Offcanvas

���������

HP, 프린터 250종 보안 취약점 보고

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다.  게이트웨이 LLMNR 프로토콜 첫 번째 취약점인 CVE-2022-3942는 위험 등급 8.4에 해당한다. 독일 하이세(Heise)에 따르면 공격자는 이 펌웨어 취약점을 사용해 원격으로 버퍼 오버플로우를 일으킬 수 있다. 이를 통해 악성 코드를 주입하고 실행할 수 있다는 설명이다.  이때 LLMNR(Link-Local Multicast Name Resolution)이라는 프로토콜이 해커의 게이트웨이 역할을 한다. 이 프로토콜이 IPv4 및 IPv6 호스트 이름을 동일한 로컬 네트워크에 있는 호스트의 편집 가능한 숫자 주소로 변화시키는 것이다. 참고로 이 프로토콜은 윈도우 비스타, 윈도우 폰, 윈도우 10 모바일 이후의 모든 윈도우 버전에 기본 내장돼 있다. HP는 장치에서 LLMNR 프로토콜을 비활성화해도 취약점을 완화할 수 있다고 밝혔다.  취약점을 내장한 모델로는 HP 컬러 레이저젯, 디자인젯, 데스크젯, HP 디지털 센더, 레이저젯, 오피스젯 프로, 페이지와이드, 스캔젯 엔터프라이즈 등이 있다.  한편 HP는 20개 이상의 다른 모델에 대해 CVE-2022-24291, CVE-2022-24292 및 CVE-2022-24293라는 3가지 취약점을 보고했다. 이중 2개는 심각한 등급으로 분류된다. HP는 최신 펌웨어로 업데이트하는 것이 현재로서는 유일한 해결책이라고 강조했다.  HP 프린터 기종의 취약점과 관련한 사례는 종종 있었다. 2021년 말에만 해도 보안 연구원들은 150종 이상의 모델에서 심각한 보안 취약점을 발견한 바 있다. 해당 취약점은 해커가 프린터에 접근해 인쇄물, 스캔 콘텐츠, 팩스 콘텐츠를 확인할 수 있는 위험성과 기기의 로그인 데이터를...

HP 프린터 취약점 보안 취약점 LLMNR 프로토콜 펌웨어

2022.03.24

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다.  게이트웨이 LLMNR 프로토콜 첫 번째 취약점인 CVE-2022-3942는 위험 등급 8.4에 해당한다. 독일 하이세(Heise)에 따르면 공격자는 이 펌웨어 취약점을 사용해 원격으로 버퍼 오버플로우를 일으킬 수 있다. 이를 통해 악성 코드를 주입하고 실행할 수 있다는 설명이다.  이때 LLMNR(Link-Local Multicast Name Resolution)이라는 프로토콜이 해커의 게이트웨이 역할을 한다. 이 프로토콜이 IPv4 및 IPv6 호스트 이름을 동일한 로컬 네트워크에 있는 호스트의 편집 가능한 숫자 주소로 변화시키는 것이다. 참고로 이 프로토콜은 윈도우 비스타, 윈도우 폰, 윈도우 10 모바일 이후의 모든 윈도우 버전에 기본 내장돼 있다. HP는 장치에서 LLMNR 프로토콜을 비활성화해도 취약점을 완화할 수 있다고 밝혔다.  취약점을 내장한 모델로는 HP 컬러 레이저젯, 디자인젯, 데스크젯, HP 디지털 센더, 레이저젯, 오피스젯 프로, 페이지와이드, 스캔젯 엔터프라이즈 등이 있다.  한편 HP는 20개 이상의 다른 모델에 대해 CVE-2022-24291, CVE-2022-24292 및 CVE-2022-24293라는 3가지 취약점을 보고했다. 이중 2개는 심각한 등급으로 분류된다. HP는 최신 펌웨어로 업데이트하는 것이 현재로서는 유일한 해결책이라고 강조했다.  HP 프린터 기종의 취약점과 관련한 사례는 종종 있었다. 2021년 말에만 해도 보안 연구원들은 150종 이상의 모델에서 심각한 보안 취약점을 발견한 바 있다. 해당 취약점은 해커가 프린터에 접근해 인쇄물, 스캔 콘텐츠, 팩스 콘텐츠를 확인할 수 있는 위험성과 기기의 로그인 데이터를...

2022.03.24

인피니언, 새 OPTIGA TPM 출시··· "PQC 보호 펌웨어 업데이트 메커니즘 제공"

인피니언 테크놀로지스가 보안을 한 차원 높이는 새로운 OPTIGA TPM(Trusted Platform Module) SLB 9672를 출시한다고 2월 16일 밝혔다. SLB 9672는 미래형 보안 솔루션으로 XMSS 서명을 사용하는 PQC(Post-Quantum Cryptography) 보호 펌웨어 업데이트 메커니즘을 제공한다.   회사에 따르면 이 메커니즘은 양자 컴퓨터를 사용하는 공격자로부터의 펌웨어 손상 위협에 대응하고 양자 내성 펌웨어 업그레이드 경로를 활성화하여 디바이스의 장기 사용 가능성을 높인다. 표준화되고 바로 사용 가능한 TPM은 PC, 서버, 커넥티드 디바이스의 ID와 소프트웨어 상태를 안전하게 설정하고, 저장됐거나 전송중인 데이터의 무결성과 기밀성을 보호하기 위한 견고한 기반을 제공한다. 인피니언 OPTIGA TPM 제품군에 새롭게 추가된 SLB 9672는 PQC 기반의 추가 검사와 256비트 키 길이의 펌웨어 업데이트 메커니즘을 제공한다. 강력하고 신뢰할 수 있는 업데이트 메커니즘을 사용해 표준 알고리즘을 더 이상 신뢰할 수 없게 되었을 때도 OPTIGA TPM SLB 9672를 업데이트할 수 있다. 뿐만 아니라 펌웨어가 훼손되었을 때 그 영향을 차단하는 페일 세이프(fail-safe) 기능을 사용해서 향상된 컴퓨팅 성능을 달성하도록 한다. 예를 들어서 내장된 페일 세이프 기능은 NIST SP 800-193 플랫폼 펌웨어 복구 가이드라인에 따라 TPM 펌웨어 복구가 가능하도록 한다고 업체 측은 설명했다. 이 TPM은 추가적인 인증서와 암호화 키 같은 새로운 기능을 저장하도록 확장된 비휘발성 메모리를 제공한다. 보안 평가와 인증은 CC(Common Criteria)와 FIPS 규격에 따라 외부 기관에서 수행된다. 또한 TCG(Trusted Computing Group) 규격(TPM 2.0 표준 버전 1.59)을 완벽하게 충족하고, 최신 TPM 2.0 표준에 따라 인증됐다. 표준화된 신뢰 기반(trust base)과 설계...

인피니언 보안 펌웨어

2022.02.16

인피니언 테크놀로지스가 보안을 한 차원 높이는 새로운 OPTIGA TPM(Trusted Platform Module) SLB 9672를 출시한다고 2월 16일 밝혔다. SLB 9672는 미래형 보안 솔루션으로 XMSS 서명을 사용하는 PQC(Post-Quantum Cryptography) 보호 펌웨어 업데이트 메커니즘을 제공한다.   회사에 따르면 이 메커니즘은 양자 컴퓨터를 사용하는 공격자로부터의 펌웨어 손상 위협에 대응하고 양자 내성 펌웨어 업그레이드 경로를 활성화하여 디바이스의 장기 사용 가능성을 높인다. 표준화되고 바로 사용 가능한 TPM은 PC, 서버, 커넥티드 디바이스의 ID와 소프트웨어 상태를 안전하게 설정하고, 저장됐거나 전송중인 데이터의 무결성과 기밀성을 보호하기 위한 견고한 기반을 제공한다. 인피니언 OPTIGA TPM 제품군에 새롭게 추가된 SLB 9672는 PQC 기반의 추가 검사와 256비트 키 길이의 펌웨어 업데이트 메커니즘을 제공한다. 강력하고 신뢰할 수 있는 업데이트 메커니즘을 사용해 표준 알고리즘을 더 이상 신뢰할 수 없게 되었을 때도 OPTIGA TPM SLB 9672를 업데이트할 수 있다. 뿐만 아니라 펌웨어가 훼손되었을 때 그 영향을 차단하는 페일 세이프(fail-safe) 기능을 사용해서 향상된 컴퓨팅 성능을 달성하도록 한다. 예를 들어서 내장된 페일 세이프 기능은 NIST SP 800-193 플랫폼 펌웨어 복구 가이드라인에 따라 TPM 펌웨어 복구가 가능하도록 한다고 업체 측은 설명했다. 이 TPM은 추가적인 인증서와 암호화 키 같은 새로운 기능을 저장하도록 확장된 비휘발성 메모리를 제공한다. 보안 평가와 인증은 CC(Common Criteria)와 FIPS 규격에 따라 외부 기관에서 수행된다. 또한 TCG(Trusted Computing Group) 규격(TPM 2.0 표준 버전 1.59)을 완벽하게 충족하고, 최신 TPM 2.0 표준에 따라 인증됐다. 표준화된 신뢰 기반(trust base)과 설계...

2022.02.16

쿤텍, 펌웨어 보안 취약점 분석 기술 개발… "5G 서비스 활성화 지원"

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다.   쿤텍은 이 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의 활성화를 지원한다고 밝혔다.  한국전자통신연구원(ETRI)이 개발한 펌웨어 분석 모듈을 기반으로 쿤텍이 고도화에 성공한 해당 펌웨어 분석 및 검증 기술은 하드웨어에 내재돼 있는 취약점을 분석하고 검증한다. 이 기술을 통해 최근 보급이 확대되고 있는 5G 장비 대상의 악의적인 사이버 공격으로 인한 피해의 사전 예방 지원이 가능할 것으로 전망된다. 쿤텍의 펌웨어 취약점 분석 및 검증 기술은 ETRI로부터 기술 이전받은 분석 모듈을 이용해 펌웨어에 대한 분석 및 변조 여부를 확인한다. 그리고 분석 대상 장비에서 추출된 펌웨어 바이너리를 커널, 1st 부트로더, 2nd 부트로더, 2nd 부트로더 복구 영역 등으로 분류해 빠르고 정확하게 펌웨어를 분석한다.  특히, 쿤텍의 펌웨어 분석 기술은 대상 펌웨어에서 전자서명을 통해 무결성을 검증하는 부분을 우회해서 바이너리를 수정할 수 있고, 펌웨어를 수정해 장비 원격관리 프로토콜을 통해 펌웨어 변조를 통한 공격과 특정 메모리 영역의 정보 탈취 공격이 실제로 수행될 수 있다는 점을 실증했다.  또한, 제조업체가 제공하는 펌웨어와 비교 대상 장비에서 추출한 펌웨어 바이너리를 직접적으로 비교해 펌웨어의 변조 여부를 확인한다. 각 영역별 해시값의 비교 수행 후, 해시값이 상이한 영역에 대한 바이너리만 추가로 분석하여 전체 펌웨어를 바이트 단위로 비교할 경우 발생할 수 있는 과부하를 제거해 분석 효율성을 높였다. 쿤텍은 해당 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의...

쿤텍 펌웨어 보안 취약점 5G

2021.11.25

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다.   쿤텍은 이 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의 활성화를 지원한다고 밝혔다.  한국전자통신연구원(ETRI)이 개발한 펌웨어 분석 모듈을 기반으로 쿤텍이 고도화에 성공한 해당 펌웨어 분석 및 검증 기술은 하드웨어에 내재돼 있는 취약점을 분석하고 검증한다. 이 기술을 통해 최근 보급이 확대되고 있는 5G 장비 대상의 악의적인 사이버 공격으로 인한 피해의 사전 예방 지원이 가능할 것으로 전망된다. 쿤텍의 펌웨어 취약점 분석 및 검증 기술은 ETRI로부터 기술 이전받은 분석 모듈을 이용해 펌웨어에 대한 분석 및 변조 여부를 확인한다. 그리고 분석 대상 장비에서 추출된 펌웨어 바이너리를 커널, 1st 부트로더, 2nd 부트로더, 2nd 부트로더 복구 영역 등으로 분류해 빠르고 정확하게 펌웨어를 분석한다.  특히, 쿤텍의 펌웨어 분석 기술은 대상 펌웨어에서 전자서명을 통해 무결성을 검증하는 부분을 우회해서 바이너리를 수정할 수 있고, 펌웨어를 수정해 장비 원격관리 프로토콜을 통해 펌웨어 변조를 통한 공격과 특정 메모리 영역의 정보 탈취 공격이 실제로 수행될 수 있다는 점을 실증했다.  또한, 제조업체가 제공하는 펌웨어와 비교 대상 장비에서 추출한 펌웨어 바이너리를 직접적으로 비교해 펌웨어의 변조 여부를 확인한다. 각 영역별 해시값의 비교 수행 후, 해시값이 상이한 영역에 대한 바이너리만 추가로 분석하여 전체 펌웨어를 바이트 단위로 비교할 경우 발생할 수 있는 과부하를 제거해 분석 효율성을 높였다. 쿤텍은 해당 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의...

2021.11.25

"인텔 칩의 설계 결함, 보안 훼손 가능" 연구팀 경고

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

CSO 시큐어 키 스토리지 SRAM SKS Secure Key Storage CSME 10세대 인텔 플랫폼 포지티브 테크놀로지스 펌웨어 결함 BIOS 반도체 패치 취약점 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진

2020.03.09

지난 5월 인텔은 자사 칩셋의 몇 가지 하드웨어 보안 기능에 영향을 주는 취약점에 대한 펌웨어 패치를 공개했다. 디지털 권한 관리, 디바이스 확인, 펌웨어 검증, 암호 키의 안전한 보관, 디스크 암호화 등을 위해 사용되는 칩셋이다. 현재 한 보안 연구팀은 이 결함 가운데 하나를 지목하며 “패치가 불가능하고, 인텔 기반 시스템의 암호화 신뢰 체인을 완전히 훼손할 수 있다”라고 경고했다. 그렇다면 이를 기반으로 구축된 기술에 잠재적으로 막대한 피해를 줄 수 있다.      보안업체인 포지티브 테크놀로지스(Positive Technologies)는 6일 발간한 보고서에서 “인텔 시스템 아키텍트, 엔지니어, 보안 전문가가 가장 두려워했던 시나리오가 현실이 되었다. 이 취약점은 인텔 컨버지드 시큐리티 앤드 매니지먼트 엔진(Intel Converged Security and Management Engine, CSME)의 ROM에서 발견되었다. 이는 신뢰의 근원을 구축하고 인텔 플랫폼의 견고한 보안 기반을 확립하기 위해 인텔이 행한 모든 것을 위태롭게 한다”라고 말했다.  패치 불가능한 CSME 결함  포지티브 테크놀로지스가 취약점을 발견하고 인텔에게 통지할 당시 인텔의 협력사가 이미 해당 취약점을 알린 상태였다. 인텔은 이 문제를 CVE-2019-0090으로서 추적하고, CVSS 위험 점수는 7.1이다(높음). 그리고 이를 지난해 10여 가지 취약점과 함께 한 보고서에서 공개했다.  인텔은 이 결함을 인텔 CSME 버전 11.x, 인텔 CSME 버전 12.0.35, 인텔 TXE 버전 3.x 및 4x, 인텔 2서버 플랫폼 서비스 버전 3.x, 4.x, 및 SPS_E3_05.00.04.027을 위한 하위 시스템의 불충분한 접근 제어 취약점으로 설명했고, 이에 의해 “물리적 접근을 통해 무단으로 권한을 상승시킬 수 있다”라고 말했다.  이 문제를 완화하기 위해 인텔은 펌웨어 패치를 발표했고, 이는 시스템...

2020.03.09

"IoT기기 보안, 쉬운데도 안 한다" <CITL 조사>

IoT기기의 컴파일 시간 보안 기능을 쉽게 활성화할 수 있다. 그런데 이렇게 하는 IoT기기 제조사가 늘지 않는 이유는 무엇일까? IoT 펌웨어 바이너리를 구축할 때 보안 기능에 대한 플래그를 추가하면 IoT기기 보안을 크게 개선할 수 있다. 그런데 대부분이 이렇게 하지 않는다. 게다가 CITL(Cyber Independent Testing Lab) 매스 퍼징 프로젝트의 새로운 조사 결과에 따르면, 상황이 나아지는 것이 아니라 오히려 악화되고 있다. 매우 쉬운 일이다. 이렇게 하지 않을 이유가 없다. 그런데 이렇게 하지 않는다.  CITL은 컨슈머 리포트 같은 비영리 보안 연구소다. 현재까지 지난 15년간 발표된 300여만 개의 IoT 펌웨어 바이너리 퍼징을 자동화했다. 그 결과는 실망스럽다. CITL의 최고 과학자인 사라 자트코는 <CSO>에 “매우 쉬운 일이다. 그런데 IoT 업체들은 기본적인 컴파일 시간 보안 기능을 활성화하지 않고 있다. 기능을 활성화하지 않을 이유가 없는데도 그렇게 하고 있다”라고 말했다. 이어서 자트코는 “의도적으로 무시했으리라 생각하지는 않는다. 진짜로 누군가 이 보안 기능을 제외하기로 의도적으로 결정을 내린 경우가 아니라면 말이다. 이는 선의의 무시라고 봐야 한다. 자신이 반드시 해야 할 일, 자신의 직업이라면 이런 일이 일어나지 않았을 것이다”라고 덧붙였다.   빌드 후 확인할 시기? IoT 업체들은 쉽게 이런 컴파일 시간 보안 플래그를 활성화하고, 이를 릴리스 관리 프로세스의 일부로 확인할 수 있다. 더 최신 버전의 컴파일러가 있는지 확인하고, ASLR과 DEP, 스택 가드 같은 기본적인 보안 플래그를 활성화하는 것 등이 빌드에서 권장되는 ‘위생’ 조치이다. 마법 같은 보안 경감책은 존재하지 않지만, 그래도 IoT 환경에서 에어백과 안전벨트 같은 역할을 한다. 충돌 자체를 방지하지는 못하더라도 생명을 구하는 역할을 한다는 이야기다. 하루 최대 몇 시간의 엔지니어링 작업이 필요한 일이다...

CSO CISO 취약점 펌웨어 사물인터넷 익스플로잇 CITL Cyber Independent Testing Lab QA 테스팅

2019.09.16

IoT기기의 컴파일 시간 보안 기능을 쉽게 활성화할 수 있다. 그런데 이렇게 하는 IoT기기 제조사가 늘지 않는 이유는 무엇일까? IoT 펌웨어 바이너리를 구축할 때 보안 기능에 대한 플래그를 추가하면 IoT기기 보안을 크게 개선할 수 있다. 그런데 대부분이 이렇게 하지 않는다. 게다가 CITL(Cyber Independent Testing Lab) 매스 퍼징 프로젝트의 새로운 조사 결과에 따르면, 상황이 나아지는 것이 아니라 오히려 악화되고 있다. 매우 쉬운 일이다. 이렇게 하지 않을 이유가 없다. 그런데 이렇게 하지 않는다.  CITL은 컨슈머 리포트 같은 비영리 보안 연구소다. 현재까지 지난 15년간 발표된 300여만 개의 IoT 펌웨어 바이너리 퍼징을 자동화했다. 그 결과는 실망스럽다. CITL의 최고 과학자인 사라 자트코는 <CSO>에 “매우 쉬운 일이다. 그런데 IoT 업체들은 기본적인 컴파일 시간 보안 기능을 활성화하지 않고 있다. 기능을 활성화하지 않을 이유가 없는데도 그렇게 하고 있다”라고 말했다. 이어서 자트코는 “의도적으로 무시했으리라 생각하지는 않는다. 진짜로 누군가 이 보안 기능을 제외하기로 의도적으로 결정을 내린 경우가 아니라면 말이다. 이는 선의의 무시라고 봐야 한다. 자신이 반드시 해야 할 일, 자신의 직업이라면 이런 일이 일어나지 않았을 것이다”라고 덧붙였다.   빌드 후 확인할 시기? IoT 업체들은 쉽게 이런 컴파일 시간 보안 플래그를 활성화하고, 이를 릴리스 관리 프로세스의 일부로 확인할 수 있다. 더 최신 버전의 컴파일러가 있는지 확인하고, ASLR과 DEP, 스택 가드 같은 기본적인 보안 플래그를 활성화하는 것 등이 빌드에서 권장되는 ‘위생’ 조치이다. 마법 같은 보안 경감책은 존재하지 않지만, 그래도 IoT 환경에서 에어백과 안전벨트 같은 역할을 한다. 충돌 자체를 방지하지는 못하더라도 생명을 구하는 역할을 한다는 이야기다. 하루 최대 몇 시간의 엔지니어링 작업이 필요한 일이다...

2019.09.16

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

CSO 포지티브 테크놀로지스 mPOS 모바일 포스 타겟 블랙햇 펌웨어 dos POS 페이팔 소셜 엔지니어링 취약점 해킹 서비스 거부 공격

2018.08.20

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

2018.08.20

CIA 루트킷 형태의 공격 감지··· 인텔 시큐리티, EFI 감염 방지 툴 공개

인텔 시큐리티가 컴퓨터 내 저수준 시스템 펌웨어 상태를 확인할 수 있는 도구를 공개했다. 펌웨어가 변형됐는지, 인증되지 않은 코드가 내장됐는지를 확인하게 해주는 툴이다. 지난 7일 CIA가 애플 맥북 컴퓨터용 EFI(Extensible Firmware Interface) 루트킷을 개발했다는 내용의 문서가 폭로된 후 이어진 조치다. 루트킷이란 고수준 권한(대개 커널에 내장)으로 동작하는 악성 프로그램으로 여타 악성 요소와 활동의 존재를 감추는 역할을 수행할 수 있다. CIA의 EDB(Embedded Development Branch)에서 작성된 이 문서는, 'DerStarke'라고 불리는 OS X '이식물'(implant)의 존재를 언급하고 있다. 이는 '보코'(Bokor)이라고 불리는 코드 인젝션 모듈과 '다크매터'(DarkMatter)이라고 불리는 EFI 퍼시스턴스 모듈을 포함하고 있다. UEFI(Unified EFI)라고도 알려진 EFI는 운영체제 하단에서 동작하는 저수준 펌웨어로, 부팅 과정에서 각종 하드웨어 요소의 기동을 지원한다. 과거의 바이오스를 대체하며, 일종의 미니 OS와 유사하다. 흔히 실행 가능한 바이너리 형태로 내장된 각종 기능을 실행하는 수백개의 '프로그램'을 내장하고 있다. EFI에 숨겨진 악성 프로그램은 OS 커널에 악성 코드를 주입할 수 있으며, 컴퓨터로부터 제거된 맬웨어를 복구시켜 동작하도록 할 수 있다. 이러한 특성은 시스템 업데이트나 재설치를 진행해도 악성 프로그램이 다시 활동할 수 있게 해준다. CIA EDB 문서에는 다크매터에 이은 두번째 프로젝트의 존재도 확인됐다. 쿼크매터(QuarkMatter)이라고 불리는 이 존재는 'EFI 시스템 파티션 상에 저장된 EFI 드라이버를 이용하는 맥 OS X EFI 이식물'로 묘사됐다. 목적은 커널을 지속적으로 조작하는 것이다. CHIPSEC 도구는 EFI 콘텐츠를 분...

루트킷 펌웨어 인텔 시큐리티 CHIPSEC CIA EDB EFI

2017.03.10

인텔 시큐리티가 컴퓨터 내 저수준 시스템 펌웨어 상태를 확인할 수 있는 도구를 공개했다. 펌웨어가 변형됐는지, 인증되지 않은 코드가 내장됐는지를 확인하게 해주는 툴이다. 지난 7일 CIA가 애플 맥북 컴퓨터용 EFI(Extensible Firmware Interface) 루트킷을 개발했다는 내용의 문서가 폭로된 후 이어진 조치다. 루트킷이란 고수준 권한(대개 커널에 내장)으로 동작하는 악성 프로그램으로 여타 악성 요소와 활동의 존재를 감추는 역할을 수행할 수 있다. CIA의 EDB(Embedded Development Branch)에서 작성된 이 문서는, 'DerStarke'라고 불리는 OS X '이식물'(implant)의 존재를 언급하고 있다. 이는 '보코'(Bokor)이라고 불리는 코드 인젝션 모듈과 '다크매터'(DarkMatter)이라고 불리는 EFI 퍼시스턴스 모듈을 포함하고 있다. UEFI(Unified EFI)라고도 알려진 EFI는 운영체제 하단에서 동작하는 저수준 펌웨어로, 부팅 과정에서 각종 하드웨어 요소의 기동을 지원한다. 과거의 바이오스를 대체하며, 일종의 미니 OS와 유사하다. 흔히 실행 가능한 바이너리 형태로 내장된 각종 기능을 실행하는 수백개의 '프로그램'을 내장하고 있다. EFI에 숨겨진 악성 프로그램은 OS 커널에 악성 코드를 주입할 수 있으며, 컴퓨터로부터 제거된 맬웨어를 복구시켜 동작하도록 할 수 있다. 이러한 특성은 시스템 업데이트나 재설치를 진행해도 악성 프로그램이 다시 활동할 수 있게 해준다. CIA EDB 문서에는 다크매터에 이은 두번째 프로젝트의 존재도 확인됐다. 쿼크매터(QuarkMatter)이라고 불리는 이 존재는 'EFI 시스템 파티션 상에 저장된 EFI 드라이버를 이용하는 맥 OS X EFI 이식물'로 묘사됐다. 목적은 커널을 지속적으로 조작하는 것이다. CHIPSEC 도구는 EFI 콘텐츠를 분...

2017.03.10

'그래서 정확히 뭔데?' 남용되는 12가지 IT 용어

기업에서는 각 부서마다 특이하고 낯선 은어를 사용하곤 한다. IT 역시 예외는 아니다. 클라우드, 생태계, 폭포수, 스프린트, 스크럼, 심지어 쿠키와 빵가루(breadcrumbs)까지 있다. IT와 무관한 사람들이 이 용어들의 의미를 알 수 있을까? 그 중에서도 유독 남용되는 12가지(데이비드 래터맨이 10가지를 유행시켰다고 해서 꼭 거기 따라야 한다는 법은 없으니) IT 용어를 선정했다. 이 용어들은 알아듣기 쉬운 보통 말로 대체해야 마땅하다. <이미지 : TODD KALE> 생태계 IT에서 말하는 생태계는 바이오스피어 2(Biosphere 2)가 아니다. 물론 기업 세계를 움직이는 사람들이 죄다 환경운동가임을 의미하지도 않는다. 그저 얼마나 많은 시스템과 기술이 상호 통합되고 상호 의존하는지를 나타내는 말일 뿐이다. 개념적으로 보면 일리가 있지만 너무 남용된 탓에 IT와 무관한 사람들 대다수는 그냥 무시한다. 생태계라는 단어는 지구 온난화에 관한 대화에서 계속 사용하도록 두고, IT 시스템 마이그레이션에 관한 이야기에서는 빼도 되지 않을까 싶다. <이미지 : TODD KALE> 클라우드 클라우드는 새로 부상한 용어는 아니다. 클라우드 기술에 관한 논의는 꽤 오래 전부터 존재했다. 클라우드라고 하면 닥터 수스(Dr. Seuss)의 구름 이야기가 연상되지만, 물론 이 둘은 아무런 상관도 없다. 그러나 클라우드는 사실 복잡하고 대부분의 사람들은 클라우드와 클라우드 컴퓨팅이 돌아가는 내부 원리에 대해 굳이 이해하고 싶은 마음도 없다. 내 데이터가 내 하드 드라이브가 아닌 다른 어딘가에 존재한다는 것 정도는 이해한다. 그 정도로 충분하다. <이미지 : TODD KALE> 데브옵스 IT 특수부대 이름인가? 콜 오브 듀티(Call of Duty) 게임을 너무 많이 한 부작용으로 필자만 그렇게 느끼는 것일지도 모르겠다. 아무튼 IT와 무관한 대부분의 사람들은 ...

클라우드 IT용어 스크럼 데브옵스 펌웨어 생태계 쿠키 스프린트 게임화 애자일개발

2016.11.17

기업에서는 각 부서마다 특이하고 낯선 은어를 사용하곤 한다. IT 역시 예외는 아니다. 클라우드, 생태계, 폭포수, 스프린트, 스크럼, 심지어 쿠키와 빵가루(breadcrumbs)까지 있다. IT와 무관한 사람들이 이 용어들의 의미를 알 수 있을까? 그 중에서도 유독 남용되는 12가지(데이비드 래터맨이 10가지를 유행시켰다고 해서 꼭 거기 따라야 한다는 법은 없으니) IT 용어를 선정했다. 이 용어들은 알아듣기 쉬운 보통 말로 대체해야 마땅하다. <이미지 : TODD KALE> 생태계 IT에서 말하는 생태계는 바이오스피어 2(Biosphere 2)가 아니다. 물론 기업 세계를 움직이는 사람들이 죄다 환경운동가임을 의미하지도 않는다. 그저 얼마나 많은 시스템과 기술이 상호 통합되고 상호 의존하는지를 나타내는 말일 뿐이다. 개념적으로 보면 일리가 있지만 너무 남용된 탓에 IT와 무관한 사람들 대다수는 그냥 무시한다. 생태계라는 단어는 지구 온난화에 관한 대화에서 계속 사용하도록 두고, IT 시스템 마이그레이션에 관한 이야기에서는 빼도 되지 않을까 싶다. <이미지 : TODD KALE> 클라우드 클라우드는 새로 부상한 용어는 아니다. 클라우드 기술에 관한 논의는 꽤 오래 전부터 존재했다. 클라우드라고 하면 닥터 수스(Dr. Seuss)의 구름 이야기가 연상되지만, 물론 이 둘은 아무런 상관도 없다. 그러나 클라우드는 사실 복잡하고 대부분의 사람들은 클라우드와 클라우드 컴퓨팅이 돌아가는 내부 원리에 대해 굳이 이해하고 싶은 마음도 없다. 내 데이터가 내 하드 드라이브가 아닌 다른 어딘가에 존재한다는 것 정도는 이해한다. 그 정도로 충분하다. <이미지 : TODD KALE> 데브옵스 IT 특수부대 이름인가? 콜 오브 듀티(Call of Duty) 게임을 너무 많이 한 부작용으로 필자만 그렇게 느끼는 것일지도 모르겠다. 아무튼 IT와 무관한 대부분의 사람들은 ...

2016.11.17

디링크 네트워크 카메라에 하이재킹 취약성··· "패치 개발 중"

네트워크 장비 기업 디링크(D-Link)가 자사의 네트워크 보안 카메라 보안 취약성을 해결하기 위해 패치를 개발하고 있다. 이 취약성을 악용하면 카메라 제어권을 획득해 영상을 엿볼 수 있는 것으로 전해졌다. 기기 보안성을 측정해 취약성 점수를 매기는 신생기업 센리오(Senrio)에 따르면, 디링크 카메라에 내재한 취약성은 공격자가 악성 코드를 주입하고 패스워스를 리셋할 여지를 제공한다. 공격자를 카메라의 영상 피드를 확보해 엿볼 수 있다는 의미다. 모델은 디링크 DSL-930L 네트워크 클라우드 카메라로, 2012년 한국 등 다양한 국가에 출시된 제품이다. 센리오 대변인은 이 제품 외에 다른 제품 또한 해당 취약성에 노출됏을 가능성이 있다고 전했다. 그는 센리오가 추가 디링크 제품에 대해 보안 취약성 평가 작업을 진행하기로 합의했다고 이메일을 통해 밝혔다. 한편 사전에 이 문제를 파악하고 있었는지 여부와 소비자 대응 방법을 묻는 질문에 디링크는, "보안은 디링크에게 최상위 우선순위 요소다. 문제를 제기한 출처와 선제적으로 협엽하고 있다"라고 밝혔다. 이어 "시험이 완료되면 추가 정보를 대고객 사이트는 'www.dlink.com'에 게재할 것"이라고 덧붙였다. 회사 측은 이후 "전체 제품 포트폴리오를 검사하고 있다"라고 추가 이메일을 통해 밝혀왔다. 센리오에 따르면 이번 취약성은 원격 명령을 처리하는 카메라 펌웨어 내 서비스와 관련해 존재했다. 센리오는 디링크와의 합의로 인해 문제를 해결하기 전까지 취약성 세부 정보를 공개하지 않을 예정이라고 전했다. ciokr@idg.co.kr 

해킹 감시 하이재킹 펌웨어 네트워크 카메라 디링크 스파이캠 센리오

2016.06.09

네트워크 장비 기업 디링크(D-Link)가 자사의 네트워크 보안 카메라 보안 취약성을 해결하기 위해 패치를 개발하고 있다. 이 취약성을 악용하면 카메라 제어권을 획득해 영상을 엿볼 수 있는 것으로 전해졌다. 기기 보안성을 측정해 취약성 점수를 매기는 신생기업 센리오(Senrio)에 따르면, 디링크 카메라에 내재한 취약성은 공격자가 악성 코드를 주입하고 패스워스를 리셋할 여지를 제공한다. 공격자를 카메라의 영상 피드를 확보해 엿볼 수 있다는 의미다. 모델은 디링크 DSL-930L 네트워크 클라우드 카메라로, 2012년 한국 등 다양한 국가에 출시된 제품이다. 센리오 대변인은 이 제품 외에 다른 제품 또한 해당 취약성에 노출됏을 가능성이 있다고 전했다. 그는 센리오가 추가 디링크 제품에 대해 보안 취약성 평가 작업을 진행하기로 합의했다고 이메일을 통해 밝혔다. 한편 사전에 이 문제를 파악하고 있었는지 여부와 소비자 대응 방법을 묻는 질문에 디링크는, "보안은 디링크에게 최상위 우선순위 요소다. 문제를 제기한 출처와 선제적으로 협엽하고 있다"라고 밝혔다. 이어 "시험이 완료되면 추가 정보를 대고객 사이트는 'www.dlink.com'에 게재할 것"이라고 덧붙였다. 회사 측은 이후 "전체 제품 포트폴리오를 검사하고 있다"라고 추가 이메일을 통해 밝혀왔다. 센리오에 따르면 이번 취약성은 원격 명령을 처리하는 카메라 펌웨어 내 서비스와 관련해 존재했다. 센리오는 디링크와의 합의로 인해 문제를 해결하기 전까지 취약성 세부 정보를 공개하지 않을 예정이라고 전했다. ciokr@idg.co.kr 

2016.06.09

펌웨어 이미지에서 취약점 대량 발견… IoT 보안 '위험 신호'

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

보안 IoT 빌리지 디프캠프 유러콤 보훔루르대학교 펌웨어 이미지 임베디드 기기 IoT 보안 디링크 리눅스 비트디펜더 펌웨어 결함 취약점 미크로틱

2015.11.23

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

2015.11.23

"악성 펌웨어 설치된 시스코 라우터, 14개 아닌 200여 개"

공격자들이 31개 국에 소재한 시스코 라우터 200여 대에 악성 펌웨어를 설치했다고 섀도우서버 재단(Shadowserver Foundation)이 보고했다. 1주일 전에는 14대로 추정됐던 바 있다.  Credit: Gerd Altmann / Pixabay 지난 15일 보안기업 파이어아이의 자회사 맨디언트(Mandiant)는 시스코 라우터의 펌웨어를 이용한 신종 공격을 경고했다. 이 악성 펌웨어가 지속적인 백도어 접근권 및 커스텀 맬웨어 모듈 설치 권한을 공격자에게 제공한다는 것이 골자였다. 당시 맨디언트는 'SYNful Knock'라는 이름의 이 백도어 펌웨어에 감염된 라우터를 14개 발견했다고 전했다. 문제의 라우터가 발견된 국가는 멕시코, 우크라이나, 인도, 필리핀이었다. 관련 모델은 시스코 1841, 2811, 3825로 이미 단종된 제품들이었다. 그러나 섀도우서버 재단은 시스코의 협조를 통해 조사를 지속한 결과, 맬웨어에 감염된 신호를 보내오는 199개의 유니크 IP 어드레스를 확인했다고 지난 21일 밝혔다. 미국이 65개로 가장 많았고 인도가 12개, 러시아가 11개 순이었다. 이들 IP가 소재한 국가는 31개국에 달했다. 섀도우서버는 해당 네트워크 소유 조직에게 이를 알릴 방침이라고 전했다. 이 조직은 블로그 포스트를 통해 "이번 공격의 심각성을 강조할 필요가 있다. 감염된 라우터를 식별하고 수리하는 작업이 필수적이다"라고 밝혔다. 설명에 따르면 공격자들은 감염된 라우터를 통해 네트워크 트래픽을 엿보거나 변형시킬 수 있다. 또 네트워크를 이용자를다른 웹사이트로 연결시킬 수도 있으며 다른 공격을 실행시킬 수도 있다. 특히 'SYNful Knock' 공격이 진행된 라우터는 기업 및 ISP가 이용하는 전문 모델이기에 수많은 사용자들이 위험해질 수 있다고 재단 측은 덧붙였다. 한편 시스코는 공격자들이 악성 펌웨어를 이용하는 동향을 수개월 전부터 감지하고 ...

맬웨어 공격 펌웨어 시스코 라우터 SYNful Knock

2015.09.22

공격자들이 31개 국에 소재한 시스코 라우터 200여 대에 악성 펌웨어를 설치했다고 섀도우서버 재단(Shadowserver Foundation)이 보고했다. 1주일 전에는 14대로 추정됐던 바 있다.  Credit: Gerd Altmann / Pixabay 지난 15일 보안기업 파이어아이의 자회사 맨디언트(Mandiant)는 시스코 라우터의 펌웨어를 이용한 신종 공격을 경고했다. 이 악성 펌웨어가 지속적인 백도어 접근권 및 커스텀 맬웨어 모듈 설치 권한을 공격자에게 제공한다는 것이 골자였다. 당시 맨디언트는 'SYNful Knock'라는 이름의 이 백도어 펌웨어에 감염된 라우터를 14개 발견했다고 전했다. 문제의 라우터가 발견된 국가는 멕시코, 우크라이나, 인도, 필리핀이었다. 관련 모델은 시스코 1841, 2811, 3825로 이미 단종된 제품들이었다. 그러나 섀도우서버 재단은 시스코의 협조를 통해 조사를 지속한 결과, 맬웨어에 감염된 신호를 보내오는 199개의 유니크 IP 어드레스를 확인했다고 지난 21일 밝혔다. 미국이 65개로 가장 많았고 인도가 12개, 러시아가 11개 순이었다. 이들 IP가 소재한 국가는 31개국에 달했다. 섀도우서버는 해당 네트워크 소유 조직에게 이를 알릴 방침이라고 전했다. 이 조직은 블로그 포스트를 통해 "이번 공격의 심각성을 강조할 필요가 있다. 감염된 라우터를 식별하고 수리하는 작업이 필수적이다"라고 밝혔다. 설명에 따르면 공격자들은 감염된 라우터를 통해 네트워크 트래픽을 엿보거나 변형시킬 수 있다. 또 네트워크를 이용자를다른 웹사이트로 연결시킬 수도 있으며 다른 공격을 실행시킬 수도 있다. 특히 'SYNful Knock' 공격이 진행된 라우터는 기업 및 ISP가 이용하는 전문 모델이기에 수많은 사용자들이 위험해질 수 있다고 재단 측은 덧붙였다. 한편 시스코는 공격자들이 악성 펌웨어를 이용하는 동향을 수개월 전부터 감지하고 ...

2015.09.22

글로벌 칼럼 | 시스코 라우터 업데이트 사건의 불편한 진실

지난 주 시스코는 어처구니 없는 짓을 저질렀다. 자사의 가정용 무선 라우터인 링크시스 제품군의 몇몇 모델에 대한 자동 펌웨어 업데이트가 사용자들로 하여금 시스코의 클라우드 서비스 계정을 개설하고 로그인해야만 라우터를 관리할 수 있도록 한 것이다. 여기에 더해 이전에는 사용할 수 있었던 몇몇 기능이 업데이트에서 사라지기도 했다. 필자는 뛰어난 기술력을 기반으로 세워진 명성을 가진 회사가 어떻게 이런 사기극을 만들어낼 수 있는지 도저히 이해할 수가 없다. 그리고 상황은 점점 더 나빠지고 있다.   사용자가 수용해야 할 서비스 조건, 즉 이미 구매한 라우터를 운용하기 위해 필요한 조건에는 시스코에 사용자의 인터넷 사용 관련 정보를 모니터하고 추적할 권리를 부여하는 조항이 포함되어 있었다. 이 말은 사용자가 저작권이 있는 파일이나 외설적인 콘텐츠를 다운로드하면, 시스코가 라우터를 차단할 수도 있다는 것을 암시한다.   네트워크 침입 자사의 추악한 욕망을 여과없이 드러낸 후, 시스코는 뒤로 한 걸음 물러났다. 서비스 조건을 수정해 일부 어처구니 없는 조항들을 삭제하겠다고 약속하고 나선 것이다. 시스코는 또 피해를 입은 장비를 다운그레이드할 수 있는 방안도 제공했다. 하지만 익스트림테크(ExtremeTech)는 이미 이런 약속은 중요하지 않게 됐다고 지적했다. 시스코는 여전히 언제라도 이들 조건을 업데이트할 수 있기 때문이다.    이 사건의 요점은 모두가 피해를 입었다는 것이다. 문제의 라우터를 구매한 사용자는 본질적으로 자신들의 손에서 떠나버린 장비를 갖게 됐다. 시스코가 수백 달러를 받고 판 장비는 이제 이번 사건 이전과는 완전히 다른 장비가 됐다. 하드웨어는 바뀌지 않았지만, 서비스, 지원, 사용 환경은 완전히 오염되고 말았다.    생각해 보자. 토스터를 사서 잘 사용하고 있는데, 제조업체가 와서 내부 부품 몇 개를 빼버렸다. 그리고 사용자의 부...

시스코 스파이웨어 업데이트 라우터 링크시스 펌웨어

2012.07.10

지난 주 시스코는 어처구니 없는 짓을 저질렀다. 자사의 가정용 무선 라우터인 링크시스 제품군의 몇몇 모델에 대한 자동 펌웨어 업데이트가 사용자들로 하여금 시스코의 클라우드 서비스 계정을 개설하고 로그인해야만 라우터를 관리할 수 있도록 한 것이다. 여기에 더해 이전에는 사용할 수 있었던 몇몇 기능이 업데이트에서 사라지기도 했다. 필자는 뛰어난 기술력을 기반으로 세워진 명성을 가진 회사가 어떻게 이런 사기극을 만들어낼 수 있는지 도저히 이해할 수가 없다. 그리고 상황은 점점 더 나빠지고 있다.   사용자가 수용해야 할 서비스 조건, 즉 이미 구매한 라우터를 운용하기 위해 필요한 조건에는 시스코에 사용자의 인터넷 사용 관련 정보를 모니터하고 추적할 권리를 부여하는 조항이 포함되어 있었다. 이 말은 사용자가 저작권이 있는 파일이나 외설적인 콘텐츠를 다운로드하면, 시스코가 라우터를 차단할 수도 있다는 것을 암시한다.   네트워크 침입 자사의 추악한 욕망을 여과없이 드러낸 후, 시스코는 뒤로 한 걸음 물러났다. 서비스 조건을 수정해 일부 어처구니 없는 조항들을 삭제하겠다고 약속하고 나선 것이다. 시스코는 또 피해를 입은 장비를 다운그레이드할 수 있는 방안도 제공했다. 하지만 익스트림테크(ExtremeTech)는 이미 이런 약속은 중요하지 않게 됐다고 지적했다. 시스코는 여전히 언제라도 이들 조건을 업데이트할 수 있기 때문이다.    이 사건의 요점은 모두가 피해를 입었다는 것이다. 문제의 라우터를 구매한 사용자는 본질적으로 자신들의 손에서 떠나버린 장비를 갖게 됐다. 시스코가 수백 달러를 받고 판 장비는 이제 이번 사건 이전과는 완전히 다른 장비가 됐다. 하드웨어는 바뀌지 않았지만, 서비스, 지원, 사용 환경은 완전히 오염되고 말았다.    생각해 보자. 토스터를 사서 잘 사용하고 있는데, 제조업체가 와서 내부 부품 몇 개를 빼버렸다. 그리고 사용자의 부...

2012.07.10

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8