15P by alanthedev 2023-02-14 | favorite | 댓글 4개

블라드미르 팔란트가 한국 보안 애플리케이션의 여러 취약점 공개 관련한 것에 대해서 1월에 서면 인터뷰 진행한 내용:

  • "한국인터넷진흥원 취약점 분석팀은 The Readable에 보낸 이메일에서 사이버 보안 연구원이 제보한 보안 문제를 평가한 결과, 심각한 피해를 초래할 수 있는 고 위험 취약점은 아니라고 결론 내렸다고 밝혔다. "
  • 이 문제를 긴밀히 조사하고 있는 금융보안원 관계자는 “이 취약점이 공격자에 의해 실제로 악용될 가능성은 낮다고 판단하고 있습니다.”라고 말했다. “그 영향과 관계없이 여전히 처리해야 할 취약점이기는 합니다."
  • 팔란트는 “일부 범죄자들이 애플리케이션을 발견하고 악용하기 시작하는 것은 시간 문제일 뿐"이라고 경고했다.
  • 팔란트는 “기업이 윤리적으로 행동하고 선의로 안전한 소프트웨어를 구축하기를 기대할 수는 없습니다.”라고 단언했다. 그는 중요한 애플리케이션의 보안 취약점에 대해 독립적인 연구자들이 검토하는 것이 중요하다고 강조했다.

한글번역: https://github.com/alanleedev/KoreaSecurityApps/…

이 꼬라지에 중국이 가만히 있으면 중국이 아니죠.

취약점이 명확해서 다 공개가 되어있는데 실제로 사용될 가능성이 낮다는 건 무슨 뜻일까요

"실제로 사용될 가능성이 낮다" 라는건 KISA 버그바운티 제도에서 포상금이 왜 낮냐 라고 물어보면 흔히 돌아오는 답변입니다. 그들 기준으론 메모리 커럽션으로 임의 코드 실행까지 가능해야 고 위험 취약점이고 악용될 가능성이 높은겁니다.

아마 팔란트씨는 외국인이기 때문에 취약점 신고포상금을 받을수 없지만 한국인은 이런 보안 취약점을 KISA에 제보하면 버그바운티 제도를 통해 돈을 받을 수 있습니다.

그럼 한국인은 취약점 제보하면 돈도 주는데(물론 그런 취약점이 있었다는 사실은 조용히 묻히겠지만요.) 이런 문제를 외국인이 공개적으로 작성한 이유는 (...)

한글 번역 링크로 가서 보니 "이 경우 정교하게 제작된 피싱 웹사이트를 통해 사용자를 유인하는 등 다양한 전제 조건이 필요하다고 이 관계자는 설명했다. 또한 익스플로잇이 성공적으로 배포되더라도 치명적인 피해로 이어질 가능성은 낮다."라는 문장이 있는 걸로 미루어보아

'문이 안잠겨 있는데 그 문까지 가는 길이 매우 험난하다' 정도의 느낌 같습니다
별로 좋은 대답은 아닌거같네요