Boris's Lab

줌인터넷에서 개발한 스윙브라우저를 통해 해킹, 피싱피해가 발생한 경우 최대 100만원까지 피해를 보상해준다고 합니다. 지금까지의 브라우저 제작사로써는 파격적인 정책입니다. 

(단, 100만원 이하인 경우에는 피해부담금 10만원이 제한다고 하네요. 사용자의 과실도 어느정도 있기 때문인 것으로 보입니다. )

스윙브라우저를 실행 할 경우 줌인터넷 서버에 실행시간이 기록되기 때문에 이 실행기록을 이용하여 브라우저를 통한 해킹이 맞는지 확인하게 되며, PC의 브라우저 취약점으로 인한 피해 뿐만 아니라 스미싱으로 인한 피해까지도 보상이 되기 때문에 모바일에서도 보상이 적용됩니다.

기간은 최초 설치 후 1년 간 보장되며, 피해 횟수에 상관없이 피해 건수 별로 최대 100만원씩 보상합니다. 

기사 내용에는 없으나, 법적으로 강제성이 없는 업체 정책이기 때문에 보상액수가 커질 경우 회사 재정상 정책이 갑작스럽게 종료될 수 있으니 참고하시기 바랍니다.

[보안뉴스] 브라우저에 발생한 해킹·피싱 피해를 보상한다? - http://mcaf.ee/gsd1f

[ZDNet] 스윙브라우저 해킹당하면 100만원 보상 - http://mcaf.ee/ltb3r

취약점은 일상생활에서 나온다는 말이 최근 와 닿습니다. 평소에 나오는 에러가 어떤 원인에 의한 것인지, 이 에러를 의도적으로 나오게 할 수 있을 것인가에 대해 생각하다보면 프로그램의 취약점을 찾을 수 있게 됩니다. 

외국의 5살 남자아이가 연령제한이 설정된 게임을 할 수 없도록 설정된 비밀번호를 버그를 이용해 무력화 시켰다는 내용입니다. 보안 전문가와 같이 연구해서 나온 것이 아니라 우연히 발견한 것이여서 더욱 놀랍습니다. 마침 보안과 관련된 직업을 가지고 있는 아버지가 있어 MS에 이러한 사실을 통보하였고 MS에서는 버그를 발견한 보상을 해주었습니다. 

버그를 발견한 사용자 명단에 당당히 이름이 올라갔는데, 명단에는 전문 연구원들이 대다수 차지하고 있는 것을 보면 전문가도 알 수 없었던 버그를 어떻게 찾아냈는지 놀랍습니다. 

http://mcaf.ee/rf46v

윈도우에서는 일반적으로 파일 이름을 왼쪽에서 오른쪽으로 읽어나가고 확장자는 맨 오른쪽에 적혀있습니다. 하지만 오른쪽에서 왼쪽으로 읽도록 강제하는 유니코드가 있습니다. ( http://www.fileformat.info/info/unicode/char/202E/index.htm ) 

이 유니코드를 이용하여 파일이름을 거꾸로 읽도록 하면 확장자를 파일명 맨 앞에 두어도 됩니다. 윈도우에서는 이 유니코드가 나오는 순간부터 문자를 거꾸로 읽어 '파일\u202e pwh.exe' 를 '파일 exe.hwp' 로 사용자에게 표시하게 됩니다.

이렇게 되면 윈도우 상에서는 확장자에 맞게 한글 문서로 표시하게 되고, 사용자는 의심없이 파일을 실행합니다. 하지만 윈도우는 표시된 파일명과 별개로 실제 확장자인 exe 파일로 읽어 응용프로그램 형태로 실행합니다. 

이 유니코드는 윈도우는 물론 유니코드를 지원하는 각종 프로그램에는 모두 사용이 가능하기 때문에 파일 전송이 가능한 각종 메신저에서도 실제 파일명 대신에 변조된 파일명을 표시하게 됩니다. 

이를 악용한 악성코드 공격이 실제로도 있고 지금도 발생하고 있습니다. 이 공격기법에 대한 영어 PDF 파일입니다. 한글 PDF 파일을 찾아보려고 했지만 블로그 상에 기술적 내용이 포스팅 된 곳은 많았지만 PDF 파일은 결국 못 찾았습니다. 

 Right To Left Override (RLO) Unicode Can Be Used In Multiple Spoofing Cases.pdf