TB의 SNS 이야기

'image' N번방이 최근까지도 나라에서 야동 사이트를 막아두니 텔레그램으로 넘어간 정도로만 생각했습니다. 좋지도 않은 얘기들은 필력 넘치는 기자님들 또는 이런쪽에 특화된 '여기', '여기' 에 정리되어 있습니다. N번방을 트위터로 검색을 해보면 폐악질 관련, 신상 공개, 전원 수사와 같은 부분에만 초점이 맞춰져 있습니다. 그러나 피싱/스캠을 당하지 않을 기본적인 셀프-보안 수칙들 또한 알리는 것이 중요할 것이고, 몇가지를 정리해보도록 하겠습니다. 개인정보 공유자제 인터넷, SNS 등에 개인정보를 올리는 것은 그 행위로 인한 금전적인 이득이 보장되지 않는다면 득보다 실이 많습니다. 참고로, 얼굴 또는 몸매가 드러나는 사진들이 '교도소' 로 무단도용되는 사례가 보도된 바가 있습니다. 의심하기 트위터 해킹..

과거 안드로이드 악성코드의 목적은 사용자 계정에 대한 직접적인 개인정보 수집과 금융정보 수집 등이 있었습니다. 이렇게 수집된 정보들은 금융해킹, 피싱, 보이스 피싱 등 다양한 경로를 통해서 범죄에 악용됩니다. 이같은 범죄들이 최근에는 '마케팅' 에도 활용되고 있습니다. 상시 백그라운드(real-multitasking)를 지원하며 iOS 보다 점유율이 높기 때문에 불특정 다수를 타겟으로 하기 위해서는 안드로이드가 타겟이 될 가능성이 높습니다. 예를 들면, 악성코드로 수집한 사용자 개인정보를 통해 특정 포탈에서 '연관 검색어를 조작' 하기도 합니다. 혹은 스마트폰의 백그라운드에서 특정 프로세싱을 연속적으로 수행하도록 합니다. 만약 포탈, 유투브, 특정 서비스에서 자신이 검색하지 않은 키워드가 보인다면 악성코..

지난 달 Wi-Fi 에 연결 할 수 있는 모든 기기들에 영향을 주는 새로운 보안 취약점이 발견됐고 "KRACK" 이라 네이밍 됐습니다. 일부 OEM 업체들에서는 이미 기기가 영향을 받지 않도록 업데이트를 배포한 바가 있으며, 구글(Google) 또한 이와 같은 작업을 진행중입니다. 구글은 KRACK 에 관한 업데이트를 11월 보안 업데이트에 배포 할 것이라 했지만, Ars Technica에서 확인 결과 실제로는 패치가 포함되지 않았다는 것을 발견했습니다. 그대신, 구글은 12월 안드로이드 보안 패치가 배포 될 때까지 픽셀(Pixel)과 넥서스(Nexus) 기기에 KRACK 패치가 포함되지 않을 것이라고 합니다. cf. KRACK 보안 취약점은 모든 WiFi 기기에 해당되며 iOS는 지난 11.1에서 패치..

애플의 아이폰7 보안이 모바일 Pwn2Own에서 3인조 해커들로 부터 기기 권한을 상승시키고 임의 코드를 실행하는 2개의 사파리 버그의 Wi-Fi exploit 과 시스템 서비스 버그로써 우회됐다. 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)은 이번 컨퍼런스에서 3가지 이벤트 중 2가지를 성공적으로 마쳤다. Richard Zhu는 아이폰7에서 사파리의 2가지 버그를 사용하여 샌드박스(sandbox)를 우회시켰다. 현재 이 공격 테크닉은 PwnOwn 운영진으로 부터 검증되지 않았다. 컨테스트 룰에 따르면 침투를 위한 모든 기기 대상들은 최신 버전의 가능한 모든 패치들이 설치된 각각의 운영체제를 통해서 구동되어져야만 한다. 현재 iOS의 어떤 버전이 아이폰7에 설치되었는지는 분명하..

안드로이드OS는 IT/모바일 능력이 (준)개발자, (준)보안전문가 레벨은 되야 적합한 운영체제라 여러번 강조했다. 그럼에도 안드로이드 점유율이 높은걸 보면 다들 (준)개발자, (준)보안전문가 레벨인가 보더라. 구글 플레이 스토어의 FalseGuide 멜웨어가 경고됐다. 합법적인 구글 플레이 스토어를 통해서 악성 코드를 전파하는 좋은 방법 중 하나는 무료 또는 유료로 다운로드 할 수 있는 인기있는 게임 가이드를 이용하는 것이다. 이것이 "FalseGuide(거짓 가이드)" 멜웨어의 기능이다. 게임 가이드를 기기에 설치하면서 권한을 요청하여 사용자가 주의하지 않으면 기기에서 아예 삭제조차 되지 않도록 할 수도 있다. 여기서 부터 모든 종류의 악의적인 해킹이 일어난다. FalseGuide 멜웨어는 Check ..

랜섬웨어(Ransomware)란, Ransome(몸값) + Software(소프트웨어)의 합성어로 악성 코드를 유포하여 특정 확장자명(사진 또는 문서 등)을 암호화 하여 열리지 못하게 하거나, 아예 시스템 자체를 사용 할 수 없도록 한 다음 돈을 요구 협박하는 목적으로 제작된 악성 프로그램을 말한다. 랜섬웨어는 주로 불법 공유 사이트, 신뢰 할 수 없는 사이트, 스펨메일, 일반 (합법)파일 공유 사이트를 통해서 유포된다. 카스퍼키랩에서 2016년 4월과 5월 CryptXXX 랜섬웨어의 두 가지 변종에 대한 복호화 도구 배포에 이어, 또 다시 CryptXXX 랜섬웨어의 최신 버전에 감염된 파일을 위한 복호화(암호화의 반대어) 도구를 새롭게 무료 배포했다. CryptXXX 악성 코드는 2016년 4월 이후 ..

한국에서야 '카카오톡' 이 대세지만, 글로벌 메신저 마켓 현황은 페이스북(Facebook)이 인수하기 전부터 왓츠앱(WhatsApp)이 1위였다. 왓츠앱은 10억 사용자로써 전세계 7명 중 1명은 왓츠앱을 쓰고 있다. 그 뒤를 잇는 2위는 중국의 위쳇(WeChat)이다. 대륙의 인구가 14억이라는 점이 크게 작용했다. 이제 3위, 4위를 알아보면 눈치가 빠른 분들이라면 '감' 이 올테니, 바로 텔레그램(Telegram)이다. 텔레그램의 사용자 수는 1억명으로, 한국의 네이버(Naver)에서 서비스 중인 라인(LINE)과 공동 3위다. 왜 텔레그램이야 하나? 청와대, 국정원, 경찰 고위 간부들이 쓰는 메신저가 텔레그램이다. 미국 비영리 탐사보도 매체 'Propublica' 에서 보고서를 발표한 'The B..

아이폰 뿐만 아니라 스마트폰을 쓰는 가장 멍청한 방법 중 하나가 '4자리 비밀번호' 이다. 왜 4자리 비밀번호를 쓰지 말라고 하냐구요? 0000 1000 2000 3000 4000 5000 6000 7000 8000 90000001 1001 2001 3001 4001 5001 6001 7001 8001 90010002 1002 2002 3002 4002 5002 6002 7002 8002 90020003 1003 2003 3003 4003 5003 6003 7003 8003 90030004 1004 2004 3004 4004 5004 6004 7004 8004 90040005 1005 2005 3005 4005 5005 6005 7005 8005 90050006 1006 2006 3006 4006 500..

수천만대의 안드로이드 기기들이 해커들이 악용 할 수 있는 풀 디스크 암호화 보안 결함에 노출되어 있다는 보도다. Neowin 의 '안드로이드 커널 결함과 퀄컴 프로세서' 보고서에 따르면 이 취약점은 보안 전문가인 Gal Beniamini 에 의해 발견됐다. 그는 구글과 퀄컴의 패치에 관한 문제를 지적했고 일부 결함들은 이미 해결됐지만 아직 몇가지 이슈들이 패치되지 않았다고 주장했으며 이같은 이슈를 해결하기 위해서는 새 하드웨어가 필요하다고 말했다. 안드로이드 5.0 또는 이하 버전의 어떠한 폰들도 풀 디스크 암호화 결함으로 부터 자유롭지 못하다. 풀 디스크 암호화 기능은 애플이 FBI와 현재까지 싸우는 중인 보안 핵심 기능과 동일한 기능이다. 풀 디스크 암호화 기능은 전체(full) 디스크(disk; 내..

안드로이드를 두고 '양날의 검(편의성과 보안 위험 사이)' 이라 평가하는 이들도 있다. 검 같은 소리하고 자빠졌다. 본인이 보안 전문가이자 IT/모바일 파워 유저라면 그럴 수는 있다. 그러나 안드로이드를 쓰는 중인 거의 대부분의 이들이 폰맹, IT/모바일맹일 가능성이 높다는 점에서 대책이 없는 소리다.(iOS 를 포함한 다른 모바일 플랫폼도 마찬가지다.) 'TrendLabs Security' 에서 신종 안드로이드 멜웨어를 경고했다. Godless라 네이밍 된 이 멜웨어의 특징을 정리하자면 아래와 같다. • 안드로이드 롤리팝 5.1 이하(5.1포함) 버전이 해당• 사전 검열이 없는 구글 플레이 스토어 또는 아마존, 및 기타 .apk 다운로드 사이트를 대상으로 무작위 배포• 안드로이드 보안 취약점을 악용, ..