20P by xguru 2023-01-17 | favorite | 댓글 8개
  • 배경
  • TouchEn nxKey는 실제 어떻게 동작하는가?
  • 웹사이트는 어떻게 TouchEn nxKey와 통신하는가?
  • TouchEn 확장 기능을 악용하여 은행 웹사이트 공격하기
    • Side-note: TouchEn과 유사한 브라우저 확장기능
  • 웹사이트에서 키로깅 기능 사용하기
  • 애플리케이션 자체를 공격하기
  • 도우미 (helper) 애플리케이션 악용하기
  • 드라이버의 키로깅 기능을 직접 접근하기
    • Side-note: 드라이버가 죽다 (crash)
  • 과연 문제가 수정될까?
    • Side-note: 정보 누수 (information leak)
  • nxKey에 적용된 개념이 제대로 동작할까?

비정상적인 보안 면책특권 때문에 이런 괴물이 탄생한것이 아닐지

참고로 번역글이 아닌 원글에 대한 긱뉴스 쓰레드 입니다: https://news.hada.io/topic?id=8211

현업에서 보안하는 입장에선 매우 우려되는 것은 대한민국엔 인터넷 명예훼손이 있고 "사실적시"도 문제가 될 수 있다는 점입니다. 뿐만 아니라 공개된 취약점이 악용이 되어 피해사례가 발생하면 공범으로 몰릴 수도 있을 여지가 있습니다.

물론, 작성자도 보안에 대해 충분히 공익목적으로 이러한 내용을 꾸준히 공개했다는 점에서 공범으로 몰릴 상황은 아닌 것으로 보입니다만. 이 부분에 대해서는 이걸 공개하신 분에게도 이야기 했으나 별로 개의치 않아하는 상황이라서 좀 더 지켜봐야할 것 같습니다.

..

사실 취약점등을 발견하는 연구하는 입장에선, 국내 소프트웨어에서 취약점을 찾는다고 하더라도 공개하기가 꺼려지기도 하고, 패치가 잘 안되는 경우도 있습니다.

옛날엔 보안 연구원들이 심심하면 공익목적으로 찾아서 기업에 직접 제보해서 그냥 조용히 문제들을 없애주는 그런 행위도 많이 했었지만, 이로 통한 역으로 협박당하거나 고소당할 수 있는 법적 리스크가 너무 컸기에, 언젠가부터 국내에서는 KISA같은 기관을 통한 공식 창구를 통해 제보를 할 수 있게 되었습니다.

하지만 현실적으로 KISA와 같은 기관들을 통해 제보한다고 해서 보상금을 많이 지불하는 것도 아니고, 개발사와 연락이 안되거나 제대로 패치일정이 잡히지 않는 경우도 많은데다, KISA 에서도 보상금을 지불하기 위해 취약점의 수준과 위험도를 책정해야합니다. 하지만 일단 제가 아는 선에선 KISA 담당자의 경우 인력이 많이 부족하고 바쁘다보니 늦어지는 경우가 많았습니다.

즉, 구글 취약점 연구팀인 Project Zero팀 (https://googleprojectzero.blogspot.com/p/…)과 같이, 최초 취약점을 제보후 일정 시간 (90일~반년)이 지나고도 벤더가 취약점을 고치지 않으면 취약점의 정보를 그대로 공개해버리는 정책을 한국에서 써먹기엔 구조적인 문제가 많은게 현실입니다.

비단 국내 기업 뿐만이 아닌 해외 유명 기업들에 제보시 Disclosure Policy를 걸었다해도.. 정작 고치는데 시간을 많이 잡아먹고 제보한 내용이 누락되고 늦어지는 경우가 많습니다. 나중에 취약점 내용을 공개한다고 엄포를 높으니 되려 협박당한 경우도 많았기에 저도 더 이상 취약점을 공익목적으로 제보하거나 하진 않습니다.

국내 연구원들이 아무리 실력이 좋고 인성이 좋다해도, 이런 은행 보안 프로그램을 공격하다고 현실적인 금액을 지불받는 것도 아닐 뿐더러, 개인들이 충분한 능력이 된다면 외국 제품을 타게팅하지 국내 제품을 보통 보거나 하진 않습니다. 그러니 이번 사례와 같이 외국 엔지니어가 우연히 알게되어 크게 터지는거일테구요. 참 안타까운 현실입니다.

,,

그리고 국내 환경에 대한 이해 부족이라는 기사는 그저 눈가리고 아웅하는 것이나 다름 없다고 생각합니다. 딱히 할 말이 없으니 공개된 내용에서 중요하지 않은 부분만 꼬리를 잡고 반박문을 쓴거겠지요.

개인적으론 지금 상황을 보면 두가지의 관점으로 크케 나뉘어 보게 되는데요

  1. 개인적으론 "국내 환경" 은 위와 같은 구조적 문제, 인력문제, 프로세스상의 문제 등 복합적인 문제로 생각보다 쉽게 해결하기 힘든 문제라고 생각합니다. 모두가 아는데, 오랜기간 개선이 되지 못하였고, 앞으로도 그저 골칫거리 과제로 남아있게 될거라 생각합니다. 물론, 사설 버그바운티 업체들이 늘어나고 있으니, 앞으로 국내 버그바운티 업체들이 어떻게 성장하느냐에 따라 이런 문제는 점차 해소될 것으로 보이긴 합니다.

  2. "스마트 키보드 보안 프로그램" 은 금융권의 책임소재 문제도 있겠지만, 보안업체 시장의 밥줄이라는 문제도 있습니다. 사실 국내에서 손꼽는 보안인재를 두고 기술적으로 뛰어난 제품을 만든다고해서, 그걸로 밥먹고 살 수 있는 기업이 생각보다 많지 않습니다. 그나마 밥먹고 사는 업체들이라는 곳들이 저런 제품을 만들고 금융권에 제품을 정착시킨 업체들이구요. 격려를 해줘야할지, 계속 비판을 해야할지, 보안을 하는 제 입장에서도 참 많은 생각이 듭니다.

뭐 이거 외에도 IT보안쪽 블라인드 게시판 글들 보면 담당 직원 업체 직원이 "ㅋ" 로 비판글에 계속 댓글달던데 많은 생각이 들게됩니다.

보안 실무자 입장이라면 이해가 가지만, 결정권자들은 굳이 리스크 떠안고 개선할 생각 죽어도 없습니다. 첫번째로, 네 맞아요. 밥줄입니다. 한국은 기업에서 쓰는 감시 도구도 보안프로그램이라 합니다. 그리고 금융 내에서 법적으로는 문제가 없습니다. 왜냐면 전자금융거래법 제 9조가 완전 가불기가든요. 보안을 위해 감시한다는 개념이 한국에서는 허용되는 것부터 넌센스 아니겠습니까? 기업도 아니고 개개인 단위로 말이죠 ㅋㅋ...

'취약점' 저격 당한 국내 보안업계 "국내 환경 이해 부족"
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

이런 말이 나오는걸 보면 당장 개선은 어려울 것 같네요. 사용자 입장으로서 조금 불안합니다.

라온시큐어에 따르면 PC로 은행 업무를 볼 때 설치하는 보안프로그램은 서로 연계가 돼, 하나의 보안 프로그램이 해킹의 위험에 노출되더라도 (다른 프로그램 도움을 받아) 방어할 수 있다. PC로 은행 업무를 볼 때 설치하는 여러 보안 프로그램이 각자 담당 영역을 나눠 해킹 위협으로부터 방어하는데, 이것이 은행의 보안 대책이라는 설명이다.

출처 : 이뉴스투데이(http://www.enewstoday.co.kr)

^ 세상에 정말 끔찍하네요.

관계자들이 보고 정책과 기술의 개선이 이루어져야 할텐데요.. 이제 정말 바뀌었으면 좋겠네요