SomeNotes247

무난하지만 느리다 안드로이드 MTS(증권거래 앱)는 이것저것 참 많이 써봤다. 작년까지는 NH투자증권의 QV를 주거래 앱으로 사용했는데, 올해 중반부터 한투증권의 '한국투자 주식'으로 바꿨다. 수수료 무료 이벤트 때에 카카오뱅크 앱을 통해 비대면 계좌개설을 했다. 비대면 계좌개설은 정말 간단했다. 비슷한 시기에 미래에셋대우 계좌도 비대면 방식으로 개설했는데, 복잡한 과정으로 짜증이 났다. 심지어 투자성향 조사도 해야 했다. 이런 건 나중에 해도 될텐데. 카카오 계열의 간단함은 큰 장점이다. 앱 자체는 무난하다. 크게 뛰어난 점은 없지만, 딱히 문제도 없다. 구글 플레이의 평점이라면 4.3점 주겠다. MTS의 기능은 다 거기서 거기다. 체감적으로 느낄 수 있는 부분은, 같은 기능이라도 한번이라도 덜 클릭하여 이용할 수 있는 편리함과 반응 속도 정도이다. 가장 큰 감점 요인은 느린 반응 속도다. 전반적으로 반응이 느리고, 특히 초기 로딩과 로그인이 좀 답답하다. 사용에 지장을 줄 정도는 아니다. NH QV는 반응이 정말 번개같았기 때문에 아쉬움이 크게 느껴졌다. 편리성 면에서는 뉴스 쪽이 불만이다. 그림이 있는 기사에서는 자동 줄바꿈이 되지 않아서, 좌우 스크롤까지 해서 읽어야 한다. 기사 자체는 최대한 축소하고 글꼴만 키워야 읽기 편하다. 매번 이짓을 해야 하니 난감하다. '서랍 종목' 기능은 칭찬할 만하다. 현재가나 차트 화면에서, 관심 종목에 쉽게 접근할 수 있다. NH QV에서는, 화면을 옆으로 밀어서 관심 종목 내의 항목을 순서대로 넘겨볼 수 있었다. 각각 장단점이 있기 때문에, 결국 사용자의 습관에 달린 문제다. 안드로이드의 ActiveX 한국투자 주식 앱을 설치하면 보안 앱과 생체인증 앱이 함께 설치된다. 안드로이드판 액티브엑스라고나 할까. 이들은 사용자가 임의로 실행하는 앱이 아니기 때문에, 앱 런처에는 보이지 않는다. 주식 앱을 삭제해도 저절로 지워지지 않는다. 설정의 앱 목록

오늘 한 언론 매체에, 이메일을 통해 윈도우 10 업데이트를 가장한 악성코드가 퍼지고 있으니, 열지 말고 바로 삭제하라는 기사가 떴다. 핵심은 이 부분이다. 그러나 잘못된 점이 있다. "이 이메일은 첨부 파일을 실행하지 않고 단지 메일 내용을 읽어보는 것만으로 PC가 랜섬웨어에 감염될 수 있다. 메일 안에 첨부한 'jpg' 형태 그림 파일에 악성코드가 숨어 있기 때문이다. 그림이 표시되는 순간 PC가 깃허브(GitHub)라는 사이트에서 자동으로 '사이보그(Cyborg)'라는 랜섬웨어를 내려받아 실행한다." (참1) 이메일을 열어 보는 것만으로 해킹당하고 악성코드가 실행되는 것은 물론 가능하다. 이메일에는 자바 스크립트 같은 실행 가능한 내용이 포함될 수 있기 때문이다. 또한 이메일 클라이언트 앱에 취약점이 있을 경우, 특별하게 조작된 메시지를 통해 이를 악용할 수도 있다. 그런데 이번 사이보그 랜섬웨어 유포 작전은 그런 것이 아니었다. .exe 실행파일인 악성코드를 그냥 .jpg 그림파일로 이름을 바꾼 것이다. 이것은 실행되기 어렵다. 형식만 그림일 뿐 사실은 실행파일이기 때문에, 그림이 표시되지 않는다. 사용자가 속아서 더블클릭하더라도, 윈도우는 이를 그림인 줄 알고 그림 앱에서 열기 때문에, 코드가 실행되지 않는다. 이것을 실행하려면 명령 프롬프트 창에서 직접 실행하거나, 바로가기(.lnk) 파일을 통해 이 과정을 대신하는 방법 밖에 없다(관1). 바로가기를 사용하는 것이 가장 속기 쉬운 방법일 것이다. 관련 자료 파일 확장명 위장한 악성코드 참고 자료 "윈도10 업데이트 설치하세요" 이메일, 절대 열어보지 말고 바로 삭제하세요 Fake Windows Update Spam Leads to Cyborg Ransomware and Its Builder Attacker Mistake Botches Cyborg Ransomware Campaign

취약점 아닌 악성코드 문제 2019.11.25일 CNBC에 따르면, 일부 앱을 Twitter나 Facebook 계정으로 로그인해 사용한 경우, 제3자에게 이들 계정 정보가 유출됐을 가능성이 있다고 한다. 문제의 앱에는 Giant Square, Photofy 등이 포함됐다. 문제의 앱에 트위터나 페이스북 계정으로 로그인(Login with Twitter, Login with Facebook)하는 사용자가 해당된다. 이들 앱에는 OneAudience, Mobiburn이 배포한 개발 키트(SDK)가 포함됐는데, 이 SDK가 악성코드를 포함하고 있었다. OneAudience와 Mobiburn은 개인 정보를 팔아 돈을 버는 회사다. 이들은 자사의 SDK를 채택하는 개발자에게 돈을 주고, 이 SDK를 통해 수집한 개인 정보를 광고 회사 등에 판매한다. 트위터와 페이스북은 구글과 애플에 이 문제를 알려, 악성 SDK를 포함한 앱들을 차단하도록 했다. 탈취 내용은 연결된 앱의 권한에 달려 연결된 계정으로 어떤 앱에 로그인하는 경우, 이 앱은 사용자가 허락한 범위 내에서 그 계정의 정보에 접근할 수 있다. 그러나 원칙적으로 그 앱에 포함된 광고 등 제3자 SDK는 연결된 계정의 정보에 접근할 수 없다(SDK 격리, isolation between SDKs within an application). 문제된 앱들은 이런 SDK 격리가 제대로 되지 않아, 제3자(이 사건의 경우 OneAudience와 Mobiburn)가 연결된 계정에 권한 없이 접근할 수 있었던 것이다. 한 앱에 여러 개의 SDK를 사용하는 것은 여러 가지 문제를 일으킨다(관2). 따라서 노출된 계정 정보의 범위는 사용자가 문제 앱에 허용한 정도에 따라 다르다. 대체로 user name, 이메일 주소, 사진, 트윗 등이 포함됐다. 트위터의 경우에는 access token도 포함됐다고 한다. 아마 문제 앱에서 바로 트윗을 작성할 수 있도록 하기 위해 이를 허용했을 것이다. 이 경우는

링크 클릭하지 말고 직접 접속 근래 "[Google 계정 보안 경고] 비밀번호가 유출됨"라고 하는 피싱(phishing) 문자가 많이 발견되고 있다. 당황한 나머지 클릭하지 않도록 조심하자. 이제는 안드로이드 스마트폰에서도 원격코드 실행 취약점이 많이 악용되고 있어서, 클릭만으로도 해킹당할 수 있다(관1). 일단 링크 주소부터 수상하다. hoops://google.seccerv.com/signinoptions로 돼 있는데, 이것은 google 도메인이 아니라 seccerv.com 도메인이다. 만약 hoops://seccerv.google.com으로 돼 있었다면 좀더 그럴듯 했을 것이다(관2). 보안 경고와 관련된 이메일이나 문자 메시지를 받았다면, 링크를 클릭하지 말고, 직접 구글 사이트에 접속해서 보안 점검을 해야 한다. 구글 사이트에서 [구글 계정 관리]를 클릭하면, 보안과 개인정보 보호를 비롯한 민감한 설정을 조정할 수 있다. [보안] 탭에서 [계정 보안 강화]를 시작한다. 뭔가 문제가 있으면, 이 페이지에 경고가 나타난다. 계정과 관련해 수상한 행동이 있었는지는, [최근 보안 관련 활동]을 검토하면 알 수 있다. 만약 수상한 행동이 발견되면, '알 수 없는 이벤트가 있나요?'를 클릭해서, 암호를 변경하고 기존 로그인은 모두 무효로 처리해서 계정을 보호할 수 있다. 관련 자료 안드로이드에 대한 드라이브 바이 다운로드 해킹 늘어난다 클라우드를 이용한 피싱

TLSI SSL/TLS로 암호화된 https 통신은 통신 비밀 보호에 훌륭한 역할을 한다. 반면에 보안 소프트웨어와 장비도 그 내용을 볼 수 없으므로, 해커에 악용될 경우 기밀 데이터를 외부로 유출하거나 악성코드를 전파하는 수단이 될 수도 있다. 따라서 기업 등 조직은 암호화 통신을 감시할 필요성이 있다. 이때 이용되는 것이 TLSI(TLS Inspector)다. TLSI에는 보통 forward proxy가 이용된다. TLSI는 이처럼 필요성이 있긴 하지만, 사실상 중간자 공격(MITM attack, Man-In-The-Middle attack)이기 때문에, 프라이버시와 관련해 위법 논란이 생길 수 있다. 또한 잘못 운영될 경우, 해커나 내부인에 의한 악용 위험이 있다. 이에 대해 NSA는 2019.11.18일, TLSI의 위험성과 대응 방안을 자세히 설명한 권고문을 발표했다. Forward Proxy 포워드 프록시는 TLSI에서 핵심 역할을 한다. end-to-end 암호화 통신을 일단 해독해서 검사한 다음, 다시 암호화해서 전달한다. 예를 들어보자. 내가 TLSI 시스템을 갖춘 회사의 컴퓨터로 네이버에 접속한다고 하자. 원래는 나(A)-네이버(B)로 이어지는 https 종단간 암호화 통신이 이루어져야 한다. 그러나 TLSI 때문에 나(A)-프록시 서버(C)-네이버(B)로 연결돼, 종단간 암호화가 일단 깨진다. 프록시 서버에서 암호화를 해제하여 악성 트래픽이 있는지 검사한 후, 다시 암호화하여 전달한다. 이런 구성을 TLS chain이라고 한다. 이런 프록시 서버가 잘못 설정되거나 운영될 경우, 암호화가 해제된 민감한 내용이 엉뚱한 곳으로 전달될 수 있다. TLS Chain TLSI는 앞의 예처럼 하나의 TLS session을 깨뜨렸다가 다시 TLS chain으로 잇는다. 이제 A-C, C-B는 각각 별개의 TLS 세션으로 보안 강도가 다를 수 있다. TLS 규격에는 여러 버전, 암호화 수단 등이 있기 때문이다. 따라서 이 중

CVE-2019-2234 구글 픽셀 스마트폰의 카메라 앱이 다른 앱에 의해 악용되어, 사용자 몰래 사진과 동영상을 촬영할 수 있는 취약점이 발견됐다. 이는 2019.7월에 구글에 통보됐고, 구글은 그 달로 플레이 스토어를 통해 문제의 카메라 앱을 업데이트했다. 그리고 8월에 구글이 이 취약점을 더 조사한 결과, 다른 안드로이드 스마트폰들에도 해당되는 것을 확인하고, 각 제조사에 패치를 제공했다. 카메라 앱은 각 제조사들이 특화된 기능을 넣기 때문에, 제조사와 기종에 따라 많이 다르다. 어디까지가 영향권에 있는지 잘 모르겠다. 삼성 카메라 앱은 취약한 것으로 확인됐다. 카메라 접근 권한 필요 없다 안드로이드의 storage(저장 용량) 접근 권한은 전체 SD 카드의 내용을 읽고 쓸 수 있는 권한이다. 따라서 이를 가진 앱은 사진, 동영상 같은 미디어 파일에도 접근할 수 있다. 그런데 이 권한을 대부분의 앱들이 가지고 있다고 한다. 날씨나 음식 배달 같은, 저장소 접근 권한이 별로 필요치 않을 것 같은 앱들도 가지고 있다. 여기서 예로 든 앱이 특별히 문제가 있다는 것은 아니다. 과도한 권한은 언제나 지적되는 문제이고, 권한이 있다고 해서 반드시 실제로 악용하는 것은 아니다. 어쨌거나 이처럼 저장소 접근 권한이 있는 앱은 문서, 사진, 동영상 같은 민감한 자료에 접근할 수 있는 잠재적인 위험이 있다. 그런데 이번에 발견된 취약점은 여기에서 한 걸음 더 나아간 것이다. 기존 사진에 대한 접근은 물론, 아예 새로운 사진과 동영상을 몰래 찍을 수 있는 것이다. 사진과 동영상을 찍기 위해서는 별도로 카메라에 접근할 수 있는 권한을 얻어야 한다. 그런데 저장소 권한이 있는 앱은, 별도로 카메라 권한을 얻지 않고도, 취약한 카메라 앱을 제어해서 몰래 촬영을 할 수 있다는 것이 밝혀진 것이다. 이 취약점을 발견한 Checkmarx의 보고서에 따르면, 다음과 같이 악용될 수 있다. 폰이 잠겨 있는 상태에서도 사진과 동영상을

Juice Jacking 최근 LA 당국이 여행객들에게 공항 등 공공장소의 충전 키오스크에서 USB 케이블로 스마트폰을 충전할 경우, 데이터가 유출되거나 악성코드에 감염될 수 있다고 경고했다. 또한 키오스크처럼 커다란 장치가 아니더라도, 일반 충전기나 USB 허브 등 소형 기기에도 해킹 모듈을 장착한 시제품이 개발되기도 했다. USB 케이블은 전력과 데이터를 모두 전송할 수 있기 때문에 가능한 것이다. 이런 형태의 해킹 수법을 juice jacking이라고 한다. 이런 일이 실제로 있었는 지는 확실치 않다. 미국 동부 해안 지역에서 몇 건 있었다는 말도 있고, 아직 확실한 증거는 없다는 전문가도 있다. 그러나 주스 재킹이 황당한 가설만은 아니라는 데는 이견이 없다. 조심해서 나쁠 건 없다. 잠금 상태로 충전 주스 재킹을 피하려면 보조 배터리나 충전기를 휴대하고, 공용 혹은 타인의 장치를 사용하지 않는 것이 최선이다. 어쩔 수 없는 상황이라면, 스마트폰을 잠금 상태로 유지한 채 충전하는 것이 차선책이다. 최신 운영체제에서는 잠금 상태에서 데이터 연결을 허용하지 않는다. 안드로이드의 경우에는, 내 기억으로는 안드로이드 5 롤리팝 버전부터, USB 케이블 연결 시 데이터 연결을 허용하겠냐는 알림이 나오기 시작한 것 같다. 그러나 이런 방어 매카니즘에 대해선 항상 우회 방법이 나오기 마련이므로, 역시 내 장비만을 사용하는 것이 가장 안전하다. 참고 자료 What you need to know about juice jacking LA warns of ‘juice-jacking’ malware, but admits it has no cases

와이파이 암호 노출 2019.11.6일 발표된 BitDefender의 보고서에 따르면, Amazon의 Ring Video Doorbell Pro 제품에 홈 네트워크의 암호를 탈취할 수 있는 취약점이 있었다. 이 취약점은 6월에 아마존에 통보됐고, 아마존은 9월에 펌웨어를 자동으로 업데이트했다. 이 제품은 흔히 우리가 비디오폰이라고 부르는 것이다. 다만 와이파이로 홈 네트워크에 연결하여, 집 밖에서도 스마트폰 앱을 통해 방문자를 보고 이야기를 나눌 수 있는 IOT 기기이다. 문제는 2가지인데, 제품을 설정하는 과정에 있다. 먼저 기기에 접속하는 암호가 없어서, 아무나 기기에 연결할 수 있다. 다음으로 기기를 홈 네트워크에 연결하려면 와이파이 암호를 입력해야 하는데, 이때 암호화되지 않은 http 연결을 사용하여, 중간에서 누군가 엿볼 수 있다. 따라서 설정하는 동안에, 근처에 있는 해커는 맘대로 도어벨에 접속하여 중간자 공격을 통해, 사용자가 입력하는 와이파이 암호를 엿볼 수 있다. Deauthentication attack 취약점이 드러나는 국면은 설정할 때 뿐이다. 따라서 해커가 정확한 타이밍에 공격하지 않으면 안되기 때문에 실현 가능성은 거의 없다고 생각할 수 있다. 그러나 이 제품에 deauthentication packet을 계속해서 보내면, 기존 연결이 끊어지고 다시 인증을 요청하게 된다. 정당한 사용자는 제품에 오류가 발생한 것으로 생각하여 다시 설정을 해야 한다. 결국 해커는 원하는 시간에 공격을 할 수 있는 셈이다. 그저 제품의 통신 범위 내에 있기만 하면 언제라도 가능하다. 내부 네트워크 침입 와이파이 암호를 획득한 해커는 네트워크 내부에 침투할 수 있다. 방어막이 사라지는 것이다. 따라서 해커는 네트워크에 연결된 모든 기기에 접근하고, 중간자 공격을 통해 오가는 통신을 가로챌 수 있다. 그리고 대표적인 예로 다음과 같이 악용할 수 있다. NAS에 접근하여 사진, 동영상 등 데이터 탈취. 기기의 취약점 악용

CVE-2019-11090, CVE-2019-16863 TPM(Trusted Platform Module)은 기기의 보안을 강화하는 전용 칩으로, 보안 프로세서라고도 불린다. 모든 기기에 있는 것은 아니다. 원래는 별도의 칩으로 존재했는데, 인텔은 4세대 하스웰 이후로 CPU에 내장하기 시작했다. 이런 인텔의 TPM을 fTPM(firmware-based TPM)이라고 한다. TPM은 운영체제에서 최상위의 신뢰 수준으로 작동한다(serve as a root of trust). TPM은 암호화 키를 안전하게 저장하여 루트킷 등 악성코드로부터 보호하는 역할을 한다. TPM-Fail이라고 이름 붙여진 새로운 취약점은, 시간 측정을 이용한 부채널 공격(timing attack)에 의해 암호화 키를 추출할 수 있는 것이다. 인텔의 fTPM에서 발견된 취약점은 CVE-2019-11090으로, STMicroelectronics의 TPM 칩의 취약점은 CVE-2019-16863으로 등록됐다. 연구자들은 이 공격이 실용적이라고 주장하고 있다. fTPM에 대한 공격 테스트에서, 로컬에선 4~20분, 원격으로는 5시간만에 암호화 키를 탈취했다고 한다. 해커는 탈취한 암호화 키를 이용해 digital signature(디지털 사인, 전자 서명)을 위조할 수 있다. 그 결과는 인증 우회, 운영체제 변경 등으로 이어질 수 있다. 악성코드에 유명 기업의 전자 서명을 해서, 탐지를 회피하고 공급망 공격을 할 수도 있다. TPM은 PC뿐만 아니라 스마트폰, 임베디드 기기, IOT 기기 등에도 사용된다. 따라서 운영체제에 관계없이 취약한 TPM을 사용한 기기는 모두 영향권에 있다. 인텔은 펌웨어 업데이트로 취약점을 해결했고(참4), ST마이크로는 아예 새로운 칩을 내놨다(참3). 관련 자료 TPM 칩 해킹 취약점 참고 자료 TPM-FAIL Security Flaws Impact Modern Devices With Intel CPUs TPM-Fail

CVE-2019-11135 마이크로소프트는 2019.11월 정기 보안 업데이트를 통해 Windows kernel memory의 내용이 일반 user mode 앱에 노출될 수 있는 취약점을 패치했다. 그런데 이것은 사실 윈도우 자체의 취약점이 아니다. Intel CPU의 TSX 기능의 취약점을 보완하기 위한 것이다. TAA(TSX Asynchronous Abort) 이 취약점은 speculative execution을 이용하는 인텔 CPU가 TAA(TSX Asynchronous Abort) 상태일 때, local에서 앱을 실행할 수 있는 해커가 side-channel attack을 통해 윈도우 커널 메모리의 내용을 읽을 수 있는 것이다. 이는 2019.5월에 발표된 MDS 취약점(관1)의 연장선에 있으며, ZombieLoad 2라는 별명을 얻었다. 기존 MDS에 대한 보안 수단을 우회하며, 최신 10세대 CPU도 영향권에 있다. Windows update로 대응 마이크로소프트는 계속 발견되는 speculative execution(예측 실행)에 대한 side-channel attack(부채널 공격) 취약점을 윈도우 업데이트로 대응하고 있다. 인텔이 제공하는 microcode(펌웨어) 업데이트도 포함해서 제공하고 있다. 2018년 초 예측 실행 취약점의 원조격인 스펙터(Spectre)가 공개됐을 때는, 컴퓨팅 환경에 대재앙이 일어날 것 같은 분위기였다. 그리고 하드웨어적 결함이기 때문에, 소프트웨어적인 대응책은 별로 효과가 없을 것으로 우려되기도 했다. 그러나 아직까지 스펙터 류의 취약점이 실전에 악용된 증거는 발견되지 않고 있다. 부채널 공격의 실용성 문제일 수도 있지만, 효과적으로 대응이 이루어지고 있는 것으로 볼 수도 있다. 따라서 대부분의 경우 윈도우 업데이트만 잘 해도 큰 문제는 없을 것 같다. MS는 지금까지 발견된 예측 실행 취약점에 대한 종합적인 대응 가이드를 제공하고 있다(참3). 이 문서는 계속 업데이트되고 있으니

CVE-2019-10574 Android 스마트폰에는 보안 영역이란 것이 있다. 사용자가 설치한 앱이 사용하는 일반 영역과 격리되어, 민감한 정보들이 저장되고 처리되는 곳이다. 지문 같은 생체 정보, 암호화 키, 금융 정보 등이 보안 영역에 저장된다. 이런 구성을 TEE(Trusted Execution Environment)라고 한다. 보안 영역에는 Trusted app(신뢰된 앱)만 접근할 수 있으며, 사용자가 설치한 일반 앱은 직접 접근할 수 없다. 일반 앱이 지문 인식, 저장매체 암호 해제, 금융 거래 등을 위해 보안 영역에 저장된 정보에 접근하려면, 신뢰된 앱에 요청하여 정보를 얻는다. 안드로이드 스마트폰에 대부분 사용되는 ARM 계열의 CPU는, ARM이 원천 특허를 가진 TrustZone을 이용해 보안 영역을 구성한다. 이때 각 CPU 제조사는 트러스트존을 독자적인 방식으로 자사 CPU에 적용한다. 대세를 이루고 있는 Qualcomm CPU의 트러스트존은 QSEE(Qualcomm Secure Execution Environment)라고 부른다. 2019.11.14일 발표된 Check Point의 보고서에서는 QSEE에 접근해 정보를 탈취할 수 있는 방법을 찾아냈다. Qualcomm TrustZone의 취약점 보고서에서는 일반 영역을 Normal world, 보안 영역을 Secure world라고 표현했다. 그리고 신뢰된 앱을 trustlet이라고 했다. 이 연구에서는 CVE-2015-6639, CVE-2016-2431 등 퀄컴 트러스트존의 오래된 취약점도 이용됐다. 체크포인트가 사용한 수법은 먼저 신뢰된 앱을 일반 영역에서 실행하는 데서 출발한다. 일반 영역에서 신뢰된 앱을 변조하고, 변조 검증 절차를 무력화하여 보안 영역에서 실행시킨다. 악성코드가 보안 영역에서 실행되는 것이다. 연구는 구글 넥서스 6를 통해 이루어졌으며, 이후 LG, 모토로라, 삼성의 일부 기종에서도 성공했다. 이 취약점 CVE-2019-10574

CVE-2019-11931 2019.11.14일에 발표된 페이스북의 보안 권고문에 따르면, WhatsApp 앱에서 악의적인 mp4 동영상 파일을 이용해 기기를 작동불능 상태로 만들거나(DOS, Denial of Service), 임의의 코드를 실행할 수 있는(remote code execution) 취약점이 얼마 전 패치됐다. 안드로이드, iOS, Windows Phone, 기업용 버전 등 모두가 해당되므로 최신 버전으로 업데이트해야 한다. 해커는 표적의 전화번호만 알면 된다. 표적에게 왓츠앱을 통해 특별하게 조작된 mp4 파일을 보내고, 그가 열어보면 해킹 끝이다. 해커는 저장된 보안 메시지와 파일을 훔쳐갈 수 있고, 아예 백도어 같은 악성코드를 설치해 기기를 완전히 장악할 수도 있다. 자동 다운로드 해제 페이스북에 따르면, 이 취약점이 제로데이 상태로 악용된 증거는 없다고 한다. 그러나 근래 모르는 사람에게서 mp4 파일을 받은 적이 있다면, 보안 앱으로 기기를 정밀 검사해 보는 것이 좋겠다. 최근 왓츠앱에서 악성 이미지, 오디오, 동영상 파일 등을 통해 임의의 코드를 실행할 수 있는 취약점이 많이 발견되고 있다. 이런 파일들의 자동 다운로드 옵션을 끄는 것이 위험을 줄이는 데 도움이 될 수 있다. 참고 자료 New WhatsApp Bug Could Have Let Hackers Secretly Install Spyware On Your Devices

외부 문서 위험 마이크로소프트의 2019.11월 정기 보안 업데이트에는, 악의적인 글꼴(font, 폰트)을 이용한 원격코드 실행 취약점에 대한 패치들이 포함됐다. 악성 글꼴을 이용한 해킹은 새로운 것은 아니다. 그리고 Windows 뿐만 아니라 안드로이드 등 다른 운영 체제에서도 가능하다. 이런 공격이 문제인 것은 피하기가 어렵기 때문이다. 악성 문서가 처음으로 문제가 된 것은 MS Office의 매크로였다. 이것은 매크로를 비활성화하면 되기 때문에, 조심하면 피할 수 있다. 그러나 요즘의 악성 문서들은 문서의 여러 가지 요소를 악용하기 때문에, 어떤 앱이나 운영 체제가 특정 요소를 잘못 다루는 버그가 있다면 바로 치고 들어온다. 취약점 패치 외에는 달리 피할 수 있는 방법이 없는 것이다. 글꼴 처리 상에 있는 취약점을 악용하는 방법은, 악성 글꼴이 포함된 문서를 열어 보게 하는 것이다. 악성 문서는 이메일의 첨부 파일일 수도 있고, 웹 페이지일 수도 있다. 사실상 외부에서 온 콘텐츠는 모두 잠재적인 위험이 있는 셈이다. CVE-2019-1441 윈도우 7 등 구형 윈도우에 해당한다. Windows font library가 특별하게 조작된 폰트를 잘못 다룰 때, 원격의 해커가 임의의 코드를 실행할 수 있다. 악용에 성공한 해커는 피해자의 시스템을 완전히 장악하게 된다. 예를 들어 프로그램 설치, 파일 보기/편집/삭제, 모든 권한을 가진 새 계정 생성 등이 가능하다. CVE-2019-1419 Windows 10 등 최신 윈도우도 영향권에 있다. Windows Adobe Type Manager Library가 특별하게 조작된 OpenType Font를 잘못 다룰 때, 1441과 마찬가지로 원격코드 실행이 가능하다. 다만 윈도우 10에서는 AppContainer sandbox에 갇힌 채로, 제한된 권한과 기능으로 실행된다. 참고 자료 Microsoft's November 2019 Patch Tuesday Fixes IE

Android Beam 악용 NFC는 약 4cm 이내의 아주 가까운 거리에 사용되는 통신 수단이다. 안드로이드 스마트폰은 대부분 이를 지원하며, 기본으로 켜져 있다. NFC는 태그 읽기 및 쓰기가 기본 기능이다. 교통카드, 모바일 티머니 등 모바일 결제 수단, 출퇴근 확인 등 접근 제어 같은 용도로 쓰인다. 그리고 다른 NFC 기기와 데이터를 주고 받을 수 있는 안드로이드 빔이라는 기능도 있다. NFC를 켰더라도 이 기능만을 끌 수도 있다. 그런데 안드로이드 빔을 통해 앱 설치 파일(.apk)이 전송된 경우, 보안 경고 없이 설치될 위험이 있는 것으로 밝혀졌다. 구글은 취약점을 인정하고 CVE-2019-2114로 등록했다. 그리고 2019.10월 보안 업데이트로 문제를 해결했다. Android 8(Oreo) 이상 버전에 해당 안드로이드는 보안을 위해 Google Play 이외의 출처는 알 수 없는 출처(unknown source)로 취급한다. 그리고 원칙적으로 알 수 없는 소스에서 온 앱은 설치할 수가 없다. 다만 사용자는 이 제한을 해제할 수 있다. 구 버전 안드로이드에서는 이런 제한 해제를 전역 설정으로 다루었다. 즉 기기 전체에 대해 일괄적으로 설정이 적용됐다. 그러나 안드로이드 8 이후로는 앱 별로 설정할 수 있게 바뀌었다. 이 때 구글이 디지털 서명한 시스템 앱은, 사용자의 선택 없이도 기본적으로 화이트 리스트(허용 목록)에 등록된다. 즉 알 수 없는 출처의 앱을 설치할 권한이 주어진 것이다. 자동으로 감염되지는 않는다 안드로이드 빔으로 파일이 전송되면 알림이 표시된다. 만약 .apk 파일이 전송됐고 사용자가 이를 알림에서 클릭한다면, 앱을 설치할 지 묻는 메시지가 나온다. 이 때 이전 버전에서는, 알 수 없는 출처의 앱이라는 보안 경고가 나온다. 그러나 안드로이드 8 이후 버전에서는 보안 경고가 나오지 않는다. NFC service는 시스템 앱으로, 알 수 없는 출처의 앱을 설치할 권한이 있기 때문이다. 아래

2019.10.31일 NCSC-FI(핀란드 국립 사이버 보안 센터)는, QNAP의 NAS(네트워크 저장장치)에서 작동하는 QSnatch라는 악성코드를 발견했다. 감염 경로는 확인되지 않았지만, NAS 해킹은 대부분 허술한 암호나 기기 자체의 취약점에서 비롯된다. 큐스내치는 큐냅 NAS의 펌웨어를 감염시켜 시스템 권한으로 작동한다. 주요 악성 행위는 다음과 같다. 그러나 큐스내치는 모듈식 구조로 돼 있고, 해커의 C2 서버와 주기적으로 교신한다. 따라서 언제라도 악성 행위는 추가될 수 있다. 운영체제의 예약된 작업을 변조한다. 펌웨어 업데이트를 방해한다. QNAP Malware Remover라는 내장 보안 앱이 실행되지 못하게 한다. 기기 상의 모든 사용자 이름과 암호를 C2 서버로 전송한다. 큐스내치를 제거하려면 공장 초기화(factory reset)를 해야 한다. 저장된 데이터를 모두 잃게 되는 것이다. 백업은 평소 악성코드 감염 전에 해야 한다. 감염 후의 백업은 신뢰성이 없으며, 백업 장치까지 감염될 가능성이 있다. 한편 큐냅은 2019.2월 펌웨어 업데이트에서 악성코드 감염을 방지하는 기능을 추가했는데, 이 기능이 큐스내치에 효과적으로 대응할 수 있는지는 확실치 않다. NCSC-FI는 다음과 같은 대응책을 제시했다. NAS에 있는 모든 계정의 암호를 바꿔라. 기기에서 알 수 없는 계정을 제거하라. 기기의 펌웨어와 설치된 앱들을 최신 버전으로 유지하라. 기기에서 알 수 없거나 사용하지 않는 앱들을 제거하라. QNAP Malware Remover를 설치하라. 보안 수준 설정에서 접근 제어 목록(access control list)을 설정하라. 큐냅을 비롯한 모든 NAS 사용자에게는, NAS를 인터넷에 직접 노출시키지 말고 방화벽 뒤에 두라고 권고했다. 가정 사용자의 경우라면 공유기에 연결하면 되겠다(관1). 191108 추가 사항 - 초기화할 필요 없다 11.7일 큐냅은 이 문제에 대한 입장을 발표했다. 이에 따