우이고, B와 C는 권한이 아예 없는 경우이다. 중개업자나 관리소장은 계약을 대신 체결할 수 있는 대리인이 아니다. 위임장 확인 필수 부동산 계약은 등기부상 소유권자와 직접 체결해야 한다. 부득이 대리인과 계약할 때는 소유권자가 작성한 위임장을 받아야 한다. 위임장에는 대리인의 신분과 부여받은 권한(예컨대 매매, 전세, 월세 등), 위임 기간이 명시돼야 한다. 민법상 대리행위는 원칙적으로 부여받은 권한과 기간 내에서만 유효하기 때문이다(민법 제114조, 제126조, 제129조). 권한을 넘은 대리행위와 대리권 소멸 후의 대리행위는, 임차인 같은 제3자 입장에선 도저히 알 수 없었다는 사정이 인정되면 유효로 될 수 있다. 따라서 A와 같은 사례에선 소송의 여지가 있다. 만약 임차인이 승소한다면 소유자가 피해를 보게 된다. 그러므로 대리권을 주는 것을 비롯해 모든 계약 관계는 명확하게 해야 선의의 피해자가 생기는 것을 막을 수 있다. 또한 경찰에 따르면 미등록 중개업소에 의한 사기가 많으므로, 공식 협회에 등록된 중개업소인지 확인해야 한다. 참고 자료 월세를 전세로 속이는 사기 전국서 '기승'…목돈 날리는 서민들  

윈윈소프트 해킹으로 개인정보 유출

살 길은 2단계 인증 뿐 온라인 쇼핑몰에 웹 사이트와 데이터베이스 호스팅 서비스를 제공하는 윈윈소프트가 해킹당했다. 해킹은 10일 경에 일어났으며, 입점 쇼핑몰 고객의 이름, 아이디, 암호, 이메일, 전화번호, 주소 등이 유출된 것으로 알려졌다. 회사 측은 암호 변경을 권고했다. 자세한 내용은 공개되지 않아 잘 모르겠지만, 윈윈소프트 홈페이지에 가 보니 옥션, 지마켓 같은 오픈마켓에 입점한 사업자를 대상으로도 활발한 영업 활동을 한 것으로 보인다. 피해 규모가 생각보다 클 수도 있겠다. 개인 정보가 여기저기서 줄줄 새고 있다. 사용자가 아무리 강력한 암호를 설정하고 잘 관리해도, 사이트가 줄줄이 해킹당하는 데는 소용이 없다. 유출된 정보로 인한 2차 피해를 막기 위해서는 2단계 인증을 활용하는 것이 필수다. 관련 자료 Drupalgeddon 2와 Dirty COW 취약점으로 웹 서버 해킹 참고 자료 윈윈소프트, DB 해킹 당해 개인정보 유출됐다  

RowHammer 메모리 해킹 취약점

로우해머 취약점이란 DRAM 반도체 칩에는 셀(cell)이라는 저장 단위가 바둑판 모양으로 배열돼 있다. 그 중 어떤 행(row)에 무지막지하게 반복적으로 읽기 혹은 쓰기 작업을 시키면(hammer) 전기장이 발생하여, 다른 행에 있는 셀의 저장 값이 바뀔 수 있다(bit flip). 이런 메모리 칩의 설계 결함을 이용한 공격 방법이 2014년에 개발되어 로우해머란 이름을 얻었다. 최초 발견 이후 많은 연구자의 관심을 받아 지속적으로 개량됐다. DDR3 뿐만 아니라 DDR4 RAM에서도 작동하게 됐고, GPU를 이용해 공격 속도를 비약적으로 향상시켰다. 가장 무서운 점은 물리적으로 기기에 접근하지 않고도 원격으로 공격할 수 있게 된 것이다. 웹 페이지에서 자바 스크립트로 공격할 수 있다. 네트워크 패킷을 통한 공격 방법도 개발됐다. 그리하여 엣지 브라우저를 이용해 Windows 기기를 장악하고, 클라우드 환경의 리눅스 가상 머신을 장악하며, 안드로이드 스마트폰의 루트 권한을 얻는 등의 시연이 이루어졌다. 메모리라는 하드웨어적인 취약점을 이용하는 것이기 때문에 운영체제를 가리지 않는 것이다. ECCploit 11.22일에는 ECC를 지원하는 DRAM도 공략할 수 있는 ECCploit라는 새로운 공격 방법이 발표됐다. ECC는 메모리의 오류를 발견하여 정정하는 기술로, 1990년대부터 활용됐다. 보안 기능이 아니라 안정성을 위한 것으로, 고도의 정밀성이 요구되는 시스템에 주로 이용된다. 가정용 PC의 DRAM에는 거의 사용되지 않는다. 로우해머는 의도적으로 메모리에 오류를 일으키는 것이므로, 결과적으로 ECC가 지원되는 DRAM에서는 작동하지 않았다. 그런데 이번에 ECC의 허점을 노려, ECC DRAM도 공격할 수 있는 방법을 찾아낸 것이다. 아직은 이론적인 수준 상당히 위협적으로 들리지만 아직 실제 공격 사례는 발견되지 않았다. CPU의 스펙터(Spectre) 취약점과 마찬가지로 해킹의 가성비 문제일 것이다. ECCploit만 해도...

워드프레스 사이트 해킹 기승

AMP for WP plugin 취약점 WordPress를 이용해 만들어진 사이트들에 대한 해킹 시도가 활발하다. 최근 1달 동안만 해도 플러그인에서 심각한 취약점이 3개가 발견됐는데, 제로데이 였을 때는 물론이고 패치 발표 후에도 피해 사례가 계속 나오고 있다. 사이트 운영자는 워드프레스의 자동 업데이트를 설정하는 등 관련 소식과 패치를 잘 따라잡아야겠다. 가장 최근의 것은 AMP for WP 플러그인의 취약점을 노리는 공격이다. AMP란 Acclerated Mobile Pages를 말하는 것으로, 모바일 브라우저에 최적화된 형식이다. 이 플러그인은 워드프레스 사이트의 페이지를 AMP 형식으로 자동 변환해 주는 프로그램으로 인기가 많다. 그런데 사용자의 권한을 제대로 확인하지 않는 심각한 결함이 있었다. 워드프레스 사이트의 단순한 이용자, 그저 게시판에 포스팅을 할 수 있는 정도의 권한만을 가진 이용자가 관리자처럼 사이트를 변경할 수 있다. 예를 들어 파일 업로드, 다운로드, 설정 변경, 관리자 계정 생성 등이다. 사이트를 완전히 탈취하는 수준이다. 이 취약점은 AMP for WP 0.9.97.20 버전에서 해결됐다. 이 밖에도 EU의 GDPR 요구 사항을 준수하는 데 도움을 주는 GDPR Compliance 플러그인, 전자상거래 기능을 손쉽게 추가할 수 있는 WooCommerce 플러그인 등에서도 비슷한 권한상승 취약점이 발견됐다. 이들 모두 사이트 탈취를 가능케 하는 것들이다. 관련 자료 Drupalgeddon 2와 Dirty COW 취약점으로 웹 서버 해킹 참고 자료 Vulnerability in AMP for WP Plugin Allowed Admin Access to WordPress Zero-day in popular WordPress plugin exploited in the wild to take over sites Popular WooCommerce WordPress Plugin Patches Crit...

Drupalgeddon 2와 Dirty COW 취약점으로 웹 서버 해킹

Drupalgeddon 2(CVE-2018-7600) 최근 드루팔겟돈 2와 더티 카우 취약점을 이용해 Web server를 해킹하려는 시도가 활발하다. 드루팔겟돈 2는 Drupal의 원격코드 실행 취약점으로, 4월에 발견되어 패치가 발표됐다. 더티 카우는 리눅스의 권한상승 취약점으로 역시 패치가 발표된 것이다. 해커는 패치 안된 드루팔 사이트를 검색하여 표적으로 삼는다. 먼저 드루팔겟돈 2를 이용해 임의의 코드를 실행하여 사이트를 탈취한다. 그러나 여전히 권한은 제한적이므로, 사이트를 호스팅하고 있는 서버로 침투할 수는 없다. 따라서 다음 단계로 더티 카우를 이용한다. 더티 카우는 제한된 사용자 계정에서 루트(root) 혹은 관리자 권한으로 코드를 실행할 수 있게 하므로, 서버까지 완전히 탈취하게 된다. Drupal, WordPress(워드프레스)는 널리 쓰이는 CMS(Contents Management System)로, 많은 사이트들이 이를 이용해 구축됐다. CMS에서도 적지 않은 취약점이 발견되고 있고, 해커들이 많이 노리고 있는데 반해 사이트 운영자의 패치 적용은 잘 안되고 있다. 자신의 사이트는 물론 호스팅 서버, 같은 서버에 호스팅된 다른 사이트까지 위험에 빠트릴 수 있으므로 주의해야 겠다. Dirty COW(CVE-2016-5195) 더티 카우는 리눅스 커널에 존재하는 로컬 권한상승(local privilege escalation) 취약점이다. 발견되어 패치된 것은 2016년이지만, 2007년부터 있던 것으로 오래된 버그이다. 핵심부에 있는 것이므로, 리눅스를 기반으로 한 안드로이드 운영체제에도 존재했다. 발견 당시에 이미 exploit code가 실제로 활용되고 있었을 정도로 활발히 이용됐고, 2년이 지난 지금도 활용되고 있다. ZNIU 악성코드 더티 카우가 알려진지 1년 후에, 안드로이드에서 악용한 악성코드가 발견됐다. ZNIU라고 하는 것으로 전세계에서 5천여 명의 피해자가 발생했다. 더티 카우는 로컬 취약점...

구글 플레이에서 가짜 게임 앱 발견

이미지
Google Play에서 게임으로 위장한 악성코드가 발견됐다. 모두 13개인데 같은 개발자에 의해 등록된 것들이다. 사용자 리뷰에도 많은 불평이 있었지만, 모두 합해 56만회의 많은 다운로드가 이뤄졌다. 현재는 모두 삭제됐다. 이 가짜 앱들은 악성코드를 다운로드하기 위한 수단일 뿐 아무 것도 하지 않는다. 설치된 후 바로 자신의 아이콘을 삭제한다. 그리고 사용자 몰래 백그라운드에서 다른 apk를 다운로드한다. 이 apk는 Game Center라는 이름을 갖고 있으며, 게임 설치 과정의 일부인 것처럼 속여 설치를 유도한다. 이 추가 앱은 잠금 해제될 때 광고를 표시하는 애드웨어(adware)이다. 플레이 스토어 외부의 파일을 다운로드하는 것은 정책 위반으로, 이런 앱은 원래 등록될 수 없는 것이다. 그럼에도 불구하고 비슷한 사례가 자꾸 발생하고 있다. 또한 외부 apk를 다운로드하는 것은 몰래 할 수 있지만, 이것이 설치되려면 사용자의 승낙이 필요하다. 따라서 앱이 다른 앱 설치를 요구하는 경우에는 일단 의심해야 한다. 안드로이드에서는 악성코드=악성 앱이라고 할 수 있을 정도로, 보안 위협은 대부분 앱에서 비롯된다. 앱 설치만 신중해도 많은 위험을 피할 수 있다. 보안 업데이트 상황이 엉망임에도 불구하고 안드로이드 생태계가 유지되고 있는 이유이기도 하다. 관련 자료 안드로이드 스마트폰 2년간 보안 업데이트 보장한다? 참고 자료 Fake Apps in Google Play Get over Half a Million Installs Don't install these apps from Google Play - it's malware  

인스타그램 암호 노출 사고

2단계 인증 필수 Instagram에서 일부 사용자의 암호가 노출되는 사고가 발생했다. 내 정보 다운로드(Download Your Data) 기능의 버그로 발생했다. 이 버그는 인스타그램 기술진이 발견했으며 최근에 패치됐다. 피해자에게는 개별 통보가 됐다. 내 정보 다운로드 기능은 사용자가 인스타그램에 올린 글, 사진 등 모든 자료를 PC에 저장하는 것으로, 서비스의 장애나 해킹에 대비한 백업 기능이다. 탈퇴 시에도 유용하다. 이 기능의 URL에 일부 사용자의 password가 암호화되지 않은 평문(plain text)으로 포함됐다. 그리고 모회사인 페이스북의 서버에 저장됐다. 버그는 현재 수정됐으며, Facebook에 저장된 암호도 삭제됐다. 암호가 URL 형태로 노출됐으므로, 피해자는 암호를 바꾸는 것은 물론, 브라우저 히스토리도 삭제해야 한다. 요즘 암호는 여러 가지 위험에 노출돼 있다. 따라서 강력하고 고유한 암호를 사용하는 것은 물론, 2단계 인증을 사용하는 것이 꼭 필요하다. 관련 자료 해킹이 힘든 강력한 암호 만들기 인스타그램, 해킹 대책으로 2단계 인증 보완 참고 자료 Instagram Accidentally Exposed Some Users' Passwords In Plaintext  

동영상이 제대로 재생되지 않을 때(녹색 화면)

이미지
DXVA 하드웨어 가속의 호환성 문제 동영상 플레이어 앱에서 특정 파일이나 미디어를 재생할 때, 화면이 제대로 나오지 않고 녹색으로 바뀌거나 번쩍거리는 경우가 있다. 이것은 비디오 하드웨어 가속 기능이 오작동하기 때문이다. DXVA(DirectX Video Acceleration)는 비디오 처리의 일부를 GPU에 넘겨, CPU의 부담을 줄이고 속도를 빠르게 하는 기능이다. 특히 CPU 성능이 딸리는 기기에서 위력을 발휘한다. 그런데 이것이 그래픽 카드와 코덱에 따라 호환성에서 문제를 일으키는 경우가 있다. 해결책으로는 먼저 그래픽 드라이버를 업데이트해 본다. 그래도 안되면 DXVA를 끄는 수 밖에 없다. ACG Player에서 DXVA 끄기 표시된 부분을 On으로 하면, CPU에 의한 소프트웨어 디코딩만을 사용한다. KODI에서 DXVA 끄기 설정/플레이어/비디오에서 DXVA를 Off하면 된다. 이 옵션은 기본 옵션에서는 보이지 않고, 고급 이상의 레벨에서만 나타난다. KODI는 멀티 프로파일 지원 매번 설정을 변경하는 것은 귀찮은 일이다. 코디는 다중 프로파일을 지원하므로, DXVA를 끈 설정을 따로 프로파일로 만들어 두면 쉽게 모드를 변경할 수 있다. 크롬에서 DXVA 끄기 다이렉트엑스 하드웨어 가속은 Windows XP(DirectX 9)까지만해도 용도가 제한적이었다. 게임과 동영상 재생 정도가 다 였다. 그리고 레지스트리 변경을 통해 윈도우 차원에서 끌 수 있었다. 이를 간단히 할 수 있는 유틸리티도 있었는데, DirectX 패키지에 기본 포함된 dxdiag.exe, 외부 유틸리티인 dxsetup.exe 등이 그 예다. 그러나 Windows 7 이후로는 윈도우와 긴밀히 통합되고 여러 용도에 사용되게 됐다. 윈도우 인터페이스, 비디오 인코딩, 웹 브라우징 등에 다방면으로 GPU를 활용하기 시작했다. 따라서 DXVA를 끄면 전체적인 시스템 성능의 저하를 가져온다. DirectX 10부터는 dxd...

아이폰 XR 특징

iPhone XS의 보급형 나는 아이폰을 써 본 적이 없고, 그다지 관심도 없다. 그런데 Michael Simon의 리뷰를 보고 나니 살짝 끌린다. 스펙상 혹은 이론적인 수치보다 실제 사용자가 체감할 수 있는 부분에 초점을 맞춘 리뷰라서 마음에 들었다. 이 분의 리뷰를 바탕으로 정리해 봤다. 아이폰 XR은 최고의 아이폰이라 할 수 있는 XS에서 성능과 가격을 낮춘 모델이다. 그러나 대부분의 사용자는 그 차이를 실감할 수 없는, 좋은 성능을 보여준다는 것이 리뷰어의 결론이다. 아이폰 XS를 꼭 닮은 디자인 아이폰 XR은 아이폰 XS와 거의 비슷하게 생겼다. 노치 디자인을 채택했고, 후면도 강화유리로 되어 있다. 세부적으로 보면 다른 점은 있다. XS보다 살짝 두껍고, 테두리는 XS가 유광의 크롬인데 비해 무광의 알루미늄이다. 강화유리의 강도도 XS와는 달리 깨짐방지 처리가 돼 있지 않고, 아이폰 8 수준이다. 리뷰어는 다소 넓은 베젤에 아쉬움을 표하면서도 익숙해지면 괜찮다고 했다. 내 생각에도 베젤은 조금 있는 편이 쓰기 편하다. 요즘 디자인적으로 베젤을 극단적으로 줄여가는 추세이긴 하지만. LCD지만 훌륭한 디스플레이 XS의 디스플레이는 OLED인 반면, XR의 디스플레이는 LCD이다. 기술적 혹은 이론적으로는 한 단계 아래인 것이다. 그러나 체감 성능은 우수하다. 화면의 정교함을 나타내는 ppi(pixel per inch)를 비교해 보면, XR은 326 ppi로 XS(458), G7(563), 픽셀 3XL(523), 갤노트 9(516)에 비해 많이 떨어진다. 그러나 리뷰어는 300 ppi를 넘어서면 사람 눈으로는 거의 구별할 수 없다고 한다. 따라서 체감적으로는 모두 좋은 화질이라는 것이다. 나도 동의한다. 내 K10은 1280*720 해상도에 5.3인치 화면이다. ppi로는 277에 해당한다. 그러나 코를 화면에 대고 눈을 찌푸려야 화소가 보일 정도이다. 실제 사용 시에는 최신 폰과의 차이를 느낄 수 없다. 색상 표현 능...

가상화폐 거래소 Gate.io 해킹

StatCounter에 대한 공급망 공격 가상화폐 거래소 Gate.io가 해킹당해 11.3~6일 동안 비트코인을 탈취하는 악성코드가 실행되고 있었다. Gate.io를 직접 공격한 것이 아니라, 여기에 스크립트를 제공하는 StatCounter를 해킹해 악성 스크립트로 변조했다. Supply-chain attack인 것이다. 위험한 상황이었지만 실제 피해 사례는 발견되지 않았다. 11.3일 해커는 StatCounter 해킹에 성공했고, 11.5일 보안업체 ESET이 이 사실을 발견해 통보했다. 11.6일 게이트와 스탯카운터는 악성코드를 제거했다. 스탯카운터는 웹사이트의 방문자 통계를 분석하는 자바 스크립트를 제공한다. 2백만 개 이상의 사이트가 이용하고 있는 인기있는 서비스다. 이번에 해킹당해 악성코드가 삽입된 스크립트도 70만 개 이상의 사이트에 노출됐다. 수취 지갑 주소 바꿔치기 그러나 이번 공격의 타겟은 게이트 뿐이었다. 악성코드는 페이지 주소가 "myaccount/withdraw/BTC"를 포함하고 있을 때만 작동한다. 비트코인을 노리고 있다는 것을 알 수 있으며, 이런 주소를 사용하는 가상화폐 사이트는 게이트 뿐이다. 해당 주소는 게이트에서 비트코인을 출금하거나 송금할 때 사용된다. 사용자가 이 페이지를 열면 악성코드가 작동한다. 수취인의 가상화폐 지갑 주소를 해커의 것으로 바꿔치기 한다. 해커의 지갑 주소는 매번 새로 생성되어, 추적과 범죄 수익 규모 파악이 어렵다. 피해자는 알아차릴 수 없어 지갑 주소를 바꿔치기하는 악성코드는 이미 많이 있었다. 이들은 사용자의 PC에서 클립보드의 내용을 조작하는 방식이었다. 지갑 주소를 일부라도 확인하면 알아챌 수 있다. 그러나 이번엔 가상화폐 거래소에서 작동하는 악성코드라는 점에서 훨씬 위험하다. 단번에 대량의 피해자를 양산할 수 있다. 게다가 게이트의 doSubmit 함수 자체를 변조하여, 사용자가 송금 버튼을 클릭하면 지갑 주소가 바뀐다. 아마도 화면엔 표시되지...

HSBC 은행 해킹으로 고객 정보 유출

크리덴셜 스터핑(Credential stuffing)으로 추정 글로벌 은행 HSBC에서 데이터 침해 사고가 발생했다. 10.4~14일 동안 해커가 고객 계정에 무단으로 접속해 계좌 번호, 잔고, 거래 내역, 주소, 연락처 등 중요한 개인 정보에 접근했다. 미국에 있는 계정의 1% 가량이 침해당한 것으로 알려졌다. 수법은 크리덴셜 스터핑으로 추정했다. 이것은 다른 경로로 입수한 로그인 정보를 이용해, 무차별적으로 대입해 로그인을 시도하는 브루트 포스 공격이다. 우리 나라에서도 굵직한 해킹 사건에 이용된 바 있다. 이런 공격에 대비하려면 각 사이트마다 고유한 암호를 사용해야 한다. 사이트 측에도 책임이 있다. 다량의 비정상적인 로그인 시도를 탐지하지 못한 것과 2단계 인증 같은 추가적인 보안 수단을 갖추지 못한 점에서 그렇다. HSBC측은 2차 피해를 막기 위해, 피해 고객에게 1년 동안 신용 모니터링과 신원 도용 방지 서비스를 제공하기로 했다. 관련 자료 우리은행, 알툴즈 해킹한 크리덴셜 스터핑(Credential Stuffing) 참고 자료 HSBC Bank Data Breach Exposed Account Numbers, Balances, and More  

SSD 하드웨어 암호화 해킹 취약점

삼성, 크루셜 SSD 암호화 우회 취약점 HDD, SSD, USB 메모리, SD 카드 등 저장 장치는 암호화 기능을 제공하기도 한다. 저장 장치를 다른 컴퓨터에 연결했을 때, 내용을 알아볼 수 없도록 하기 위해서다. 암호화 방법은 저장 장치의 펌웨어가 수행하는 하드웨어 암호화(Hardware-based Encryption)가 있고, 소프트웨어 암호화도 있다. 후자의 경우, 운영체제 차원에서 지원하는 게 있고, 저장 장치 제조사가 별도로 전용 프로그램을 번들로 제공하는 것도 있다. 그런데 일부 SSD 제품의 하드웨어 암호화 기능에 결함이 있는 것이 밝혀졌다. 한 연구팀은 크루셜(Crucial, 마이크론의 브랜드), 삼성의 일부 제품에서 취약한 암호화 기능으로 인해, 잘못된 암호 혹은 빈 암호로 디스크의 내용을 볼 수 있었다. 모델마다 보안 방식에 차이가 있으므로, 연구팀이 각 제품을 해킹한 방법은 조금씩 다르다. 디버깅 인터페이스를 이용하기도 했고, 직접 펌웨어를 변조하기도 했다. 취약점이 확인된 모델은 Crucial의 MX 100, 200, 300과 삼성 EVO 840, 850, T3, T5이다. 크루셜은 패치를 내놨고, 삼성은 T3와 T5에 대한 패치만 내놨다. 운영체제 차원의 암호화가 더 안전 이론적으로 하드웨어 암호화는 소프트웨어 암호화보다 동등하거나 더 강력하다. 그러나 실제로는 방식 자체보다 제공하는 회사의 역량에 달려 있다. 요즘은 Android, iOS, macOS, Linux 등 대부분의 운영체제에서 디스크 암호화 기능을 제공한다. Windows 10은 Pro 버전 이상에서 BitLocker를 지원한다. 이런 기능이 더 견고하므로 사용할 것을 권고했다. 다만 비트로커의 경우, 하드웨어 암호화를 지원하는 장치에는 이를 우선 적용하도록 설정되어 있다. 따라서 Windows Group Policy에서 하드웨어 암호화를 꺼야, 비트로커의 자체적인 소프트웨어 암호화를 사용할 수 있다. 참고 자료 Flaws in Popular...

포트스매시(PortSmash), CPU 하이퍼스레딩의 취약점 해킹

SMT의 취약점 SMT(Simultaneous Multi-Threading)는 하나의 물리적인 CPU 코어를 여러 개의 논리적 코어로 분할 이용해서 효율성을 높이는 기술이다. 일찍이 Intel이 하이퍼 스레딩(HT, Hyper-Threading)이란 이름으로 구현했고, AMD도 라이젠부터 SMT를 적용했다. SMT에서 한 스레드의 프로세스는 기본적으로 독자적인 명령과 데이터를 갖는다. 그러나 다른 스레드의 프로세스와 일부 하드웨어 자원을 공유하기도 한다. 이런 특징으로 인해 다른 프로세스의 데이터를 훔치는 공격 가능성이 열려 있다. CVE-2018-5407: Timing attack 포트스매시는 시간측정 공격(Timing attack, 타이밍 공격)이라는 부채널 공격(Side-channel attack)의 일종이다. 시간측정 공격은 어떤 명령이 처리되는 시간을 측정하고, 이를 분석해 입력한 데이터를 알아내는 기법이다. 포트스매시 공격술을 고안한 연구팀은, 하이퍼 스레딩의 취약점과 시간측정 공격을 통해, 다른 스레드에서 실행중인 OpenSSL의 개인 키를 알아내는 데 성공했다. 이들은 이 공격술이 인텔의 스카이레이크와 카비레이크 CPU에서 작동함을 확인했다. 하지만 AMD의 라이젠을 비롯해 하이퍼스레딩을 지원하는 CPU에서 두루 통할 것으로 예상했다. OpenSSL은 이에 대해 패치한 1.1.0i 버전과 1.1.1 버전을 내놓았다. 그러나 연구팀에 따르면 이 공격술은 특정 소프트웨어에만 작동하는 것은 아니다. 다른 프로그램들도 표적이 될 수 있다는 것이다. TLBleed가 원조 하이퍼스레딩의 취약점과 이를 이용한 시간측정 공격의 가능성은 이미 6월에 TLBleed라는 이름으로 알려졌다. 이로 인해 OpenBSD 운영팀은 하이퍼스레딩 지원을 중단했다. 이런 공격에 대한 대응책은 현재로선 하이퍼스레딩 기능을 끄는 수밖에 없다. BIOS 설정에서 끌 수 있는데, 기종에 따라선 이를 끄는 기능이 없는 경우도 있다. 참고 자료 N...

블리딩비트(BleedingBit), 블루투스 LE 해킹 취약점

TI의 Bluetooth LE 칩의 취약점 TI(Texas Instruments)의 Bluetooth Low Energy(BLE, 저전력 블루투스) 칩에서 2가지 보안 취약점이 발견됐다. 2017년에 블루본(Blueborne) 취약점을 발견한 아미스(Armis) 사에서 발견해서 블리딩비트(BleedingBit)라고 이름 붙였다. 블루본과 마찬가지로 블루투스가 켜져 있기만 하면 되고, 다른 조건은 필요치 않다. 블루본은 블루투스 표준 자체의 취약점으로 전체 블루투스 기기에 영향을 미쳤지만, 블리딩비트는 TI의 특정 칩을 사용한 제품에 한정된다. CVE-2018-16986: RCE 취약점 취약한 기기에 특별하게 가공된 패킷을 보내 메모리에 대기시킨다. 이 패킷에는 악성코드가 포함돼 있다. 그 후 통상적인 처리 범위를 넘는 트래픽을 보내 버퍼 오버플로우를 일으킨다. 이 틈에 먼저 보낸 임의의 코드(악성코드)를 실행한다. 해커는 기기를 완전히 장악하고, 전체 네트워크에 침투할 수 있는 발판을 마련하게 된다. 이 취약점은 TI의 CC2640, CC2650 칩에 존재하고, 이를 채용한 Cisco, Meraki의 AP(Access Point, 무선 공유기, Wireless Router)에서 확인됐다. 모델명은 다음과 같다. Cisco 1540 Aironet Series Outdoor Access Points Cisco 1800i Aironet Access Points Cisco 1810 Aironet Access Points Cisco 1815i Aironet Access Points Cisco 1815m Aironet Access Points Cisco 1815w Aironet Access Points Cisco 4800 Aironet Access Points Meraki MR30H AP Meraki MR33 AP Meraki MR42E AP Meraki MR53E AP Meraki MR74 CVE-2018-7080: 백도어 ...