길어서 읽기 싫은 분들은 맨 아래 세줄요약 있음.

palant라는 아이디로 보안연구자로 활동중인 Wladimir Palant 라는 외국인이 있음.

이분이 우연히 한국 보안 어플리케이션에 흥미를 가짐

(특정 국가 전용 보안 앱인데 사용자가 엄청나게 많아서 관심이 갔다고 함)

그런데 보안 어플의 보안 문제가 예상 외로 조온내 심각하여 열심히 분석해봄.

분석결과가 하도 ㅈ망이라 한국제 다른 앱들도 조사해봤는데 다른 것들도 도찐개찐이어서 충격받음.

이 분이 말씀하시길 취약점들이 상당히 심각한데 그 이유는 주로 아래 같은 문제라고 보았음.

------------------------------------------------------------------------------------------

- C++이 아닌 C로 개발함

  (숙련된 개발자가 아니면 버퍼 오버플로 같은 메모리 보안취약점을 다루기 힘든데 숙련자의 코드로 보이지 않는다고)

- C의 최신 컴파일러는 개발자가 놓칠 수 있는 문제를 많이 경고해주지만 보안앱들은 15년 전 Visual Studio에 의존

- 인앱 오픈소스 라이브러리도 낡은 버전 투성이임 (최고 10년 이상 업데이트 안 된 것도 있다고)

- 기술적으로 수준 높은 보안이 아닌, 동작을 분석하기 어렵게 감출 뿐인 보안 방식을 선호함

- 한국의 보안 애플리케이션 시장은 사이비적인 면이 있다고 함.

  은행은 보안앱만 강제로 깔게 시키면 책임을 사용자나 보안앱에 떠넘길 수 있으며

  보안앱은 은행이 하라는 대로만 만들어내면 됨.

  이 시스템에서 중요한 것은 기술의 발전보다 보안앱을 무조건 깔게 시키는 것.

------------------------------------------------------------------------------------------

이분은 자기가 찾아낸 다양한 구멍들을 2022년 10월 전반에 제작사에 제보했고

보안 앱 제작사는 일반적으로 90일 안에 문제를 해결하므로

90일의 대처 기간이 끝나면 단계적으로 자기가 찾아낸 내용들을 까발릴 거라고 천명했는데

그 90일이 경과되어 오늘 그 1단계 결과물이 나옴.

영어 되시는 분은 읽어보면 재미있는 내용이 많이 나옴.

(번역앱으로 봐도 프로그래밍 지식 어느 정도 있는 사람은 대충 알만함)

https://palant.info/2023/01/09/touchen-nxkey-the-keylogging-anti-keylogger-solution/

첫 연구 결과물은 라X시큐X의 TouchEn nxKey (키보드 보안입력 솔루션)

PC로 로그인 비번이나 계좌번호, 공인인증서 암호 같은 거 찍을 때 동작하는 그거다.

이 앱에서만 취약점이 7개나 발견되었으며

예시로 암호를 입력하면 사용자를 피싱 사이트로 유도할 수 있는 등 악성코드를 삽입하는 방법을 일부만 소개함.

(저 빨간 밑줄친 부분이 연구자가 임의로 넣은 메시지.

임의의 자바스크립트 코드를 삽입할 수 있음을 보여주는 예시이며

저 예시를 회피할 수 있는 수단은 현재 한국의 어느 은행사이트도 없다고 밝힘)

이분이 특히 우려하신 부분이

비단 저 앱 하나뿐만이 아니고 다른 보안업체인 이X텍의 다른 앱들도 비슷한 수준이라고 발표하면서

[이 회사 고객사 중에 한국 국방부도 있던데 이거 말고 다른 보안수단도 있길 그저 바랄 뿐]이라는

의미심장한 멘트를 남기셨다.

이렇게 보안앱이 취약점 많은 것도 유머인데, 그 취약점을 개발사에 제보한 과정이 ㄹㅇ 코미디임.

1) 찾은 오류를 라X시큐X에 전달하고자 했으나 마땅한 수단을 못 찾음.

   보안 전문업체라면서 보안 제보 창구는 서울 전화번호 하나 말고는 도저히 찾을 수가 없었다.

   거기에 전화를 걸어서 [혹시 영어 하실 수 있는 분?]이라고 해야 하냐고 어이없어함.

   결국 한국인터넷진흥원(KrCERT)에서 오류제보했지만 그 제보 페이지도 오류 존내 많아서 제보가 빡셌음.

2) 그 난관을 뚫고 어떻게든 10월 4일에 KrCERT 에 취약점 전부 보고했고

   라X시X어 담당자들 메일주소 어떻게 알아내서 따로 연락했지만 지금까지 답 안옴.

   KrCERT는 2주 후 취약점 보고 접수를 완료하고

   [라X시X어 담당자들이 취약점 제보자의 이메일을 물어봤다. 연락하고 싶어한다] 라고 전해줬지만

   90일 다 지나서 첫 취약점 글을 까발리는 시점까지 연락 단 하나도 없었음.

3) - 취약점 동작 재현용 자료도 KrCERT에 올리려 했으나 보안앱에 걸려서 첨부파일 올리는 족족 삭제됨

   - 할 수 없이 연구자분 개인 서버 안에 자료를 올려놓고

     그 링크를 KrCERT 제보 본문에 첨부해서 전송함

   - 몇 주 후에 서버 접속기록 봤더니 구글봇이 링크를 스크랩해갔음

     근데 그 링크는 KrCERT 말고는 어디에도 올린 적이 없고 경로명도 랜덤성으로 지정했기 때문에

     구글봇이 긁어갈 수 있는 다른 곳에 그 링크가 어디엔가 있을 거라고 확신함

   - 알고 보니 그 보안업체의 개발서버에 링크가 공유돼 있는데

     보안업체 개발서버가 외부에서 그냥 접속이 가능하고 구글봇마저 접근할 수 있는 상태

   - 그 사실을 보안업체에 제보하자마자 개발서버 외부접근 막힘

버그 취약점 공개 스케줄은 총 4단계가 있는데

오늘 그 1단계로 보안키보드앱이 쥐어터졌고

1월 23일, 2월 6일, 3월 6일 앞으로 총 3회에 걸쳐서 뭐가 더 튀어나올지 흥미진진함

(intro 글에서 은행에 깔리는 보안프로그램 5개+1을 언급했기에 여기에서 집중적으로 나올 듯함)

이 사태를 계기로 ㅈ같은 보안프로그램 죄다 치워버렸으면 좋겠는데 현실은 헬조선이겠지 뭐

애초에 보안 전문가 분도 보안 환경이 이 꼬라지가 된 이유를 잘 알고 계시드만.

(본문 중)

[실제로 상황이 바뀌진 않을 것입니다. 이런 문제 중 많은 부분이 의도적으로 설계되었기 때문입니다.

그리고 이 문제를 모두 고치면 더 이상 판매할 제품이 없을 것입니다.]

관심있는 사람들은 출처 링크에 intro 한국어 번역본이 있으니까 그거 읽어보면 재미있음

[세줄요약]

1. 외국 보안전문가가 한국 은행 사이트에서 돌아가는 대부분의 보안앱을 조사해봄

2. 그 보안앱들 구멍이 숭숭 뚫려있어서 작년 10월에 버그 제보를 다 했는데 석 달 된 오늘 글쓰는 시점에도 수정이 안됨

3. 보안업체의 일반적 버그수정기간 90일 지나는 시점부터 하나씩 취약점 까발릴 예정이고, 오늘 그 첫 취약점을 소개함.