45P by kunggom 2023-01-04 | favorite | 댓글 14개

예로부터 한국의 온라인 뱅킹이나 전자정부 서비스는 각종 설치 프로그램으로 악명높습니다. 과거에는 ActiveX였고 요즘은 보안 플러그인 설치 파일로 바뀌었습니다만, 그 본질은 바뀌지 않았지요. 그래도 근래에는 공인인증서 대체 본인인증 수단도 생기고 exe 플러그인 설치 없이 온라인 서비스를 제공하는 곳도 등장하는 등 예전에 비하면 일부 사정이 개선된 편입니다만, 아직까지도 이런 것을 설치하라고 강요하는 웹사이트가 2023년 현재까지 버젓이 남아있는 현실은 참으로 통탄할 노릇입니다.

애드블록 플러스로 유명한 블라디미르 팔란트(Wladimir Palant)는 지난 9월부터 한국의 이러한 온라인 보안 실태에 관해 조사해오고 있었다며 자신의 블로그에 글을 올렸습니다. (영어) 1990년대 미국의 암호 알고리즘 수출 규제 때문에 한국에서 자체적으로 개발한 SEED 알고리즘으로 인터넷 뱅킹 서비스를 구현하기 위해 ActiveX를 사용하기 시작했다는 역사적 이유에서부터 시작하여, 한국에서 인터넷 뱅킹 써봤으면 누구나 다 아는 보안 플러그인 설치 실태, 그리고 이러한 “보안 소프트웨어”가 실제로는 보안에 아무런 도움이 되지 않는 가짜이지만 현 상황이 이해 관계 때문에 의도적으로 설계되었다는 점까지 정확하게 꿰뚫어보고 있습니다.

이 분은 조사 과정에서 보안 플러그인 제품의 보안 취약점을 여럿 찾아 보고한 모양이지만, 그것만으로는 실질적인 문제가 해결될 수 없다는 점도 당연히 이해하고 있습니다. 하여튼 발견한 취약점의 구체적인 내용은 보고 후 90일 뒤에 공개하는 관례에 따라 글쓴이의 블로그에서 오는 2023년 1월 9일, 1월 23일, 3월 6일에 각각 공개할 예정이라고 하네요.

그리고 보안 취약점을 찾는 과정에서 다음과 같은 소프트웨어 품질 문제도 발견했다고 합니다. 어째 다들 익숙하실 만한 내용입니다.

  • 이걸 개발한 개발자는 C 언어를 사용하면서도 버퍼 오버플로우와 같은 메모리 안전 문제에 미숙한 것으로 보임
  • 문제를 완화하는 다양한 메커니즘을 제공하는 최신 컴파일러 대신 15년 묵은 Visual Studio로 컴파일
  • 명색이 보안 프로그램이면서 ASLR이나 DEP처럼 오래되고 기본적인 보안 기능마저 비활성화되어 있음
  • (경우에 따라 10년 이상) 오래된 버전의 오픈소스 라이브러리 사용
  • 대부분의 경우, 암호화는 그저 리버스 엔지니어링을 방해하기 위한 난독화(obfuscation)를 위해 사용한 것으로 보임
  • 암호 알고리즘 파라미터에 한참 전에 사용 중지(deprecated)된 내용을 아직까지 쓰고 있음

최근 이니텍 INISAFE CrossWeb EX V3을 사용한 해킹 공격이 있었다는 사실이 발표되었습니다.

국정원에 따르면 국정원과 경찰청, 한국인터넷진흥원(KISA), 국가보안기술연구소는 작년 말 북한이 KT[030200] 그룹 금융·보안 전문기업 이니텍의 금융보안인증 소프트웨어 '이니세이프' 취약점을 악용해 국가·공공기관 및 방산·바이오업체 등 국내외 주요기관 60여 곳의 PC 210여 대를 해킹한 사실을 확인했다.
해킹에 악용된 소프트웨어는 전자금융 및 공공부문 인증서인 '이니세이프 크로스웹 EX V3 3.3.2.40' 이하 버전으로, 국내외 1천만 대 이상의 기관과 업체, 개인 PC에 설치되어 있는 것으로 추정된다.

국정원은 “올해 1월 긴급 대응에 착수, 해당 악성코드의 작동 원리 등에 대한 상세 분석을 완료했다”며 “해당 분석 자료를 근거로 A사와 협조해 실제 공격-방어 시현을 진행하는 등 보안 패치 개발을 완료했다”고 했다.

이니텍은 지난 1월 독일 보안 전문가 블라디미르 팔란트(Wladimir Palant)가 국내 금융보안 SW 상당수에 문제가 있다고 지적하는 게시글의 이미지에 자사 제품이 있어 취약점 점검에 나섰다가 문제가 된 취약점을 발견했다는 입장이다.
이니텍 관계자는 “취약점 발견 후 이를 보완하는 와중에 국정원에서 연락이 왔다. 2월20일 문제가 된 취약점을 완화하는 보안패치 개발을 완료해 배포 중이다. 현재 40%가량의 기업들이 패치를 완료한 상태다. 다만 아직 모든 기업이 패치를 마치진 않은 상태라 지속해서 업데이트를 하도록 권고하고 있다”고 말했다.

당연한 이야기지만, 이 제품만 문제일 리는 없습니다. 제가 알기로 최근에 국내 공인인증서 프로그램에서 보안취약점이 발견되었다는 소식이 적어도 2건은 더 있거든요. 심지어 하나는 북녘 정보전사 동무의 손길이 이미 닿았다고 합니다.

이밖에도 VestCert를 종료하고 제거할 때는 일정한 순서에 따라 진행하는 것이 필요하다. 먼저 프로세스 종료는 작업관리자의 프로세스 탭에서 Goji를 먼저 종료 후 VestCert를 종료해야 한다. 이후 [제어판]-[프로그램]-[프로그램 및 기능]에서 VestCert 버전 확인 후 ‘제거’를 클릭해 완전히 삭제한다.

라자루스 해커그룹은 MagicLine4NX 취약점을 통해 svchost.exe 프로세스에 인젝션한 후, 악성 프로그램을 다운로드해 실행했다. 따라서 취약한 버전의 MagicLineNX가 설치돼 있는 경우에는 즉시 삭제 조치할 필요가 있다.

드디어 실제 취약점에 관한 내용이 공개되기 시작했습니다.

첫 빠따(?)는 라온시큐어의 TouchEn nxKey 키보드 보안 프로그램입니다.
취약점 자체도 그렇지만, 그 취약점을 처리하는 과정에서조차 허술한 모습을 보인 것이 참 인상깊습니다. (?)

황금알을 낳는 거위

HackerNews comment들을 정리 해봤습니다

  • 한국의 금융 규제기관은 보수적이지만, 정치인들이나 미디어는 금융 소비자들의 편을 들려고 함. 그래서 사용자의 컴퓨터에 설치된 키로거로 인한 비밀번호 유출이더라도, 사용자의 실수를 은행의 잘못으로 돌림. 이것이 은행들이 보안 프로그램을 구매하는 이유
  • 금융 기관 자체에서 보안을 신경쓰지 않음. Outdated된 OS를 사용하는 것은 부지기수

내용이 많이 길어져서 블로그에 정리 해봤습니다
https://soulee.dev/2023/01/05/korean-bogus-security

국제적으로 망신을 좀 당해서 개선이 되었으면 하네요.
저런 방법들이 현재 업체들의 책임회피 수단으로 이용된다는 말에 놀랐다는 댓글이 많네요.

외국 밈 중에 disappointed but not surprised 라는 게 있던데 그게 떠오르네요.

책임 회피를 위한 가짜 보안 어플리케이션이란 말이 맞는 것 같습니다...

원작자가 올린 Hacker News 쓰레드:
https://news.ycombinator.com/item?id=34231364

다른 분이 올리신 원문 글의 한국어 번역:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820

한국에서는 대체로 규제의 목표가 "사용자를 보호하겠다" 가 아니라 "책임지지 않도록 하겠다" 로 귀결 되는 경우가 많다고 보는데, 대표적인게 유저 컴퓨터 설치형 보안 플러그인 같습니다. 사고 터질때마다 뭔가 하나씩 추가되다보니, 설치를 하기위한 플러그인까지 설치해야 하는 지경까지 왔다는게 당황스럽더라구요. ㅎㅎ

맞습니다. 소개한 글에서도 바로 그 점을 정확하게 꿰뚫어보고 있더군요.

그리고 보안 플러그인을 여러 개 설치하기 위한 추가 프로그램을 별도로 설치하도록 사용자에게 추천하는 걸 보고 “앱 동물원 관리”(manage this application zoo)라고도 하더군요 ㅋㅋㅋ

우리만 아는 건 줄 알았더니 다들 아는군요 ㅜ ㅜ

저녁먹다가 기사 보고 내일 요약해서 올려야 겠다 생각만 했는데 잘 정리해 주셨네요. 고맙습니다!!

“가짜(bogus) 보안 어플리케이션 시장”을 만들었다는 말이 참 와닿네요.