PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/25 17:07:26
Name Regentag
Link #1 https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md
Subject [일반] IPinside LWS Agent 취약점 공개 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.co.kr/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.co.kr/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.co.kr/freedom/97695

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)
1월 25일, 예고되었던 다음 취약점이 공개되었습니다.
[IPinside: 대한민국의 필수 설치 스파이웨어] (한국어 번역)
https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md

IPinside LWS Agent는 인터리젠에서 만든 실제 IP주소 확인 프로그램으로, 접속자의 실제 IP주소를 확보하여 온라인 사기를 막는것을 목적으로 합니다.

다음과 같은 사항들이 지적되었습니다:
  * IP주소 뿐만 아니라 PC에서 굉장히 많은 자료를 수집 (운영체제 버전, 하드디스크의 시리얼 번호, MAC 주소, 가상머신 여부, 원격접속 여부, 실행중인 프로세스 목록, etc.)
  * 실행중인 프로세스 목록을 얻는 기능을 사용하면 공격자가 PC의 전체 프로세스 목록을 얻을 수 있음
  * 수집된 데이터는 적절하게 보호되지 않음
    - 지나치게 약한 암호화(지나치게 짧은 키 사용)
    - 일부 암호화 키는 하드코딩 되어있음
    - 암호화 라이브러리의 부적절한 사용
  * 6년전에 지원이 끝난 OpenSSL 1.0.1j 사용
  * 여러 방법으로 스택오버플로우, 버퍼를 벗어난 읽기 가능:
    - 원격코드 실행 취약점으로 발전 가능성 있음
    - 앱 크래시 유도 가능(PoC 검증됨)


팔란트는 2022년 10월 21일 3건의 취약점 보고서를 KrCERT에 신고하였으며, 11월 14일에 KrCERT에서 보고서들을 인터리젠에 전달하였다고 확인해 주었다고 합니다.
이후 한국의 기자가 인터리젠에 이 내용을 문의하였고 인터리젠의 대답은 다음과 같습니다:
  [보고서 중에 하나만 2023년 1월 6일에서야 받았다. 그렇기 때문에 문제점에 대한 수정버전은 2월에 배포할 예정이고 그 이후 새로운 버전을 사용자에게 배포하는 것은 고객(즉 은행 등)에 달려 있다.]

수정 버전이 2월에나 나온다고 하니 이 프로그램도 사용 시 주의하셔야 할 것 같네요.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 17:17
수정 아이콘
고마워 팔란트!
작은대바구니만두
23/01/25 18:14
수정 아이콘
보고서가 한참이나 지나서야 전달되거나 누락된 이유가 뭘까 싶네요
타츠야
23/01/25 19:33
수정 아이콘
그러게요. 배달사고도 아니고 이메일로 전달했을 것 같은데, 스팸 처리 된건가...
Regentag
23/01/25 19:36
수정 아이콘
저도 그부분이 굉장히 의아합니다. 지난번 공개 때 나온 기사에 따르면 안랩도 전달을 못 받았다고 했거든요.
타츠야
23/01/25 20:43
수정 아이콘
스팸함에 있었을지도...
뒹굴뒹굴
23/01/25 21:11
수정 아이콘
암호화 전문가는 아닙니다만..

[지나치게 약한 암호화(지나치게 짧은 키 사용)]
그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다.

[일부 암호화 키는 하드코딩 되어있음]
이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지?

[6년전에 지원이 끝난 OpenSSL 1.0.1j 사용]
이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데..

요즘은 학부생도 저렇게는 안짤텐데요..
저걸 돈을 받았다고..
VictoryFood
23/01/25 21:41
수정 아이콘
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
Regentag
23/01/25 21:49
수정 아이콘
PC에서도 그냥 앱 하나만 설치하게끔 했으면 좋겠습니다.
제일 베스트는 브라우저 + 백신을 믿고 맡기는거지만요.
진세은
23/01/25 21:56
수정 아이콘
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
작은대바구니만두
23/01/25 22:43
수정 아이콘
연말정산 한다고 관련 서비스들 이용해보니 따로 설치하는거 없이 할 수 있더군요
은행도 조만간 바뀌지 않을까 싶습니다
23/01/25 22:41
수정 아이콘
그냥 보안 업체에 보안 전문가가 없다고 생각할 수 밖에 없네요.
23/01/25 23:15
수정 아이콘
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련)
저럴 수 밖에 없습니다.

외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고,
그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다.

그리고 그 보안룰조차 국가가 설정하다보니,
공기업 업무를 해보신 분들은 아시겠지만,
필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다.
(법이 현실에 못 따라 오는 것과 같은 속도죠)

그러니, 자칭 보안업체도,
관련 기관의 체크리스트만 통과할 수 있으면
문제가 없는 겁니다.

애초에 국가가 하란대로 한거니까요.

이건 보안 업체의 잘못보다,
지금 이 구조를 만들고 그 마피아 시장을 유지시키는
금감원 꼴통(…)들이 욕을 먹어야 합니다.

저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
수정 아이콘
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
-안군-
23/01/26 00:04
수정 아이콘
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 275827 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 341666 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 463618 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 337941 3
102739 [일반] <아케인 시즌 2> - 기대보단 아래, 걱정보단 위. (약스포) [2] aDayInTheLife833 24/11/24 833 1
102737 [일반] 린치핀 — GPT 세계에서 대체 가능한 톱니바퀴를 벗어나려면 [14] Kaestro2763 24/11/24 2763 6
102736 [일반] [팝송] 트래비스 새 앨범 "L.A. Times" [1] 김치찌개1773 24/11/24 1773 0
102735 [일반] 하프 마라톤 거리 뛰기 성공 [14] a-ha3541 24/11/23 3541 18
102734 [일반] 아케인 시즌2 리뷰 - 스포 다량 [26] Kaestro3904 24/11/23 3904 0
102733 [일반] DDP 야경을 뒤로 하고 프로미스나인 'DM' 커버 댄스를 촬영하였습니다. [18] 메존일각3300 24/11/23 3300 12
102732 [일반] 잘 알려진 UAP(구 UFO) 목격담 중 하나 [14] a-ha4481 24/11/23 4481 2
102731 [일반] 지하아이돌 공연을 즐겨보자 [12] 뭉땡쓰3346 24/11/23 3346 1
102730 [일반] 노스볼트의 파산, 파국으로 가는 EU 배터리 내재화 [73] 어강됴리9689 24/11/23 9689 6
102729 [일반] 한나라가 멸망한 이유: 외환(外患) [8] 식별3709 24/11/22 3709 16
102728 [일반] 소리로 찾아가는 한자 52. 윗입술/웃는모습 갹(⿱仌口)에서 파생된 한자들 [6] 계층방정2262 24/11/22 2262 3
102726 [일반] 동덕여대 총학 "래커칠은 우리와 무관" [189] a-ha17361 24/11/22 17361 22
102725 [일반] 조금 다른 아이를 키우는 일상 4 [17] Poe4073 24/11/22 4073 30
102724 [일반] AI 시대에도 수다스러운 인싸가 언어를 더 잘 배우더라 [10] 깃털달린뱀3153 24/11/22 3153 4
102723 [일반] 러시아가 어제 발사했다는 ICBM, 순항미사일과 뭐가 다른가? [30] 겨울삼각형3685 24/11/22 3685 0
102722 [일반] 국제 결혼정보회사 이용 후기 [44] 디에아스타5614 24/11/22 5614 40
102721 [정치] 미래의 감시사회는 유토피아가 될 것인가..? [10] Restar1612 24/11/22 1612 0
102720 [일반] 갈수록 진화하는 보이스피싱 조심하세요 [9] 밥과글2156 24/11/22 2156 6
102718 [일반] 영어 컨텐츠와 ChatGPT 번역의 특이점 그리고 한국의 미래 [15] 번개맞은씨앗2486 24/11/22 2486 8
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로