11월, 2020의 게시물 표시

양자보안 스마트폰, 해킹 방어 효과 없다

갤럭시A 퀀텀은 해킹 불가능? 지난 6월, 삼성전자는 갤럭시A 퀀텀을 출시했다. 이는 세계최초로 양자보안 기술을 적용한 스마트폰이라며, 해킹이 불가능하다고 광고됐다. 그때 이게 말이 돼? 하는 의구심이 들었지만, 관심 없던 기종이라 별 생각 없이 넘어갔다. 그런데 반 년이 지난 며칠 전, 이런 자료(참 1,2)가 눈에 띄었다. 양자보안이라 하기도 어렵고, 실제 해킹 방지 효과도 거의 없다는 것이다. 양자암호를 이용한 보안은 해커가 추론하기 어려운 강력한 암호 키를 일회성으로 생성하여 송/수신자가 공유하고, 해킹 시도 시 암호 키가 자동으로 파괴되어 해킹을 차단한다. 통신 인프라에 적용하여 도청이나 감청을 방지하는 데 활용이 시작되고 있다. 그러나 갤럭시A 퀀텀에 적용된 양자 기술이란 것은 강력한 암호 키를 생성하는 데 그친다. 실제 스마트폰 해킹은 악성코드에 의한 것이 대부분이라는 점에서 무용지물인 셈이다. 공인인증서를 예로 들어 보자. 공인인증서는 일종의 개인 암호 키인데, 이것이 해킹당했다는 뉴스를 가끔 볼 수 있다. 그러나 이것은 공인인증서의 암호화 알고리즘이 뚫리는 것이 아니다. 공인인증서의 암호화는 양자 생성기 없이도 지금도 충분히 강력하다. 공인인증서를 복호화(decrypt)하는 또 다른 키인 사용자 암호가 약한 고리인 것이다. 다른 인증 수단들도 마찬가지로 password, PIN, 혹은 생체 정보 등 고정된 요소가 brute force 공격이나 도용에 의해 해킹 당하는 것이다. 또한 스마트폰에 있는 악성코드는 인증을 마친 정당한 사용자가 사용하는 도중에도 정보를 탈취한다. 이런 악성코드는 사용자를 속여 자발적으로 설치하게 만들거나, 시스템의 취약점을 이용해 사용자 몰래 설치된다. 양자보안이 힘을 쓸 수 있는 영역이 아니다. 한참 늦었지만, 혹시나 해당 기종 사용하는 분들 중에, 이런 사실을 모른 채 기본적인 보안 수칙을 소홀히 하는 일이 있지 않을까 하는 생각에 적어본다. 참고 자료 1. 세계 첫 양자보안폰? 갤럭시A 퀀텀에 학계는 '갸...

Webex 영상회의에 유령 참가자 취약점

시스코(Cisco)의 영상 회의 소프트웨어인 웨벡스(Webex)에 있던 심각한 취약점이 오늘 공개됐다. 시스코는 이미 패치를 내놨으므로, 웨벡스 사용자는 바로 업데이트해야 한다. 유령 참가자(ghost participants)는 웨벡스 미팅에 초대받지 않았고, 참가자 목록에 보이지도 않는다. 그러나 정상적인 참가자와 마찬가지로 음성, 영상, 문자 채팅, 화면 공유에 완전히 접근할 수 있다. 이 취약점은 CVE-2020-3419로 등록됐다.  유령 참가자는 또한 미팅에서 추방된 이후에도 음성 연결은 계속 유지된다. 이 점은 CVE-2020-3471이다. 유령 참가자는 미팅 대기실(meeting room lobby)에서 참가자들의 정보를 볼 수 있다. 여기에는 이름, 이메일 주소, IP 주소 등이 포함된다. 이 점은 CVE-2020-3441이다. 참고 자료 1. Cisco fixes WebEx bugs allowing 'ghost' attackers in meetings

보안 앱 Veraport 이용해 악성코드 설치

Veraport 사용 사이트에 대한 공급망 공격 Wizvera의 보안 소프트웨어인 Veraport를 이용해, 사이트 방문자의 PC에 악성코드를 설치하는 북한 해커단 Lazarus의 공격이 ESET에 의해 포착됐다. 베라포트는 금융이나 정부 사이트 등에서 많이 볼 수 있는데. 이들 사이트를 이용하려면 강제로 설치해야 하는 여러 보안 모듈을 한번에 설치하는 통합 설치 앱이다. 베라포트는 설치할 프로그램 목록과 다운로드 URL을 포함하는 구성 파일(configuration file)을 사용하는데, 해커는 그 다운로드 위치에 있는 정상 프로그램을 악성코드로 바꿔치기했다. 즉 베라포트를 해킹한 것이 아니라 이를 사용하는 사이트를 해킹한 것이다. 예를 들어, A 은행 사이트가 베라포트를 통해 B 키보드 보안 앱을 제공한다고 하자. 해커는 A 사이트를 해킹해 보안 자료실에 있는 B를 악성코드로 바꿔놓는 것이다. A에 방문한 이용객의 PC는 악성코드에 감염된다. 베라포트는 유명한 앱이므로 보안 경고에 의심없이 수락할 것이다. 베라포트는 구성 파일에 있는 각 프로그램을 설치할 때, 기본적으로 디지털 서명을 확인한다. 그러나 디지털 서명에 사용된 인증서가 유효한지만 확인할 뿐, 소유자는 확인하지 않는다. 라자루스는 다른 곳에서 훔친 인증서를 사용해, 베라포트의 검증을 통과했다. 탈취된 인증서 중에는 Dream Security라는, 한번쯤 들어본 듯한 보안 회사의 것도 있었다. 베라포트는 설치할 프로그램의 해시값을 검증하는 옵션도 제공한다. 이는 선택 사항인데, 활성화하면 이런 식의 해킹을 상당히 어렵게 하는 효과가 있다. 프로그램을 1 글자만 바꿔도 해시값이 달라지기 때문이다. 이 작전의 최종 페이로드는 원격제어 툴이다. 가짜 보안 모듈은 윈도우의 기본 프로세스인 svchost.exe를 감염시켜 RAT(Remote Access Tool)를 설치한다. PC의 제어권이 해커의 손에 완전히 넘어가는 것이다. 참고 자료 Trojanized Security Software Hits So...