Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

해킹

NSA, 아이폰용 백도어 해킹 소프트웨어 개발

독일 시사주간지 슈피겔지는 NSA가 문자 메시지와 음성 메일을 검색하고 폰의 위치를 파악하며 자체 마이크로폰과 카메라를 원격으로 조정할 수 있는 백도어 소프트웨어를 개발한 적이 있었다고 보도했다. 2008년 10월 1일 NSA 문서에는 코드네임 드롭아웃지프(DROPOUTJEEP)라는 이 해킹, 도청 소프트웨어는 원래 아이폰을 대상으로 설치, 운용될 계획으로 만들어졌다. 슈피겔 기사에는 드롭아웃지프의 다른 기능으로는 원격 푸싱 기능과 폰의 연락처 목록을 검색해 아이폰 내 파일들을 뽑아내는 기능, 그리고 기기의 위치와 가장 가까운 기지국의 위치를 확인하는 기능이 포함되어 있다고 전했다. 또한 폰 사용자가 인지하지 못하게 SMS(Short Message Service) 또는 GPRS(General Packet Radio Service) 데이터 연결을 통해 이식할 수 있다고. 3G 이전 모바일 데이터 기술인 GPRS는 오늘날의 LTE 네트워크보다 많이 느린 속도를 갖고 있다. 1세대 아이폰은 2007년에 그리고 아이폰 3G는 2008년 중반에 소개됐다. 슈피겔 12월 30일자에 발행된 인포그래픽 내용에는 드롭아웃지프가 NSA의 특수 해킹 도구로 설명되어 있으며, 이는 스파이웨어를 설치해 수신인에게 전달되기 전에 컴퓨터 장비의 딜리버리를 가로챈다고 나와 있다. 애플은 자체 제품 어떤 것에도 백도어를 만들기 위해 NSA와 작업을 한 적이 없다고 부인했다. 애플은 이 프로젝트에 대해 알지 못하며 결코 NSA와 협력한 바가 없다고 공식 성명을 통해 밝혔다. editor@itworld.co.kr

해킹 아이폰 드롭아웃지프 2014.01.02

블로그 | 해킹당한 신용카드 정보를 보호하는 5가지 방법

수천만 개의 신용카드 정보가 해킹됐고 피해자로 추정되는 고객들은 자신들의 신용카드를 보호하고 모니터링하기 위한 조치를 취해야 한다. 실제 해킹에 대한 자세한 사항은 아직 알 수 없지만 지금까지 자신이 블랙 프라이데이와 12월 15일까지 실제 대상 매장에서 쇼핑하면서 신용카드나 직불카드가 손상된 계정으로 나타났다면, 일단 의심해봐야 한다. 사이버 범죄자들은 당신의 은행 계좌를 알아내거나 카드 한도액을 바꿔 놓을 수 있으며 이는 다른 때보다도 연휴 기간 동안 당신을 더욱 더 불편하게 만들 것이다. 그렇다면, 스스로 보호하기 위해 무엇을 할 있을까? 담당 조사관인 브라이언 크랩스에 따르면, 표적 해킹에서 취득한 신용 정보는 이미 온라인 암시장 정보센터 사이트로 넘어갔을 것이다. 하지만 어떤 금융 기관들은 고객들에게 피해가 있는지 여부에 대해 알리지 않았다. 정보가 유출된 것으로 알려진 4,000만이나 되는 고객들이 현재 묻는 질문은 "스스로 보호하기 위해 뭘 해야 하나요?"다. 여기 독자 여러분들에게 도움이 될 만한 팁을 소개한다. 1. 신용카드 계정을 모니터링한다. 아직 당황하지 말라. 자신의 계정이 유출된 계정 가운데 하나라고 하더라도, 사기 구매나 기타 악성 활동에 그 계정이 사용된다고 볼 수는 없다. 자주 계정에 로그인 해서 의심가는 구매 내역이나 잘못된 요금이 부과되지 않았는지를 확인하기 위해 구매 내역을 자세히 살펴 보라. 의심할 만한 게 하나라도 발견되면 그 즉시 은행이나 카드사에 문의하라. 2. 은행이나 카드사에 문의하라. 좀더 적극적인 단계는 먼저 은행이나 신용 정보 회사에 문의하는 것이다. 데이터가 유출되고 나서 쇼핑몰에서 쇼핑한 적이 있다면, 또는 분명 해킹됐는데도 자신의 신용카드가 쇼핑몰에서 사용된 적이 전혀 없다면, 은행이나 신용카드사에 이를 알리고 계정을 보호하기 방법에 대한 지침을 따르라. 3. 신용 파일에 잠금 기능을 설정하라. 신용정보기관에 연락해 자신의 파일을 철저하게...

해킹 신용카드 2013.12.27

해킹 당한 타깃, 매우 높은 비용 지출 발생할 듯

과거 주요 해킹으로 인한 비용은 TJX가 2억 5,000만 달러 그리고 하트랜드(Heartland)가 1억 4,000만 달러였으며, 이번에 데이터를 유출한 타깃의 비용도 비슷할 것이라고 전문가들이 말했다. 타깃(Target)의 막대한 데이터 유출 사건의 전말이 완전히 드러나진 않았지만, 명확한 사실은 타깃이 해결 및 고지 비용, 벌금, 법률 비용, 합의금 등으로 수천만 달러를 지출해야 한다는 점이다. 지난 17일 타깃은 해커들이 11월 27일부터 12월 15일 사이에 자사로부터 물건을 구매한 사용자들의 신용카드 및 직불카드 번호, 카드 만료일, 보안 코드에 접속할 수 있는 해킹이 있었다고 밝혔다. 타깃은 이번 해킹으로 인해 얼마나 많은 번호가 유출됐는 지는 밝히지 않았지만 업계 정보통에 따르면 약 4,000만 개 수준이라고 한다. 이런 수치는 최대 1억 개의 카드를 해킹한 2009년의 결제 업체인 하트랜드 해킹 이후로 결제카드 관련 최대 규모다. 하트랜드는 그 이후로 해킹과 관련해 약 1억 4,000만 달러의 비용을 지출했다. 주요 해킹의 다른 피해 기업들도 신용카드 기업, 은행, 고객들과 합의하면서 유사한 수준의 금액을 지출했다. 타깃은 아직 해킹이 어떻게 발생했는지 밝히지 않았다. 보도에 따르면 해커들이 해당 기업의 POS(Point of Sale) 네트워크에 침투했거나 악성코드가 특정 경로로 고객들이 사용하는 카드 리더기에 심어진 것으로 보고 있다. 소매업체 보안 전문 개인 컨설턴트 제임스 위글릿은 "매장 밖에서 어떤 네트워크 스니퍼(Sniffer) 또는 다른 수단으로 추적 데이터를 수집해 결제 체인을 파악했을 가능성이 높다"고 말했다. 또한 위글릿은 "추적 데이터는 기업의 구체적인 결제 처리 아키텍처에 따라 POS 외에서 처리되기도 한다"며, "해커들이 미국 전역의 타켓 매장에서 결제 기기를 해킹했다면 소매기업들이 새로운 전쟁의 국면에 서게 되었음을 의미한다"고 ...

해킹 타깃 2013.12.23

“내 아이디는 안전할까?” 해킹 여부 알려주는 사이트 등장

인터넷 사용자들이 최근 몇 년간 있었던 대형 해킹 사고에서 자신의 아이디가 유출됐는지 여부를 판단할 수 있는 사이트가 등장했다. 호주의 소프트웨어 개발자인 트로이 헌트가 만든 Haveibeenpwned.com라는 사이트로, 올해의 어도비, 2012년의 야후, 2011년의 소니와 스트랫포(Stratfor), 2010년의 거커(Gawker) 데이터 유출 사고 시 본인의 아이디가 유출된 데이터에 포함되어 있는지를 폴 수 있다. 지난 10월에 있었던 어도비의 데이터 유출사고는 총 1억 5,300만 건의 사용자 이메일 주소, 비암호화된 비밀번호 등이 유출된 바 있다. 여러 보안 연구원들이 이 사고로 인해서 유출된 데이터베이스를 확인할 수 있는 웹사이트를 만들었으나, 헌트는 여러 데이터 유출 사고를 연결해 통합적으로 확인할 수 있는 웹사이트를 만들었다. 많은 사용자가 같은 이메일 주소와 비밀번호를 여러 웹사이트에 사용한다는 점을 감안하면 의미있는 시도다. 지난 2012년 헌트는 소니와 야후에서 유출된 사용자 정보를 비교했는데, 59%의 사람이 같은 비밀번호를 사용하고 있는 것을 알아냈다. Haveibeenpwned.com에는 유출된 비밀번호는 저장되어있지 않고 이메일 주소만 저장되어 있다. 헌트는 유출된 데이터를 데이터베이스로 구축하는 과정에서 흥미로운 사실을 확인했다. 그는 “어도비에서 유출된 데이터에 스트랫포에서 유출된 데이터를 추가했는데, 이미 16%가 데이터베이스에 들어가 있었다. 소니에서 유출된 데이터 중에서는 17%가 야후의 경우 22%가 이미 들어가 있었다”라고 전했다. 헌트는 향후 대량의 데이터 유출사고가 벌어지면 이 시스템에 해당 데이터를 추가할 예정이다. editor@itworld.co.kr

해킹 데이터 유출 2013.12.09

어노니머스 해커 제레미, 10년 징역 판결

해커그룹 어노니머스의 한 일원이었던 제레미 해먼드는 전략정보 분석업체의 컴퓨터를 해킹했다는 이유로 15일 10년 징역형을 선고받았다. 미국 지방법원 판사장 로레타 프레스카는 제레미 해먼드(28)가 컴퓨터 해킹과 관련해 가담한 행위는 미국 컴퓨터 사기와 남용에 관한 법을 위반해 10년 형을 선고했다. 미국 시카고 출신의 해먼드는 스트랫포(Stratfor)라 불리는 미국 전략정보 분석업체의 컴퓨터 시스템을 해킹해 구독자의 신용카드 정보와 이메일, 그리고 다른 데이터들을 취득한 혐의로 2012년 3월에 체포됐다. 최종적으로 신용카드 상세 정보와 이메일, 암호화된 비밀번호가 유출됐으며, 신용카드는 구매 목적으로 70만 달러어치가 사용됐다. 이번 판결에는 해먼드를 공익을 위해 정부의 비밀들을 드러내는 위키리크스나 전 미국 정부 계약자 에드워드 스노우든과 같은 맥락에서 내부고발자로 보는 지지자들이 참석했다. 해먼드의 변호인들은 정부 하도급에 대항한 그의 행위는 시민 불복종의 한 형태로 주장했지만, 프레스카 판사에 의해 거절됐다. 해먼드는 19세때 'Anarchaos', 'sup_g', 'burn', 'yohoho' 등의 이름으로 자그마한 해킹 사건으로 징역을 산 적이 있었다. 해먼드는 최근 어노니머스와 함께 유명한 해커그룹인 룰즈섹에 가담해 2011년 해킹 행위를 저질렀다. 이 그룹들은 사법당국과 민간단체, 그리고 기업들 서버에 침입하고 해당 웹사이트를 훼손했으며, 미국 FBI(Federal Bureau of Investigation)와 영국의 OCA(Serious Organized Crime Agency)와 같은 기관을 공격하고 트위터를 해킹했다고 자랑한 바 있다. 해먼드는 자기 자신을 내부고발자로 지칭했다. 해먼드의 해킹은 정부의 비밀과 데이터 수집, 감시 행위들을 폭로하려는 데 초점이 맞춰져 있었다. 해먼드의 변호인들은 해먼드를 1970년대 공익의 이름으로 베트남 ...

해커 해킹 어노니머스 2013.11.18

사이버 스파이, 대한민국 주요 기관들을 공격하다...북한 해커들로 추정

국제 문제, 국가 안보, 한반도 통일에 대해 연구하는 대한민국 정부기관들이 북한 소속으로 추정하는 사이버 스파이에 계속 시달리고 있다고 한 보안업체가 주장했다. 안티바이러스 개발업체인 카스퍼스키 랩의 연구원들은 지난 수개월동안 표적이 된 기관으로부터 민감한 정보를 훔치기 위해 사용된 김수기(Kimsuky)라고 명명된 악성코드를 포함한 이 공격을 지난 수 개월동안 모니터링하고 있었다. 피해자 목록은 알려지지 않았다. 그러나 카스퍼스키의 기술 분석은 다음과 같은 기관들이 표적이 됐다고 추정했다. - 국가 안보, 통일, 국제 정치 경제 등을 연구하는 세종연구소 - 국방에 대한 계획, 보안, 전략, 인력 개발, 무기 체계 연구기관인 한국국방연구원(KIDA) - 한반도 통일과 남북한 대화를 관장하는 대한민국 통일부 - 해운 물류업체인 현대상선 등 카스퍼스키 랩 악성코드 연구원 드미트리 타라카노프는 "11개는 남한에 기반으로 했으며, 두 개는 중국에서 위치하고 있었다"고 블로그를 통해 전했다. 카스퍼스키에 의해 탐지된 악성코드는 Trojan.Win32.Kimsuky로서 공격자들과 mail.bg라 불리는 불가리아 무료 웹메일 서비스를 통해 통신한다. 타라카노프는 "공격자가 그들의 표적에 김수기 트로이목마 프로그램을 어떻게 배포했는지는 불명확하다. 하지만 스피어 피싱이 가장 가능성이 높다"고 말했다. 이번 악성코드는 다른 용도에 사용되는 여러 개의 모듈을 갖고 있다. 키로깅(keylogging), 감염된 컴퓨터에서 디렉토리 목록 수집, 국내 한컴 오피스 문서 형식인 HWP로 만들어진 문서 훔치기, 감염된 컴퓨터를 원격으로 조정하는 것을 허용하기 등으로 기능이 나눠진다. 타라카노프는 "원격 조정 모듈은 실제로 합법적인 원격 제어 애플리케이션인 팀뷰어의 수정 버전"이라고 말했다. 이 악성코드는 웹메일 기반 기술을 사용해 공격자들에게 감염 현황을 보고하고 훔친 모든 데이터를 보...

해킹 북한 카스퍼스키 2013.09.12

"뚫리지 않는 소프트웨어는 없다, 제로데이 수만개 보유"... 미국 사이버 전사의 고백

수십년 전부터 미국을 포함한 거의 모든 주요 산업국에서 정부가 지원하는 사이버 부대를 보유하고 있었지만, 이제서야 그 존재를 알게 됐다. 필자는 몇 명의 사이버 전사들을 만났다. 상상한대로 그들은 자신의 임무에 대해 많은 말을 하지 않았다. 하지만 제대로 오랫동안 살펴보면 그들의 임무 패턴은 확실히 알 수 있었다. 우선 그들은 사이버 무기로 잘 무장되어 있으며 실험이나 해킹을 해왔다. 일부 지역에서는 불법적일지 모르는 해킹도 말이다. 이것이 우리가 이들에 대해 알고 있는 모든 것이었다. 필자는 오랫동안 한 명의 사이버 전사와 친목을 도모해왔다. 결국 그는 익명 상태에서 자신이 어떻게 살아왔는 지에 대한 인터뷰에 동의했다. 그리고 그가 갖고 있던 디바이스를 통해 필자와의 대화를 녹음하도록 허락했다. 필자는 그와의 인터뷰 녹음 파일을 글로 옮겼으며 그 다음날 그에게 확인을 받았다. 드라마를 찍는 건 아니었지만 마치 비밀리에 만나는 것처럼 우리는 플로리다 해변에 정박해 있는 필자의 보트에서 직접 만났다. 우리는 원래 낚시를 하려고 만난 것이다. 그는 필자가 수개월동안 인터뷰를 하기 위해 그에게 보낸 이메일 또는 전화에 답을 하지 않았다. 심지어 그는 어떤 국가 보안 비밀도 말하지 않았음에도 불구하고 자신을 공개하지 않았다. 우리의 대화는 다음과 같다. 중요하지 않은 상세한 내용들은 그의 신원 보호상 삭제했다. 그라임즈 : 자신을 소개해달라. 사이버 전사 : 나는 중년 백인이며, 결혼하지 않았다. 다소 현명하다고 생각하며 음악을 사랑한다. 나는 일생을 해커로서 살아왔다. 최근에는 타국의 컴퓨터 시스템을 침입하는 군사적 행위를 맡고 있다. 그라임즈 : 해킹하는 것은 어떻게 배웠나? 사이버 전사 : 나는 외국에서 자랐음에도 불구하고 어렸을 때부터 컴퓨터에 상당히 빠져있었다. 아버지는 내가 어렸을 때 이혼했으며, 어머니는 일을 많이 했다. 나는 가까운 이웃 친구와 함께 초기 PC였던 라디오색 판매점에 방문한 적이 있는...

해킹 보안 사이버 부대 2013.09.04

전형적인 해킹, 피싱, 소셜 엔지니어링 사기 9가지

"고객님, 당황하셔쎄요?" 어설픈 보이스피싱으로 웃음을 안기는 코미디와는 달리, 실제로 당한 사람들은 상당히 많다. 전화상, 온라인, 혹은 직접 만날 때 해커, 피셔, 소셜 엔지니어들이 정보를 빼가기 위해 사용하는 9가지 거짓말을 소개한다. editor@itworld.co.kr

해킹 소셜 엔지니어링 피싱 2013.09.03

해커를 해킹할 때가 됐나?

모든 산업군에 걸쳐 사이버범죄가 전례없이 많아진 상황에서 이 질문을 화두로 끄집어내야 할 때가 됐다. 반격의 시간인가? 필자는 와이즈게이트 창립자이자 CEO로서 IT 경영진 고위급 모임을 주최하면서 IT 최고의 보안 전문가들과 함께 열띤 토론을 한 적이 있었다. 와이즈게이트 회원인 트레드스톤71 CIO 제프 바딘은 "해커 그룹과 기업과의 분쟁은 더 이상 무시할 수 없을 정도로 사상 최고점에 다다랐다. 우리는 상대방이 기업을 대상으로 공격을 시도한다면 그 대가를 치룬다는 것을 이해하기를 원한다"고 말했다. 그러나 회원들은 많은 사이버 공격이 위치와 소스를 정확히 알아내기 힘들다는 이유로 공격하는 것에는 찬성하지 않았다. 아직도 많은 보안 전문가들은 기업 네트워크에 침투하는 해킹 비용을 끌어올리는 공격적 기술에 대해 얘기하면서, 이를 적절히 배치했다면 해커들을 좌절시킬 수 있다고 설명한다. 탬파(Tampa) 시 ISO(Information Security Officer) 마틴 지나이크는 기업들은 어디까지 도달할 수 있으며, 실제 어떤 공격 형태가 영향을 미칠 수 있느냐는 흥미로운 질문을 던졌다. "사이버범죄 인프라스트럭처에 대해 우리가 공격을 시작하는 것은 아무런 결과를 갖고 오지 못한다. 부수적으로 오히려 나쁜 이들을 점점더 감지하기 힘들어질 수도 있다"고 말했다. 사실 많은 와이즈게이트 회원들은 공격적 보안 방법은 좋은 녀석들마저 부추길 수 있다고 믿는다. 예를 들어 적절치 못한 기술은 되려 해당 기업들이 엄청난 표적이 될 수 있다. 이미 금융과 방산 부문에서 이런 일을 겪었다. 앨버타 주 정부 CISO이자 와이즈게이트 회원 팀 매크라이트는 "우리는 지금까지와는 다른 접근 방법과 기술을 통해 공격자를 혼란시킬 수 있는, 우리의 적과 같은 생각을 할 필요가 있다"며, "자사의 방어를 점검하기 위해 화이트 햇 해커들을 고용할 것을 고려하고 있다. 해커들이...

해커 해킹 화이트 햇 2013.08.30

드롭박스 사용자 데이터 접속권한 탈취법 시연...USENIX 2013

유제닉스(USENIX) 2013 컨퍼런스에서 발행한 PDF에 따르면, 두 명의 개발자가 드롭박스 보안을 해킹, 자체 서버로부터 SSL 데이터 가로채기와 클라우드 스토리지 제공업체의 2요소 인증 우회하기를 시연했다. 이 문서에는 "이 일반적인 기술들은 다양한 방면에 쓰일 수 있기 때문에 미래 소프트웨어 개발, 테스팅, 보안 연구에 도움이 될 것"이라고 말했다. 1억 이상의 사용자가 10억 개 이상의 파일을 업로드하고 있다는 드롭박스 측은 "이 연구는 실제로 자체 서버에 취약점을 구현한 것이 아니라고 말했다. 드롭박스 대변인은 컴퓨터월드와의 이메일을 통해 "우리는 드롭박스가 안전해지는데 도움을 주는 이 연구원들의 협력과 모든 이들을 환영한다"며, "이와 관련해 대략적인 윤곽은 이렇다. 이 공격은 사용자의 컴퓨터가 처음부터 감염된 것을 전제로 한다. 이는 단지 사용자의 드롭박스뿐만 아니라 전체를 공격할 수 있다"고 전했다. 두명의 개발자들은 오픈월 오픈 소스 프로젝트(Openwall open source project)의 디루 콜리아와 코드페인터스(CodePainters)에서 일하는 프르제미슬라브 베르그진이 사용한 애플리케이션은 파이썬이다. 이 문서에는 "우리는 드롭박스 클라이언트에 의해 사용된 내부 API를 알아내고 간단하게 휴대용 오픈소스 드롭박스 클라이언트를 만들었다"며, "게다가 드롭박스의 2요소 인증을 우회하는 방법과 사용자의 데이터 접속 권한을 획득하는 방법을 보여준다"고 전했다. 이 개발자들은 "파이썬 애플리케이션을 리버스엔지니어링하기 위한 기술은 드롭박스에만 한정된 것이 아니"라고 말했다. 이 연구원들은 스크래치(scratch)로부터 드롭박스의 데이터를 꺼내어 암호를 해독하고 디컴파일(decompile)하는 방법까지 상세하게 설명했다. 그리고 누군가 디컴파일된 자체 소스코드를 갖고 있다면 드롭박스가 어떻...

해킹 드롭박스 2013.08.29

뉴욕타임즈 웹사이트, 해킹으로 다운

웹사이트 정전으로 고생했던 뉴욕타임즈가 2주가 채 지나지 않아 다시 다운됐다. 이는 해킹 공격의 결과로 보인다. 이 신문의 메인 웹 페이지는 8월 27일 화요일 오후(뉴욕 현지시각)부터 간헐적으로 접속이 되지 않았으며 이는 5시 30분 경까지 계속됐다. 초기 트위터에 게재된 바에 따르면, 뉴욕타임즈는 기술적 문제로 정전이 됐다고 밝혔다. 하지만 이 신문의 회사 커뮤니케이션 이사는 트위터에 뉴욕 타임즈가 해커들의 공격에 의해 다운된 것일 지 모른다고 밝혔다. 머피는 트위터에 "re: http://nytimes.com - initial assessment - issue is most likely result of malicious external attack. working to fix,"라고 말했다. 다른 트윗에서 뉴욕타임즈는 "이 문제를 조속히 해결해 시리아 이야기를 포함한 기사 발행을 계속할 것"이라고 밝혔다. 한 보안 연구원은 이 공격이 시리아 전자 군의 소행으로 보이는 증거를 확보했다고 워싱턴 포스트에 말했다. 뉴욕타임즈 메인 웹페이지가 다운된 것은 이번 달에만 두번째다. 이 사이트는 8월 14일에도 두 시간이상을 오프라인 상태였으며 이후 두 시간 넘게 기술적 결함으로 인한 성능 문제로 고생해야 했다. 이 신문의 모바일 애플리케이션마저 정지시킨 이 정전은 사이트 유지보수 업데이트 이후에 두번째 발생한 것이다. 그 당시 이 사이트가 해킹을 당한 것인지 이 신문이 주장한 대로 기술적인 문제인지에 대해서는 추측만이 있을 뿐이다. 2013년 1월 뉴욕타임즈는 중국인 해커 그룹이 자체 네트워크와 시스템 접속권한을 획득했다고 공개했다. 그리고 이 사실을 4개월동안 발견하지 못했다고. 2012년 9월에 발생한 이 무단 침입은 이 신문이 중국 주석 원자바오의 이야기를 게재했기 때문이라고 추정하고 있다. 한 보안 전문가는 이 해커들은 표적화되고 특별히 만들어진 피싱 이메일을 통...

해킹 뉴욕타임즈 시리아 2013.08.28

버그 경고 무시한 페이스북… 주커버그 타임라인 해킹돼

지난 주 페이스북 CEO 마크 주커버그의 타임라인이 해킹되는 사고가 있었는데, 이것이 한 연구원이 페이스북측에 보안 취약점을 보고했으나 무시 받았다고 생각해 주목을 받고자 벌인 일인 것으로 나타났다. 팔레스타인의 보안 연구원 카릴 슈레아테는 슈레아테는 친구 목록에 없는 사람들을 포함해 누구나 한 사용자의 타임라인에 게시물을 올릴 수 있는 버그를 발견하고, 마크 주커버그와 대학교 친구로 연결되어 있는 사라 구딘의 비공개 타임라인에 게시물을 올려서 이를 증명했다. 페이스북의 화이트햇(Whitehat) 프로그램을 통해서 버그 발견 포상금을 받기 위해서다. 슈레아테는 이 버그를 페이스북측에 두 번 알렸으나, 버그가 아니라는 대답만 들었다. 그래서 이 취약점이 주목을 받을 수 있도록 마크 주커버그의 타임라인을 이용해 보여주었다. 주커버그의 타임라인에 “마크 주커버그에게. 먼저 프라이버시를 침해하고 담벼락에 글을 올려서 미안합니다. 페이스북 팀에게 보낸 모든 보고서들을 추적하기 위해서 다른 선택의 여지가 없었습니다. 나는 팔레스타인의 카릴입니다.”라는 글을 올리면서, 자신의 보고서와 자신이 페이스북으로부터 받았던 답변들이 포함된 링크를 연결시켰다. 얼마 지나지 않아 슈레아테의 계정은 일시적으로 중지됐고, 페이스북 “예방조치를 위해서 당신 계정을 중지시켰습니다. 당신의 활동을 발견했을 때 어떤 일이 벌어진 것인지 완전히 이해하지 못했습니다”라는 메시지를 받았다. 이어서, 취약점에 대한 그의 보고서가 충분한 정보를 담고 있지 않았으며, 명확한 보고 프로세스를 밟지 않았기 때문에 화이트햇 시스템에 따른 보상을 해줄 수 없다고 덧붙였다. 페이스북 보안 팀은 추후에 해커 뉴스(Hacker News) 포럼을 통해 슈레아테가 사라 구딘의 담벼락에 허가 받지 않은 게시물을 올린 링크만을 보냈다고 설명했다. 페이스북 대변인은 이 이슈를 조금 더 신중하게 처리했어야 함을 인정하면서도, “우리가 받는 최고...

페이스북 해킹 마크 주커버그 2013.08.21

블랙 햇이 말하는 해킹 공격 툴 TOP 20

'선의를 가진' 연구원들에게 네트워크 및 전자기기 보안을 테스트 할 수 있는 툴을 제공한다는 취지로 시작된 블랙 햇 컨퍼런스에서 배포하는 무료 툴이 '악의를 가진' 해커의 손에 들어갈 경우 네트워크에 무단 침입해 데이터를 훔치고 악성코드 공격을 막기 위해 고안된 방어체계를 엉망으로 만드는데 이용될 수도 있다. 각종 컨설팅 업체와 대학 소속의 '착한' 해커와 개발업체들은 이틀간 열리는 블랙햇 컨퍼런스에서 100건이 넘는 브리핑을 통해 그 동안 발견한 해킹 취약점들을 소개하고 이에 대비하기 위한 툴을 내놓기도 할 것이다. 특정 제품들에서 발견된 취약점의 상당수가 이미 개발업체에게 보고돼 패치가 끝난 상황이지만, 이 중에는 넓은 범위에 적용할 수 있는 툴도 많다. 블랙 햇 컨퍼런스 일정 가운데 일부로 소개될 해커 팁 가운데 20가지를 선별, 소개한다. editor@itworld.co.kr

해킹 공격 툴 블랙 햇 2013.07.23

해킹으로 갈등 커지는 '미국과 중국'

중국과 미국의 고위 관료들이 수 차례의 회담을 통해 여러 경제 문제를 논의하기 위해 미국 워싱턴으로 몰려들고 있는 가운데, 미 연방의회 의원들은 중국이 IT 기업을 비롯한 미국 기업들의 지적 재산 침해를 막기 위해 얼마나 공을 들이고 있는지를 조사했다. 미 연방 하원인 팀 머피(공화당, 펜실베니아) 에너지 상업 상임위(House Energy and Commerce Committee) 의장은 "방산업체에서 제조업체에 이르기까지 중국의 지적 재산권 침해에 피해를 입지 않을 미국 기업은 단 한 곳도 없다"고 강조했다. 이를 증언한 증인 가운데 한 명이 슬레이드 고튼이었다. 고튼은 중국을 중심으로 지적 재산 문제가 경제에 미칠 영향을 조사했던 미국 지적 재산 침해 위원회(Commission on the Theft of American Intellectual Property)에 참가했던 전 상원의원(워싱턴)이다. 고튼 전 의원은 당시 위원회 조사의 추정치에 따르면, 외국의 IP 침해와 사이버 스파이 활동으로 미국 기업에 초래된 손실이 연간 3,000억 달러에 달한다고 증언했다. 이 가운데 50~80%가 중국을 발원지로 한다고 말했다. '해커와의 전쟁' 위해 사이버 방어 이상의 대책 필요 위원회는 단기, 중기, 장기 해결책을 제시했다. 미국 정부 산하 기관들의 지적 재산 보호 체계 개혁, 중국이 IP 침해와 이에 대한 법 집행을 강화하는 정책과 법을 도입하도록 유도하는 대책 등이다. 이런 다차원적인 대책은 단순한 방어 대책만으로는 해커와의 전쟁에서 절대 승리할 수 없다는 인식에 바탕을 두고 있다. 고튼 의장은 "사이버 범죄와 다른 지적 침해 문제를 다루기 위해 방어 대책을 강화할 필요가 있는 것은 사실이다. 그러나 나는 그것만으로는 절대 문제를 풀 수 없다고 확신한다"고 말했다. 이 청문회는 미 연방 의회가 사이버 공격에 대한 국가 방어 역량을 강화하기 위한 입법을 추진하고 있는 노...

해킹 미국 중국 2013.07.12

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.