2012.07.24

올해 블랙햇의 주요 과제는 바로 모바일과 웹 보안

Lucian Constantin | IDG News Service
보안 전문가들이 NFC, 모바일 기반 펌웨어, HTML 5, 웹 애플리케이션 방화벽 등의 새로운 취약점들을 다음 주에 열리는 블랙햇 USA 2012(Black Hat USA 2012) 보안 컨퍼런스에서 공개할 예정이어서 귀추가 주목된다.
 
올해로 15회를 맞이한 이 컨퍼런스에는, 업계의 최고 전문가들이 새로 발견한 취약점에 대한 프레젠테이션을 하기 때문에 수천 명의 보안 부문 종사자와 IT 전문가들을 미국 라스베이가스로 끌어들이고 있다. 
 
최근 몇년간 스마트폰이 급부상하면서 모바일 기술은 보안 연구의 주요 분야가 됐다. 오늘날의 휴대폰은 민감한 데이터를 담고있는 사실상의 소형 컴퓨터다. 이로 인해 휴대폰은 많은 공격자들이 노리는 먹잇감이 됐다. 
 
몇몇 스마트폰 개발업체는 NFC 기술을 도입해 접촉이 필요없는 모바일 결제 시스템을 가능케 했다. 사용자들이 그들의 전화기를 NFC가 탑재된 기기 앞에 갖다대기만 하면 결제가 완료된다.
 
보안 컨설팅업체 애큐번트(Accuvant) 수석 연구 컨설턴트이자 저명한 애플 해커인 찰리 밀러는 현재의 NFC 시스템의 보안 문제를 연구한 후, 이용자의 허가 없이도 전화기의 파일을 열람하고, 웹페이지를 여는 기술 남용의 사례들을 찾아냈다.
 
몇몇 사례에서, 공격자들은 NFC를 통해 전화기의 모든 통제권을 획득해 사진과 연락처를 훔치고, 문자 메세지를 보내고, 전화도 걸 수 있었다. 밀러는 아마도 올해 가장 기대되는 바로 이 컨퍼런스에서, 자신이 발견한 사항에 대해 프레젠테이션 할 것이다.
 
또 다른 모바일 보안 프레젠테이션에서, 룩셈부르그 대학 연구원 랄프-필립 와인만은 셀룰러 네트워크와의 통신을 담당하는 전화기의 마이크로프로세서인 베이스밴드 프로세서(baseband processor)에 대한 공격에 관해 토의할 예정이다.
 
지난해 와인만은 전화기를 가짜 GSM 기지국과 통신하도록 속여 전화기를 원격 스파이 기기로 만들어버리는 베이스밴드 프로세서의 펌웨어 취약점을 증명했다. 가짜 기지국은 쉽게 구입할 수 있는 하드웨어와 오픈소스 소프트웨어로 구축할 수 있었다.
 
올해 와인만은 이런 공격을 감행하기 위해 가짜 기지국을 구축하는 것조차 필요치 않다는것을 보여줄 계획이다. 몇몇 베이스밴드 취약점을 IP 기반의 연결로도 돌파할 수 있기 때문이다.
 
와인만은 자신의 프레젠테이션 설명에서 "만약 통신업체의 통신망이 특정 방식으로 설정되어 있다면, 다수의 스마트폰들이 동시에 공격당할 수도 있다"고 밝혔다.
 
모바일 멜웨어는 점점 커지는 위협으로 대두되고 있는데, 특히 안드로이드 플랫폼에서 문제가 심각하다. 안드로이드 사용자를 보호하고, 악성 애플리케이션이 구글 플레이(Google Play)에 업로드되는 것을 방지하기 위해, 구글은 바운서(Bouncer)라 불리는 자동화된 멜웨어 스캐닝 서비스를 만들었다.
 
그러나 블랙햇에서 트러스트웨이브 보안 연구원 니콜라스 페코코와 션 슐트는 바운서의 탐지를 회피하고, 구글 플레이 상에 악성 앱을 몇주 간이나 올릴 수 있게 했던 기술을 공개할 예정이다.
 
페로코는 구글 플레이에 올린 최초의 앱은 정상이었지만, 차후의 업데이트로 그 앱에 악성 기능들을 추가했다고 말했다. 결과적으로 사진과 연락처를 훔치고 전화기가 웹사이트를 방문하고, 서비스 거부 공격까지 감행하도록 하는 앱이 완성됐다.
 
페로코는 블랙햇 프레젠테이션 이전에 세부 기술에 대해 말하지 않을 것이지만, 이 기술에 어떤 사용자와의 접촉도 필요치 않았다는 점을 밝혔다. 이 악성 앱은 더이상 구글 플레이 상에서 다운로드할 수 없고, 어떤 사용자도 테스트 기간동안 영향받지 않았다고 설명했다.
 


2012.07.24

올해 블랙햇의 주요 과제는 바로 모바일과 웹 보안

Lucian Constantin | IDG News Service
보안 전문가들이 NFC, 모바일 기반 펌웨어, HTML 5, 웹 애플리케이션 방화벽 등의 새로운 취약점들을 다음 주에 열리는 블랙햇 USA 2012(Black Hat USA 2012) 보안 컨퍼런스에서 공개할 예정이어서 귀추가 주목된다.
 
올해로 15회를 맞이한 이 컨퍼런스에는, 업계의 최고 전문가들이 새로 발견한 취약점에 대한 프레젠테이션을 하기 때문에 수천 명의 보안 부문 종사자와 IT 전문가들을 미국 라스베이가스로 끌어들이고 있다. 
 
최근 몇년간 스마트폰이 급부상하면서 모바일 기술은 보안 연구의 주요 분야가 됐다. 오늘날의 휴대폰은 민감한 데이터를 담고있는 사실상의 소형 컴퓨터다. 이로 인해 휴대폰은 많은 공격자들이 노리는 먹잇감이 됐다. 
 
몇몇 스마트폰 개발업체는 NFC 기술을 도입해 접촉이 필요없는 모바일 결제 시스템을 가능케 했다. 사용자들이 그들의 전화기를 NFC가 탑재된 기기 앞에 갖다대기만 하면 결제가 완료된다.
 
보안 컨설팅업체 애큐번트(Accuvant) 수석 연구 컨설턴트이자 저명한 애플 해커인 찰리 밀러는 현재의 NFC 시스템의 보안 문제를 연구한 후, 이용자의 허가 없이도 전화기의 파일을 열람하고, 웹페이지를 여는 기술 남용의 사례들을 찾아냈다.
 
몇몇 사례에서, 공격자들은 NFC를 통해 전화기의 모든 통제권을 획득해 사진과 연락처를 훔치고, 문자 메세지를 보내고, 전화도 걸 수 있었다. 밀러는 아마도 올해 가장 기대되는 바로 이 컨퍼런스에서, 자신이 발견한 사항에 대해 프레젠테이션 할 것이다.
 
또 다른 모바일 보안 프레젠테이션에서, 룩셈부르그 대학 연구원 랄프-필립 와인만은 셀룰러 네트워크와의 통신을 담당하는 전화기의 마이크로프로세서인 베이스밴드 프로세서(baseband processor)에 대한 공격에 관해 토의할 예정이다.
 
지난해 와인만은 전화기를 가짜 GSM 기지국과 통신하도록 속여 전화기를 원격 스파이 기기로 만들어버리는 베이스밴드 프로세서의 펌웨어 취약점을 증명했다. 가짜 기지국은 쉽게 구입할 수 있는 하드웨어와 오픈소스 소프트웨어로 구축할 수 있었다.
 
올해 와인만은 이런 공격을 감행하기 위해 가짜 기지국을 구축하는 것조차 필요치 않다는것을 보여줄 계획이다. 몇몇 베이스밴드 취약점을 IP 기반의 연결로도 돌파할 수 있기 때문이다.
 
와인만은 자신의 프레젠테이션 설명에서 "만약 통신업체의 통신망이 특정 방식으로 설정되어 있다면, 다수의 스마트폰들이 동시에 공격당할 수도 있다"고 밝혔다.
 
모바일 멜웨어는 점점 커지는 위협으로 대두되고 있는데, 특히 안드로이드 플랫폼에서 문제가 심각하다. 안드로이드 사용자를 보호하고, 악성 애플리케이션이 구글 플레이(Google Play)에 업로드되는 것을 방지하기 위해, 구글은 바운서(Bouncer)라 불리는 자동화된 멜웨어 스캐닝 서비스를 만들었다.
 
그러나 블랙햇에서 트러스트웨이브 보안 연구원 니콜라스 페코코와 션 슐트는 바운서의 탐지를 회피하고, 구글 플레이 상에 악성 앱을 몇주 간이나 올릴 수 있게 했던 기술을 공개할 예정이다.
 
페로코는 구글 플레이에 올린 최초의 앱은 정상이었지만, 차후의 업데이트로 그 앱에 악성 기능들을 추가했다고 말했다. 결과적으로 사진과 연락처를 훔치고 전화기가 웹사이트를 방문하고, 서비스 거부 공격까지 감행하도록 하는 앱이 완성됐다.
 
페로코는 블랙햇 프레젠테이션 이전에 세부 기술에 대해 말하지 않을 것이지만, 이 기술에 어떤 사용자와의 접촉도 필요치 않았다는 점을 밝혔다. 이 악성 앱은 더이상 구글 플레이 상에서 다운로드할 수 없고, 어떤 사용자도 테스트 기간동안 영향받지 않았다고 설명했다.
 


X