해킹대회의 문제 중 실제 운영중인 병원의 CCTV를 해킹하는 문제가 출제되어 논란이 되고 있습니다. 이 문제의 의도는 SCADA 해킹과 쇼단(Shodan)의 위험성을 알리고자 함이였으며, 예산이 적은 대학교에서 주최한 해킹대회다 보니 모의 CCTV 시스템을 구축하기 어려워 실제 CCTV 시스템를 공격하였다고 합니다. 


하지만 현재 참가자들이 이번 문제로 인해 법적 문제가 발생할 수 있다는 점, 실제 병원의 허락이 없었다면 이번 대회로 인해 피해를 입을 환자들과 병원에 대한 대책이 없다면 사회적으로 용납되기 힘들 것입니다. 


[보안뉴스] 해킹방어대회서 실제 CCTV 해킹문제 출제 ‘충격’ - http://mcaf.ee/acoi8

줌인터넷에서 개발한 스윙브라우저를 통해 해킹, 피싱피해가 발생한 경우 최대 100만원까지 피해를 보상해준다고 합니다. 지금까지의 브라우저 제작사로써는 파격적인 정책입니다. 

(단, 100만원 이하인 경우에는 피해부담금 10만원이 제한다고 하네요. 사용자의 과실도 어느정도 있기 때문인 것으로 보입니다. )


스윙브라우저를 실행 할 경우 줌인터넷 서버에 실행시간이 기록되기 때문에 이 실행기록을 이용하여 브라우저를 통한 해킹이 맞는지 확인하게 되며, PC의 브라우저 취약점으로 인한 피해 뿐만 아니라 스미싱으로 인한 피해까지도 보상이 되기 때문에 모바일에서도 보상이 적용됩니다.


기간은 최초 설치 후 1년 간 보장되며, 피해 횟수에 상관없이 피해 건수 별로 최대 100만원씩 보상합니다. 


기사 내용에는 없으나, 법적으로 강제성이 없는 업체 정책이기 때문에 보상액수가 커질 경우 회사 재정상 정책이 갑작스럽게 종료될 수 있으니 참고하시기 바랍니다.



[보안뉴스] 브라우저에 발생한 해킹·피싱 피해를 보상한다? - http://mcaf.ee/gsd1f

[ZDNet] 스윙브라우저 해킹당하면 100만원 보상 - http://mcaf.ee/ltb3r

취약점은 일상생활에서 나온다는 말이 최근 와 닿습니다. 평소에 나오는 에러가 어떤 원인에 의한 것인지, 이 에러를 의도적으로 나오게 할 수 있을 것인가에 대해 생각하다보면 프로그램의 취약점을 찾을 수 있게 됩니다. 


외국의 5살 남자아이가 연령제한이 설정된 게임을 할 수 없도록 설정된 비밀번호를 버그를 이용해 무력화 시켰다는 내용입니다. 보안 전문가와 같이 연구해서 나온 것이 아니라 우연히 발견한 것이여서 더욱 놀랍습니다. 마침 보안과 관련된 직업을 가지고 있는 아버지가 있어 MS에 이러한 사실을 통보하였고 MS에서는 버그를 발견한 보상을 해주었습니다. 


버그를 발견한 사용자 명단에 당당히 이름이 올라갔는데, 명단에는 전문 연구원들이 대다수 차지하고 있는 것을 보면 전문가도 알 수 없었던 버그를 어떻게 찾아냈는지 놀랍습니다. 


http://mcaf.ee/rf46v


페이스북에서 사용자가 메세지를 주고받는 기능을 이용하여 광고를 제공하고 있다며 소송을 한 사례입니다. 최근 광고는 사용자 맞춤형 광고서비스를 위해 사용자의 여러 정보를 수집해왔는데요. 페이스북은 개개인이 주고받는 메세지 내용을 수집하여 광고에 이용하고 있다는 의혹을 받고 있습니다. 


블로터 기사에 따르면 메세지 상에 특정 링크를 삽입시 해당 링크의 좋아요 숫자가 늘어나는 것을 보면 페이스북 측에서 메세지 내용을 감시하고 있는 것 아니냐는 주장입니다. 야후와 구글도 비슷한 일로 소송을 당한 적이 있었죠.


최근 NSA 불법 정보수집으로 개인정보에 대한 인식이 고조된 가운데 나온 사건이라 어떻게 해결될지 궁금합니다. 


[보안뉴스] 집단소송 당한 페이스북, 국내 사용자들도 ‘들썩’ - http://mcaf.ee/dybnk

[블로터닷넷] “페이스북이 메신저 대화 엿봤다” - http://mcaf.ee/o51zl

미국 한 대학에서 대학 생활을 하였던 한인 학생이 부모님의 직업인 '의사' 를 하기 위해 4년간 7차례의 의대 입학 시험을 쳤으나, 번번히 떨어지자 자신의 대학생활 점수 및 의대 입학 시험 성적을 전문 해커를 고용해서 해킹을 시도했다가 적발되었다는 기사입니다. 징역형, 보호관찰과 함께 손해배상을 하라는 선고가 내려졌습니다.


의사를 하지 못하는 것에 대한 중압감에 시달린 것으로 추정된다고 하는데, 불법적인 방법을 동원해서 까지 입학을 시도한 것이 안타깝습니다. 위조 문서까지 사들였다고 하는데 자신을 어필할 만한 다른 스펙을 만들어보는 것은 어땠을까 싶습니다. 


대학에서는 수상한 아이피를 탐지하여 바로 조치취하여 다행히 다른 시험자들에게는 피해가 없었던 것 같습니다. 대학에서 적절하게 대응한 부분에 대해서는 칭찬해야 될 부분이 아닌가 싶고, 또 해킹이 한 사람의 인생을 바꿀 수 있다는 것에 대해서 보안의 중요성을 다시금 깨닫게 됩니다.


http://mcaf.ee/giy3a

안드로이드에서는 플래시 SMS(또는 Class 0 SMS) 기능을 제공하여, 마치 앱에서 경고창이 나타날 경우와 비슷한 UI 를 SMS로 사용할 수 있도록 API를 제공하고 있습니다. 플래시 SMS는 경고창과 같이 작동하기 때문에 사용자가 어떠한 작업을 하는 것과는 별개로 항상 화면 최 상단에 노출되어 저장 혹은 삭제 등의 명령을 입력해주지 않으면 다른 작업을 할 수 없습니다. 


넥서스폰의 경우 이러한 플래시 SMS가 수신될 경우 모든 작업이 백그라운드로 흐릿하게 표시되고 SMS창이 작업화면을 덮어씌워 최 상단에 나타나 명령을 기다리게 됩니다. 제 때 명령을 입력하지 않아 미처 창이 닫히기 전에 다시 새 플래시 SMS가 수신 될 경우에는 기존 SMS창 위에 또 다시 새롭게 수신된 SMS 창이 나타나게 되는데


이런 방식으로 약 30개 이상의 SMS 창이 중첩되어 나타날 경우에는 스마트폰 상의 오류로 재부팅이 되는 것입니다. 가장 큰 문제는 스마트폰이 재부팅 될 때 까지 플래시 SMS가 수신되더라도 어떠한 수신음이 들리지 않기 때문에 사용자는 알아채지 못할 수 있습니다. 


재부팅이 될 경우에는 재부팅 음이 나타나기 때문에 바로 휴대폰을 복구할 수 있습니다. 하지만 가장 큰 문제는 간헐적으로 오류는 발생하였으나 재부팅이 되지 않는 경우가 있는데, 마치 기본 탑재된 기능인 "비행기 모드" 와 같이 모든 데이터, 통신 수신이 불가능상태가 되며, 어떠한 경고음도 나타나지 않기 때문에 사용자는 직접 수신환경을 테스트 하기 전까지는 통신이 되지 않고 있다는 사실을 모르게 됩니다. 전화, 문자, 데이터가 모두 되지 않기 때문에 중요한 전화, 문자, 카카오톡 등을 수신 받지 못하여 큰 피해를 보실 수도 있습니다. 


해당 취약점을 구글측에 통보하였으나 아직까지 패치되지 않았다고 하니 평소에 스마트폰 수신상태를 수시점검해보는 것이 좋을 것 같습니다.


[전자신문] 넥서스폰 대상 서비스거부 공격 이렇게? - http://mcaf.ee/y9tj8

[ZDnet] 넥서스5서 SMS 폭탄 전송 취약점 발견 - http://mcaf.ee/b2z97

[examiner.com] Google Nexus smartphones susceptible to SMS-based DOS attack - http://mcaf.ee/a46iw




최근 전직 CIA 요원이 미국이 개인정보를 수집해 왔다는 증언을 하고, 자료까지 배포하면서 큰 논란이 되고 있습니다. 미국 전역은 물론 전 세계 정보까지 수집했다는 사실이 놀랍습니다. 감청 및 해킹은 물론이고, 최근에는 앱 마켓내에 악성 어플리케이션을 대량 유포하여 다방면으로 정보를 수집하고 있다는 기사도 있었는데


일반인 정보까지도 무분별하게 수집하고 있다고 하니, 평소 인터넷 서핑했던 것도 모두 수집하는 것이 아닌가 싶습니다. 금융정보는 아무래도 금융회사내에서도 보안유지가 철저할 텐데, 이 정보를 수집한다면 회사와의 비밀공조가 없다면 과연 가능했을까 싶습니다. 


http://mcaf.ee/a6yuh

전 세계적으로 사용중인 페이스북에서 타인의 사진을 삭제할 수 있는 취약점이 발견되었습니다. 일반인들도 쉽게 할 수 있고 웹 취약점 중에서도 대표적인 파라미터 조작 입니다. 보안이 뛰어난 페이스북에서 가장 기본적인 파라미터에 대한 검증이 없어 타인의 사진을 마음대로 삭제가 가능했다는 것에 놀라웠습니다. 


나름 페이스북에서도 특정 사용자 만이 삭제링크에 접속할 수 있도록 만들어 놓았으나, 타인 사진에 대한 삭제링크를 제 3자에게 부여할 경우에는 제 3자가 삭제링크에 접속할 수 있다는 부분은 간과한 것 같습니다. 삭제 전 최종적으로 현재 로그인된 사용자가 해당 사진을 삭제할 수 있는 권한이 있는 것인지 검증할 수 있는 시스템을 추가하는 것이 좋을 것 같습니다. 


http://mcaf.ee/3meq2


보안관련 뉴스기사를 읽던 중 지금까지 발생했던 보안사고의 원인을 가장 잘 집어주었던 기사라 생각해서 블로그에 올리게 되었습니다. 대기업에서 왜 자꾸 보안사고가 발생하는 것일까, 보안에 예산을 투입할 수 있는 여력이 충분한 업체에서 왜 보안사고가 발생하는 것일까? 분명 수많은 보안사고를 접해봤을텐데 왜 보안사고가 발생한 것인지. 의문이 많았습니다. 


이 기사를 읽으면서 아! 이것 때문이구나. 이렇게 생각해 볼 수도 있구나 라는 깨달음을 많이 얻게 해주었던 것 같습니다. 여타 기사처럼 특정 제품을 홍보하는 내용도 아닌 정말 읽으면 유용할 만한 기사라고 생각합니다. 기업에서 확실하게 신경써주어야 할 부분을 콕콕 찝어 정리했다라고 개인적으로 생각합니다.


http://mcaf.ee/lrzqm

가장 치명적인 보안위협은 사람을 통한 기술유출이라고 합니다. 신기술을 개발하더라도 사람이 투입되고, 해당 기술을 다루는 것도 사람이 다루다 보니 자신이 개발했던 정보. 사용했던 기술의 정보를 눈으로 보거나 혹은 파일로 만들어 경쟁회사에 유출시키는 경우가 많습니다. 


이러한 산업스파이에 대해서는 처벌도 강력한 편이나, 막상 해당 직원을 검거하여 조사할 때 '정보의 가치가 없었다.', '연구를 위한 것이였다' 라는 등의 핑계를 대는 경우가 다반사입니다. 이 때 가장 필요한 것이 해당 직원이 실제 해당 정보를 수집하였고 다루었다는 증거인데 이 증거는 해당 직원이 사용했던 PC에 저장된 경우가 많습니다. 


하지만, 대부분의 기술유출은 해당 직원이 이미 기술을 가지고 보직변경이나 퇴사를 한 이후에 발견되는 경우가 많기 때문에 PC를 이후 사용자에게 인수인계 하는 과정에서 대부분 컴퓨터를 포맷하여 실제 증거자료들이 소멸되는 경우가 많습니다. 


이러한 경우를 대비하여 퇴사자의 PC내 저장매체를 장기간 보관해 놓자는 의견의 기사입니다.


좋은 방법이긴 하지만, 따로 보관했던 저장매체가 분실되어 유출될 경우 더욱 더 큰 피해가 발생할 수 있다는 부분까지도 염두해야 하지 않을까요? 실제로도 백업파일이 유출되어 피해가 발생한 사례가 다수 있습니다. 크래커들은 이러한 관리가 소홀한 백업파일을 노리고 있다는 점을 생각해본다면 한발 더 생각하여 저장매체를 암호화 저장해 놓는 것도 좋은 방법이라 생각합니다.


http://mcaf.ee/s2m59


+ Recent posts