| Date | 23/01/10 14:43:24 |
| Name | Hard Rock Cafe, |
| File #1 | 1.png (11.6 KB), Download : 43 |
| Subject | 외국 보안 연구자가 분석한 한국 인터넷뱅킹 보안 |
 https://palant.info/2023/01/02/south-koreas-online-security-dead-end/ (들어가면 한국어 번역본 링크 있습니다.) Wladimir Palant는 크롬 확장프로그램 AdBlocker의 개발자이기도 합니다. 그는 작년 9월, 한국에서 '비정상적으로 높은 사용자 수'를 보유한 프로그램들이 눈에 띄었는데 놀랍게도 전부 보안프로그램이었다고 합니다. 그런 점에 흥미를 느껴 한국 인터넷뱅킹 프로그램을 분석하기 시작했습니다. 현 상황이 발생하게 된 역사적인 배경과 더불어 프로그램의 수준(Software quality), 문제점과 현 상황을 수준 높은 내용이면서, 읽기 쉽게 작성한 아주 좋은 분석글입니다. 그는 대표적인 문제점으로 몇 가지를 짚었습니다. 1. C++ 대신 복잡한 상호작용에 취약한 C언어를 사용. 2. 언어 환경 때문에 메모리 버퍼 등의 취약점 발생 3. 최신 컴파일러를 쓰면 해결되는 취약점도 있는데, 구식 컴파일러 쓰는 15년 된 비주얼 스튜디오를 사용 4. 사용하는 오픈소스도 전부 옛날 버전. 뭐 아무튼 분석해봤더니 여러모로 개판이더라, 라는 내용입니다. 그리고 친절하게 취약점을 각 회사에 공지하였고, 90일 뒤에 이를 공개하기로 했습니다. 그 중 하나가 어제 1월 9일입니다. 취약점이 공개된 프로그램은 '라온 시큐어의 TouchEn nxKey' 입니다. 익숙한 이름이죠? 사용처를 찾아봤는데 이름 나열하기 무의미한 정도입니다. 정부 공공기관, 은행에서 사용하지 않는 곳이 없었습니다. 글 말미에 Wladimir는 취약점 공개 전까지도 수정(or 배포)가 되지 않은 곳이 많다고 언급하였습니다. 놀라운 사실은 아니지만, 암담한 환경을 살갗으로 느끼는 듯하여 한숨만 나오네요. 이 또한 기형적인 현 구조에서 비롯된 것이겠지요. 아래에서 'TouchEn nxKey' 분석글과 함께 다음 공개 일정을 확인하실 수 있습니다. 읽어주셔서 감사합니다. 2023-01-09: TouchEn nxKey: The keylogging anti-keylogger solution 2023-01-23 (January 23rd) 2023-02-06 (February 6th) 2023-03-06 (March 6th) 6
이 게시판에 등록된 Hard Rock Cafe,님의 최근 게시물 |
|
