보안 22

피싱/스캠을 당하지 않을 기본적인 셀프-보안 수칙들

'image' N번방이 최근까지도 나라에서 야동 사이트를 막아두니 텔레그램으로 넘어간 정도로만 생각했습니다. 좋지도 않은 얘기들은 필력 넘치는 기자님들 또는 이런쪽에 특화된 '여기', '여기' 에 정리되어 있습니다. N번방을 트위터로 검색을 해보면 폐악질 관련, 신상 공개, 전원 수사와 같은 부분에만 초점이 맞춰져 있습니다. 그러나 피싱/스캠을 당하지 않을 기본적인 셀프-보안 수칙들 또한 알리는 것이 중요할 것이고, 몇가지를 정리해보도록 하겠습니다. 개인정보 공유자제 인터넷, SNS 등에 개인정보를 올리는 것은 그 행위로 인한 금전적인 이득이 보장되지 않는다면 득보다 실이 많습니다. 참고로, 얼굴 또는 몸매가 드러나는 사진들이 '교도소' 로 무단도용되는 사례가 보도된 바가 있습니다. 의심하기 트위터 해킹..

IT 2020.03.23

안드로이드 유저들이 지켜야 할 기본적인 보안 습관 5가지

과거 안드로이드 악성코드의 목적은 사용자 계정에 대한 직접적인 개인정보 수집과 금융정보 수집 등이 있었습니다. 이렇게 수집된 정보들은 금융해킹, 피싱, 보이스 피싱 등 다양한 경로를 통해서 범죄에 악용됩니다. 이같은 범죄들이 최근에는 '마케팅' 에도 활용되고 있습니다. 상시 백그라운드(real-multitasking)를 지원하며 iOS 보다 점유율이 높기 때문에 불특정 다수를 타겟으로 하기 위해서는 안드로이드가 타겟이 될 가능성이 높습니다. 예를 들면, 악성코드로 수집한 사용자 개인정보를 통해 특정 포탈에서 '연관 검색어를 조작' 하기도 합니다. 혹은 스마트폰의 백그라운드에서 특정 프로세싱을 연속적으로 수행하도록 합니다. 만약 포탈, 유투브, 특정 서비스에서 자신이 검색하지 않은 키워드가 보인다면 악성코..

구글 12월까지 KRACK 보안 취약점 업데이트 배포하지 않을 것

지난 달 Wi-Fi 에 연결 할 수 있는 모든 기기들에 영향을 주는 새로운 보안 취약점이 발견됐고 "KRACK" 이라 네이밍 됐습니다. 일부 OEM 업체들에서는 이미 기기가 영향을 받지 않도록 업데이트를 배포한 바가 있으며, 구글(Google) 또한 이와 같은 작업을 진행중입니다. 구글은 KRACK 에 관한 업데이트를 11월 보안 업데이트에 배포 할 것이라 했지만, Ars Technica에서 확인 결과 실제로는 패치가 포함되지 않았다는 것을 발견했습니다. 그대신, 구글은 12월 안드로이드 보안 패치가 배포 될 때까지 픽셀(Pixel)과 넥서스(Nexus) 기기에 KRACK 패치가 포함되지 않을 것이라고 합니다. cf. KRACK 보안 취약점은 모든 WiFi 기기에 해당되며 iOS는 지난 11.1에서 패치..

Google 2017.11.11

아이폰7, Wi-Fi, 사파리 '제로데이' 보안결함 pwn2own 해커 컨테스트에서 우회

애플의 아이폰7 보안이 모바일 Pwn2Own에서 3인조 해커들로 부터 기기 권한을 상승시키고 임의 코드를 실행하는 2개의 사파리 버그의 Wi-Fi exploit 과 시스템 서비스 버그로써 우회됐다. 텐센트 킨 시큐리티 랩(Tencent Keen Security Lab)은 이번 컨퍼런스에서 3가지 이벤트 중 2가지를 성공적으로 마쳤다. Richard Zhu는 아이폰7에서 사파리의 2가지 버그를 사용하여 샌드박스(sandbox)를 우회시켰다. 현재 이 공격 테크닉은 PwnOwn 운영진으로 부터 검증되지 않았다. 컨테스트 룰에 따르면 침투를 위한 모든 기기 대상들은 최신 버전의 가능한 모든 패치들이 설치된 각각의 운영체제를 통해서 구동되어져야만 한다. 현재 iOS의 어떤 버전이 아이폰7에 설치되었는지는 분명하..

구글도 해결 방법 없는 FalseGuide 멜웨어 80만대 이상 감염

안드로이드OS는 IT/모바일 능력이 (준)개발자, (준)보안전문가 레벨은 되야 적합한 운영체제라 여러번 강조했다. 그럼에도 안드로이드 점유율이 높은걸 보면 다들 (준)개발자, (준)보안전문가 레벨인가 보더라. 구글 플레이 스토어의 FalseGuide 멜웨어가 경고됐다. 합법적인 구글 플레이 스토어를 통해서 악성 코드를 전파하는 좋은 방법 중 하나는 무료 또는 유료로 다운로드 할 수 있는 인기있는 게임 가이드를 이용하는 것이다. 이것이 "FalseGuide(거짓 가이드)" 멜웨어의 기능이다. 게임 가이드를 기기에 설치하면서 권한을 요청하여 사용자가 주의하지 않으면 기기에서 아예 삭제조차 되지 않도록 할 수도 있다. 여기서 부터 모든 종류의 악의적인 해킹이 일어난다. FalseGuide 멜웨어는 Check ..

안드로이드 강좌 2017.04.27 (4)

CryptXXX 랜섬웨어 복원 방법

랜섬웨어(Ransomware)란, Ransome(몸값) + Software(소프트웨어)의 합성어로 악성 코드를 유포하여 특정 확장자명(사진 또는 문서 등)을 암호화 하여 열리지 못하게 하거나, 아예 시스템 자체를 사용 할 수 없도록 한 다음 돈을 요구 협박하는 목적으로 제작된 악성 프로그램을 말한다. 랜섬웨어는 주로 불법 공유 사이트, 신뢰 할 수 없는 사이트, 스펨메일, 일반 (합법)파일 공유 사이트를 통해서 유포된다. 카스퍼키랩에서 2016년 4월과 5월 CryptXXX 랜섬웨어의 두 가지 변종에 대한 복호화 도구 배포에 이어, 또 다시 CryptXXX 랜섬웨어의 최신 버전에 감염된 파일을 위한 복호화(암호화의 반대어) 도구를 새롭게 무료 배포했다. CryptXXX 악성 코드는 2016년 4월 이후 ..

IT 2016.12.27

텔레그램 봇 채널 추천 모음

한국에서야 '카카오톡' 이 대세지만, 글로벌 메신저 마켓 현황은 페이스북(Facebook)이 인수하기 전부터 왓츠앱(WhatsApp)이 1위였다. 왓츠앱은 10억 사용자로써 전세계 7명 중 1명은 왓츠앱을 쓰고 있다. 그 뒤를 잇는 2위는 중국의 위쳇(WeChat)이다. 대륙의 인구가 14억이라는 점이 크게 작용했다. 이제 3위, 4위를 알아보면 눈치가 빠른 분들이라면 '감' 이 올테니, 바로 텔레그램(Telegram)이다. 텔레그램의 사용자 수는 1억명으로, 한국의 네이버(Naver)에서 서비스 중인 라인(LINE)과 공동 3위다. 왜 텔레그램이야 하나? 청와대, 국정원, 경찰 고위 간부들이 쓰는 메신저가 텔레그램이다. 미국 비영리 탐사보도 매체 'Propublica' 에서 보고서를 발표한 'The B..

4자리 비밀번호 암호 풀기 4자리 암호쓰면 안되는 이유

아이폰 뿐만 아니라 스마트폰을 쓰는 가장 멍청한 방법 중 하나가 '4자리 비밀번호' 이다. 왜 4자리 비밀번호를 쓰지 말라고 하냐구요? 0000 1000 2000 3000 4000 5000 6000 7000 8000 90000001 1001 2001 3001 4001 5001 6001 7001 8001 90010002 1002 2002 3002 4002 5002 6002 7002 8002 90020003 1003 2003 3003 4003 5003 6003 7003 8003 90030004 1004 2004 3004 4004 5004 6004 7004 8004 90040005 1005 2005 3005 4005 5005 6005 7005 8005 90050006 1006 2006 3006 4006 500..

안드로이드 보안 결함 풀 디스크 암호화 결함 노출

수천만대의 안드로이드 기기들이 해커들이 악용 할 수 있는 풀 디스크 암호화 보안 결함에 노출되어 있다는 보도다. Neowin 의 '안드로이드 커널 결함과 퀄컴 프로세서' 보고서에 따르면 이 취약점은 보안 전문가인 Gal Beniamini 에 의해 발견됐다. 그는 구글과 퀄컴의 패치에 관한 문제를 지적했고 일부 결함들은 이미 해결됐지만 아직 몇가지 이슈들이 패치되지 않았다고 주장했으며 이같은 이슈를 해결하기 위해서는 새 하드웨어가 필요하다고 말했다. 안드로이드 5.0 또는 이하 버전의 어떠한 폰들도 풀 디스크 암호화 결함으로 부터 자유롭지 못하다. 풀 디스크 암호화 기능은 애플이 FBI와 현재까지 싸우는 중인 보안 핵심 기능과 동일한 기능이다. 풀 디스크 암호화 기능은 전체(full) 디스크(disk; 내..

안드로이드 멜웨어 롤리팝 5.1 이하 대상 Godless 방법도 없다.

안드로이드를 두고 '양날의 검(편의성과 보안 위험 사이)' 이라 평가하는 이들도 있다. 검 같은 소리하고 자빠졌다. 본인이 보안 전문가이자 IT/모바일 파워 유저라면 그럴 수는 있다. 그러나 안드로이드를 쓰는 중인 거의 대부분의 이들이 폰맹, IT/모바일맹일 가능성이 높다는 점에서 대책이 없는 소리다.(iOS 를 포함한 다른 모바일 플랫폼도 마찬가지다.) 'TrendLabs Security' 에서 신종 안드로이드 멜웨어를 경고했다. Godless라 네이밍 된 이 멜웨어의 특징을 정리하자면 아래와 같다. • 안드로이드 롤리팝 5.1 이하(5.1포함) 버전이 해당• 사전 검열이 없는 구글 플레이 스토어 또는 아마존, 및 기타 .apk 다운로드 사이트를 대상으로 무작위 배포• 안드로이드 보안 취약점을 악용, ..

안드로이드 강좌 2016.06.26 (2)

구글 5월 안드로이드 보안 업데이트 팩토리 이미지 다운로드

구글에서 5월 '안드로이드 보안 공지(Android Security Bulletin)'를 고시했다. 이는 작년 안드로이드 커뮤니티를 발칵 뒤집어놓고 '안티-애플러' 의 주축이자 안드로이드 보안 전문가들로 하여금 'Good Bye Android'를 선언하게 만든 Stagegright 사태 이후, 구글이 매월 보안 업데이트와 각 제조업체들에게 보안 결함에 관한 공지를 할 것이라는 약속의 일환이다. 어? 매월 보안 업데이트 안 제공되는데요? 라고 묻는다면 그건 제조업체 문제지 구글 문제는 아니다. 특히 모델을 여러가지 '뿌려 놓는' OEMs는 모든 기기들에 관한 소프트웨어 사후지원이 물리적으로 불가다. 어? 기기 가격에는 소프트웨어 사후지원 비용이 포함되는 것인데, OEMs가 안 해주면 잘못 아닌가요? 라고 ..

팩토리 이미지 2016.05.03 (3)

하이잭킹으로 부터 휴대전화를 보호하는 Google Authenticator/OTP

최근 들어 PC 게임으로는 '명함도 못 내밀' 그런 저 퀄리티 게임들이 모바일 게임들로 컨버팅 되어 '모바일 액션 RPG 홍수' 라는 표현이 어울릴 정도로 많이 출시되어 있다. 만들다 만 게임, 대충 출시해서 반응 봐서 빠르게 철수 등 치고 빠지는 국내 모바일 게임사들의 전략에 유저들의 피해가 속출하는 중이다. 게임사나 쇼핑물들이 모바일에 전력을 다하는 이유는, 우리 생활에서 가장 많이 함께하고 늘 인터넷에 접속하여 돈을 쓰도록 만들게끔 할 수 있기 때문이다. 아직 모바일 기기에 대한 계정 해킹 피해 사례는 많지는 않으나 과거 PC RPG 게임에서는 계정 해킹 피해 사례가 잇달았고 이 와중에 등장했던 시스템이 OTP 인증이다. 구글에서는 모바일폰에 대한 이같은 인증 시스템을 제공하여 2단계 인증 코드를 ..

기본적인 안드로이드 보안 설정

'진보넷(http://www.jinbo.net/)' 에서는 정치 이데올로기 이념을 떠나, 안드로이드 기기에 관한 기본적인 보안 설정에 관한 정보를 제공(https://guide.jinbo.net/digital-security/smartphone-security/android-security-setting) 중이다. 이전에도 한번 소개한 적이 있고, 모두 실제로 써보고 이중에서 추천 앱을 몇개만 정리해보자. 여기 소개된 것들 중 스토어에서 내려간 경우 F-Droid를 통해서 설치할 수 있다. 순정 안드로이드를 위한 안드로이드 앱 Orbot : 토르(Tor) 네트워크를 사용하여 인터넷 상 활동의 익명성을 증가시키도록 설계된 앱이다. 라이선스 : FOSS (BSD) / 요구사양 : 안드로이드 2.3 이상Orw..

루팅강좌 2016.02.24 (5)

비인가 네트워크를 쓰지 않고 정품 구매만 하면 Mac 은 안전하다는 허상

우리는 애플의 PC들이 윈도우 PC들 보다 멜웨어로 부터 더 안전하다는 것을 알고 있다. 동의 하나? 리서처 Patrick Wardle는 지난 몇달간 애플이 Gatekeeper(https://support.apple.com/ko-kr/HT202491) 라는 현재 보안 불감증에 빠져 있는 것은 아닌가 확인해봤다. 사실, 지난 몇년간 애플의 최신 패치들은 그들의 소프트웨어 보안 시스템을 글자 그대로 5분만에 (업데이트를 통해서) 제공해왔다. Gatekeeper는 당신의 Mac에 설최되는 악성 앱들을 차단한다. 그러나, 그것은 보안 기능을 갖지 못하는 것으로 보여진다. 2015년은 'OS X 멜웨어의 해' 였다. 아마도 이는 매우 큰 이슈가 될 것에 비해 단지 일부일 수도 있고, Mac들은 올해(2016)에는..

2016년 스마트폰 전망은 무선충전이 아닌 '3D터치, 보안 특화, 쿨링'이다.

삼성전자가 갤럭시S6에서 '무선 충전' 을 선보여 주목을 받았고 관심을 모은 무선충전이 내년 부터 본격 확대되고 심지어 아이폰7에 무선 충전 규격이 등장할 가능성이 높다며(?) 2016년 스마트폰 키워드가 무선충전이라는 이상한 소리에 관한 반박이다. 우선, 삼성전자는 지난 7월 27일 세계 최초 무선 충전 모니터까지 선보일 만큼 Qi 규격 무선 충전을 푸싱했다. 당시 설문조사와 넥서스5(Nexus 5)와 갤럭시S6의 Qi 무선 충전 규격을 실제로 써본 경험(삼성 딜라이트 체험)을 토대로 전자파가 인체에 미치는 영향 ← 이런 것 다 논외로 두고라도 실제 충전 효율이 매우 떨어지기에 Qi 무선 충전 규격은 소비자가 기기를 선택함에 있어서 killing 옵션이 될 수 없다는 글을 남긴적이 있었다. 소비자들은,..

Google 2015.11.24 (2)

업데이트가 필요 없는 차세대 안티바이러스 소프트웨어

IT/모바일에 관하여 잘 모르는 라이트-유저들의 PC, 모바일폰 사용 습관은 상상을 초월한다.(아닐수도 있다. 대충 써도 된다.) 최근들어 특히 보안, 개인정보 유출(은 별로 관심도 없다.), 직접적인 금융피해 사례가 이슈화 되는 중이기에 이스라엘의 Deep Instinct 라는 스타트업이 제시한 차세대 안티바이러스 소프트웨어 Deep learning에 관한 소식이다. Deep Instinct는 Deep learning 기술을 백신에 접목시켜, '백신 업데이트 없이 새로운 악성 코드를 스스로 자가 진단 차단'을 목표로 차세대 백신을 개발중이라 밝혔다. 악성 코드가 될 만한 요소들을 미리 수집한 데이터를 토대로 분석하고 차단하는 기술이며 기존 백신 보다 약 20% 더 높은 정확한 진단이 가능하다는 설명이다..

IT 2015.11.02 (2)

오픈백신 국정원 해킹 툴 RCS 9 멜웨어 감지 앱

새로운 갤럭시S가 출시될 때 마다, 해킹을 의뢰했다. 모바일 게임과 TV보기 앱을 '불법(저작권 침해) 리패키징'하여 무료로 쓸 수 있다고 .apk를 배포하여 전국민을 낚았다. '벚꽃놀이' 검색어로 웹사이트에 접속하는 것 만으로도 감염이 된다. 국정원이 세금으로 구매한 이탈리아 해킹팀 갈릴레오의 RCS(Remote Control System)9 계열의 멜웨어 얘기다. TB SNS에서는 국정원 해킹팀 멜웨어가 왜 문제이고, 이와 관련된 소식들을 100% 다뤄왔다. 그리고 이번에는, 오픈넷에서 공개한 '오픈백신'이다. Hacking Team의 멜웨어는 PC버전으로 디텍트(DETEKT)가 노멀하게 알려져있지만, 검진 속도가 늦기에 이것 보다는 밀라노(Milano)가 빠르다. 현존하는 그 어떤 백신도, RCS ..

LG도 매월 보안 업데이트 제공 확인

'보안, 개인정보, 금융정보, 프라이버시 침해'를 생각한다면 안드로이드 스마트폰을 쓰지 마라. 권한다. 이거 2010년 부터 했던 얘기고, 당시 리눅스가 어쩌고 유닉스가 저쩌고 '개' '헛' 소리로 '대 욕'을 들어먹었으나, 결국 이렇게 됐다. 안드로이드 보안 취약점은 그간 블로그를 통해 꾸준하게 소식을 전했고, Stagefright vulnerability 등 일부 보안 취약점은 그에 대한 대응책도 제시했으나, 지문인식 취약과 국정원이 뿌려놓은 이탈리아 해킹팀 갈릴레오의 멜웨어는 '공장도 초기화'를 해도 소용없다. 그냥 소중한 개인정보, 금융정보, 프라이버시는 새누리당 정권의 국정원과 함께 하면된다. Stagefright 코드 논란은 OS를 갈아 엎으면 된다. 구글에서는 넥서스 시리즈 전 기종에 이미 ..

안드로이드 2015.08.10

iOS 8.4 순정 아이폰도 해당되는 보안 취약점 발견에 관하여

아이폰도 'Stagefright 코드 보안 취약'과 유사한 iPhone kernel Denial of Service 중 iOS 8.4까지 해당되는 NULL Pointer Dereference 보안 취약점이 발견됐다고 한다. 기술적인 디테일은 '여기' 또는 '여기'서 확인하기로 하고, 쉽게 요점을 정리해보자면, . iOS 8 이상 64 비트에 해당.. (MMS, 브라우저 등으로)특정 파일 실행시 kernerl에서 crash가 발생 및 리부팅. NULL Pointer Dereference 보안 취약 하나로는 데이터 및 정보 유출에 관한 위험은 없고, . 공개되지 않은? 또 다른 취약점과 함께 쓰면 원격 코드 실행이 가능하다 전했다.. 탈옥 유무에 상관이 없다고 한다. NULL Pointer Dereferen..

매우 위험 등급 안드로이드 Stagefright 코드 보안 취약점과 해결방법

안드로이드 버전에 관계 없이 모든 안드로이드 운영체제 존재하는 Stagefright 미디어 라이브러리에 취약점이 있다는 것이 확인 됐다. 이 취약점은 '매우 위험' 등급으로 분류됐다. MMS(Multimedia messaging service) 처리시 공격자가 보낸 웹 링크를 클릭해야만 했던 기존의 Spear-phishing(스피어피싱, 스미싱) 방식과 달리, 공격자(해커)가 전화번호(개인정보 탈취 또는 구매 후 랜덤으로 공격)만 알아도, 사용자가 링크를 클릭하는 등의 행동을 보이지 않아도 공격이 가능한 '매우 위험' 등급의 보안 취약점이다. 즉, 피공격자(사용자)가 기기에 대해서 아무 동작을 하지 않고 '손도 대지 않아도' 공격하여 감염 시킬 수 있다. 이 방법은 현재로써는, 'MMS 데이터 자동 수신..

윈도우 관련 모든 로그인 키 패스워드 정보를 찾아내는 방법

로그인 정보를 일반 사용자들이 '현존 가장 안전하게 관리하는 방법'은, end-to-end 암호화를 지원하는 '1 Password' 를 이용하는 것이다. 1 Password는 Windows, OS X 용 및 iOS와 안드로이드용으로 출시되어 있다. 그러나, 이것 역시 안전하지는 않다. 이유는 기기 자체에서의 유출(혹은 유출이 되더라도 현재까지 해독이 불가한 것으로 알려졌기에)은 문제가 되지 않으나 PC와 연동시킬 경우 얘기가 달라진다. 또한, 대부분의 유저들이 Chrome, IE 등의 브라우저에 로그인 정보를 남기고 이는 '클릭 1번'으로 아이디와 패스워드가 고스란히 유출될 수 있다. 무슨 얘기인가 하면, 위처럼 PC에 설치된 모든 로그인 정보(아이디, 패스워드) 부터 브라우저에 저장된 로그인 정보까지 ..

IT 2014.12.31 (2)

트위터가 스마트폰의 앱을 훔처본다.

트위터의 이번 업데이트 내역 중, 트위터 앱을 사용하는 유저들이 어떤 앱을 사용하는지를 트랙킹하여 수집할 것으로 알려져 논란입니다. 트위터의 공식 앱을 업데이트 하면, 이에 따른 경고 문구 혹은 안내 문구 없이, 기본 설정이 '트랙킹'으로 되어 있고, 원치 않을 경우 설정에서 이 기능을 꺼야지만 합니다. 일전에, Path 앱 논란 당시에도 잘 알려졌습니다만, 오히려 앱스토어 앱 보다 탈옥 트윅이 사용자 정보를 덜 수집할 정도로, 현재 거의 모든 iOS와 안드로이드 앱은 백그라운드 정보를 수집 중입니다. 앱 내 사용자 정보까지는 확인할 수 없고, 어떤 앱을 쓰는지 종류만 파악할 수 있는데, 일부 앱들은 주소록, 전화번호, 사파리 사용내역, UDID, 위치, 사진 정보까지 수집합니다. 무료앱이 대표적이고 이..

반응형