PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2023/01/25 17:07:26
Name Regentag
Link #1 https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md
Subject [일반] IPinside LWS Agent 취약점 공개 (수정됨)
관련 글
1. [막다른 골목에 다다른 한국의 온라인 보안 실태]
  https://pgr21.net/freedom/97640
2. [TouchEn nxKey 취약점 공개] (졸업님의 글입니다)
  https://pgr21.net/freedom/97663
3. [TouchEn nxKey 취약점 공개에 대한 개발사의 입장]
  https://pgr21.net/freedom/97695

지난 글들에서 이어집니다.

보안 전문가인 블라디미르 팔란트는 한국의 온라인 보안 실태에 대해 비판하면서, 국내에서 사용되는 보안 프로그램들의 취약점을 발견하여 보고하였고 관례에 따라 90일 뒤에 공개할 것임을 밝혔었습니다. (관련 글 1. 참조)
이후 가장 먼저 라온시큐어사의 키보드 보안 소프트웨어인 TouchEn nxKey의 취약점을 공개하였죠. (관련 글 2. 참조)
1월 25일, 예고되었던 다음 취약점이 공개되었습니다.
[IPinside: 대한민국의 필수 설치 스파이웨어] (한국어 번역)
https://github.com/alanleedev/KoreaSecurityApps/blob/main/02_ipinside_lws_agent.md

IPinside LWS Agent는 인터리젠에서 만든 실제 IP주소 확인 프로그램으로, 접속자의 실제 IP주소를 확보하여 온라인 사기를 막는것을 목적으로 합니다.

다음과 같은 사항들이 지적되었습니다:
  * IP주소 뿐만 아니라 PC에서 굉장히 많은 자료를 수집 (운영체제 버전, 하드디스크의 시리얼 번호, MAC 주소, 가상머신 여부, 원격접속 여부, 실행중인 프로세스 목록, etc.)
  * 실행중인 프로세스 목록을 얻는 기능을 사용하면 공격자가 PC의 전체 프로세스 목록을 얻을 수 있음
  * 수집된 데이터는 적절하게 보호되지 않음
    - 지나치게 약한 암호화(지나치게 짧은 키 사용)
    - 일부 암호화 키는 하드코딩 되어있음
    - 암호화 라이브러리의 부적절한 사용
  * 6년전에 지원이 끝난 OpenSSL 1.0.1j 사용
  * 여러 방법으로 스택오버플로우, 버퍼를 벗어난 읽기 가능:
    - 원격코드 실행 취약점으로 발전 가능성 있음
    - 앱 크래시 유도 가능(PoC 검증됨)


팔란트는 2022년 10월 21일 3건의 취약점 보고서를 KrCERT에 신고하였으며, 11월 14일에 KrCERT에서 보고서들을 인터리젠에 전달하였다고 확인해 주었다고 합니다.
이후 한국의 기자가 인터리젠에 이 내용을 문의하였고 인터리젠의 대답은 다음과 같습니다:
  [보고서 중에 하나만 2023년 1월 6일에서야 받았다. 그렇기 때문에 문제점에 대한 수정버전은 2월에 배포할 예정이고 그 이후 새로운 버전을 사용자에게 배포하는 것은 고객(즉 은행 등)에 달려 있다.]

수정 버전이 2월에나 나온다고 하니 이 프로그램도 사용 시 주의하셔야 할 것 같네요.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
23/01/25 17:17
수정 아이콘
고마워 팔란트!
작은대바구니만두
23/01/25 18:14
수정 아이콘
보고서가 한참이나 지나서야 전달되거나 누락된 이유가 뭘까 싶네요
타츠야
23/01/25 19:33
수정 아이콘
그러게요. 배달사고도 아니고 이메일로 전달했을 것 같은데, 스팸 처리 된건가...
Regentag
23/01/25 19:36
수정 아이콘
저도 그부분이 굉장히 의아합니다. 지난번 공개 때 나온 기사에 따르면 안랩도 전달을 못 받았다고 했거든요.
타츠야
23/01/25 20:43
수정 아이콘
스팸함에 있었을지도...
뒹굴뒹굴
23/01/25 21:11
수정 아이콘
암호화 전문가는 아닙니다만..

[지나치게 약한 암호화(지나치게 짧은 키 사용)]
그냥 긴 키 쓰겠다고 옵션만 주면 되는데... 그리고 더 이상 쓰면 안되는 알고리즘 및 안전하지 않은 키 길이가 구글에 널려 있습니다.

[일부 암호화 키는 하드코딩 되어있음]
이건 뭐 말할 필요도..키를 하드코딩 할거면 암호화를 하지말지?

[6년전에 지원이 끝난 OpenSSL 1.0.1j 사용]
이것도 그냥 새버전을 넣고 보통은 약간의 수정만 해주면 되는데..

요즘은 학부생도 저렇게는 안짤텐데요..
저걸 돈을 받았다고..
VictoryFood
23/01/25 21:41
수정 아이콘
금융 관련 IT 서비스는 모바일만 쓴지 꽤 됐네요.
모바일 뱅킹이 인터넷 뱅킹에 비해서 더 보안이 좋은지는 모르겠지만 일단 이것저것 까는 건 없어서요.
Regentag
23/01/25 21:49
수정 아이콘
PC에서도 그냥 앱 하나만 설치하게끔 했으면 좋겠습니다.
제일 베스트는 브라우저 + 백신을 믿고 맡기는거지만요.
진세은
23/01/25 21:56
수정 아이콘
앱은 이미 다 설치된 완제품으로 받으셔서 따로 설치할 필요가 없습니다. 크크
본문의 솔루션도 앱에서는 라이브러리가 이미 포함되어 있어서 정보를 알아서 수집해 갑니다.
작은대바구니만두
23/01/25 22:43
수정 아이콘
연말정산 한다고 관련 서비스들 이용해보니 따로 설치하는거 없이 할 수 있더군요
은행도 조만간 바뀌지 않을까 싶습니다
23/01/25 22:41
수정 아이콘
그냥 보안 업체에 보안 전문가가 없다고 생각할 수 밖에 없네요.
23/01/25 23:15
수정 아이콘
해당 업계에서 일을 해본 경험이 있는데…
(신X은행 관련 프로젝트 밑 기타 몇몇 금융권 보안 관련)
저럴 수 밖에 없습니다.

외국과 다르게, 금융권에 지정된 보안룰을 따르게 강제하고,
그것‘만’ 따르면 금융사고에 대한 무제한에 가까운 면책권을 줍니다.

그리고 그 보안룰조차 국가가 설정하다보니,
공기업 업무를 해보신 분들은 아시겠지만,
필드와는 2만 광년 정도 떨어진 기술 표준을 아직도 씁니다.
(법이 현실에 못 따라 오는 것과 같은 속도죠)

그러니, 자칭 보안업체도,
관련 기관의 체크리스트만 통과할 수 있으면
문제가 없는 겁니다.

애초에 국가가 하란대로 한거니까요.

이건 보안 업체의 잘못보다,
지금 이 구조를 만들고 그 마피아 시장을 유지시키는
금감원 꼴통(…)들이 욕을 먹어야 합니다.

저 바닥은 그냥 딱 산업 마피아 시장이에요.
23/01/25 23:23
수정 아이콘
가이드가 주는 맹점이죠. 나라에서 주는 가이드만 따르면 면죄부같은 특권을 주니 가이드만큼만 딱 적용하고 이후에는 관심없음. 가이드에선 딱 업계 최소한의 가이드만 해주고 나머지는 자율로 푼다음 사고나면 과징금 씨게 때렸으면 좋겠네요.
-안군-
23/01/26 00:04
수정 아이콘
정부지원사업에 몇 번 참여해본 경험으로는.. 이건 사용하기 위해서 만드는게 아니라, 검수통과만을 위해 만든다는 느낌이 강했어요. 물론 그 검수사항 자체가 허술하기 짝이 없죠.
비리를 막기 위해서 사전심사는 엄청 빡빡하게 해놓긴 했는데, 그러면 뭐합니까...
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
98141 [일반] 겨울 한 남자가 텅 빈 거리를 걷고 있었다 [1] 닉언급금지8352 23/03/12 8352 2
98140 [일반] [팝송] SG 루이스 새 앨범 "AudioLust & HigherLove" 김치찌개7805 23/03/12 7805 1
98139 [정치] 베트남 정부, 한국 국방부 항소에 "진실 부인, 깊이 유감 [60] 기찻길18268 23/03/11 18268 0
98138 [일반] 샤말란 감독의 신작 똑똑똑 간단평 [16] 인민 프로듀서11509 23/03/11 11509 1
98136 [정치] 사우디-이란 7년 만에 재수교, 관계 정상화 [60] 크레토스15176 23/03/11 15176 0
98135 [일반] 꼰대가 사라져가는 세상 그리고 아쉬움 [59] 한사영우13195 23/03/11 13195 11
98134 [일반] 심심해서 쓰는 무협 뻘글 8 [4] 具臣7759 23/03/11 7759 1
98133 [정치] 요즘 뭔가 야당의 존재감이 희박한거 같습니다. [128] 김은동14613 23/03/11 14613 0
98132 [일반] 어찌보면 야구의 질적 하락은 '필연' [137] AGRS14669 23/03/11 14669 2
98131 [일반] 결국 가장 큰 피해자는 KBO를 사랑하는 팬이다. [263] 송파사랑17939 23/03/11 17939 28
98130 [일반] 뉴욕타임스 3. 2. 일자 기사 번역(극단화된 사회에서 관용을 회복할 방법) [27] 오후2시14840 23/03/10 14840 8
98129 [일반] 스즈메의 문단속 후기(스포 있음) [31] 티아라멘츠11533 23/03/10 11533 2
98128 [일반] 철분뽕에 취한 사람의 철분주사 찬양글 [17] 김아무개13631 23/03/10 13631 17
98127 [정치] [단독] 일 외무상 “강제동원 없었다, 이미 다 끝난 문제”…발표 3일 만에 속내 드러내 [258] 만찐두빵22996 23/03/10 22996 0
98126 [정치] 이재명이를 하루빨리 구속 수사하라는 성난 국민들의 민심이 거세네요 [137] 아수날18661 23/03/10 18661 0
98125 [일반] 조선일보 기자들에게 사과를 강요했던 jms [29] kurt14844 23/03/10 14844 7
98123 [일반] WBC 일본 대표팀 분석 - 마지막 멤버 [12] 민머리요정9893 23/03/10 9893 6
98122 [일반] AM5의 최저가 메인보드, $125의 애즈락 메인보드 출시 [25] SAS Tony Parker 10916 23/03/10 10916 1
98121 [일반] 챗GPT는 시작이고 진짜 모든 게 바뀔 겁니다. 메타버스랑은 다릅니다 [93] 두부16513 23/03/10 16513 2
98120 [일반] 저도 보고왔습...더 퍼스트 슬램덩크 [3] 1등급 저지방 우유7297 23/03/10 7297 2
98118 [일반] 단돈 10만원으로 오랜 우정 마무리한 썰 [33] 톤업선크림11846 23/03/10 11846 15
98117 [일반] 튀르키예 지진 피해 복구를 위한 기부 이벤트 결과 안내 [7] clover8522 23/03/10 8522 12
98116 [정치]  '영끌족' 청년 4900명 724억 '이자 탕감' / 9억 집도 최저 3.7% 안심전환대출 [112] 동훈20476 23/03/10 20476 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기
회원정보 보기
닫기