Offcanvas

������

"인텔 칩의 설계 결함, 보안 훼손 가능" 연구팀 경고

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

CSO 시큐어 키 스토리지 SRAM SKS Secure Key Storage CSME 10세대 인텔 플랫폼 포지티브 테크놀로지스 펌웨어 결함 BIOS 반도체 패치 취약점 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진

2020.03.09

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

2020.03.09

인텔 최신 프로세서에서 보안 결함 발견··· 좀비로드 변종

암스테르담 자유대학교 산하 시스템 및 보안 연구소를 비롯한 유럽의 연구팀이 12일(현지 시각) 인텔 최신 프로세서에서 또 다른 보안 결함을 발견했다고 밝혔다.   해당 연구팀은 2011년 이후 출시한 모든 인텔 프로세서에 영향을 미칠 수 있는 보안 결함인 스펙터(Spectre), 멜트다운(Meltdown), 좀비로드(ZombieLoad)를 발견한 바 있다. 이 취약점들을 이용하면 공격자가 읽을 권한이 없는 메모리 영역까지 훔쳐볼 수 있다. 특히 지난 5월 발견된 좀비로드의 경우 가상머신의 메모리도 훔쳐볼 수 있어 큰 논란이 됐다. 이번 결함은 좀비로드의 변종으로, 인텔은 TAA(Transactional Asynchronous Abort)라고 언급하고 있다. 좀비로드와 다른 점은 최신 서버 제품군인 캐스케이드 레이크(Cascade Lake)에 적용된다는 것이다. 한편 연구진은 무려 일년 전인 2018년 9월에 취약점 가능성을 경고했음에도 지금까지 인텔이 이를 해결하지 못했다고 지적했다. 인텔은 아직까지 TAA에 대한 실제 공격 보고는 없었지만, 최신 칩 제품군이 취약하다는 것을 인정하면서 12일 패치를 다시 공개했다. ciokr@idg.co.kr

보안 인텔 취약점 프로세서 결함 좀비로드

2019.11.13

암스테르담 자유대학교 산하 시스템 및 보안 연구소를 비롯한 유럽의 연구팀이 12일(현지 시각) 인텔 최신 프로세서에서 또 다른 보안 결함을 발견했다고 밝혔다.   해당 연구팀은 2011년 이후 출시한 모든 인텔 프로세서에 영향을 미칠 수 있는 보안 결함인 스펙터(Spectre), 멜트다운(Meltdown), 좀비로드(ZombieLoad)를 발견한 바 있다. 이 취약점들을 이용하면 공격자가 읽을 권한이 없는 메모리 영역까지 훔쳐볼 수 있다. 특히 지난 5월 발견된 좀비로드의 경우 가상머신의 메모리도 훔쳐볼 수 있어 큰 논란이 됐다. 이번 결함은 좀비로드의 변종으로, 인텔은 TAA(Transactional Asynchronous Abort)라고 언급하고 있다. 좀비로드와 다른 점은 최신 서버 제품군인 캐스케이드 레이크(Cascade Lake)에 적용된다는 것이다. 한편 연구진은 무려 일년 전인 2018년 9월에 취약점 가능성을 경고했음에도 지금까지 인텔이 이를 해결하지 못했다고 지적했다. 인텔은 아직까지 TAA에 대한 실제 공격 보고는 없었지만, 최신 칩 제품군이 취약하다는 것을 인정하면서 12일 패치를 다시 공개했다. ciokr@idg.co.kr

2019.11.13

칼럼 | 모바일 앱 보안, 애플과 구글을 믿으면 망한다

심호흡을 하고 기업 IT 부서라면 절대로 듣고 싶지 않은 모바일 보안 뉴스 하나를 보자. 보안 전문업체인 포지티브 테크놀로지스(Positive Technologies)는 다양한 모바일 앱에 대한 침투 테스트에 착수했는데, 보안 허점이 창궐하고 있는 것을 발견했다.   상세한 조사 결과도 살펴보겠지만, 결론은 분명하다. iOS용 모바일 앱의 38%, 안드로이드 앱의 43%에서 고위험 취약점이 발견됐다. 대부분 원인은 보안 메커니즘의 약점인데, iOS 앱의 74%, 안드로이드 앱의 57%, 서버 측 요소의 42%였다. 이런 취약점은 설계 단계에서 생기기 시작하기 때문에 바로잡으려면 코드를 상당 부분 수정해야 한다. 가장 위협적인 결과는 따로 있다. “위험이 반드시 클라이언트나 서버 측의 특정한 취약점 하나 때문에 생기는 것은 아니다. 많은 경우, 모바일 애플리케이션의 다양한 부분에서 여러 가지 소소한 결함의 결과물이다. 이런 결함이 “하나로 합쳐지고”, 이들을 간과하면 심각한 결과를 낳는다.” 기업 IT 부서가 쉽게 대응할 수 없는 문제라서 점에서 가장 위협적이다. 이로써 기업 IT 부서, 특히 CISO나 CSO는 더는 애플 앱스토어나 구글 플레이의 앱을 신뢰할 수 없게 된다. 개인용이든 기업용이든 직원들은 이곳에서 앱을 다운로드해야 한다는 점에서 거대한 악몽이 아닐 수 없다. 보안 허점은 고의적인 악성코드일 수도 있고, 의도하지 않은 악성코드일 수도(ISV의 개발자는 공통 기능을 구현하는 데 기존 코드를 이용하는데, 모르는 사이에 악성코드가 포함될 수도 있다), 의도하지 않은 보안 허점일 수도, 심지어는 자체적으로는 완벽한 코드이지만 다른 모바일 환경과 인터랙션하는 과정에서 예기치 않은 문제가 발생할 수도 있다. 포지티브 테크놀로지스가 “하나로 합쳐진” 허점이라고 지적한 부분이다. 기업은 전문 인력을 고용해 자체 침투 테스트팀을 꾸려야 할 처지이다. BYOD를 포함해 업무용으로 사용하는 디바이스에 설치해도 되는지 모든 앱을 테스트해야 하는 상...

모바일앱 앱스토어 해커 취약점 결함 침투테스트 구글플레이

2019.07.08

심호흡을 하고 기업 IT 부서라면 절대로 듣고 싶지 않은 모바일 보안 뉴스 하나를 보자. 보안 전문업체인 포지티브 테크놀로지스(Positive Technologies)는 다양한 모바일 앱에 대한 침투 테스트에 착수했는데, 보안 허점이 창궐하고 있는 것을 발견했다.   상세한 조사 결과도 살펴보겠지만, 결론은 분명하다. iOS용 모바일 앱의 38%, 안드로이드 앱의 43%에서 고위험 취약점이 발견됐다. 대부분 원인은 보안 메커니즘의 약점인데, iOS 앱의 74%, 안드로이드 앱의 57%, 서버 측 요소의 42%였다. 이런 취약점은 설계 단계에서 생기기 시작하기 때문에 바로잡으려면 코드를 상당 부분 수정해야 한다. 가장 위협적인 결과는 따로 있다. “위험이 반드시 클라이언트나 서버 측의 특정한 취약점 하나 때문에 생기는 것은 아니다. 많은 경우, 모바일 애플리케이션의 다양한 부분에서 여러 가지 소소한 결함의 결과물이다. 이런 결함이 “하나로 합쳐지고”, 이들을 간과하면 심각한 결과를 낳는다.” 기업 IT 부서가 쉽게 대응할 수 없는 문제라서 점에서 가장 위협적이다. 이로써 기업 IT 부서, 특히 CISO나 CSO는 더는 애플 앱스토어나 구글 플레이의 앱을 신뢰할 수 없게 된다. 개인용이든 기업용이든 직원들은 이곳에서 앱을 다운로드해야 한다는 점에서 거대한 악몽이 아닐 수 없다. 보안 허점은 고의적인 악성코드일 수도 있고, 의도하지 않은 악성코드일 수도(ISV의 개발자는 공통 기능을 구현하는 데 기존 코드를 이용하는데, 모르는 사이에 악성코드가 포함될 수도 있다), 의도하지 않은 보안 허점일 수도, 심지어는 자체적으로는 완벽한 코드이지만 다른 모바일 환경과 인터랙션하는 과정에서 예기치 않은 문제가 발생할 수도 있다. 포지티브 테크놀로지스가 “하나로 합쳐진” 허점이라고 지적한 부분이다. 기업은 전문 인력을 고용해 자체 침투 테스트팀을 꾸려야 할 처지이다. BYOD를 포함해 업무용으로 사용하는 디바이스에 설치해도 되는지 모든 앱을 테스트해야 하는 상...

2019.07.08

기업용 스마트폰을 안전하게! 9가지 팁

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

구글 MDM 이중인증 바이러스 모바일아이언 결함 태블릿 백신 롤리팝 업데이트 iOS 스마트폰 애플 IBM 마이크로소프트 안드로이드 운영체제 블랙베리 윈도우폰 취약성

2019.01.14

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

2019.01.14

'완전한' 노트북 PC를 찾는 '불완전한' 제품 리뷰의 역설

노트북 리뷰는 세상에 존재할 수 없는 제품을 상상하는 경향이 있다.  여러 곳에서 노트북 리뷰를 읽다 보면, 일정한 패턴이 눈에 뜨일 것이다. “이 노트북은 거의 완벽하다. 만약 한 가지 큰 문제만 없다면, 거의 결함없는 제품일 것이다”라는 평가이다. PCWorld도 레이저 블레이드 스텔스를 리뷰하며 떨어지는 배터리 수명과 몇 가지 작은 불편을 제외하면 “거의 완벽함”이라고 평가했다. 그것이 약한 배터리이든 낮은 해상도의 화면이든 불편한 키보드이든 아니면 다른 것이라도 노트북은 리뷰어의 요구사항을 모두 만족한 적이 없다. 하지만 과연 노트북 자체의 결함은 얼마나 될까? 분명 리뷰어와 일반 소비자는 비판적인 시각으로 제품을 평가한다. 하지만 우리가 완벽의 개념을 잘못 사용하고, 실제로 가능한 것에 대해 비현실적인 기대치를 설정한 것인지도 모른다. 불완전함의 주요 범주를 살펴보고, 어느 정도가 합당한지, 혹은 어떤 것이 주관적이거나 확대 해석인지 알아보자. 정당한 평가 : 기술적 실패 일부 노트북의 경우 제조업체가 정당한 방법으로 뭔가를 뒤섞다가 결함을 만들어낸다. HP 파빌리온 13-b102TU에서 기계적인 클릭 소음이 계속 나는 것이나 HP 스펙터 x360의 클릭 탐지와 트랙패드 지연 문제가 대표적인 예다. 지난 해 PCWorld의 기가바이트 에어로 15 리뷰에서도 이런 사소한 문제와 부딪혔다. 뛰어난 제품이었지만, 확장 키보드 조합에 애를 먹었고, GPU 부하가 최대치일 때 카주 같은 기괴한 소리가 새어 나왔다. 이런 문제는 하드웨어와 관련된 것만이 아니다. 예를 들어, 지난 해 와이어드의 데이빗 피어스가 구글 픽셀북을 극찬했지만, 한 가지 결함으로 “안드로이드 앱이 크롬북에서는 엉망이다”라고 지적했다. 이런 리뷰의 공통된 지적은 노트북 제조업체가 제품의 원래 목표를 달성하는 데 실패했다는 것이다. 그것이 참을 수 없는 소음이거나 좀 더 넓...

노트북 리뷰 결함 완벽함

2018.08.10

노트북 리뷰는 세상에 존재할 수 없는 제품을 상상하는 경향이 있다.  여러 곳에서 노트북 리뷰를 읽다 보면, 일정한 패턴이 눈에 뜨일 것이다. “이 노트북은 거의 완벽하다. 만약 한 가지 큰 문제만 없다면, 거의 결함없는 제품일 것이다”라는 평가이다. PCWorld도 레이저 블레이드 스텔스를 리뷰하며 떨어지는 배터리 수명과 몇 가지 작은 불편을 제외하면 “거의 완벽함”이라고 평가했다. 그것이 약한 배터리이든 낮은 해상도의 화면이든 불편한 키보드이든 아니면 다른 것이라도 노트북은 리뷰어의 요구사항을 모두 만족한 적이 없다. 하지만 과연 노트북 자체의 결함은 얼마나 될까? 분명 리뷰어와 일반 소비자는 비판적인 시각으로 제품을 평가한다. 하지만 우리가 완벽의 개념을 잘못 사용하고, 실제로 가능한 것에 대해 비현실적인 기대치를 설정한 것인지도 모른다. 불완전함의 주요 범주를 살펴보고, 어느 정도가 합당한지, 혹은 어떤 것이 주관적이거나 확대 해석인지 알아보자. 정당한 평가 : 기술적 실패 일부 노트북의 경우 제조업체가 정당한 방법으로 뭔가를 뒤섞다가 결함을 만들어낸다. HP 파빌리온 13-b102TU에서 기계적인 클릭 소음이 계속 나는 것이나 HP 스펙터 x360의 클릭 탐지와 트랙패드 지연 문제가 대표적인 예다. 지난 해 PCWorld의 기가바이트 에어로 15 리뷰에서도 이런 사소한 문제와 부딪혔다. 뛰어난 제품이었지만, 확장 키보드 조합에 애를 먹었고, GPU 부하가 최대치일 때 카주 같은 기괴한 소리가 새어 나왔다. 이런 문제는 하드웨어와 관련된 것만이 아니다. 예를 들어, 지난 해 와이어드의 데이빗 피어스가 구글 픽셀북을 극찬했지만, 한 가지 결함으로 “안드로이드 앱이 크롬북에서는 엉망이다”라고 지적했다. 이런 리뷰의 공통된 지적은 노트북 제조업체가 제품의 원래 목표를 달성하는 데 실패했다는 것이다. 그것이 참을 수 없는 소음이거나 좀 더 넓...

2018.08.10

시스코 VPN의 원격 코드 실행 결함 위험도, "10점 만점에 10점"

시스코 VPN에서 아주 심각한 원격 코드 실행 및 서비스 거부 버그가 발견됐다. 이 결함의 심각도는 10점 만점에 10점으로 평가된다. 시스코는 시스코 장치 내에서 실행하는 ASA(Adaptive Security Appliance) 소프트웨어의 치명적인 보안 결함에 대한 권고안을 발표했다. 이 취약점이 악용되면 원격 코드 실행과 서비스 거부가 발생할 수 있기 때문에 지금 바로 패치해야 한다. 이 결함(CVE-2018-0101)은 CVSS(Common Vulnerability Score System) 점수 중 가장 심각한 10점으로 평가됐다는 점을 고려한다면, 이보다 더 나빠질 순 없다. CVSS 10점으로 평가된 취약점은 원격으로 쉽게 악용될 수 있고, 인증이 필요하지 않음을 의미한다. 취약점을 지닌 시스코 제품 시스코 ASA를 실행하는 제품은 다음과 같은 10개의 제품군이다. - 3000 Series ISA(Industrial Security Appliance) - ASA 5500 Series - ASA 5500-X 시리즈 차세대 방화벽(Next-Generation Firewalls) - 시스코 카탈리스트 6500 시리즈 스위치 및 시스코 7600 시리즈 라우터용 ASA 서비스 모듈(Services Module) - ASA 1000V 클라우드 파이어월(Cloud Firewall) - ASAv(Adaptive Security Virtual Appliance) - 파이어파워(Firepower) 2100 시리즈 시큐리티 어플라이언스(Security Appliance) - 파이어파워 4110 시큐리티 어플라이언스 - 파이어파워 9300 ASA 시큐리티 모듈(Security Module) - 파이어파워 FTD(Firepower Threat Defense) 소프트웨어 시스코 권고안에 따르면, 시스코 ASA(Adaptive Security Appliance) 소프트웨어의 SSL(Secure Sockets Layer) VPN...

시스코 결함 VPN

2018.02.02

시스코 VPN에서 아주 심각한 원격 코드 실행 및 서비스 거부 버그가 발견됐다. 이 결함의 심각도는 10점 만점에 10점으로 평가된다. 시스코는 시스코 장치 내에서 실행하는 ASA(Adaptive Security Appliance) 소프트웨어의 치명적인 보안 결함에 대한 권고안을 발표했다. 이 취약점이 악용되면 원격 코드 실행과 서비스 거부가 발생할 수 있기 때문에 지금 바로 패치해야 한다. 이 결함(CVE-2018-0101)은 CVSS(Common Vulnerability Score System) 점수 중 가장 심각한 10점으로 평가됐다는 점을 고려한다면, 이보다 더 나빠질 순 없다. CVSS 10점으로 평가된 취약점은 원격으로 쉽게 악용될 수 있고, 인증이 필요하지 않음을 의미한다. 취약점을 지닌 시스코 제품 시스코 ASA를 실행하는 제품은 다음과 같은 10개의 제품군이다. - 3000 Series ISA(Industrial Security Appliance) - ASA 5500 Series - ASA 5500-X 시리즈 차세대 방화벽(Next-Generation Firewalls) - 시스코 카탈리스트 6500 시리즈 스위치 및 시스코 7600 시리즈 라우터용 ASA 서비스 모듈(Services Module) - ASA 1000V 클라우드 파이어월(Cloud Firewall) - ASAv(Adaptive Security Virtual Appliance) - 파이어파워(Firepower) 2100 시리즈 시큐리티 어플라이언스(Security Appliance) - 파이어파워 4110 시큐리티 어플라이언스 - 파이어파워 9300 ASA 시큐리티 모듈(Security Module) - 파이어파워 FTD(Firepower Threat Defense) 소프트웨어 시스코 권고안에 따르면, 시스코 ASA(Adaptive Security Appliance) 소프트웨어의 SSL(Secure Sockets Layer) VPN...

2018.02.02

마이크로 서버, 네트워킹 장비용 아톰 C2000 칩에 결함···인텔, "해결 작업 진행 중"

구형 인텔 칩에 서버나 네트워킹 장비 충돌을 야기할 수 있는 결함이 존재하는 것으로 드러났다. 더 레지스터가 처음 보도한 이번 문제의 주인공은 2013년 출시된 아톰 C2000이다. 1월 인텔은 아톰 C2000 문서에 새로운 오류 내용을 추가했다. 이 칩을 탑재한 시스템이 "부팅 불능 상태나 운영 중단 현상을 보일 수 있다"는 내용이다. 이 절전형 칩은 마이크로서버나 일부 네트워킹 장비에 활용됐다. 시스코는 이 칩을 탑재한 제품이 시간이 지남에 따라 시간 설정 문제가 나타날 수 있다고 최근 고지했다. 인텔은 현재 해당 칩 문제를 해결하려는 작업을 진행하고 있다고 밝혔지만 업데이트 제공 시점에 대해서는 언급을 거부했다. 인텔 대변인은 이메일을 통해 "현재 고객사들과 정보를 공유해 문제를 해결하는 작업이 진행되고 있다. 새로운 제품 업데이트에서 일부 실리콘 수정을 반영해 수정하는 작업을 진행 중이다"라고 밝혔다. 일반적인 서버 교체 주기는 3년에서 5년이다. 그러나 네트워킹 및 스토리지 장비는 5년에서 10년까지 활용되곤 한다. 이 칩을 탑재한 장비를 이용 중인 기업은 시스템 공급사나 유통사에게 업데이트 정보를 문의할 필요가 있을 것으로 관측된다. 한편 인텔의 스카이레이크 칩에서도 복잡한 작업 중 특정 상황에서 PC가 동작을 멈추는 현상이 보고된 바 있다. 종전 서버용으로 출시되던 아톰 칩은 단종된 이후 제온-D 및 제온-E3 칩으로 대체됐다. 아톰 칩은 이제 드론이나 로봇, 게이트웨이, 스마트 기기, IoT 기기 시장을 겨냥하고 있다. ciokr@idg.co.kr  

인텔 결함 아톰 C2000

2017.02.08

구형 인텔 칩에 서버나 네트워킹 장비 충돌을 야기할 수 있는 결함이 존재하는 것으로 드러났다. 더 레지스터가 처음 보도한 이번 문제의 주인공은 2013년 출시된 아톰 C2000이다. 1월 인텔은 아톰 C2000 문서에 새로운 오류 내용을 추가했다. 이 칩을 탑재한 시스템이 "부팅 불능 상태나 운영 중단 현상을 보일 수 있다"는 내용이다. 이 절전형 칩은 마이크로서버나 일부 네트워킹 장비에 활용됐다. 시스코는 이 칩을 탑재한 제품이 시간이 지남에 따라 시간 설정 문제가 나타날 수 있다고 최근 고지했다. 인텔은 현재 해당 칩 문제를 해결하려는 작업을 진행하고 있다고 밝혔지만 업데이트 제공 시점에 대해서는 언급을 거부했다. 인텔 대변인은 이메일을 통해 "현재 고객사들과 정보를 공유해 문제를 해결하는 작업이 진행되고 있다. 새로운 제품 업데이트에서 일부 실리콘 수정을 반영해 수정하는 작업을 진행 중이다"라고 밝혔다. 일반적인 서버 교체 주기는 3년에서 5년이다. 그러나 네트워킹 및 스토리지 장비는 5년에서 10년까지 활용되곤 한다. 이 칩을 탑재한 장비를 이용 중인 기업은 시스템 공급사나 유통사에게 업데이트 정보를 문의할 필요가 있을 것으로 관측된다. 한편 인텔의 스카이레이크 칩에서도 복잡한 작업 중 특정 상황에서 PC가 동작을 멈추는 현상이 보고된 바 있다. 종전 서버용으로 출시되던 아톰 칩은 단종된 이후 제온-D 및 제온-E3 칩으로 대체됐다. 아톰 칩은 이제 드론이나 로봇, 게이트웨이, 스마트 기기, IoT 기기 시장을 겨냥하고 있다. ciokr@idg.co.kr  

2017.02.08

마이크로소프트, 68개의 결함 패치··· 2개는 이미 악용돼

마이크로소프트가 윈도우, 오피스, 엣지, 인터넷 익스플로러, SQL 서버에서 68개의 취약점을 패치했는데, 공격자들이 이 중 2개를 이미 악용했고 3개를 폭로한 것으로 파악됐다. 이번 패치는 14가지 보안 권고에도 포함돼 있다. 이 중 하나는 윈도우 10과 8.1에서 윈도우 업데이트를 통해 업그레이드된 어도비 플래시 플레이어에 해당하는 항목이다. 보안 권고 중 6가지는 핵심 사항이며, 8가지는 중요 사항이다. 보안 업계에서 팬시 베어(Fancy Bear), APT28 또는 스트론튬(Strontium)으로 알려진 공격 집단이 이미 악용하고 있는 제로데이 취약점을 취급하기 때문에 운영자는 MS16-135 권고에서 윈도우 패치를 최우선으로 해야 한다. 구글은 마이크로소프트에 통보한 10일 만인 지난주 CVE-2016-7255로 추정되는 취약점을 공식적으로 밝혔다. 이는 두 회사 간에 약간의 마찰을 일으켰다. 구글은 취약점이 공격에 악용되는 것을 발견하면 해당 업체들에게 취약점을 수정하는데 7일을 준다. 마이크로소프트는 이러한 구글의 정책에 반대하고 이 취약점에 대해 자세하게 공개하는 것이 오히려 사용자들을 위험하게 한다고 생각했다. 우선으로 처리해야 할 또 다른 윈도우 보안 공지는 MS16-132다. 이는 핵심 사항이며 마이크로소프트에 따르면, 이미 공격자들이 악용하고 있는 또다른 제로데이 결함을 포함한 다수의 원격 코드 실행 취약점을 수정해 준다. 취약점은 윈도우 폰트 라이브러리에 있고, 웹사이트나 문서에 내장된 특별히 정교하게 제작된 폰트를 통하여 악용될 수 있다. 마이크로소프트는 보안 공지에서 공격자들이 악용할 수 있게 되면 감염된 시스템을 완전히 통제할 수 있게 된다고 밝혔다. MS16-142와 MS16-129에 수록된, 인터넷 익스플로러와 엣지에 있는 3개의 다른 중대한 취약점은 패치되기 전에 공식적으로 드러났다. 하지만 마이크로소프트에 따르면, 이것들은 아직 공격에 이용되지 않았다. 오피스 보안 공지인 MS16-...

구글 SQL 서버 결함 악용 엣지 인터넷 익스플로러 패치 공격 취약점 윈도우 오피스 마이크소프트

2016.11.09

마이크로소프트가 윈도우, 오피스, 엣지, 인터넷 익스플로러, SQL 서버에서 68개의 취약점을 패치했는데, 공격자들이 이 중 2개를 이미 악용했고 3개를 폭로한 것으로 파악됐다. 이번 패치는 14가지 보안 권고에도 포함돼 있다. 이 중 하나는 윈도우 10과 8.1에서 윈도우 업데이트를 통해 업그레이드된 어도비 플래시 플레이어에 해당하는 항목이다. 보안 권고 중 6가지는 핵심 사항이며, 8가지는 중요 사항이다. 보안 업계에서 팬시 베어(Fancy Bear), APT28 또는 스트론튬(Strontium)으로 알려진 공격 집단이 이미 악용하고 있는 제로데이 취약점을 취급하기 때문에 운영자는 MS16-135 권고에서 윈도우 패치를 최우선으로 해야 한다. 구글은 마이크로소프트에 통보한 10일 만인 지난주 CVE-2016-7255로 추정되는 취약점을 공식적으로 밝혔다. 이는 두 회사 간에 약간의 마찰을 일으켰다. 구글은 취약점이 공격에 악용되는 것을 발견하면 해당 업체들에게 취약점을 수정하는데 7일을 준다. 마이크로소프트는 이러한 구글의 정책에 반대하고 이 취약점에 대해 자세하게 공개하는 것이 오히려 사용자들을 위험하게 한다고 생각했다. 우선으로 처리해야 할 또 다른 윈도우 보안 공지는 MS16-132다. 이는 핵심 사항이며 마이크로소프트에 따르면, 이미 공격자들이 악용하고 있는 또다른 제로데이 결함을 포함한 다수의 원격 코드 실행 취약점을 수정해 준다. 취약점은 윈도우 폰트 라이브러리에 있고, 웹사이트나 문서에 내장된 특별히 정교하게 제작된 폰트를 통하여 악용될 수 있다. 마이크로소프트는 보안 공지에서 공격자들이 악용할 수 있게 되면 감염된 시스템을 완전히 통제할 수 있게 된다고 밝혔다. MS16-142와 MS16-129에 수록된, 인터넷 익스플로러와 엣지에 있는 3개의 다른 중대한 취약점은 패치되기 전에 공식적으로 드러났다. 하지만 마이크로소프트에 따르면, 이것들은 아직 공격에 이용되지 않았다. 오피스 보안 공지인 MS16-...

2016.11.09

"이상한 소리, 네트워크 연결 끊김…" 기기 결함 보고 이어지는 아이폰 7

사전 예약한 아이폰 7이나 7 플러스가 도착해 기본 설정을 마쳤는데 갑자기 이상한 ‘쉿쉿’ 소리가 난다면? 혹은 홈 버튼이나 라이트닝 이어팟이 제대로 작동하지 않는다면? 아니면 셀룰러 네트워크에 연결이 되지 않는다면? 현재 일부 아이폰 7 사용자들에게 이러한 일이 일어나고 있다. 이런 문제를 경험하고 있다면 크게 숨을 한번 들이쉬고, 아래에 제시된 해결 방법을 살펴보자. 비행기 모드 이후 서비스 안 됨 이슈 : 일부 아이폰 7과 7 플러스 모델에서 비행기 모드를 설정했다가 해제한 경우, 통신망에 접속되지 않는 문제가 발생했다. 인터넷은 물론 전화 통화도 되지 않았다. AT&T 통신사를 이용하는 한 사용자가 이런 문제점을 동영상으로 촬영해 유튜브에 올렸다. 해결책 : 애플은 현재 이 문제를 조사하고 있다. 결과가 나오기 전에 소비자가 취할 수 있는 조치는 기기를 재시작하거나 SIM 카드를 뺐다 다시 넣는 것이다. 그래도 문제가 해결되지 않으면 애플 스토어에서 기기를 교체해야 한다. 맥루머(MacRumors) 보도에 따르면, 한 지니어스 바 직원이 이런 결함이 있는 기기를 기본적인 진단 테스트를 진행하지 않고 즉시 교체해주었다. PSA: Lightning headphone adapter shuts off after 5 minutes of inactivity if screen is off. Pause/volume don’t work until replugging. @atpfm — Scott O'Reilly (@scttor) 2016년 9월 18일 반응하지 않는 라이트닝 이어팟 이슈 : 비즈니스 인사이더(Business Insider)의 기자를 포함, 일부 사용자들은 아이폰 7과 7 플러스의 번들로 제공되는 라이트닝 이어팟의 소프트웨어 결함을 경험했다. 이어팟을 라이트닝 포트에 연결하고 몇 분간 사용하지 않으면 볼륨 조절 버튼이 작동되지 않는 것이다...

버그 결함 소리 라이트닝 아이폰7 이어팟

2016.09.22

사전 예약한 아이폰 7이나 7 플러스가 도착해 기본 설정을 마쳤는데 갑자기 이상한 ‘쉿쉿’ 소리가 난다면? 혹은 홈 버튼이나 라이트닝 이어팟이 제대로 작동하지 않는다면? 아니면 셀룰러 네트워크에 연결이 되지 않는다면? 현재 일부 아이폰 7 사용자들에게 이러한 일이 일어나고 있다. 이런 문제를 경험하고 있다면 크게 숨을 한번 들이쉬고, 아래에 제시된 해결 방법을 살펴보자. 비행기 모드 이후 서비스 안 됨 이슈 : 일부 아이폰 7과 7 플러스 모델에서 비행기 모드를 설정했다가 해제한 경우, 통신망에 접속되지 않는 문제가 발생했다. 인터넷은 물론 전화 통화도 되지 않았다. AT&T 통신사를 이용하는 한 사용자가 이런 문제점을 동영상으로 촬영해 유튜브에 올렸다. 해결책 : 애플은 현재 이 문제를 조사하고 있다. 결과가 나오기 전에 소비자가 취할 수 있는 조치는 기기를 재시작하거나 SIM 카드를 뺐다 다시 넣는 것이다. 그래도 문제가 해결되지 않으면 애플 스토어에서 기기를 교체해야 한다. 맥루머(MacRumors) 보도에 따르면, 한 지니어스 바 직원이 이런 결함이 있는 기기를 기본적인 진단 테스트를 진행하지 않고 즉시 교체해주었다. PSA: Lightning headphone adapter shuts off after 5 minutes of inactivity if screen is off. Pause/volume don’t work until replugging. @atpfm — Scott O'Reilly (@scttor) 2016년 9월 18일 반응하지 않는 라이트닝 이어팟 이슈 : 비즈니스 인사이더(Business Insider)의 기자를 포함, 일부 사용자들은 아이폰 7과 7 플러스의 번들로 제공되는 라이트닝 이어팟의 소프트웨어 결함을 경험했다. 이어팟을 라이트닝 포트에 연결하고 몇 분간 사용하지 않으면 볼륨 조절 버튼이 작동되지 않는 것이다...

2016.09.22

"아이폰, 안드로이드보다 고장 잦았다" 테스트 업체 블랑코 분석

애플의 아이폰이 안드로이드폰보다 더 빈번한 하드웨어 및 소프트웨어 관련 문제를 보인다는 분석이 제기됐다.  출처 : Farls Algosalbi/Flickr Creative Commons 애플의 아이폰은 우수한 품질로 명성을 얻으며 지난 몇 년간 인기를 끌었다. 특히 아이폰 운영체제 iOS는 큰 사랑을 받았다. 하지만 최근 일부 사용자들에게서 와이파이 단절, 빈번한 충돌, 심각한 배터리 수명 등의 결함과 더불어 버그가 또 다시 발견됐다. 지난주에는 아이폰 6 화면에 회색 띠가 생긴다는 하드웨어 결함도 보도됐다(애플은 해당 결함들에 대해 아직 정식으로 발표하지 않았다.). 이러한 결함이 어떻게 발생했는지 현재로서는 규명되지 않았다. 그러나 최근 스마트폰 품질을 점검하는 한 업체가 아이폰이 안드로이드폰보다 고장이 많이 나거나 생각한 문제를 겪을 수 있다고 발표하기는 했다.  블랑코 테크놀로지 그룹은 올 2분기 모바일 사용자 수백만 명의 데이터를 수집한 결과, 아이폰의 경우 고장률이 58%였다고 밝혔다. 35%인 안드로이드 기기에 비하면 매우 높은 수치다. 블랑코에 따르면 고장률이라는 용어가 스마트폰이 완전히 망가지게 되는 상태를 의미하지는 않는다. 이 회사가 이용하는 '고장'(failure)이라는 단어는 기기 혹은 운영체제에 심각한 문제가 발생하는 것을 뜻한다. 블라코는 통신사와 모바일 제조업체를 대상으로 테스트 서비스를 제공하는 업체다. 수리 및 반품 요청이 들어오는 스마트폰, 혹은 재판매 및 재작업이 필요한 스마트폰을 테스트한다. 사용자가 불평을 제기하는 기기들이 모두 결함있는 제품인 것은 아니다.  그런 맥락에서 전체 iOS 기기의 58%가 고장 날 것이라고 단정지을 수 없다. 블랑코의 최고전략책임자인 리처드 스티에논은 자사 소프트웨어가 분석한 수백만 대의 iOS 기기 중 58%가 고장났다는 의미라고 설명했다. 이번 블랑코 조사에서는 오래...

애플 아이폰 iOS 결함 문제 고장률

2016.08.30

애플의 아이폰이 안드로이드폰보다 더 빈번한 하드웨어 및 소프트웨어 관련 문제를 보인다는 분석이 제기됐다.  출처 : Farls Algosalbi/Flickr Creative Commons 애플의 아이폰은 우수한 품질로 명성을 얻으며 지난 몇 년간 인기를 끌었다. 특히 아이폰 운영체제 iOS는 큰 사랑을 받았다. 하지만 최근 일부 사용자들에게서 와이파이 단절, 빈번한 충돌, 심각한 배터리 수명 등의 결함과 더불어 버그가 또 다시 발견됐다. 지난주에는 아이폰 6 화면에 회색 띠가 생긴다는 하드웨어 결함도 보도됐다(애플은 해당 결함들에 대해 아직 정식으로 발표하지 않았다.). 이러한 결함이 어떻게 발생했는지 현재로서는 규명되지 않았다. 그러나 최근 스마트폰 품질을 점검하는 한 업체가 아이폰이 안드로이드폰보다 고장이 많이 나거나 생각한 문제를 겪을 수 있다고 발표하기는 했다.  블랑코 테크놀로지 그룹은 올 2분기 모바일 사용자 수백만 명의 데이터를 수집한 결과, 아이폰의 경우 고장률이 58%였다고 밝혔다. 35%인 안드로이드 기기에 비하면 매우 높은 수치다. 블랑코에 따르면 고장률이라는 용어가 스마트폰이 완전히 망가지게 되는 상태를 의미하지는 않는다. 이 회사가 이용하는 '고장'(failure)이라는 단어는 기기 혹은 운영체제에 심각한 문제가 발생하는 것을 뜻한다. 블라코는 통신사와 모바일 제조업체를 대상으로 테스트 서비스를 제공하는 업체다. 수리 및 반품 요청이 들어오는 스마트폰, 혹은 재판매 및 재작업이 필요한 스마트폰을 테스트한다. 사용자가 불평을 제기하는 기기들이 모두 결함있는 제품인 것은 아니다.  그런 맥락에서 전체 iOS 기기의 58%가 고장 날 것이라고 단정지을 수 없다. 블랑코의 최고전략책임자인 리처드 스티에논은 자사 소프트웨어가 분석한 수백만 대의 iOS 기기 중 58%가 고장났다는 의미라고 설명했다. 이번 블랑코 조사에서는 오래...

2016.08.30

블로그 | '버그 잔치' 열린 윈도우 10 1주년 업데이트

마이크로소프트의 대규모 윈도우 10 1주년 업데이트가 일부 사용자들에게 심각한 문제를 유발하고 있다. 현재로서는 마이크로소프트가 이 심각한 버그를 해결할 때까지 관망하는 편이 좋아 보인다. 출처 : Getty Images Bank 필자는 지난달 독자들에게 마이크로소프트의 윈도우 10 1주년 업데이트에 버그가 있을 수 있다고 경고하면서 윈도우 10 설치를 보류하라고 권고한 바 있다. 안타깝게도 이 조언은 적절했던 것 같다. 윈도우 10 1주년 업데이트 버그  이번 업데이트에서 심각한 버그가 다수 보고되고 있다. 시스템이 중단되고 브라우저에 오류가 발생하고 X박스 원 컨트롤러 등의 주변기기가 오작동을 일으키는 현상 등이다. 또 주요 안티바이러스 업체 두 곳은 윈도우 10 호환성 문제로 인해 사용자들이 보안 위험에 노출될 수 있다고 경고했다. 설상가상으로 마이크로소프트는 최근 윈도우 10 이전 버전 복구 정책을 변경했다. 변경 이전에는 윈도우 10으로 업그레이드를 했더라도 30일 안에는 이전 OS로 복구할 수 있었다. 지금은 10일 안에만 1주년 업데이트 버전으로 되돌릴 수 있다. 사실 어떤 주요 소프트웨어 업데이트에도 버그가 조금씩은 따라오기 마련이다. 하지만 이번에 보고된 1주년 업데이트 문제는 버그의 양이나 잠재적 심각성으로 볼 때 예사롭지 않다.  일단 1주년 업데이트 설치를 미루고 기다린다면 시간과 노력을 낭비하지 않을 수 있다. 이미 1주년 업데이트를 마쳤지만 아무런 문제가 나타나지 않는다면 걱정할 필요는 없다. 문제가 있다면 최대한 빨리 이전 버전으로 복구하는 것이 권장된다.  마이크로소프트는 조만간 해당 결함들을 수정할 것으로 보인다. 결정적으로 윈도우 10의 경우 꽤 견고한 OS라서 일단 패치가 이뤄지고 나면 1주년 업데이트는 제품 향상에 기여할 것 같다. (<CIO>는 마이크로소프트에 버그 보고와 관련해 답변을 요청했지만 아직 받지 못 ...

버그 업그레이드 결함 OS 이전 윈도우 10 1주년 업데이트

2016.08.10

마이크로소프트의 대규모 윈도우 10 1주년 업데이트가 일부 사용자들에게 심각한 문제를 유발하고 있다. 현재로서는 마이크로소프트가 이 심각한 버그를 해결할 때까지 관망하는 편이 좋아 보인다. 출처 : Getty Images Bank 필자는 지난달 독자들에게 마이크로소프트의 윈도우 10 1주년 업데이트에 버그가 있을 수 있다고 경고하면서 윈도우 10 설치를 보류하라고 권고한 바 있다. 안타깝게도 이 조언은 적절했던 것 같다. 윈도우 10 1주년 업데이트 버그  이번 업데이트에서 심각한 버그가 다수 보고되고 있다. 시스템이 중단되고 브라우저에 오류가 발생하고 X박스 원 컨트롤러 등의 주변기기가 오작동을 일으키는 현상 등이다. 또 주요 안티바이러스 업체 두 곳은 윈도우 10 호환성 문제로 인해 사용자들이 보안 위험에 노출될 수 있다고 경고했다. 설상가상으로 마이크로소프트는 최근 윈도우 10 이전 버전 복구 정책을 변경했다. 변경 이전에는 윈도우 10으로 업그레이드를 했더라도 30일 안에는 이전 OS로 복구할 수 있었다. 지금은 10일 안에만 1주년 업데이트 버전으로 되돌릴 수 있다. 사실 어떤 주요 소프트웨어 업데이트에도 버그가 조금씩은 따라오기 마련이다. 하지만 이번에 보고된 1주년 업데이트 문제는 버그의 양이나 잠재적 심각성으로 볼 때 예사롭지 않다.  일단 1주년 업데이트 설치를 미루고 기다린다면 시간과 노력을 낭비하지 않을 수 있다. 이미 1주년 업데이트를 마쳤지만 아무런 문제가 나타나지 않는다면 걱정할 필요는 없다. 문제가 있다면 최대한 빨리 이전 버전으로 복구하는 것이 권장된다.  마이크로소프트는 조만간 해당 결함들을 수정할 것으로 보인다. 결정적으로 윈도우 10의 경우 꽤 견고한 OS라서 일단 패치가 이뤄지고 나면 1주년 업데이트는 제품 향상에 기여할 것 같다. (<CIO>는 마이크로소프트에 버그 보고와 관련해 답변을 요청했지만 아직 받지 못 ...

2016.08.10

구글, 안드로이드 보안 결함 100개 이상 수정

구글은 지난 6일 안드로이드의 자체 부문과 여러 제조업체에서 나온 특정 칩셋 드라이버에서 100개가 넘는 결함을 수정하는 새로운 안드로이드 패치를 배포했다. Credit: Martyn Williams 비디오와 오디오 스트림을 처리하고 과거 많은 취약점의 근원이었던 안드로이드의 미디어 서버가 이번 보안 업데이트의 주역이었다. 여기에서 16개의 안드로이드 취약점과 그 중 공격자들이 더 높은 권한으로 코드를 실행하게 해주는 7가지 치명적 결함을 발견했다. 이 버그들은 특수 제작된 오디오나 비디오 파일을 브라우저, 이메일, 메시지 앱 등을 통해 사용자의 기기로 전송함으로써 활용된다. 미디어서버 결함으로 인해 구글 행아웃(Hangouts)과 기본 안드로이드 메신저 앱은 더 이상 자동으로 미디어를 전달하지 않는다. 수정된 또 다른 치명적 취약점은 안드로이드 OS에 딸려온 오픈SSL과 보링SSL 크립토 라이브러리였다. 이 결함 역시 영향 받는 프로세스의 맥락 내 코드를 실행시키기 위해 특수 제작된 파일을 통해 활용될 수 있다. 7월 보안 패치는 두 부분으로 나뉘어 있다. 하나는 모든 안드로이드 기기에 적용되는 패치고 다른 하나는 영향 받은 칩셋 드라이버를 포함한 기기에만 적용되는 패치다. 휴대폰 제조업체들은 자사의 핸드폰을 두 가지 패치 레벨 가운데 하나를 선택해 업그레이드 하게 된다. 하나는 기기 특정 수정을 포함한 2016-07-01이고, 2016-07-01 수정을 포함하고 거기에 기기 특정 수정까지 포함한 2016-07-05가 있다. 날짜로 표시된 패치 레벨은 안드로이드의 '기기 정보' 아래 설정에 표시되고 지금까지 모든 안드로이드 보안 패치를 포함한 펌웨어를 표시한다. 이는 새 버전의 안드로이드에만 존재한다. 2016-07-01 패치 레벨에는 32가지 취약점에 대한 수정이 포함되었다. 이 가운데 8개는 치명적이고 15개는 심각하고 9개는 보통이다. 2016-07-05 보안 패치 레벨에는 추가적으로 엄...

구글 안드로이드 결함

2016.07.11

구글은 지난 6일 안드로이드의 자체 부문과 여러 제조업체에서 나온 특정 칩셋 드라이버에서 100개가 넘는 결함을 수정하는 새로운 안드로이드 패치를 배포했다. Credit: Martyn Williams 비디오와 오디오 스트림을 처리하고 과거 많은 취약점의 근원이었던 안드로이드의 미디어 서버가 이번 보안 업데이트의 주역이었다. 여기에서 16개의 안드로이드 취약점과 그 중 공격자들이 더 높은 권한으로 코드를 실행하게 해주는 7가지 치명적 결함을 발견했다. 이 버그들은 특수 제작된 오디오나 비디오 파일을 브라우저, 이메일, 메시지 앱 등을 통해 사용자의 기기로 전송함으로써 활용된다. 미디어서버 결함으로 인해 구글 행아웃(Hangouts)과 기본 안드로이드 메신저 앱은 더 이상 자동으로 미디어를 전달하지 않는다. 수정된 또 다른 치명적 취약점은 안드로이드 OS에 딸려온 오픈SSL과 보링SSL 크립토 라이브러리였다. 이 결함 역시 영향 받는 프로세스의 맥락 내 코드를 실행시키기 위해 특수 제작된 파일을 통해 활용될 수 있다. 7월 보안 패치는 두 부분으로 나뉘어 있다. 하나는 모든 안드로이드 기기에 적용되는 패치고 다른 하나는 영향 받은 칩셋 드라이버를 포함한 기기에만 적용되는 패치다. 휴대폰 제조업체들은 자사의 핸드폰을 두 가지 패치 레벨 가운데 하나를 선택해 업그레이드 하게 된다. 하나는 기기 특정 수정을 포함한 2016-07-01이고, 2016-07-01 수정을 포함하고 거기에 기기 특정 수정까지 포함한 2016-07-05가 있다. 날짜로 표시된 패치 레벨은 안드로이드의 '기기 정보' 아래 설정에 표시되고 지금까지 모든 안드로이드 보안 패치를 포함한 펌웨어를 표시한다. 이는 새 버전의 안드로이드에만 존재한다. 2016-07-01 패치 레벨에는 32가지 취약점에 대한 수정이 포함되었다. 이 가운데 8개는 치명적이고 15개는 심각하고 9개는 보통이다. 2016-07-05 보안 패치 레벨에는 추가적으로 엄...

2016.07.11

안드로이드 '풀-디스크 암호화' 무력화 가능성··· 퀄컴 기반 기기가 주인공

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

안드로이드 취약점 퀄컴 결함 풀 디스크 암호화 FDE 무차별 대입 공격

2016.07.05

퀄컴 기반 안드로이드 기기에서 무차별 대입 공격(brute-force attack)에 취약한 결함이 발견됐다. 해커뿐 아니라 법 집행기관의 의뢰를 받은 안드로이드 기기 제조사에 의해서도 악용될 소지가 있다는 점에 눈길을 끈다.  안드로이드의 풀 디스크 암호화는 무차별 대입 공격에 취약하다. 출처 : IDGNS 퀄컴 칩셋이 탑재된 안드로이드 기기에서 악용 가능성 높은 취약점이 출현했다. 사용자 데이터를 보호하는 암호화키를 추출하고 무차별 대입 공격을 감행하는데 활용될 수 있는 취약점이다.  이는 지난주 보안 연구원 갈 베니아미니가 지적한 사항으로, 공격자는 두 개의 취약점을 이용해 무차별 대입 공격을 시도할 수 있다. 퀄컴은 ARM CPU 트러스트존 내에 존재하는 이들 취약점을 올해 패치한 바 있지만 여전히 수많은 기기가 이 위험에 노출된 상태다.  ARM 트러스트존은 메인 OS와 따로 작동하는 자체 TEE(Trusted Execution Environment)와 커널을 구동하는 하드웨어 보안 모듈이다. 퀄컴의 경우는 TEE를 QSEE(Qualcomm Secure Execution Environment)라고 지칭하고 있다.  안드로이드 기기의 풀 디스크 암호화는 DEK(device encryption key)라고 불리는 무작위로 생성된 키를 통해 관리된다. DEK는 PIN, 비밀번호, 패턴 등에서 비롯된 다른 키와 함께 자체 암호화가 이뤄진다. 만약 공격자들이 DEK 추출에 성공하면, 무차별 대입 공격을 감행해 기기 비밀번호를 알아낼 수 있다. 비밀번호 오입력 시 지연현상을 일으키는 소프트웨어 보호책이 동작하지 않기 때문이다. TEE에서 구동되는 애플리케이션인 키마스터를 활용해 DEK를 기기 하드웨어에 묶어버리는 방법을 통해서다.  베니아미니는 이와 관련해 iOS의 경우 소프트웨어로 추출되지 않는 하드웨어 기반 키인 UID에 DEK를 묶지만, 퀄컴의 경우는 QSEE...

2016.07.05

시만텍 제품의 웜 가능성 결함으로 수백만 대의 컴퓨터, 해킹에 노출

구글의 한 보안 연구원이 안티바이러스 업체인 시만텍(Symantec)의 기업 및 소비자 제품에서 해커가 손쉽게 악용해 컴퓨터를 제어할 수 있는 매우 심각한 취약성을 발견했다. 시만텍은 영향을 받는 제품을 위한 패치를 공개했지만 일부 제품이 자동으로 업데이트되는 반면, 영향을 받는 일부 기업용 제품은 수동 개입이 필요한 상황이다. 구글의 프로젝트 제로(Project Zero)팀의 연구원으로 다른 벤더의 백신 제품에서 유사한 취약점을 발견한 타비스 오만디가 해당 결함을 발견했다. 이 팀은 안티바이러스 세계에서 연구원들이 발견한 형편없는 소프트웨어 보안 상태에 집중하고 있다. 오만디가 발견한 대부분의 새로운 결함은 시만텍 안티바이러스 엔진의 컴포저(Decomposer) 구성요소에 위치하고 있다. 이 구성요소는 RAR과 ZIP 등의 압축 파일을 포함해 다양한 파일 형식의 분석을 처리한다. 또한 디컴포저는 윈도우 시스템에서 가장 권한이 많은 시스템 사용자로 구동한다. 시만텍은 이 취약점에 대한 의견을 내놓지 않았다. 보안 연구원들은 안티바이러스 벤더들이 불필요하게 높은 권한을 통한 파일 분석 등 위험한 작업을 수행한다고 여러 번 비판한 바 있다. 역사적으로 이 작업은 모든 종류의 애플리케이션에서 여러 임의적인 코드 실행 취약점의 근원이었다. 오만디는 시만텍 코드의 취약성을 이용해 ZIP, RAR, LZH, LHA, CAB, MIME, TNEF, PPT 파일을 처리했다는 사실을 발견했다. 이런 결함의 대부분은 원격 코드 실행으로 이어질 수 있으며, 웜(Worm)을 적용할 수 있기 때문에 컴퓨터 웜을 생성하는데 사용될 수 있다. 오만디는 블로그 게시물을 통해 "시만텍은 필터 드라이버를 이용해 모든 시스템 I/O(입출력 작업)를 가로채기 때문에 피해자에게 이메일로 파일을 송부하거나 링크를 전송해 이를 동작시킬 수 있으며, 피해자는 파일을 열거나 상호작용할 필요가 없다"고 밝혔다. 더욱 놀라운 것은 시만텍이 오픈소스 라이...

보안 시만텍 결함

2016.07.04

구글의 한 보안 연구원이 안티바이러스 업체인 시만텍(Symantec)의 기업 및 소비자 제품에서 해커가 손쉽게 악용해 컴퓨터를 제어할 수 있는 매우 심각한 취약성을 발견했다. 시만텍은 영향을 받는 제품을 위한 패치를 공개했지만 일부 제품이 자동으로 업데이트되는 반면, 영향을 받는 일부 기업용 제품은 수동 개입이 필요한 상황이다. 구글의 프로젝트 제로(Project Zero)팀의 연구원으로 다른 벤더의 백신 제품에서 유사한 취약점을 발견한 타비스 오만디가 해당 결함을 발견했다. 이 팀은 안티바이러스 세계에서 연구원들이 발견한 형편없는 소프트웨어 보안 상태에 집중하고 있다. 오만디가 발견한 대부분의 새로운 결함은 시만텍 안티바이러스 엔진의 컴포저(Decomposer) 구성요소에 위치하고 있다. 이 구성요소는 RAR과 ZIP 등의 압축 파일을 포함해 다양한 파일 형식의 분석을 처리한다. 또한 디컴포저는 윈도우 시스템에서 가장 권한이 많은 시스템 사용자로 구동한다. 시만텍은 이 취약점에 대한 의견을 내놓지 않았다. 보안 연구원들은 안티바이러스 벤더들이 불필요하게 높은 권한을 통한 파일 분석 등 위험한 작업을 수행한다고 여러 번 비판한 바 있다. 역사적으로 이 작업은 모든 종류의 애플리케이션에서 여러 임의적인 코드 실행 취약점의 근원이었다. 오만디는 시만텍 코드의 취약성을 이용해 ZIP, RAR, LZH, LHA, CAB, MIME, TNEF, PPT 파일을 처리했다는 사실을 발견했다. 이런 결함의 대부분은 원격 코드 실행으로 이어질 수 있으며, 웜(Worm)을 적용할 수 있기 때문에 컴퓨터 웜을 생성하는데 사용될 수 있다. 오만디는 블로그 게시물을 통해 "시만텍은 필터 드라이버를 이용해 모든 시스템 I/O(입출력 작업)를 가로채기 때문에 피해자에게 이메일로 파일을 송부하거나 링크를 전송해 이를 동작시킬 수 있으며, 피해자는 파일을 열거나 상호작용할 필요가 없다"고 밝혔다. 더욱 놀라운 것은 시만텍이 오픈소스 라이...

2016.07.04

더 나은 '코드 보안'을 위한 5가지 개발 툴

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다. 직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자. 코디스코프 잭스(Codiscope Jacks) 코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다. 코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다. 잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다. 라이언...

취약점 코드 결함 IDE 개발 툴

2016.04.05

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다. 직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자. 코디스코프 잭스(Codiscope Jacks) 코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다. 코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다. 잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다. 라이언...

2016.04.05

레노버·도시바·델 지원 소프트웨어에서 취약점 발견

PC 제조사들이 설치한 지원 애플리케이션에서 보안 결함이 발견됐다. 레노버 씽크패드 X240 (2). 이지미 출처 : Lenovo PC 제조사가 설치해 놓은 기술 지원 애플리케이션에서 발견된 취약점의 수가 계속 늘어나고 있다. 레노버 솔루션 센터(Lenovo Solution Center), 도시바 서비스 스테이션(Toshiba Service Station), 델 시스템 디텍트(Dell System Detect)에서 결함이 있는 것으로 밝혀졌다. 가장 심각한 결함은 레노버 솔루션 센터에 있는 것으로 나타났고 이는 악성 웹 페이지가 시스템 권한으로 레노버의 윈도우 기반 컴퓨터에서 코드를 실행할 수도 있다.   온라인에서 슬립스티림(slipstream)과 RoL이라는 이름으로 활동하는 해커가 이 결함을 발견했으며 지난주 그것들을 악용하는 개념 증명을 발표했다. 이는 보안 권고 사항을 공식 발표하는 카네기 멜론대학의 CERT 코디네이션센터로 전달됐다. 이 문제 중 하나는 레노버 솔루션 센터가 만들어낸 LSCTaskService 때문에 야기됐으며 시스템 권한과 함께 실행하고 있다. 이 서비스는 명령을 수신할 수 포트 55555에서 HTTP 데몬을 연다. 이러한 명령 중 하나는 런인스톨러(RunInstaller)라고 하며 이는 ‘%APPDATA%\LSC\로컬 저장 폴더’에서 파일을 실행한다.   모든 로컬 사용자는 자신들의 권한에 상관없이 이 디렉토리에 쓸 수 있지만 파일은 시스템 계정으로 실행된다. 이는 제한된 사용자가 시스템 전체의 권한을 취득하기 위한 논리의 결함을 악용할 수 있음을 의미한다. 또 공격자가 있어도 위의 로컬 저장소의 폴더에 파일을 배치할 필요가 없기 때문에 어떤 위치에서 코드를 실행하는 레노버 솔루션 센터를 속이기 위해 활용할 수 있는 디렉토리 탐색 취약점이 존재한다. 결국 LSCTaskService는 악의적인 웹 사이트가 사용자의 브라우저를 통해 잘못된 요청을 중계할...

PC 취약점 레노버 결함 도시바 지원 애플리케이션 악성 웹 페이지

2015.12.08

PC 제조사들이 설치한 지원 애플리케이션에서 보안 결함이 발견됐다. 레노버 씽크패드 X240 (2). 이지미 출처 : Lenovo PC 제조사가 설치해 놓은 기술 지원 애플리케이션에서 발견된 취약점의 수가 계속 늘어나고 있다. 레노버 솔루션 센터(Lenovo Solution Center), 도시바 서비스 스테이션(Toshiba Service Station), 델 시스템 디텍트(Dell System Detect)에서 결함이 있는 것으로 밝혀졌다. 가장 심각한 결함은 레노버 솔루션 센터에 있는 것으로 나타났고 이는 악성 웹 페이지가 시스템 권한으로 레노버의 윈도우 기반 컴퓨터에서 코드를 실행할 수도 있다.   온라인에서 슬립스티림(slipstream)과 RoL이라는 이름으로 활동하는 해커가 이 결함을 발견했으며 지난주 그것들을 악용하는 개념 증명을 발표했다. 이는 보안 권고 사항을 공식 발표하는 카네기 멜론대학의 CERT 코디네이션센터로 전달됐다. 이 문제 중 하나는 레노버 솔루션 센터가 만들어낸 LSCTaskService 때문에 야기됐으며 시스템 권한과 함께 실행하고 있다. 이 서비스는 명령을 수신할 수 포트 55555에서 HTTP 데몬을 연다. 이러한 명령 중 하나는 런인스톨러(RunInstaller)라고 하며 이는 ‘%APPDATA%\LSC\로컬 저장 폴더’에서 파일을 실행한다.   모든 로컬 사용자는 자신들의 권한에 상관없이 이 디렉토리에 쓸 수 있지만 파일은 시스템 계정으로 실행된다. 이는 제한된 사용자가 시스템 전체의 권한을 취득하기 위한 논리의 결함을 악용할 수 있음을 의미한다. 또 공격자가 있어도 위의 로컬 저장소의 폴더에 파일을 배치할 필요가 없기 때문에 어떤 위치에서 코드를 실행하는 레노버 솔루션 센터를 속이기 위해 활용할 수 있는 디렉토리 탐색 취약점이 존재한다. 결국 LSCTaskService는 악의적인 웹 사이트가 사용자의 브라우저를 통해 잘못된 요청을 중계할...

2015.12.08

펌웨어 이미지에서 취약점 대량 발견… IoT 보안 '위험 신호'

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

보안 IoT 빌리지 디프캠프 유러콤 보훔루르대학교 펌웨어 이미지 임베디드 기기 IoT 보안 디링크 리눅스 비트디펜더 펌웨어 결함 취약점 미크로틱

2015.11.23

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

2015.11.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6