PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/25 17:07:26
Name Regentag
Link #1 https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md
Subject [일반] IPinside LWS Agent 취약점 공개 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.net/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.net/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.net/freedom/97695

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)
1월 25일, 예고되었던 다음 취약점이 공개되었습니다.
[IPinside: 대한민국의 필수 설치 스파이웨어] (한국어 번역)
https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md

IPinside LWS Agent는 인터리젠에서 만든 실제 IP주소 확인 프로그램으로, 접속자의 실제 IP주소를 확보하여 온라인 사기를 막는것을 목적으로 합니다.

다음과 같은 사항들이 지적되었습니다:
  * IP주소 뿐만 아니라 PC에서 굉장히 많은 자료를 수집 (운영체제 버전, 하드디스크의 시리얼 번호, MAC 주소, 가상머신 여부, 원격접속 여부, 실행중인 프로세스 목록, etc.)
  * 실행중인 프로세스 목록을 얻는 기능을 사용하면 공격자가 PC의 전체 프로세스 목록을 얻을 수 있음
  * 수집된 데이터는 적절하게 보호되지 않음
    - 지나치게 약한 암호화(지나치게 짧은 키 사용)
    - 일부 암호화 키는 하드코딩 되어있음
    - 암호화 라이브러리의 부적절한 사용
  * 6년전에 지원이 끝난 OpenSSL 1.0.1j 사용
  * 여러 방법으로 스택오버플로우, 버퍼를 벗어난 읽기 가능:
    - 원격코드 실행 취약점으로 발전 가능성 있음
    - 앱 크래시 유도 가능(PoC 검증됨)


팔란트는 2022년 10월 21일 3건의 취약점 보고서를 KrCERT에 신고하였으며, 11월 14일에 KrCERT에서 보고서들을 인터리젠에 전달하였다고 확인해 주었다고 합니다.
이후 한국의 기자가 인터리젠에 이 내용을 문의하였고 인터리젠의 대답은 다음과 같습니다:
  [보고서 중에 하나만 2023년 1월 6일에서야 받았다. 그렇기 때문에 문제점에 대한 수정버전은 2월에 배포할 예정이고 그 이후 새로운 버전을 사용자에게 배포하는 것은 고객(즉 은행 등)에 달려 있다.]

수정 버전이 2월에나 나온다고 하니 이 프로그램도 사용 시 주의하셔야 할 것 같네요.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 17:17
수정 아이콘
고마워 팔란트!
작은대바구니만두
23/01/25 18:14
수정 아이콘
보고서가 한참이나 지나서야 전달되거나 누락된 이유가 뭘까 싶네요
타츠야
23/01/25 19:33
수정 아이콘
그러게요. 배달사고도 아니고 이메일로 전달했을 것 같은데, 스팸 처리 된건가...
Regentag
23/01/25 19:36
수정 아이콘
저도 그부분이 굉장히 의아합니다. 지난번 공개 때 나온 기사에 따르면 안랩도 전달을 못 받았다고 했거든요.
타츠야
23/01/25 20:43
수정 아이콘
스팸함에 있었을지도...
뒹굴뒹굴
23/01/25 21:11
수정 아이콘
암호화 전문가는 아닙니다만..

[지나치게 약한 암호화(지나치게 짧은 키 사용)]
그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다.

[일부 암호화 키는 하드코딩 되어있음]
이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지?

[6년전에 지원이 끝난 OpenSSL 1.0.1j 사용]
이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데..

요즘은 학부생도 저렇게는 안짤텐데요..
저걸 돈을 받았다고..
VictoryFood
23/01/25 21:41
수정 아이콘
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
Regentag
23/01/25 21:49
수정 아이콘
PC에서도 그냥 앱 하나만 설치하게끔 했으면 좋겠습니다.
제일 베스트는 브라우저 + 백신을 믿고 맡기는거지만요.
진세은
23/01/25 21:56
수정 아이콘
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
작은대바구니만두
23/01/25 22:43
수정 아이콘
연말정산 한다고 관련 서비스들 이용해보니 따로 설치하는거 없이 할 수 있더군요
은행도 조만간 바뀌지 않을까 싶습니다
23/01/25 22:41
수정 아이콘
그냥 보안 업체에 보안 전문가가 없다고 생각할 수 밖에 없네요.
23/01/25 23:15
수정 아이콘
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련)
저럴 수 밖에 없습니다.

외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고,
그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다.

그리고 그 보안룰조차 국가가 설정하다보니,
공기업 업무를 해보신 분들은 아시겠지만,
필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다.
(법이 현실에 못 따라 오는 것과 같은 속도죠)

그러니, 자칭 보안업체도,
관련 기관의 체크리스트만 통과할 수 있으면
문제가 없는 겁니다.

애초에 국가가 하란대로 한거니까요.

이건 보안 업체의 잘못보다,
지금 이 구조를 만들고 그 마피아 시장을 유지시키는
금감원 꼴통(…)들이 욕을 먹어야 합니다.

저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
수정 아이콘
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
-안군-
23/01/26 00:04
수정 아이콘
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 274299 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 340961 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 462904 29
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 336981 3
102659 [일반] 100년 전 사회과부도 속의 유럽을 알아보자 [8] 식별1137 24/11/14 1137 5
102658 [일반] 올해 수능 필적 확인란 시: "하나뿐인 예쁜 딸아" [4] 해바라기1249 24/11/14 1249 13
102657 [일반] PGR게시판의 역사(2002년~지금까지) [2] 오타니541 24/11/14 541 5
102656 수정잠금 댓글잠금 [일반] 동덕여대건으로 5년만에 에브리타임 들어갔다 놀랐음요 [59] 마술의 결백증명4373 24/11/14 4373 7
102655 [일반] 우리나라는 서비스를 수출하는 나라가 될 수 있을까 [28] 깃털달린뱀2556 24/11/14 2556 1
102654 [정치] 尹 골프 갑작 방문에 10팀 취소시켜…"무례했다" [75] 전기쥐4975 24/11/14 4975 0
102653 [일반] 글래디에이터2 감상평(스포무) [9] 헝그르르1633 24/11/14 1633 1
102652 [일반] 바이든, 임기 종료 전 사퇴해 해리스를 첫 여성 대통령으로 만들어야 [76] 뭉땡쓰9284 24/11/13 9284 12
102651 [일반] 유게 폐지 내지는 명칭 변경을 제안합니다 [205] 날라8222 24/11/13 8222 18
102650 [정치] 조국, 증시 급락에 “금투세 폐지하자던 분들 어디 갔느냐” [152] 갓기태9257 24/11/13 9257 0
102649 [일반] 미국 주식에 투자하는 이유 + 적립식 S&P500 투자의 장단점 [76] SOXL7262 24/11/13 7262 47
102648 [일반] 맥주의 기나긴 역사 [5] 식별2580 24/11/13 2580 19
102647 [정치] 국민의힘 당원 게시판에 대통령 욕하는 사람의 정체는?? [112] 체크카드10458 24/11/13 10458 0
102646 [일반] [속보] 트럼프, '정부효율부[DOGE]' 수장에 일론 머스크 발탁 [121] 마그데부르크9683 24/11/13 9683 0
102645 [일반] 서울사립초 규정어긴 중복지원 논란 [17] Mamba4466 24/11/13 4466 2
102643 [일반] 위스키와 브랜디의 핏빛 역사 [13] 식별3416 24/11/12 3416 35
102642 [일반] 경고 없는 연속 삭제는 너무 한 거 아닌가요? [208] 지나가던S13350 24/11/12 13350 93
102641 [일반] 코리아보드게임즈 "완경기" 번역 논란 [233] 마르코11608 24/11/12 11608 36
102639 [정치] 페미 이슈 관련 운영진의 편향적인 태도 [119] 굿럭감사11143 24/11/12 11143 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로