PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/25 17:07:26
Name Regentag
Link #1 https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md
Subject [일반] IPinside LWS Agent 취약점 공개 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.co.kr/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.co.kr/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.co.kr/freedom/97695

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)
1월 25일, 예고되었던 다음 취약점이 공개되었습니다.
[IPinside: 대한민국의 필수 설치 스파이웨어] (한국어 번역)
https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md

IPinside LWS Agent는 인터리젠에서 만든 실제 IP주소 확인 프로그램으로, 접속자의 실제 IP주소를 확보하여 온라인 사기를 막는것을 목적으로 합니다.

다음과 같은 사항들이 지적되었습니다:
  * IP주소 뿐만 아니라 PC에서 굉장히 많은 자료를 수집 (운영체제 버전, 하드디스크의 시리얼 번호, MAC 주소, 가상머신 여부, 원격접속 여부, 실행중인 프로세스 목록, etc.)
  * 실행중인 프로세스 목록을 얻는 기능을 사용하면 공격자가 PC의 전체 프로세스 목록을 얻을 수 있음
  * 수집된 데이터는 적절하게 보호되지 않음
    - 지나치게 약한 암호화(지나치게 짧은 키 사용)
    - 일부 암호화 키는 하드코딩 되어있음
    - 암호화 라이브러리의 부적절한 사용
  * 6년전에 지원이 끝난 OpenSSL 1.0.1j 사용
  * 여러 방법으로 스택오버플로우, 버퍼를 벗어난 읽기 가능:
    - 원격코드 실행 취약점으로 발전 가능성 있음
    - 앱 크래시 유도 가능(PoC 검증됨)


팔란트는 2022년 10월 21일 3건의 취약점 보고서를 KrCERT에 신고하였으며, 11월 14일에 KrCERT에서 보고서들을 인터리젠에 전달하였다고 확인해 주었다고 합니다.
이후 한국의 기자가 인터리젠에 이 내용을 문의하였고 인터리젠의 대답은 다음과 같습니다:
  [보고서 중에 하나만 2023년 1월 6일에서야 받았다. 그렇기 때문에 문제점에 대한 수정버전은 2월에 배포할 예정이고 그 이후 새로운 버전을 사용자에게 배포하는 것은 고객(즉 은행 등)에 달려 있다.]

수정 버전이 2월에나 나온다고 하니 이 프로그램도 사용 시 주의하셔야 할 것 같네요.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 17:17
수정 아이콘
고마워 팔란트!
작은대바구니만두
23/01/25 18:14
수정 아이콘
보고서가 한참이나 지나서야 전달되거나 누락된 이유가 뭘까 싶네요
타츠야
23/01/25 19:33
수정 아이콘
그러게요. 배달사고도 아니고 이메일로 전달했을 것 같은데, 스팸 처리 된건가...
Regentag
23/01/25 19:36
수정 아이콘
저도 그부분이 굉장히 의아합니다. 지난번 공개 때 나온 기사에 따르면 안랩도 전달을 못 받았다고 했거든요.
타츠야
23/01/25 20:43
수정 아이콘
스팸함에 있었을지도...
뒹굴뒹굴
23/01/25 21:11
수정 아이콘
암호화 전문가는 아닙니다만..

[지나치게 약한 암호화(지나치게 짧은 키 사용)]
그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다.

[일부 암호화 키는 하드코딩 되어있음]
이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지?

[6년전에 지원이 끝난 OpenSSL 1.0.1j 사용]
이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데..

요즘은 학부생도 저렇게는 안짤텐데요..
저걸 돈을 받았다고..
VictoryFood
23/01/25 21:41
수정 아이콘
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
Regentag
23/01/25 21:49
수정 아이콘
PC에서도 그냥 앱 하나만 설치하게끔 했으면 좋겠습니다.
제일 베스트는 브라우저 + 백신을 믿고 맡기는거지만요.
진세은
23/01/25 21:56
수정 아이콘
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
작은대바구니만두
23/01/25 22:43
수정 아이콘
연말정산 한다고 관련 서비스들 이용해보니 따로 설치하는거 없이 할 수 있더군요
은행도 조만간 바뀌지 않을까 싶습니다
23/01/25 22:41
수정 아이콘
그냥 보안 업체에 보안 전문가가 없다고 생각할 수 밖에 없네요.
23/01/25 23:15
수정 아이콘
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련)
저럴 수 밖에 없습니다.

외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고,
그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다.

그리고 그 보안룰조차 국가가 설정하다보니,
공기업 업무를 해보신 분들은 아시겠지만,
필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다.
(법이 현실에 못 따라 오는 것과 같은 속도죠)

그러니, 자칭 보안업체도,
관련 기관의 체크리스트만 통과할 수 있으면
문제가 없는 겁니다.

애초에 국가가 하란대로 한거니까요.

이건 보안 업체의 잘못보다,
지금 이 구조를 만들고 그 마피아 시장을 유지시키는
금감원 꼴통(…)들이 욕을 먹어야 합니다.

저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
수정 아이콘
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
-안군-
23/01/26 00:04
수정 아이콘
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 274155 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 340879 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 462837 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 336866 3
102646 [일반] [속보] 트럼프, '정부효율부[DOGE]' 수장에 일론 머스크 발탁 [53] 마그데부르크1631 24/11/13 1631 0
102645 [일반] 서울사립초 규정어긴 중복지원 논란 [9] Mamba1135 24/11/13 1135 0
102643 [일반] 위스키와 브랜디의 핏빛 역사 [8] 식별2372 24/11/12 2372 26
102642 [일반] 경고 없는 연속 삭제는 너무 한 거 아닌가요? [177] 지나가던S10298 24/11/12 10298 84
102641 [일반] 코리아보드게임즈 "완경기" 번역 논란 [218] 마르코9435 24/11/12 9435 29
102639 [정치] 페미 이슈 관련 운영진의 편향적인 태도 [114] 굿럭감사9838 24/11/12 9838 0
102638 [일반] 피지알 정치글에 대한 기준 [48] 방구차야3712 24/11/12 3712 18
102637 [일반] 동덕여대 공학전환 논란과 시위 , 총장 입장문 (수정) [132] 유머8401 24/11/12 8401 11
102636 [일반] 삼성전자가 53,000원까지 밀렸습니다.. [131] 뜨거운눈물8246 24/11/12 8246 3
102634 [일반] 소리로 찾아가는 한자 49. 얽힐 구/교(丩)에서 파생된 한자들 [3] 계층방정1040 24/11/12 1040 2
102632 [일반] 일본 어느 고등학교 스쿨밴드의 유튜브 커버 영상을 보고서… [11] 투투피치4857 24/11/12 4857 6
102631 [일반] 뉴욕타임스 10.27. 일자 기사 번역(쇼팽의 새로운 곡이 발견되다.) [10] 오후2시2995 24/11/11 2995 5
102630 [일반] fomo가 와서 그냥 써보는 이야기 [41] 푸끆이6473 24/11/11 6473 12
102629 [일반] 견훤의 삶을 알아보자 [11] 식별4348 24/11/11 4348 20
102628 [일반] 바둑 / 국제 메이저 세계대회 대회의 진행 사항을 정리해보았습니다. [30] 물맛이좋아요6498 24/11/11 6498 8
102627 [일반] 조금 다른 아이를 키우는 일상 3 [21] Poe5023 24/11/11 5023 58
102626 [일반] 과부하가 걸릴 것 같은 정도로, 많은 생각들. [18] aDayInTheLife5088 24/11/10 5088 5
102624 [일반] 금 은 비트코인 / 금은비/ 자산의 소유 [14] lexial6737 24/11/10 6737 3
102623 [일반] 미국 일반인들의 자산대비 주식투자비율이 역대 최고치를 갱신했다고 합니다 [46] 독서상품권10863 24/11/10 10863 3
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로