PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/25 17:07:26
Name Regentag
Link #1 https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md
Subject [일반] IPinside LWS Agent 취약점 공개 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.co.kr/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.co.kr/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.co.kr/freedom/97695

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)
1월 25일, 예고되었던 다음 취약점이 공개되었습니다.
[IPinside: 대한민국의 필수 설치 스파이웨어] (한국어 번역)
https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md

IPinside LWS Agent는 인터리젠에서 만든 실제 IP주소 확인 프로그램으로, 접속자의 실제 IP주소를 확보하여 온라인 사기를 막는것을 목적으로 합니다.

다음과 같은 사항들이 지적되었습니다:
  * IP주소 뿐만 아니라 PC에서 굉장히 많은 자료를 수집 (운영체제 버전, 하드디스크의 시리얼 번호, MAC 주소, 가상머신 여부, 원격접속 여부, 실행중인 프로세스 목록, etc.)
  * 실행중인 프로세스 목록을 얻는 기능을 사용하면 공격자가 PC의 전체 프로세스 목록을 얻을 수 있음
  * 수집된 데이터는 적절하게 보호되지 않음
    - 지나치게 약한 암호화(지나치게 짧은 키 사용)
    - 일부 암호화 키는 하드코딩 되어있음
    - 암호화 라이브러리의 부적절한 사용
  * 6년전에 지원이 끝난 OpenSSL 1.0.1j 사용
  * 여러 방법으로 스택오버플로우, 버퍼를 벗어난 읽기 가능:
    - 원격코드 실행 취약점으로 발전 가능성 있음
    - 앱 크래시 유도 가능(PoC 검증됨)


팔란트는 2022년 10월 21일 3건의 취약점 보고서를 KrCERT에 신고하였으며, 11월 14일에 KrCERT에서 보고서들을 인터리젠에 전달하였다고 확인해 주었다고 합니다.
이후 한국의 기자가 인터리젠에 이 내용을 문의하였고 인터리젠의 대답은 다음과 같습니다:
  [보고서 중에 하나만 2023년 1월 6일에서야 받았다. 그렇기 때문에 문제점에 대한 수정버전은 2월에 배포할 예정이고 그 이후 새로운 버전을 사용자에게 배포하는 것은 고객(즉 은행 등)에 달려 있다.]

수정 버전이 2월에나 나온다고 하니 이 프로그램도 사용 시 주의하셔야 할 것 같네요.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 17:17
수정 아이콘
고마워 팔란트!
작은대바구니만두
23/01/25 18:14
수정 아이콘
보고서가 한참이나 지나서야 전달되거나 누락된 이유가 뭘까 싶네요
타츠야
23/01/25 19:33
수정 아이콘
그러게요. 배달사고도 아니고 이메일로 전달했을 것 같은데, 스팸 처리 된건가...
Regentag
23/01/25 19:36
수정 아이콘
저도 그부분이 굉장히 의아합니다. 지난번 공개 때 나온 기사에 따르면 안랩도 전달을 못 받았다고 했거든요.
타츠야
23/01/25 20:43
수정 아이콘
스팸함에 있었을지도...
뒹굴뒹굴
23/01/25 21:11
수정 아이콘
암호화 전문가는 아닙니다만..

[지나치게 약한 암호화(지나치게 짧은 키 사용)]
그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다.

[일부 암호화 키는 하드코딩 되어있음]
이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지?

[6년전에 지원이 끝난 OpenSSL 1.0.1j 사용]
이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데..

요즘은 학부생도 저렇게는 안짤텐데요..
저걸 돈을 받았다고..
VictoryFood
23/01/25 21:41
수정 아이콘
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
Regentag
23/01/25 21:49
수정 아이콘
PC에서도 그냥 앱 하나만 설치하게끔 했으면 좋겠습니다.
제일 베스트는 브라우저 + 백신을 믿고 맡기는거지만요.
진세은
23/01/25 21:56
수정 아이콘
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
작은대바구니만두
23/01/25 22:43
수정 아이콘
연말정산 한다고 관련 서비스들 이용해보니 따로 설치하는거 없이 할 수 있더군요
은행도 조만간 바뀌지 않을까 싶습니다
23/01/25 22:41
수정 아이콘
그냥 보안 업체에 보안 전문가가 없다고 생각할 수 밖에 없네요.
23/01/25 23:15
수정 아이콘
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련)
저럴 수 밖에 없습니다.

외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고,
그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다.

그리고 그 보안룰조차 국가가 설정하다보니,
공기업 업무를 해보신 분들은 아시겠지만,
필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다.
(법이 현실에 못 따라 오는 것과 같은 속도죠)

그러니, 자칭 보안업체도,
관련 기관의 체크리스트만 통과할 수 있으면
문제가 없는 겁니다.

애초에 국가가 하란대로 한거니까요.

이건 보안 업체의 잘못보다,
지금 이 구조를 만들고 그 마피아 시장을 유지시키는
금감원 꼴통(…)들이 욕을 먹어야 합니다.

저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
수정 아이콘
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
-안군-
23/01/26 00:04
수정 아이콘
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
97783 [일반] 10년 계정 벌점 없이 영구 강등 당한 썰 [220] 뿔난냥이20799 23/01/27 20799 33
97782 [정치] "실탄 검색하셨죠" ···뜬금포 경찰전화 [67] 20202 23/01/27 20202 0
97781 [정치] 서울 학생인권조례 폐지 직전? [122] 라이언 덕후21272 23/01/27 21272 0
97780 수정잠금 댓글잠금 [일반] 백신패스와 마스크 패스 [96] 부평오돌뼈17009 23/01/27 17009 2
97779 [정치] 갑자기 모든게 다 비싸졌네요. [96] 만수르20794 23/01/27 20794 0
97778 [일반] 추악한 민낯 [164] 부평오돌뼈19582 23/01/26 19582 14
97777 [정치] [번역] 미국 핵 전문가가 보는 한국의 핵개발=재앙 [154] 김재규열사18811 23/01/26 18811 0
97776 [일반] [역사] 도넛과 베이글의 차이는?! [31] Fig.192181 23/01/26 92181 25
97775 [일반] (약혐) 영구치가 아예 안 나기도 하는군요... [44] 우주전쟁13351 23/01/26 13351 1
97773 [일반] 모아보는 개신교 소식 [44] SAS Tony Parker 11258 23/01/26 11258 2
97772 [일반] 두 집안의 서로 다른 음식 문화 충돌이 빚어낸 결과 [66] 천연딸기쨈14235 23/01/26 14235 38
97771 [일반] 국가공무원 복무규칙의 작지만 큰(?) 변경 [16] Regentag16841 23/01/25 16841 9
97770 [일반] IPinside LWS Agent 취약점 공개 [14] Regentag11907 23/01/25 11907 2
97769 [일반] [잡담] 육아는 템빨? 100일 아기 육아템 구매/사용기(추가) [95] Klopp14481 23/01/25 14481 15
97768 [일반] 머지와는 좀 다르게 흘러가는 보고플레이 상황 [54] 길갈17099 23/01/25 17099 5
97767 [정치] 국민의 힘 당대표는 누가 될것인가? [92] 카루오스18970 23/01/25 18970 0
97766 [정치] 나경원 당대표 불출마 선언 [104] 맥스훼인17496 23/01/25 17496 0
97765 [일반] 미국과 유럽이 에이브럼스와 레오파르트2를 우크라이나에 지원검토중이라고 합니다. [40] 된장까스13724 23/01/25 13724 3
97764 [일반] [성경이야기]평화를 사랑하는(?) 단 지파 [4] BK_Zju11869 23/01/25 11869 15
97763 [일반] 차이니즈 뉴이어와 차이니즈 바이러스 [174] Octoblock19030 23/01/24 19030 27
97762 [일반] 한국군 병영식에 고기가 너무 없다. [61] 공기청정기14738 23/01/24 14738 7
97761 [정치] 대한민국에 정말 희망은 없는것일까?(남북통일) [61] 워렌버핏14866 23/01/24 14866 0
97760 [일반] 새해도 시작되었으니 운동도 다시 시작하자 [21] Lord Be Goja11409 23/01/24 11409 13
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로