2019년 2월 26일 화요일

아나토바(Anatova) 랜섬웨어

 뉴딜코리아 홈페이지



새로운 랜섬웨어 아나토바(Anatova)의 등장 (2019.01.25)
탐지를 피해 암호화 시작, 백업 파일은 10번 덮어쓰기로 복구 불가 상태로 만듦


▶ 새로운 랜섬웨어 아나토바의 등장으로 미국을 비롯해 9개국 이상에서 피해자 다수 양산
  - 아나토바(Anatova)는 발데크(Valthek)에서 발견되었으며 ransomware-type 악성 프로그램으로 분류
  - Anatova는 암호화 된 파일의 이름에 확장자를 추가하지 않고 아이콘을 변경하지 않기 때문에이 다른 랜섬웨 유형과 다름
  - 난독화 기능이 뛰어나고 네트워크 공유자원까지 감염시킬 수 있는 아나토바의 등장에 대해 경고
  - 모듈 구조로 되어있어 공격자들이 추가로 기능을 덧붙일 수도 있는 점도 위협적으로 작용
  

 아나토바는 비밀 P2P에서 처음으로 발견되었으며, 사용자들이 의심하지 않고 받게 하기 위하여 게임이나 앱의 아이콘으로 위장

  - 또한, 사전 탐지를 피하기 위하여 다양한 행동을 취하며, 감염된 시스템 내에서 최대한 많은 파일을 찾아내 암호화시킴

  - 이후 700달러 상당의 암호화폐를 송금하라는 협박 편지를 띄워 사용자들에게 돈을 요구

  - 이 프로그램은 단순히 파일을 암호화 할 수 없게 만들고 파일을 열 수 없으며 "ANATOVA.TXT"텍스트 파일 내에 몸값 요구 메시지를 만듬

  - 몸값 메시지의 이름은 Anatova ransomware의 버전에 따라 다를 수 있습니다.


  ◆ 아나토바 동작방식
   ① 샌드박스 환경에서 실행되는 것을 막기 위해 가상 기계 탐지 절차 수행
   ② 특정 몇 개 국가*에서 피해를 일으키지 않도록 국가 설정 내용 확인
      * 시리아, 이라크, 인도 및 이전 소비에트 연방 소속국가 등
   ③ 1MB이하의 파일들과 네트워크 공유 자원을 찾아 암호화



 아나토바는 랜섬웨어 샘플마다 고유한 키를 가지고 있기 때문에 마스터키가 존재하지 않음

  - 이는 피해자들마다 각각 다른 키를 확보해야만 랜섬웨어 감염 파일 복구가 가능하다는 것을 의미

  - 이후 메모리를 비워 랜섬웨어 정보를 파악할 수 있는 내용을 삭제하고, 백업파일을 10회 이상 덮어쓰기하여 사용자가 복호화 키 없이 복구할 수 없도록 함

  - 아나토바가 완성형 멀웨어가 아닌 프로토 타입으로 추정하며, 이후 더 진화된 랜섬웨어 공격이 실행될 것으로 예상

  - "ANATOVA.TXT"파일의 메시지는 피해자에게 모든 파일이 암호화되었음을 알리고 해독하기 위해 10 개의 DASH 암호문과 동일한 비용으로 해독 도구를 구입하도록 (이것은 필요한 양의 암호 해독을 제공된 지갑 주소로 전송하여 구입)

  - 지불이 수신되면, Anatova의 피해자는 다음 이메일 주소 중 하나를 지불하고 편집되지 않은 "ANATOVA.TXT"파일 (또는 다른 몸값 메시지)를 만들기 위해 사용되는 주소를 전송해야합니다 :
    (anatova2@tutanota.com 또는 anatoday@tutanota.com)

  - 그들은 성공적인 해독을위한 올바른 도구를 가지고 있다는 것을 '증거'로 200Kb보다 크지 않은 하나의 JPG (.jpg) 파일을 무료로 해독합니다.

  - ransomware-type 감염을 설계하고 전파하는 대부분의 사이버 범죄자는 고유 키를 생성하는 암호 (대칭 또는 비대칭)를 사용합니다.

  - 따라서 각 희생자는 개별 키를받으며 다른 키는 작동하지 않습니다.

  - 또한 사이버 범죄자는 키로 제어되는 원격 서버에 키를 저장합니다.

  - 그들은 '깰'수없는 암호를 사용하기 때문에, 랜섬웨어 피해자는 다른 선택의 여지없이 남겨두고 사이버 범죄자들에게 연락합니다.

  - 안타깝게도 현재 Anatova의 암호화를 무료로 해독 할 수있는 도구는 없습니다.

  - 이 경우 가장 좋은 옵션은 기존의 데이터 백업을 사용하여 모든 데이터를 복원하는 것입니다.


 시사점

○ ‘18년의 경우 다른 종류들의 위협이 늘어나 랜섬웨어가 주춤한 것으로 보이지만, 현재도 랜섬웨어 공격은 활발하게 진행중으로 파악됨

 랜섬웨어 공격 예방을 위해서 의심되는 파일 열람 금지 및 오프라인 백업 등의 조치 필요


 관련문의 :
 - 뉴딜코리아 버그바운티팀(레드카우)
 - 한국인터넷진흥원 침해사고대응단 종합대응팀

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

2019년 2월 24일 일요일

정보통신망법 적용 사업자대상 개인정보보호교육 교재 (2019)

 뉴딜코리아 홈페이지

정보통신망법 적용 사업자대상 개인정보보호교육 교재
(2019년)


■ 정보통신망법 적용 사업자대상 개인정보보호교육 교재 (2019년)

- 현장에서 교재 배포가 없으므로, 다운 받은 후 교육 참석시 활용하시기 바랍니다.



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

페이스북 피싱 사이트 공격 주의 (2019.02.20)

 뉴딜코리아 홈페이지 



■ 가짜 페이스북 주의…“로그인 시 개인 정보 탈취 당해”

최근 또 다시 국내 사용자의 계정 정보를 탈취하는 페이스북 피싱(Phishing) 공격이 확인됐다.

감쪽같은 가짜 페이스북 사이트에 사용자의 피해가 우려된다.

페이스북 계정 정보를 탈취하려는 피싱 공격이 지속적으로 나타나고 있는데, 이번 피싱 공격은 온라인 광고 네트워크를 통해 가짜 페이스북 사이트 접속을 유도하는 점이 특징적이다.

사용자가 광고를 클릭하면 광고 대신 가짜 페이스북 사이트로 연결된다.

이 가짜 페이스북 사이트는 매우 정교하게 제작되어 언뜻 봐서는 가짜임을 의심하기 어렵다.

URL을 살펴보면 실제 페이스북 사이트와 주소가 다르다는 것을 알 수 있다.


그러나 이번 사례와 같이 대부분의 사용자는 광고나 다른 웹 사이트 또는 이메일에 포함된 URL을 클릭해 접속하기 때문에 주소창을 확인하는 경우가 드물다.

페이스북뿐만 아니라 국내 유명 포털 사이트로 위장한 피싱 공격이 끊이지 않는 것도 이러한 점 때문이다.

또한 공격자는 계정 정보를 탈취한 후 구글 페이지로 사용자를 리다이렉트하는 치밀함까지 보였다.

사용자가 가짜 페이스북 사이트에 자신의 계정 정보를 입력하면 해당 정보가 공격자의 서버로 전송된다.

이때 전송되는 정보에는 사용자의 계정, 비밀번호, 접속 지역 등 민감한 개인정보가 포함되어 있다.

이렇게 유출된 계정 정보는 페이스북 해킹뿐만 아니라 메신저 피싱, 그 외 온라인 사이트 해킹 등 2차 범죄로 이어질 가능성이 있다.

피싱 사이트 공격을 예방하기 위해서는 유명 포탈이나 웹 사이트의 광고, 메일 본문에 포함된 URL 등 검증되지 않은 URL에 접속하는 일은 자제할 것을 권장한다.

계정 정보를 입력할 때는 다시 한번 주소 표시줄을 확인하여 정상 사이트인지 확인하는 것도 중요하다.


페이스북에서 친구신청 들어온 걸 계정 확인도 없이 마구 수락하면 위험합니다.

페이스북을 처음 시작하면 흔히 하는 실수 중 하나가 조기에 페이스북 친구를 늘리기 위해 페이스북이 추천하는 사람들을 무턱대고 모두 친구신청하거나, 친구신청이 들어오면 무턱대고 친구수락을 하는 일이다.

나는 페친신청이 들어오면
1) 그의 사진을 눌러 프로필로 들어가 정보를 먼저 훑어보고
2) 그가 자신의 타임라인에 게시한 글들을 살펴본 후
3) 그의 친구 목록도 살펴본다.

그 세가지를 살펴보면 그가 어떤 사람인지 나와는 어떤 관계로 이어지게 되었는지 어느 정도는 파악이 가능하다.

나와 함께 아는 페친이 많다고 무조건 믿어서는 안된다.

가짜계정이 나와 많이 친한 페친의 친구목록 전체에 페친신청한 결과로 생긴 일일 수 있기 때문이다.

전혀 알지도 못 하고 어떤 관계인지 파악하기도 어려운 이로부터의 페친신청을 무조건 다 수락하는 건 각별히 조심해야 할 일이다.

내가 페친으로 수락한 가짜계정 하나가 내 페친 모두에게 피해를 주기 때문이다.


참고사이트:
How To Hack Facebook ID Using Phishing attack 2019
https://officialhacker.com/hack-facebook-id-using-phishing-attack/

이게 정말 가짜?! 페이스북 피싱 사이트 주의!(안랩)
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=28064


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요?

 뉴딜코리아 홈페이지



접속 막힌 불법사이트.. SNI 필드 차단이 뭔가요?


정부가 더 강력한 불법사이트 차단 기술을 적용함에 따라 음란물, 폭력, 마약 등 불법 정보를 담은 해외 유해사이트 접근이 원천 차단됐다.

방송통신위원회는 12일 "불법음란물, 불법도박 등 불법 정보를 유통하는 해외 인터넷 사이트를 우회해서 접속하는 것을 막기위해 접속 차단 기능을 고도화했다"고 밝혔다.

11일 이후 국내 이동통신 3사를 이용 중인 사용자는 정부가 불법으로 지정한 해외 홈페이지에 접속하더라도 '연결할 수 없음'이라는 표시가 뜨게 되었다.

때문에 일각에선 표현의 자유를 위축시키고 정부가 인터넷 감청과 검열을 시도하는 것이라는 비판이 제기되고 있다.


차단에 이용된 기술은 원래 보안 취약점?

이번 접속차단에 활용된 기술은 'SNI(Server Name Indication) 필드' 차단이다.

SNI는 실제 홈페이지(IP주소)는 하나이지만 여러 주소(URL)로 접속할 수 있도록 홈페이지를 구성할 때 홈페이지 보안 인증서가 사용자에게 제대로 전달되지 않는 문제를 해결하기 위해 만든 기술이다.


현재 널리 이용되고 있는 통신 암호화 기술인 TLS 1.2(https)는 SNI 필드가 제대로 작동하도록 통신이 시작되기 전 인증 과정에서 특정 영역(도메인)을 암호화하지 않고 있다.

이렇게 인증서를 주고받기 앞서 도메인 정보가 암호화되지 않는 것은 TLS 1.2의 대표적인 보안 결함으로 꼽히고 있다.

이러한 문제를 해결하기 위해 지난해 8월 애플(사파리), 모질라재단(파이어폭스), 구글(크롬), 클라우드플레어 등 인터넷 관련 업체들이 모여 신규 암호통신 표준인 TLS 1.3을 제안한 상태다.

즉, 정부는 TLS 1.2의 보안 취약점을 활용해 불법 홈페이지 차단을 시행한 셈이다.


정부가 불법 홈페이지를 차단하기 위해 가장 먼저 이용한 방법은 단순 URL 주소 차단이다.

 하지만 통신 정보가 암호화되는 https를 활용하면 쉽게 무력화되는 단점이 있었다.

이를 해결하기 위해 DNS(Domain Name System, 숫자로 된 IP 주소를 영어나 한국어로된 일반 주소로 바꿔주는 기술)를 활용한 차단법을 선보였다.

하지만 이 역시 앱이나 프로그램 등으로 손쉽게 우회할 수 있었다.

완벽한 불법 홈페이지 차단법을 찾다가 결국 통신 감청으로 이해될 수도 있는 SNI 필드 차단이란 극단적인 선택까지 한 것으로 풀이된다.


이제 막 시작된 TLS 1.3... 완벽한 통신 보안은 언제 가능할까

정부의 이번 SNI 필드 차단은 TLS 1.3이 적용된 웹 브라우저와 서버에는 적용되지 않는다.

인증서를 주고받기 앞서 도메인 정보까지 모두 암호화하기 때문이다.

하지만 TLS 1.3은 이제 막 발걸음을 뗀 기술이다.

웹 브라우저에는 하나둘씩 관련 기술이 적용되고 있지만, 호스팅 서비스를 제공하는 업체들은 아직 TLS 1.3에 맞게 서버 업그레이드를 실시하지 않았다.

최신 버전 크롬, 파이어폭스, 사파리 등에선 TLS 1.3를 이용할 수 있으나, TLS 1.3이 적용된 서버 업체는 미국의 클라우드플레어가 유일하다.

TLS 1.2는 2008년에 개발된 기술임에도 본격적으로 웹 환경에 적용되기까지 5년이 넘는 시간이 걸렸다.

TLS 1.3 역시 업체들의 이해관계 때문에 모든 웹 브라우저와 서버(웹 사이트)에 적용되려면 다소 시간이 걸릴 전망이다.

한 업계 관계자는 "TLS 1.3이 활성화되려면 결국 호스팅 업체들의 기술 업그레이드가 필요하다"며, "미국의 호스팅, 클라우드 업체를 중심으로 TLS 1.3을 지원하려는 움직임이 활발해지고 있다"고 밝혔다.


TLS 1.3 활성화 방법

크롬: URL 창에 'chrome : // flags' 입력 후 TLS 1.3을 검색해서 활성화

파이어폭스: URL 창에 'about : config' 입력 후 'security.tls.version.max'를 검색해서 기본값을 3에서 4로 변경

두 웹 브라우저 모두 기본적으로 TLS 1.3이 꺼져있다.

TLS 1.2와 완벽환 호환을 보장할 수 없기 때문이다.

따라서 TLS 1.3가 적용된 홈페이지를 접속하고 난 후 다시 설정을 원래대로 돌려주는 편이 좋다.

글 / IT동아 강일용


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

정보통신망법 입법예고 (CISO 의무사항 제도개선, 2019.02.19)

 뉴딜코리아 홈페이지 

정보보호 최고책임자(CISO) 제도개선으로 정보보호 역량 강화
-신고의무 대상기업 합리화 및 자격요건 마련 -

※ 2018년 정보통신망법 개정에 따른 후속조치 (’19.6.13. 시행 예정)



□ 과학기술정보통신부(이하 ‘과기정통부’)는 기업의 사이버 침해사고 예방 및 대응 역량을 강화하기 위한 정보보호 최고책임자(CISO, Chief Information Security Officer) 제도 개선사항을 담은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령개정안을 마련하여 입법예고한다.



□ 개정안은 첫째, 업종 특성*과 종업원수** 등을 기준으로 정하던 정보보호 최고책임자 지정·신고 의무 대상자기업 규모와 전기통신사업의 성격을 기준으로 개선하여 신고대상을 합리화한다.

* 내용 선별 소프트웨어 개발 사업자, 음란물 및 사행성 게임물 차단 프로그램 제공자 등
** 상시 종업원 수 1천 명 이상 정보통신서비스 제공자 등

ㅇ이에 따라, 중기업* 이상의 정보통신서비스 제공자, 자본금 1억 원 이하의 부가통신사업자를 제외한 모든 전기통신사업자정보보호 관리체계(ISMS)** 인증을 받아야 하는 모든 정보통신서비스 제공자 등 41,000여 개 기업은 정보보호 최고책임자를 의무 지정하고 이를 과기정통부장관(중앙전파관리소장에게 위임)에게 신고하여야 한다.

* (중기업 기준)「중소기업 기본법」 제2조제2항에 따라 중소기업 중 소기업을 제외한 기업으로, 자산총액이 5천억 원 미만이고 업종별 기준 매출액 이하인 기업

**(Information Security Management System, ISMS)정보통신망의 안전성·신뢰성 확보를 위한 관리적·기술적·물리적 보호조치가 포함된 종합적 관리체계 (정보통신망법 제47조)


□ 둘째, 자산총액 5조원 이상인 정보통신서비스 제공자와 정보보호 관리체계 인증을 받아야 하는 정보통신서비스 제공자 중 자산총액 5천억 원 이상인 기업의 정보보호 최고책임자는 정보보호 관리체계 수립, 취약점 분석·평가, 침해사고 예방·대응 등의 정보보호 업무에 전념할 수 있도록 다른 직무의 겸직을 제한하였다.


□ 셋째, 정보보호 최고책임자는 정보보호 또는 정보기술 관련 전문 지식이나 실무 경험이 풍부한 자 중에서 지정하도록 하고,

특히, 다른 직무의 겸직이 제한된 정보보호 최고책임자는 상근하는 자로서 다른 회사의 임직원으로 재직 중이지 아니한 자이어야 하며, 4년 이상의 정보보호 분야 경력자이거나 2년 이상의 정보보호 분야 경력자로서 정보기술 분야 경력과 합하여 5년 이상인 자로 지정하도록 자격요건을 정하였다.


□ 과기정통부는 이번 개정안이 주요 기업의 정보보호 업무를 전담할 수 있는 전문가를 정보보호 최고책임자로 지정하도록 하는 등 사회 전반의 정보보호 역량을 강화함으로써 사이버 침해사고의 예방과 사고 발생 시 피해의 최소화 및 신속한 복구 등에 기여할 수 있을 것으로 보고 있다.


□ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안 입법예고는 2월 20일(수)부터 4월 2일(화)까지이며, 과기정통부 홈페이지(www.msit.go.kr,업무안내/법령정보/입법·행정예고)와 통합입법예고센터(opinion.lawmaking.go.kr)에서 확인할 수 있다.


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

2019년 2월 18일 월요일

불법정보를 유통하는 해외 인터넷사이트 차단 (방통위, 2019.02.12)

 뉴딜코리아 홈페이지 

불법정보를 유통하는 해외 인터넷사이트 차단 강화로 피해구제 확대
- 보안접속(https) 또는 우회접속 관련 차단기능 고도화 -


방송통신위원회는 불법음란물 및 불법도박 등 불법정보를 보안접속(https)우회접속 방식으로 유통하는 해외 인터넷사이트에 대한 접속차단 기능을 고도화하고, 2월 11일 방송통신심의위원회의 통신심의 결과(불법 해외사이트 차단결정 895건)부터 이를 적용한다.

https(hypertext transfer protocol over Secure Sockets Layer, 하이퍼텍스트 보안 전송 프로토콜) : 인터넷에서 데이터를 암호화된 방식으로 주고 받는 통신규약. HTTP의 보안기능이 강화된 버전으로 해커가 중간에 데이터를 가로챌 수 없음

우회접속 : IP(Internet Protocol) 및 DNS(Domain Name System) 변조 소프트웨어, 통신Port 변경 등을 활용하여 접속차단 기술을 우회하는 접속

지금까지 보안접속(https) 방식의 해외 인터넷사이트에서 불법촬영물, 불법도박, 불법음란물, 불법저작물 등 불법정보가 유통되더라도 해당 사이트 접속을 기술적으로 차단할 수가 없어, 법 위반 해외사업자에 대한 법집행력 확보 및 이용자의 피해 구제에는 한계가 있었다.

불법정보를 과도하게 유통하는 일부 해외 인터넷사이트는 예외적으로 해당 사이트 전체를 차단하기도 했으나, 이는 표현의 자유 침해나 과차단의 우려가 있었다.

이에 따라 방송통신위원회, 방송통신심의위원회와 7개 인터넷서비스제공사업자(Internet Service Provider)는 작년 6월부터 해외 사이트의 불법정보를 효율적으로 차단하는 새로운 차단방식인 SNI(Sever Name Indication) 차단방식을 도입하기로 협의하고, 관련 시스템의 차단 기능을 고도화하였다.

7개 인터넷서비스제공사업자(Internet Service Provider) : KT, LG유플러스, SK브로드밴드, 삼성SDS, KINX, 세종텔레콤, 드림라인

SNI 차단방식은 암호화 되지 않는 영역인 SNI 필드에서 차단 대상 서버를 확인하여 차단하는 방식으로 통신감청 및 데이터 패킷 감청과는 무관하다.




특히, 아동 포르노물ㆍ불법촬영물ㆍ불법도박 등 불법사이트를 집중적으로 차단할 계획이다.

다만, 새로운 차단방식의 기술특성상 이용자가 차단된 불법 인터넷사이트 접속을 시도할 때, 해당 사이트의 화면은 암전(black out) 상태로 표시되며, 「해당 사이트는 불법으로 접속이 불가능하다」는 불법·유해정보 차단안내(warning.or.kr)나 경고문구가 제공되지 않는다.

이에 이용자의 혼선 방지를 위하여 인터넷서비스제공사업자는 고객센터에서 차단된 불법 인터넷사이트의 정보를 안내하고, 방송통신위원회, 문화체육관광부 등 유관부처에서는 새로운 접속차단 방식의 시행과 관련한 대국민 홍보를 진행할 예정이다

방송통신위원회 이용자정책국장은 “국내 인터넷사이트와 달리, 그동안 법 집행 사각지대였던 불법 해외 사이트에 대한 규제를 강화하라는 국회, 언론의 지적이 많았다.

앞으로 불법 해외 사이트에 대해서도 효과적으로 차단할 수 있을 것으로 기대된다”며, “디지털성범죄 영상물로 고통 받고 있는 피해자의 인권 보호와 웹툰 등 창작자의 권리를 두텁게 보호하고 건전한 인터넷환경 조성을 위해 다각도로 노력하겠다”고 밝혔다.

출처 : 방송통신위원회


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

경찰서 사칭 악성코드 감염 피해 주의 (2019-02-17)

 뉴딜코리아 홈페이지 



■ 경찰서 사칭 악성코드 감염 피해 주의


최근 000police.com이라는 경찰서를 사칭하는 도메인을 만들어 악성코드를 유포, 랜섬웨어에 감염시키려는 움직임이 계속하여 발견되고 있습니다.

랜섬웨어에 감염되면 복원하기 거의 불가능하며, 돈을 지불한다고 해도 복원이 보장되지 않고 범죄를 더 조장하는 결과를 초래합니다.

<악성코드유포 이메일 피해예방 수칙>
1. 신뢰할 수 있는 백신 프로그램 설치 및 최신 버전 유지
2. 윈도우 등 OS 및 사용 중인 프로그램은 최신 버전으로 업데이트
3. 중요자료는 네트워크에서 분리된 별도 저장장치에 정기적으로 백업
4. 출처가 불분명한 이메일 또는 첨부파일은 실행에 주의


출처 : 경찰청 사이버안전국
컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


수원중부경찰서 사칭 피싱메일 주의 (안전서비스팀)

 뉴딜코리아 홈페이지 



2019년 2월 2일 토요일

SQLite 앱을 해킹 위협에 노출시킬 수 있는 취약점 발견

 뉴딜코리아 홈페이지 




■ 수백만 개의 앱을 해킹 위협에 노출시킬 수 있는 치명적인 SQLite 취약점 발견


▶ 마젤란(Magellan)이라는 이 SQLite 취약점은 원격지의 공격자가 영향을 받는 기기에서 임의 또는 악성 코드를 실행하고, 프로그램 메모리를 누출시키거나 응용 프로그램을 중단시키도록 허용 가능

o 악의적으로 제작된 웹페이지에 접근하는 경우 원격에서 임의코드 실행이 가능한 원격코드 실행 취약점

o SQLite는 가볍고 널리 사용되는 디스크 기반 관계형 데이터베이스 관리 시스템으로 OS나 외부 라이브러리의 최소 지원이 요구됨

​ o 따라서 거의 모든 기기. 플랫폼, 프로그래밍 언어와 호환이 가능하며, SQLite는 전 세계에서 가장 많이 배포된 데이터베이스 엔진

 o 이는 IoT 기기들, 맥 OS 및 윈도우 앱, 주요 브라우저들, 어도비 소프트웨어, 스카이프 등을 포함한 수백 가지의 응용 프로그램에서 사용 중이며 배치 건수는 수십 억에 달함

 o 구글 크롬, 오페라, 비발디, 브레이브 브라우저를 포함한 크로미엄 기반 웹 브라우저들 또한 잘 사용되지 않는 WebSQL 데이터베이스 API를 통해 SQLite를 지원

 o 이 때문에 공격자는 원격으로 해당 브라우저 사용자들을 쉽게 공격 가능하며, 사용자들이 별도로 제작한 웹페이지에 방문하도록 유도하기만 하면 됨

o 영향을 받는 제품 : SQLite 3.26.0 이전 버전


▶ SQLite는 연구원들의 제보를 받은 후 취약점 수정을 위해 업데이트 버전인 3.26.0 공개

 o 텐센트 연구원들은 마젤란 취약점의 PoC 익스플로잇을 제작해 구글 홈에서 성공적으로 테스트했다고 밝힘

 o 구글의 경우 크로미엄도 이 취약점에 영향을 받는 지 테스트 한 후, 이 취약점을 확인하여 수정

 o 구글 또한 취약점 수정을 위해 크로미엄 버전 71.0.3578.80을 발표하고 패치 버전을 구글 크롬 및 브레이브 웹 브라우저에 새롭게 적용

 o 대부분의 응용프로그램들이 빠르게 패치될 수 없을 것이기 때문에, 연구원들은 기술적 세부사항 및 PoC 익스플롯잇 코드를 공개하지 않기로 결정


■ 해결 방안

▶ SQLite는 어도비, 애플, 드랍박스, 파이어폭스, 안드로이드, 크롬, 마이크로소프트 및 다른 많은 소프트웨어들에서도 사용 되고 있기 때문에, 마젤란 취약점은 아직까지 악용된 사례가 없더라도 주의 필요

  o SQLite 원격코드 실행 취약점을 해결한 보안 업데이트 발표

  o 사용자와 관리자들은 가능한 빠른 시일 내에 시스템 및 영향을 받는 소프트웨어 버전을 최신으로 업그레이드 하기를 권장

  - 다음사이트 (https://www.sqlite.org/download.html)에 접속하여 최신 버전(3.26.0)으로 업데이트 적용


[출처]
The Hacker New, “Critical SQLite Flaw Leaves Millions of Apps Vulnerable to Hackers”, 2018. 12. 14.

작성 : 인프라보호단 전자정부보호팀

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com