Offcanvas

������������ ������

CIA 문건 공개 파장··· SW업체를 얼마나 믿을 수 있나?

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

애플 임베디드 기기 익스플로잇 해킹팀 취약성 스마트TV 제로데이 CIA iOS 데스크톱 OS 소프트웨어 위키리크스 난다오

2017.03.15

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

2017.03.15

IoT 기기에서 디도스 봇넷 100개 이상 발견… 리눅스 악성코드 이용

악명높은 리자드 스쿼드(Lizard Squad) 공격자 집단이 작성한 리눅스 시스템용 디도스 악성코드인 리자드스트레서(LizardStresser)가 지난 1년 동안 100개 이상의 봇넷을 생성하는 데 쓰인 것으로 파악됐다.  IoT 기기가 디도스 공격에 점점 더 많이 쓰이고 있다. Credit : Michelle Maher 리자드스트레서는 2가지 구성 요소가 있다. 하나는 클라이언트를 제어하기 위해 공격자가 해킹한 서버와 리눅스 기기에서 운영하는 클라이언트다. 이는 몇 가지 유형의 디도스 공격을 시작하고 쉘 명령을 실행하며 하드 코딩되거나 기본적으로 있는 크레덴셜을 시도함으로써 텔넷 프로토콜로 다른 시스템에 전파할 수 있다. 리자드스트레서 코드는 덜 숙련된 공격자들에게 새로운 디도스 봇넷을 개발하는 쉬운 방법을 제공하면서 2015년 초 온라인에 퍼졌다. 고유의 리자드스트레서 커맨드앤컨트롤 서버 숫자는 그때부터 꾸준히 증가했고 디도스 공격 완화 업체인 아버 네트웍스의 연구원에 따르면, 올 6월까지 100개 이상이 집계됐다. 디도스 봇은 x86 CPU 아키텍처용 버전뿐 아니라 ARM과 MIPS와 함께 매우 범용성이 있고, 일반적으로 임베디드 기기에서 쓰인다. IoT 기기는 디도스 봇과 잘 맞는다. 왜냐면 이들은 리눅스의 일부 친숙한 변형을 구동하고, 자원이 제한돼 있기 때문에 이들은 악성코드를 탐지하거나 고급 보안 기능이 없고 인터넷에 직접 연결될 때 일반적으로 대역폭을 제한하거나 방화벽으로 필터링하지 않는다. 소프트에어와 하드웨어 컴포넌트의 재사용은 개발비를 낮추고 단순화할 수 있기 때문에 IoT 세계에서 매우 일반적이다. 이 때문에 하나의 기기를 처음 관리할 때 쓰였던 기본 크레덴셜이 나중에 서로 다른 기기 전체로 진입하는 길을 열어줄 수도 있다고 아버 네트웍스 연구원은 블로그 게시물에서 밝혔다. IoT 봇넷은 매우 강력할 수 있다. 아버 네트웍스는 은행, 통신, 브라질 정부기관뿐 아니라 미국 게임회사 3곳을 ...

악성코드 봇넷 사물인터넷 리눅스 감염 아버 네트웍스 임베디드 기기 IoT 기기

2016.07.01

악명높은 리자드 스쿼드(Lizard Squad) 공격자 집단이 작성한 리눅스 시스템용 디도스 악성코드인 리자드스트레서(LizardStresser)가 지난 1년 동안 100개 이상의 봇넷을 생성하는 데 쓰인 것으로 파악됐다.  IoT 기기가 디도스 공격에 점점 더 많이 쓰이고 있다. Credit : Michelle Maher 리자드스트레서는 2가지 구성 요소가 있다. 하나는 클라이언트를 제어하기 위해 공격자가 해킹한 서버와 리눅스 기기에서 운영하는 클라이언트다. 이는 몇 가지 유형의 디도스 공격을 시작하고 쉘 명령을 실행하며 하드 코딩되거나 기본적으로 있는 크레덴셜을 시도함으로써 텔넷 프로토콜로 다른 시스템에 전파할 수 있다. 리자드스트레서 코드는 덜 숙련된 공격자들에게 새로운 디도스 봇넷을 개발하는 쉬운 방법을 제공하면서 2015년 초 온라인에 퍼졌다. 고유의 리자드스트레서 커맨드앤컨트롤 서버 숫자는 그때부터 꾸준히 증가했고 디도스 공격 완화 업체인 아버 네트웍스의 연구원에 따르면, 올 6월까지 100개 이상이 집계됐다. 디도스 봇은 x86 CPU 아키텍처용 버전뿐 아니라 ARM과 MIPS와 함께 매우 범용성이 있고, 일반적으로 임베디드 기기에서 쓰인다. IoT 기기는 디도스 봇과 잘 맞는다. 왜냐면 이들은 리눅스의 일부 친숙한 변형을 구동하고, 자원이 제한돼 있기 때문에 이들은 악성코드를 탐지하거나 고급 보안 기능이 없고 인터넷에 직접 연결될 때 일반적으로 대역폭을 제한하거나 방화벽으로 필터링하지 않는다. 소프트에어와 하드웨어 컴포넌트의 재사용은 개발비를 낮추고 단순화할 수 있기 때문에 IoT 세계에서 매우 일반적이다. 이 때문에 하나의 기기를 처음 관리할 때 쓰였던 기본 크레덴셜이 나중에 서로 다른 기기 전체로 진입하는 길을 열어줄 수도 있다고 아버 네트웍스 연구원은 블로그 게시물에서 밝혔다. IoT 봇넷은 매우 강력할 수 있다. 아버 네트웍스는 은행, 통신, 브라질 정부기관뿐 아니라 미국 게임회사 3곳을 ...

2016.07.01

"임베디드 기기 수백만 대, 똑같은 암호화 키 사용 중"

라우터, 모뎀, IP카메라 VoIP전화기, 기타 임베디드 기기 다수가 동일하게 하드-코딩된 SSH(Secure Shell) 호스트 키나 HTTPS(HTTP Secure) 서버 인증을 공유하는 것으로 밝혀졌다. 해커들이 그 키를 추출한다면 수백만 기기들 사이의 트래픽을 가로채고 해독해 중간자 공격을 감행할 수 있는 것이다. Credit: Michael Homnick / PC World 보안업체 SEC컨설트(SEC Consult)의 연구원들은 70여 제조사에서 생산된 4,000여 임베디드 기기들의 펌웨어 이미지를 분석했다. 그 결과 이들 기기들에서 580개가 넘는 고유 SSH와 HTTPS 사설 키가 있었는데, 이들 상당수는 동일 벤더 혹은 다른 벤더와 키를 공유하고 있었다. 연구원들은 또 최소한 230개 이상의 키들이 400만 개가 넘는 인터넷-연결 기기들에 의해 활발하게 사용되고 있음을 밝혀냈다. 그들이 기록한 150개 정도의 HTTPS 서버 인증은 320만 대 기기에 의해 사용되고 있고, 80개의 SSH 호스트 키는 90만대 기기에서 사용되고 있었다. 나머지 키들 역시 인터넷에서 접속이 불가능한 다른 많은 기기들에서 사용될 수 있는데, 이들 기기의 경우 로컬 네트워크를 통해 이뤄지는 중간자 공격에 취약할 수 있다. SSH 호스트 키들은 SSH 서버를 구동하는 기기들의 신원을 식별하는데 사용된다. 사용자가 암호화된 SSH 프로토콜을 통해 처음 그런 기기에 접속할 때 공공-사설 키 쌍의 일부인 그 기기의 퍼블릭 키를 저장하게 된다. 다음 번 접속 시에 서버의 신원은 자동적으로 사용자의 SSH 클라이언트상에 저장된 공공 키와 기기상의 사설 키에 기반해 인증된다. 만약 공격자가 기기의 SSH 호스트 사설 키를 훔치고 사용자의 접속 시도를 탈취할 수 있는 위치에 있다면, 그는 그 기기를 가장하고 사용자의 컴퓨터가 자신의 컴퓨터와 대신 소통하게 만들 수 있다. 공격자가 사용자와 자체 웹-기반 관리 인터페이스 사이의 커뮤...

보안 암호화 TLS IoT 임베디드 기기 SSH 호스트 키 SEC컨설트

2015.11.30

라우터, 모뎀, IP카메라 VoIP전화기, 기타 임베디드 기기 다수가 동일하게 하드-코딩된 SSH(Secure Shell) 호스트 키나 HTTPS(HTTP Secure) 서버 인증을 공유하는 것으로 밝혀졌다. 해커들이 그 키를 추출한다면 수백만 기기들 사이의 트래픽을 가로채고 해독해 중간자 공격을 감행할 수 있는 것이다. Credit: Michael Homnick / PC World 보안업체 SEC컨설트(SEC Consult)의 연구원들은 70여 제조사에서 생산된 4,000여 임베디드 기기들의 펌웨어 이미지를 분석했다. 그 결과 이들 기기들에서 580개가 넘는 고유 SSH와 HTTPS 사설 키가 있었는데, 이들 상당수는 동일 벤더 혹은 다른 벤더와 키를 공유하고 있었다. 연구원들은 또 최소한 230개 이상의 키들이 400만 개가 넘는 인터넷-연결 기기들에 의해 활발하게 사용되고 있음을 밝혀냈다. 그들이 기록한 150개 정도의 HTTPS 서버 인증은 320만 대 기기에 의해 사용되고 있고, 80개의 SSH 호스트 키는 90만대 기기에서 사용되고 있었다. 나머지 키들 역시 인터넷에서 접속이 불가능한 다른 많은 기기들에서 사용될 수 있는데, 이들 기기의 경우 로컬 네트워크를 통해 이뤄지는 중간자 공격에 취약할 수 있다. SSH 호스트 키들은 SSH 서버를 구동하는 기기들의 신원을 식별하는데 사용된다. 사용자가 암호화된 SSH 프로토콜을 통해 처음 그런 기기에 접속할 때 공공-사설 키 쌍의 일부인 그 기기의 퍼블릭 키를 저장하게 된다. 다음 번 접속 시에 서버의 신원은 자동적으로 사용자의 SSH 클라이언트상에 저장된 공공 키와 기기상의 사설 키에 기반해 인증된다. 만약 공격자가 기기의 SSH 호스트 사설 키를 훔치고 사용자의 접속 시도를 탈취할 수 있는 위치에 있다면, 그는 그 기기를 가장하고 사용자의 컴퓨터가 자신의 컴퓨터와 대신 소통하게 만들 수 있다. 공격자가 사용자와 자체 웹-기반 관리 인터페이스 사이의 커뮤...

2015.11.30

펌웨어 이미지에서 취약점 대량 발견… IoT 보안 '위험 신호'

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

보안 IoT 빌리지 디프캠프 유러콤 보훔루르대학교 펌웨어 이미지 임베디드 기기 IoT 보안 디링크 리눅스 비트디펜더 펌웨어 결함 취약점 미크로틱

2015.11.23

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

2015.11.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6