SomeNotes247

스테가노그래피에 대한 오해 트위터에 포스팅된 이미지, 일명 '짤'을 통해 해커의 명령을 전달받는 악성코드가 발견됐다. 트렌드 마이크로에서 발견했으며, TROJAN.MSIL.BERBOMTHUM.AA라고 이름 붙였다. 시스템의 각종 정보를 빼돌리는 트로이 목마인데, 해커의 지시를 받는 경로가 특이하다. 대부분 C2 서버를 통해 해커의 명령을 받는데, 네트워크를 감시하는 보안 소프트웨어에게 수상한 IP로 탐지될 수가 있다. 따라서 최근에는 이메일, 클라우드 같은 합법적인 서비스를 이용해 명령을 전달하는 수법이 늘어나고 있다. 이번 악성코드의 경우는 트위터 계정을 이용한 것이다. 해커가 악성 명령을 삽입한 이미지 파일을 만들어 자신의 트위터 계정에 게시했다. 이처럼 다른 파일에 비밀스런 내용을 첨부하는 것을 steganography라고 한다. 악성코드는 해커의 트위터에서 그림 파일을 찾아, 그 안에 숨겨진 명령을 추출해서 실행한다. 여기서 착각하기 쉬운 점은, 어떤 사람이 해커의 트위터에 있는 그림을 보거나 다운로드했다고 해서 악성코드에 감염되는 것이 아니라는 점이다. 스테가노그래피로 숨겨진 내용물은 적당한 방법으로 추출돼야 한다. 저절로 실행되는 것이 아니다. 이미 다른 경로로 해당 악성코드에 감염되지 않았다면 아무 일도 일어나지 않는다. exploit과는구별해야 물론 인터넷 상의 그림 파일이 모두 안전하다는 말은 아니다. 그림 파일로 위장한 실행 파일일 수도 있고, 취약점을 이용하기 위해 특별하게 조작된 exploit code일 수도 있다. MS 워드 문서나 HWP의 취약점을 이용한 악성 문서가 있는 것처럼, 사진 뷰어나 동영상 플레이어의 취약점을 악용하는 악성 미디어 파일도 존재한다. 이런 것들은 익스플로잇 코드이지 steganography와는 전혀 다른 것이다. 관련 자료 파일 확장명 위장한 악성코드 참고 자료 트위터에 돌아다니는 ‘짤’, 악성 코드 있을 수 있다 New Malware Takes C

안드로이드 스마트폰에서 페이팔 앱에 로그인할 때, 해커의 계좌로 송금을 하는 악성 앱이 발견됐다. 'Optimization Android'라는 앱으로 배터리 최적화 앱으로 위장했다. 구글 플레이가 아닌 제3자(third-party) 스토어에서 유포되고 있다. 접근성(accessibility) 기능 이용 페이팔 앱을 공격할 때는 안드로이드의 접근성 권한을 요구한다. 접근성 설정은 원래 장애가 있는 사람의 편의를 위한 것이지만, 보통 사람이 써도 편리한 기능들이 있다. 특성상 악성코드에 많이 이용되기도 한다. 이 악성 앱은 기능상 필요하다며 'observe your actions'와 'retrieve window content'라는 접근성 권한을 요청한다. 이를 통해 사용자가 특정 앱을 사용하는 것과 앱에 표시되는 내용을 감시할 수 있다. 사용자가 페이팔 앱에 로그인할 때마다 해커의 계좌로 무단 송금을 한다. 페이팔 계정에 충분한 잔고가 있거나 연결된 결제 수단이 있는 경우, 이 과정은 5초 정도밖에 걸리지 않는다. 워낙 순식간이라 알아차리거나 막기 어렵다. 긴급하게 계정을 검증하라는 등의 가짜 알림으로 로그인을 유도하기도 한다. 피해자가 로그인한 후에 공격이 일어나기 때문에 2단계 인증도 아무 소용이 없다. 로그인 자체는 피해자에 의해 적법하게 이뤄지기 때문이다. 페이팔은 전화번호나 이메일 주소로 송금을 하는데, 로그인만 하면 거래 시엔 별도의 인증 절차가 없다. 매 거래 시마다 결제비밀번호 등을 요구하는 우리 나라의 간편결제 서비스보다 취약하다. 그래서 이런 악성코드의 공격이 가능한 것이다. 오버레이 공격(overlay attack) 이 악성 앱은 페이팔 외에도 많은 앱들의 정보를 탈취하는 기능도 한다. 이때는 오버레이 공격을 하는데, 정상 앱 위에 가짜 화면을 띄워서 입력 정보를 가로채는 것이다. '다른 앱 위에 그리기' 권한이 필요하다. 표적이 된 앱은 은행 앱들과

명의도용 사건 잇따라 최근 티몬페이에서 사용자 모르게 문화상품권을 구매하는 사건이 잇따라 발생해, 서비스가 일시적으로 중단되기도 했다. 시스템 해킹은 아니고, 사용자의 로그인 정보를 도용한 것으로 추정됐다. 문화상품권은 별도의 배송이 필요치 않기 때문에 부정결제에 많이 이용된다. 보안 인증 체계의 취약점 티몬페이를 비롯해 대부분 간편결제 수단은 결제시 로그인 암호와는 별도의 결제비밀번호를 요구한다. 로그인 정보는 많은 정보유출 사고로 인해 암시장에서 팔리는 것들이 많다. 게다가 여러 사이트에서 동일한 로그인 정보를 사용하는 사람들이 여전히 많다. 따라서 결제비밀번호가 가장 중요한 보안 수단이다. 범죄자가 타인의 로그인 정보를 알면 개인정보 자체를 수정할 가능성이 있다. 따라서 결제비밀번호를 비롯해 중요한 정보를 수정하려면 로그인 정보 외에 추가로 본인 인증을 요구하는 것이 일반적이다. 본인 명의의 휴대폰으로 인증하는 것이 대표적이다. 그러나 티몬의 경우 별도 인증 없이 이름과 전화번호를 바꿀 수 있다. 즉 로그인 정보만 알면 제3자가 자신의 휴대폰(이 역시 대포폰이겠지)을 인증 수단으로 만들 수 있는 것이다. 이를 통해 결제비밀번호를 바꿀 수 있음은 물론이다. 간편결제도 신중한 선택이 필요 반면 지마켓, 옥션, 11번가에서는 이름과 전화번호를 바꾸려면 기존 이름의 전화번호로 인증을 해야 한다. 쿠팡과 위메프에서는 아무 전화번호로나 인증을 수행하여 기존 전화번호를 바꿀 수 있지만, 이름을 바꿀 때는 기존 이름의 전화번호로 인증을 해야 한다. 간편결제도 아무거나 이용할 것이 아니라 업체의 역량을 고려해야겠다. 참고 자료 티몬페이 보안 허점의 핵심은 ‘이름 수정’…지마켓·쿠팡 등은 본인인증 필요  

Facebook의 버그로 사용자가 공개하지 않은 사진이 제3자(third-party) 앱에 노출됐다. 이 버그는 9.13~25일 동안 있다가 해결됐다. 피해자는 680만 명 정도이며, 개별 통보되고 있다. 이는 사진 공유 관련 API의 버그였다. 원래 사용자가 어떤 앱에 사진에 대한 접근을 허락하면, 타임라인에 공유된 사진에만 접근이 가능하다. 그러나 Marketplace나 Facebook stories 등 다른 경로로 공유된 사진까지 접근이 허용된 것이다. 또한 페이스북에 업로드는 했지만 아직 포스트하지는 않은 사진과 포스트 중인 사진도 노출됐다. 876 개발자의 1500여 개 앱이 잠재적으로 비공개 사진에 접근할 수 있었다. 페이스북은 버그로 개발자에게 저장된 사진을 삭제하기 위해 노력 중이라고 밝혔다. 올해 페이스북은 참으로 많은 사고를 쳤다. 우려되기도 하지만 매번 투명하게 공개하는 모습은 바람직하다고 생각한다. 사람 하는 일엔 실수가 따르기 마련이고, 앞으로도 페이스북이든 다른 SNS든 해킹이나 버그 사고는 계속될 것이다. 사용자로서도 SNS에 저장하고 공유하는 내용을 적당히 조절할 필요가 있다. 참고 자료 New Facebook Bug Exposed 6.8 Million Users Photos to Third-Party Apps  

화면 고정(앱 고정) 다른 사람에게 잠시 스마트폰을 빌려줄 때가 있다. 이때 다른 기능을 사용하지 못하도록 하나의 앱만 실행해서 고정시킬 수가 있다. 예를 들어 친구가 전화 한통만 쓰지고 한다거나 지난 여행에서 같이 찍은 사진 좀 보자고 한다. 거절하기는 어렵고 민감한 자료는 많아 찜찜하다. 이때 전화나 갤러리를 실행한 후 화면을 고정시켜서 빌려줄 수 있다. 고정을 해제하면 잠금화면이 나오게 할 수 있으므로 다른 것을 볼까봐 걱정할 필요가 없다. 화면 고정을 사용하려면 먼저 설정에서 이 기능을 켜야 한다. 안드로이드 6에서는 [설정/보안/화면 고정] 에 있다. 이때 '화면 고정 해제 시 잠금화면으로 이동' 옵션은 반드시 체크해야 한다. 이를 설정하지 않으면 아무 의미가 없다. 이제 전화 앱만을 실행해서 고정해 보자. 전화 앱 실행 후 옵션 버튼(□)을 누르면 다음과 같다. 표시된 압정 버튼은 목록 고정으로, 최근 실행한 앱 목록에 고정해서 쉽게 다시 열 수 있도록 하는 것이다. 화면 고정과는 다른 것이다. 이 화면을 살짝 위로 밀어 올리면 다음과 같이 된다. 표시된 압정 버튼이 화면 고정 버튼이다. 이걸 클릭하면 전화 앱으로 화면이 고정되어 다른 화면으로 전환할 수 없다. 고정을 해제하려면 뒤로가기 버튼(◁)과 옵션 버튼(□)을 동시에 길게 누르면 된다. 고정 해제 자체는 쉬우므로 '화면 고정 해제 시 잠금화면으로 이동' 옵션을 설정해야 프라이버시 보호 효과가 있다. 화면이 고정되면 전화벨이 울리지 않고 기타 다른 알림도 표시되지 않는다. 참고로 전화, 주소록, 통화 기록은 아이콘은 따로 있어도 실제로는 하나의 앱이므로, 화면 고정 상태에서도 서로 간에 전환할 수 있다. 반면, 갤러리에 있는 카메라 아이콘은 별개의 카메라 앱을 호출하는 것이므로, 화면 고정 상태에서는 작동하지 않는다. Android P의 Lockdown 최신 안드로이드 Pie에 추가된 기능이다. 지문, 얼굴, 음성 등 생

포인터 정확도 향상 마우스의 민감도는 마우스 자체의 성능에 따라 다르기도 하지만, 놓고 사용중인 바닥의 재질에 따라 달라지기도 한다. 매끈한 책상에서는 너무 빠르게 움직이고, 조금만 움직여도 포인터가 흔들려 작은 대상을 클릭하기 어려울 수 있다. 반면에 광택이 있는 테이블에서는 너무 느리게 움직일 수 있다. 이런 경우에는 마우스 포인터의 속도나 정확도를 조절하면 쾌적하게 사용할 수 있다. 속도는 말 그대로 포인터가 움직이는 빠르기의 정도다. 너무 빠르다 싶으면 조금 느리게 해 주면 된다. 광택 면에서 느리게 움직이는 경우는 빛의 반사로 인해 광마우스의 센서가 제 성능을 다하지 못하기 때문이다. 속도를 올려줘도 해결이 안되면 마우스 패드를 사용해야 한다. 정확도 향상 옵션은 가속도를 조절하는 것이다. 사용자가 마우스를 빠르게 움직일 때는 더 빠르게 해 준다. 천천히 움직일 때는 속도를 더 늦춰서 흔들림을 줄여준다. 정확도 향상은 기본적으로 켜져 있지만, 다른 프로그램에 의해 꺼지는 경우도 있다. 따라서 미끈한 바닥면에서 마우스 움직임이 너무 빠르고 작은 대상을 클릭하기 어렵다면, 이 옵션이 잘 켜져 있는지 확인해 본다. 정확도 향상은 대부분의 경우 켜 놓는 것이 좋지만, 개발자나 게이머는 끄는 경우도 많다. 인위적인 가속도 조절이 방해가 될 수도 있기 때문이다. Windows 10에서 마우스 설정 메뉴는 [설정/장치/마우스/추가 마우스 옵션]에 있다. 작업 표시줄에서 '마우스 포인터 표시'를 검색해도 된다.

동영상 인코더, 컨버터 동영상 변환기는 video encoder, converter라고도 한다. 파일 형식을 변환하거나 비디오 크기(해상도)를 조절하거나 너무 큰 파일 크기를 작게 만드는 데 쓰인다. 웹에 업로드할 때는 보통 크기 제한이 따른다. 비디오 인코딩 설정 동영상 파일을 변환할 때는 Frame rate와 Bit rate만 신경쓰면 된다. 프레임 레이트는 1초에 표시되는 화면의 수로 fps(frames per second)로 표시된다. 이것이 작으면 움직임이 부드럽지 못하고 끊겨 보인다. 30 fps가 적당하다. 요즘 60 fps의 고화질 영상도 많이 쓰이지만, 30 fps면 사람 눈으로 거의 구별할 수 없다. 비트 레이트는 화질에 많은 영향을 미치고, 파일 크기에도 큰 차이가 난다. 이것이 클수록 빠른 움직임에도 선명한 화질을 나타낸다. 적으면 움직임이 빠른 부분에서 영상이 뭉개진다. bps(bits per second)로 표시한다. 2300kbps는 저용량에 볼만한 화질, 9000kbps는 대용량 고화질을 구현한다. 4500kbps는 표준 화질로 이 정도면 적당하다고 생각한다. 유튜브의 3분 짜리 뮤직비디오를 1280*720/30fps로 변환할 때 파일 크기는, 2300kbps로 하면 50MB 정도 되고 9000kbps로 하면 200MB 정도 된다. Video compressor & Trimmer 간단하지만 유용한 변환기이다. 초기 화면이다. Trim(동영상 자르기) 기능도 있지만, 자르기는 윈도우 10에 기본 내장된 사진 앱에서도 할 수 있다. Default settings로 변환하기이다. 파일 형식과 해상도만 선택하면, 비트 레이트와 프레임 레이트는 해상도에 따라 적당한 값을 자동으로 결정한다. Custom settings로 변환하는 모습이다. 출력 형식은 mp4와 wmv만 지원한다. H.264 코덱의 mp4 파일은 모든 기기에서 지원하고 저사양 기기에서도 원활하게 재생

중국에서 10만 대 이상의 PC가 감염되는 대규모 ransomware 사건이 발생했다. 중국 사용자만을 노린 이 악성코드는 파일을 암호화한 후 복구해 주는 몸값으로 위안화를 요구한다. 또한 알리페이, 바이두 같은 인기 사이트의 로그인 정보를 탈취한다. 공급망 공격 빠른 시간 내에 대규모 감염은 supply-chain attack을 통해 가능했다. 많은 개발자들이 사용하는 EasyLanguage라는 개발 도구에 악성코드를 삽입해서, 이를 이용해 만들어진 모든 소프트웨어가 랜섬웨어에 감염된 것이다. 그리고 텐센트의 인증서를 훔쳐 디지털 서명을 해서 사용자와 보안 소프트웨어를 속였다. 이처럼 공격 방식은 좋았음에도 랜섬웨어 자체는 엉성했다. 취약한 XOR 암호화를 사용했고, 암호해독키를 피해자의 컴퓨터 특정 위치에 저장한 것이다. 그래서 Velvet security라는 현지 보안회사가 복구 프로그램을 만들 수 있었다. 몸값 지불은 금물 랜섬웨어에 감염됐을 때 해커의 요구에 응해 대가를 지불하는 것은 삼가야겠다. 일단 돈을 준다고 해서 약속대로 파일을 복구해 준다는 보장이 없다. 그리고 이제는 법적인 문제가 될 수도 있다. 미국은 사이버 범죄자를 제재 대상으로 올리기도 한다. 제재 대상과 거래하면 2차 제재 대상이 된다. 따라서 랜섬웨어 제작자가 미국의 제재 대상이 되면, 몸값을 지불한 사람도 범죄자가 되는 것이다. 물론 개인의 소액 지불이 실제 문제가 되진 않겠지만 이론적으로 그렇다. 랜섬웨어 복구업체는 실제 법적 문제에 휘말릴 수도 있다. 이런 업체들은 대부분 암호를 해독하는 기술이 있는 것이 아니라, 해커와 피해자 사이에서 흥정을 하는 것이기 때문이다. 기다리는 것도 요령 랜섬웨어에 감염됐을 때 PC 사용을 중지하고 복구 프로그램을 기다려 보는 것도 한 방법이다. 복구 프로그램이 꼭 나온다는 보장은 없지만, 보안회사에서 개발하여 무료로 배포하는 경우도 적지 않다. 관련 자료 랜섬웨어 대응책 알서포트, 해킹으로 코드 서

인터넷에 직접 연결된 프린터를 해킹해서 임의의 문서를 인쇄하는 사건이 가끔 일어난다. 며칠 전에도 PewDiePie라는 유튜브 채널을 광고하려고 5만 대가 넘는 프린터를 해킹한 일이 있었다. 이런 프린터 해킹을 이용한 스팸 서비스마저 등장했다. Printeradvertising.com이라는 회사가 그것인데, 이들은 모든 프린터를 이용해 광고를 할 수 있다고 주장하고 있다. 물론 과장된 것이지만 실제로 활발한 해킹 시도를 하고 있는 것이 포착됐다. Grey Noise라는 보안회사의 허니팟(honeypot, 악성 코드나 트래픽을 탐지하기 위한 함정) 60개 이상에서 불법적인 인쇄 시도가 탐지된 것이다. 본격 영업을 위한 준비 단계인 것으로 추정됐다. 프린터 해킹은 아직까지는 심각한 피해를 입힌 적은 없다. 그러나 이론적으로 프린터에 임시 저장된 문서 탈취는 물론 전체 네트워크에 침투하는 교두보가 될 수 있음이 입증된 상태다. 이제 돈벌이 수단으로 인식되면 더 활발해질 것이다 프린터 해킹에 대비하기 위해서는 쇼단(Shodan)에 검색되지 않는 것이 가장 중요하다. 이것은 라우터(공유기)를 통해 연결해서 사설IP로 이용하면 된다. 라우터는 간이 방화벽 역할도 한다. 관련 자료 프린터 해킹 대응책 참고 자료 Printeradvertising.com Spam Service Claims It Can Print Anywhere  

애플 앱 스토어에서 악성 건강관리 앱이 발견됐다. iOS의 Touch ID를 악용한 것으로, 앱 사용을 위해서는 지문 인증이 필요하다며 인식 창을 띄운다. 그러나 지문 인식 완료 후 나오는 화면은 App Store 결제 창으로, 저장된 지불 수단에서 99~119 달러가 자동으로 결제된다. iPhone X는 Double Click to Pay라는 기능으로 확인 절차를 거치지만, 이전 아이폰에서는 달리 확인 절차가 없다. 이런 방식의 사기 앱으로 Fitness Balance와 Calories Tracker라는 앱이 적발돼 삭제됐다. 피해자는 애플 고객지원을 통해 환불 받을 수 있다. 피트니스 앱은 다소 민감한 사용자의 건강 정보를 다루므로, 데이터 접근을 위해 지문 인증을 요구하는 것이 그럴 듯하게 보일 수도 있다. 또한 이들은 가짜 리뷰를 열심히 올려 평점도 좋았다. Touch ID를 악용한 사기를 막기 위해서는 iPhone X 이후의 사용자는 'Double Click to Pay' 옵션을 켜야 한다. 구 기종 사용자라면 'Use Touch ID for iTunes and App Store' 옵션을 꺼야 한다. 참고 자료 Scam iOS Fitness Apps Steal Money Through Apple Touch ID  

PRET(Printer Exploitation Toolkit) 사용 인터넷에 연결된 프린터 5만 대 이상이 해킹 당했다. 유튜브에서 구독자 수 1위를 다투는 채널간의 경쟁 와중에 발생했다. PewDiePie와 T-Series라는 채널이 경쟁 중인데, PewDiePie의 광팬으로 보이는 해커가 프린터를 해킹하여 PewDiePie에 가입하라는 문서를 출력하게 만들었다. 이번 일은 애교에 가깝지만, 프린터 해킹을 통해 문서를 탈취하는 것은 물론 전체 네트워크에 침투할 발판을 마련하는 것도 가능하다. 해커는 먼저 Shodan 검색을 통해 9100 포트가 열린 프린터를 찾아냈다. 그리고 PRET를 이용했다. PRET는 프린터의 취약점을 이용해 인쇄 작업을 가로채거나 조작하는 해킹 도구이다. 프린터, 팩스, 복합기 같은 기기도 해킹 당할 수 있다. 따라서 쇼단에 검색되지 않도록 공유기를 통해 연결해 사설IP로 사용해야 한다. 그리고 설정이 함부로 변경되지 않도록 기기의 관리자 페이지를 강력한 암호로 보호해야 한다. 취약점 보고와 업데이트가 있는지 주기적으로 확인하는 것도 중요하다. 관련 자료 프린터 해킹 대응책 팩스 번호 하나로 전체 네트워크를 해킹하다 참고 자료 Someone Hacked 50,000 Printers to Promote PewDiePie YouTube Channel  

XSS(cross-site script) 해킹 취약점 중국의 드론 제조사인 DJI의 웹사이트와 클라우드 서비스에 계정 탈취가 가능한 취약점이 있었다. 취약점은 2018.3월에 보안회사 Check Point에 의해 발견돼 통보됐고, DJI는 9월에 조치를 완료했다. 체크포인트의 보고서는 11.8일 발표됐다. DJI의 사이트는 3개의 서브 도메인으로 구성되어 있다. 계정, 스토어, 게시판을 관리하는 웹 플랫폼, 모바일 앱, 드론 운영을 관리하는 FlightHub가 그것이다. 한번의 로그인으로 이 모두에 접근할 수 있다. 즉 어느 곳에서든 로그인하면 세션 쿠키가 생성되고, 이 쿠키만 있으면 모든 사이트에서 인증되어 데이터에 접근할 수 있다. 접근할 수 있는 데이터는 광범위하고 민감하다. 기본적인 개인 정보는 물론 비행 기록, 클라우드에 동기화되어 저장된 촬영물, 실시간 촬영물 등이 모두 포함된다. 취약점은 포럼 게시물을 통해 XSS(cross-site script) 공격이 가능하다는 점이다. 크로스 사이트 스크립트는 사이트 간에 정보를 교환하는 스크립트로, 입력 필드나 주소창, 링크를 통해 입력되어 쿠키를 탈취하거나 다른 악성 행위를 수행한다. XSS attack은 오래된 수법으로 막기도 쉽다. 사이트 관리의 부주의로 볼 수 있다. DJI의 쿠키는 XSS로 다른 사람에게 전송될 수 있고, 이 악성 스크립트는 DJI의 포럼 게시물에 링크로 포함시킬 수 있었다. 따라서 DJI 사이트에 로그인된 상태로 게시판의 악성 링크를 클릭할 경우 세션 쿠키가 탈취되는 것이다. DJI는 이 취약점을 고위험-낮은 가능성으로 평가했다. 로그인한 상태에서 악성 링크를 클릭해야 하기 때문이란 것이다. 어이없는 설명이다. 그게 뭐 드문 경우라고. 또한 실제 악용된 증거는 발견하지 못했다고 밝혔다. DJI는 미국에서 인프라 시설에 대한 민감한 정보를 중국으로 유출했다는 의혹을 받고 있기도 하다. 참고 자료 Here's How Hackers Could H