PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/10 00:29:05
Name 졸업
File #1 fb8ea6c1_ea41_457b_8973_da75528d4006.png (297.7 KB), Download : 531
File #2 xss2.png (6.4 KB), Download : 488
Link #1 https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/#will-it-be-fixed
Subject [일반] TouchEn nxKey 취약점 공개




한 외국 보안 연구자가 본인이 찾은 한국 인터넷의 보안 취약점을 발견했다고합니다.
이후 고칠 수 있는 데드라인 90일을 주고 그 후 블로그에 내용을 공개할 예정이라 밝혔는데요.

1월 9일, TouchEn nxKey 취약점을 공개했습니다.
전체적으로 제품에서 7개의 보안 취약점을 발견했다고합니다.
저는 전공자가 아니지만 PGR에는 이쪽 전공자분들이 많으실거라 생각해 주소를 올립니다
https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/#will-it-be-fixed


이전 게시글은 다음과 같습니다.
https://palant.info/2023/01/02/south-koreas-online-security-dead-end/
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
(번역글)


작성자는 이후 23일, 3월 6일에 후속 글을 올린다고 합니다.
최신 글에서 글쓴이는 한국 회사에 직접 연락을 시도했지만 어떠한 연락도 받지 못했음을 밝히며,
보안취약점을 알려줬음에도 이 취약점이고쳐지기 힘들거 같다며 우려하고있습니다.

특히 글쓴이는 가짜(bogus) 보안 애플리케이션 시장이 한국에 형성되어 있다는 의견을 냈는데요.
우리나라에도 이에 동조하는 사람들이 많은 만큼, 이후엔 이런 낡은(최신 업데이트가 2018년 1월 이라 하네요)  프로그램들이 좀 사라지고 편리하고 강력한 보안방식이 등장했으면 좋겠네요.
프로그램 막 7개깔고 공동인증서 발급받고이런거 말고요...

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
카사네
23/01/10 00:38
수정 아이콘
좀 맞아야합니다, 맨날 쓸데없이 깔고 바로 지우는 짓 안했으면 좋곘어요
23/01/10 00:51
수정 아이콘
예전에 (지금도) 아주 유명한 키보드 보안앱 실행한 상태에서 키로거 깔아서 직접 테스트 해봤는데 키로깅을 전혀 막지못하고 잘만되던 기억이 납니다. 완전한 방패라는건 없는 거 겠지만, 그 후로 키보드보안에 대한 신뢰가 팍 떨어지더군요. 가짜 보안 애플리케이션이 시장이 형성되어 있다는 게 그런 얘기겠죠. 아직도 여전한가 봅니다.
김소현
23/01/10 01:29
수정 아이콘
인터넷 초창기부터 이건 공공연한 비밀이었던거 아닌가요. 보안프로그램 깔지만 사실상 해당사이트에서 책임을 전가할려는 방법일뿐이며, 효용성은 떨어진다고. 키로깅 문제되서 키로깅 막는다고 마우스클릭 랜덤숫자 뭐 별쇼를 다 하지만, 크게 효용성 없는 방법이라고.
김연아
23/01/10 09:11
수정 아이콘
공공연한 비밀 (X) -> 당당한(?) 진실 (O)
서린언니
23/01/10 01:52
수정 아이콘
공인인증서 갱신하라는 메일 왔는데 이거 보니까 참 씁슬하네요
1절만해야지
23/01/10 01:58
수정 아이콘
꺼어어어억
23/01/10 01:59
수정 아이콘
오죽하면 얘네들 날리는 프로그램 이름이 구라 제거기
23/01/10 02:40
수정 아이콘
애초에 보안업체는 대기업에서 보안문제 터지면 그거 뒤집어쓰는 역할입니다. 보안업체는 그걸 곧이 곧대로 뒤집어쓰지 않고 어케든 제로데이 취약점이라 포장해서 잘 넘기는게 실력이구요 ex) 이런 취약점은 대응이 공학적으로 왜 불가능한지에 대한 박사급 지식이 필요한 보고서 제출.
23/01/10 03:04
수정 아이콘
코이츠 전신이 취약점인ww
23/01/10 05:26
수정 아이콘
팝콘 와작와작!
23/01/10 07:03
수정 아이콘
애초에 보안을 하려고 만든 프로그램이 아니라 면피를 하려고 만든 프로그램들이라서요. 아이폰으로 은행 업무 보게 되면서 저런거 안봐서 되서 너무 좋습니다
raindraw
23/01/10 07:41
수정 아이콘
그냥 뚫린 문제를 넘어 모든 권한을 가진 보안 프로그램이 뚫린거라 아예 없는것 보다 더 심하게 문제가 된다고 하는 분도 있더군요.
제발요
23/01/10 09:29
수정 아이콘
댓글 중에 이 분 말이 제일 사실에 근접한 것 같네요.
정확히는 모든 권한을 갖진 않지만, 렌더링을 위해 제공하는 권한보다 조금 더 높은 권한을 갖습니다.
그래도 충분히 시스템을 장악할 수 있을 만한 권한입니다.
보안 프로그램으로 인하여 오히려 더욱 쉽게 해킹될 가능성을 높여준 건 사실입니다.
호러아니
23/01/10 08:31
수정 아이콘
[편리하고 강력한 보안방식]
우린 이걸 표준이라고 부르기로 했어요... 전세계 전문가들이 협심해서 발전시키는 기술이 있는데 뭐 잘났다고 버티는지 모르겠네요. 정 기기해킹이 걱정되면 2 factor auth만 해도 훨씬 안전한걸
고객 책임 증명용으로 쓰이는 사례가 훨씬 많을듯
Regentag
23/01/10 10:43
수정 아이콘
아이러니하게도 “보안은 불편해야한다. 편하면 보안이 아냐”라는 사람들이 많습니다.
특히 군대에요…
초콜릿
23/01/10 08:41
수정 아이콘
They never did.
23/01/10 08:44
수정 아이콘
보안업체라기보다 책임 대신 져주는 업체 같은 느낌이네요
23/01/10 09:01
수정 아이콘
대충 그럴거다 생각은 했지만 크크
23/01/10 09:02
수정 아이콘
저도 정확하게 아는건 아닌데

1.은행은 보안대책을 강구해야함.
2.안하다가 털려? 그럼 은행 니네 책임이야.
3.근데 보안대책을 해놨는데 털려? 그럼 뭐 어쩔 수 없지. 괜찮아. 너 무죄.

이런식이라 저런 보안업체들이 하는 일이 진짜 보안을 위해 툴을 만들기보다
면책용, 보여주기식 보안 이라는걸 들었습니다.
결국 사고나도 은행도, 보안업체도 책임안짐. 피해는 소비자만.

여기도 카르텔 엄청 빡센거 같던데 누가 의원님들 계좌 좀 털어주시면 좀 바뀔지도? 크크크
23/01/10 09:39
수정 아이콘
은행은 싼값에 보험비용 수준으로 사고가 났을때 면피가 가능하고
개발업체는 꾸준하게 허들을 세워둔 이상 새 업체가 못들어온다면 영업이 수월하고 매출도 꾸준하고
관련 법령 규제와 실제 감사를 하는 기관들은 개발업체 카르텔로부터 적절하게 갑질이 가능해지고...

개발업체쪽에 금융위나 관련 기관 퇴직인력이 영업담당, 고문등으로 자리잡고 있는지도 찾아보면 충분히 나올법 한데 말입니다.
23/01/10 09:57
수정 아이콘
책임떠넘기기용 프로그램들인데 책임도 제대로 안진다는게 유머죠.
인간실격
23/01/10 10:28
수정 아이콘
제가 이래서 온라인뱅킹 절대 안합니다. 그리고 비단 은행만 이런게 아니라 민감정보 다루는 공공기관 수준이 다 이래요. 진짜 한숨나올지경.
아케이드
23/01/10 10:39
수정 아이콘
사고 났을때 은행 대신 뒤집어 써주는 대신 돈을 받는 용도죠
Regentag
23/01/10 10:50
수정 아이콘
안그래도 지난번 글( https://pgr21.co.kr/freedom/97640 )을 올린 다음에 한페이지가 넘어가서 새로 글를 쓸까 하고 있었는데 먼저 정리해 주셨네요. 감사합니다.

취약점들이 공개되고 대대적으로 보안사고가 일어나더라도 우리나라의 보안시장 방향이 크게 바뀌지는 않을것 같아요. 딱 사고가 난 그 부분만 ad hoc으로 대응하고 끝나지 않을까요.
23/01/10 14:45
수정 아이콘
(수정됨) 에고 제가 이쪽분야는 잘 몰라서 제가 멋도 모르고 글을 쓴 게 아닌가 싶네요
다음번은 선생님이 올려주실거라 믿습니다(떠넘기는건 아니에요!)
Regentag
23/01/10 15:15
수정 아이콘
앗 아니에요. 저도 관심[만] 있지 잘은 모릅니다.
글 올려주셔서 감사해요.
초현실
23/01/10 10:50
수정 아이콘
보안 사고는 기업이 피해자라고 해도 온정적인 시선으로 보면 안될것 같네여. 뭐 발전을 안하네
CastorPollux
23/01/10 11:01
수정 아이콘
불편한데 보안도 약함...............
23/01/10 12:36
수정 아이콘
이거 말나온지가 벌써 몇년째고 정권도 바뀌고 해도 근본적인 변화가 없죠.
정치인들이 다들 뭐라도 받아먹고 있는건지
엑스밴드
23/01/10 12:49
수정 아이콘
이거는 뭐 예전 한 10년 전에도 나오던 얘기라 항상 결론은 보안 관련 법 개정이 필요하다는 거였죠.
크롬에서 실행되는 앱하고 .exe 파일 다운로드 받을때 웃음이었는데.
페스티
23/01/10 12:51
수정 아이콘
보거스!
23/01/10 12:52
수정 아이콘
술상무들 오늘부터 다시 뛰어야...
DownTeamisDown
23/01/10 17:16
수정 아이콘
이게 문제가 국회도 국회인데 공무원 조직도 안움직이는 건이라서...
제랄드
23/01/11 12:35
수정 아이콘
인터넷뱅킹은 굳이 설명이 필요 없을 것 같고, 공공기관, 정부기관, 공기업 상대로 거래하는 자영업자들은 정말 지옥이죠.
일부 정부기관은 결제 받으려면 자체 결제시스템을 통해서만 가능한 곳이 있는데 로그인 할 때 한 번, 뭔가 입력할 때 키보드 보안 관련 한 번, 수수료 낼 때 한 번씩 뭔가 깔아야 됩니다. 자체 결제 시스템이 아닌 경우 보통 나라빌이라는 걸 사용하는데 이것도 뭔가 깔아야 되죠. 그리고 종종 업데이트(...)를 합니다.
최악은 조달청 시스템인 나라장터인데 이건 정말이지 구식 시스템의 끝판왕입니다. 접속해 보시면 아시겠지만 아, 이거 쉽지 않겠구나 라는 느낌이 들 정도로 예전 인터페이스인데다가 일반 금융인증서(나 예전 공인인증서)는 사용 불가하고, 범용 인증서라는 걸 사용해야 되는데 1년에 10만원(!)이고 3년에 21만원 정도 합니다. 가입하면 커피 쿠폰 줍니다(...)
문제는 접속할 때마다 뭔가 깔아야 됩니다. 어제 깔았는데 오늘 다시 들어갈 때도 예전꺼 지우고 다시 깔아야 되요;
23/01/11 22:14
수정 아이콘
부모님께서 자영업하시는데 고향 내려갈 떄 마다 제가 컴퓨터 관리를 합니다
조달청 나라장터는 진짜 답이 없습니다...
이거 때문에 5600g 사무용컴 제가 맞춘거 2대 중 한 대가 말씀하신 재설치 증상 걸려서 윈도우 재설치했고
한 대 또한 접속 직후 원인 불명의 윈도우 망가지는 증상으로 재설치 했습니다.

근데 조달청이 독보적 개판이라 그렇지 다른 공공기관 역시 진짜 개판이더군요
차라리 개인, 기업뱅킹은 양호한 수준
손꾸랔
23/01/11 23:42
수정 아이콘
이거뭐 오프라인으로 대체할 수도 없고 참
Regentag
23/01/17 12:13
수정 아이콘
TouchEn nxKey의 공개된 취약점에 대한 상세내용이 한국어로 번역되어 추가합니다.
https://github.com/alanleedev/KoreaSecurityApps/blob/main/01_touchen_nxkey.md
딸기거품
23/04/01 15:37
수정 아이콘
오늘 바로 여기서 본 스크린샷을 뉴스에서 다시 보게 되었네요

https://youtu.be/b0g5_D7LHbI
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 274156 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 340880 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 462839 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 336866 3
102646 [일반] [속보] 트럼프, '정부효율부[DOGE]' 수장에 일론 머스크 발탁 [69] 마그데부르크2226 24/11/13 2226 0
102645 [일반] 서울사립초 규정어긴 중복지원 논란 [9] Mamba1296 24/11/13 1296 0
102643 [일반] 위스키와 브랜디의 핏빛 역사 [8] 식별2411 24/11/12 2411 26
102642 [일반] 경고 없는 연속 삭제는 너무 한 거 아닌가요? [182] 지나가던S10435 24/11/12 10435 86
102641 [일반] 코리아보드게임즈 "완경기" 번역 논란 [218] 마르코9530 24/11/12 9530 29
102639 [정치] 페미 이슈 관련 운영진의 편향적인 태도 [114] 굿럭감사9888 24/11/12 9888 0
102638 [일반] 피지알 정치글에 대한 기준 [48] 방구차야3720 24/11/12 3720 18
102637 [일반] 동덕여대 공학전환 논란과 시위 , 총장 입장문 (수정) [133] 유머8457 24/11/12 8457 11
102636 [일반] 삼성전자가 53,000원까지 밀렸습니다.. [132] 뜨거운눈물8268 24/11/12 8268 3
102634 [일반] 소리로 찾아가는 한자 49. 얽힐 구/교(丩)에서 파생된 한자들 [3] 계층방정1041 24/11/12 1041 2
102632 [일반] 일본 어느 고등학교 스쿨밴드의 유튜브 커버 영상을 보고서… [11] 투투피치4858 24/11/12 4858 6
102631 [일반] 뉴욕타임스 10.27. 일자 기사 번역(쇼팽의 새로운 곡이 발견되다.) [10] 오후2시2996 24/11/11 2996 5
102630 [일반] fomo가 와서 그냥 써보는 이야기 [41] 푸끆이6476 24/11/11 6476 12
102629 [일반] 견훤의 삶을 알아보자 [11] 식별4351 24/11/11 4351 20
102628 [일반] 바둑 / 국제 메이저 세계대회 대회의 진행 사항을 정리해보았습니다. [30] 물맛이좋아요6500 24/11/11 6500 8
102627 [일반] 조금 다른 아이를 키우는 일상 3 [21] Poe5025 24/11/11 5025 58
102626 [일반] 과부하가 걸릴 것 같은 정도로, 많은 생각들. [18] aDayInTheLife5089 24/11/10 5089 5
102624 [일반] 금 은 비트코인 / 금은비/ 자산의 소유 [14] lexial6738 24/11/10 6738 3
102623 [일반] 미국 일반인들의 자산대비 주식투자비율이 역대 최고치를 갱신했다고 합니다 [46] 독서상품권10864 24/11/10 10864 3
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로